Manual Audit It PDF

2012
AUDITUL SISTEMELOR INFORMATICE

- MANUAL -
Pag. 1 / 214
Pag. 2 / 214
CUPRINS
Introducere............................................................................................................................................ 7
Capitolul 1.
Contextul de desfurare a auditului IT pe plan intern i
internaional .................................................................................................................................... 12
1.1 Contextul socio-economic. Strategii i politici pentru societatea informaional ........ 12
1.1.1 Situaia n cadrul Uniunii Europene ...................................................................................13
1.1.2 Stadiul Societii Informaionale n Romnia .................................................................15
1.2 Guvernarea IT ............................................................................................................................................. 16
1.3 Cadrul legislativ i de reglementare n domeniul IT .................................................................. 17
1.4 Stadiul actual privind cadrul de auditare a sistemelor informatice pe plan
internaional i intern ....................................................................................................................................... 18
1.4.1 Cadrul de auditare INTOSAI...................................................................................................19
1.4.2 Liniile de aciune ale EUROSAI IT Working Group ....................................................23
1.4.3 Abordarea auditului sistemelor informatice n cadrul Curii de Conturi a
Romniei ......................................................................................................................................................24
Capitolul 2.
Standarde de audit IT ................................................................................... 28
2.1 Instituii, standarde i linii directoare ............................................................................................. 28

2.2 Cadrul de auditare INTOSAI ................................................................................................................. 29
2.2.1 StandardeIe ISSAI i INTOSAI GOV 9100 ..........................................................................29
2.2.2 ISSAI 3000 - Anexa 5 Auditul Performanei i Tehnologia Informaiei .............30
2.2.3 Liniile directoare ISSAI 5310.................................................................................................31
2.3 Standardele internaionale de audit ISA ......................................................................................... 32
2.4 Actul Sarbanes - Oxley ............................................................................................................................. 32
2.5 Standardele IIA........................................................................................................................................... 33
2.6 COSO ................................................................................................................................................................ 34
2.7 Schimbri ale standardelor de audit IT n viziunea EUROSAI - ITWG ............................... 34
2.8 Cadrul de lucru COBIT ............................................................................................................................. 38
2.8.1 ISACA, ITGI i cadrul de lucru COBIT .................................................................................38
2.8.2 Orientarea COBIT pe domenii i procese ..........................................................................39
2.8.3 Modele de maturitate COBIT .................................................................................................39
2.8.4 Msurarea performanelor.....................................................................................................40
2.8.5 Zonele de interes pentru guvernarea IT ...........................................................................40
2.8.6 Liniile Directoare pentru Auditare asociate Cadrului de lucru COBIT ..................41
2.8.7 Criteriile COBIT pentru informaie .....................................................................................42
2.8.8 Resursele IT..................................................................................................................................42
2.8.9 Domeniile COBIT ........................................................................................................................43
2.8.10 Controalele asociate proceselor ...........................................................................................44
2.8.11 Cerinele obiectivelor de control .........................................................................................45
2.8.12 Controalele IT i controalele economice ...........................................................................46
2.8.13 Controale generale IT i controale de aplicaii ...............................................................46
Pag. 3 / 214
2.8.14
2.8.15
2.8.16
2.8.17
2.8.18
Orientarea spre evaluare (msurtori)............................................................................. 47

Model generic de maturitate ................................................................................................. 47
Msurarea performanei......................................................................................................... 48
Modelul cadrului de referin COBIT ................................................................................. 48
Procese i obiective de control ............................................................................................. 49
2.9 Cadrul de lucru Val IT .............................................................................................................................. 60

2.9.1 Obiectivul i necesitatea cadrului de lucru Val IT ......................................................... 61
2.9.2 Aspecte legate de Investiiile IT din perspectiva cadrului Val IT ............................ 62
2.9.3 nelegerea conceptului de valoare n sensul cadrului de lucru Val IT ............. 62
2.9.4 Beneficii obinute prin utilizarea cadrului de lucru Val IT ........................................ 63
2.9.5 Concepte Val IT i principiile cadrului de lucru Val IT ................................................ 63
2.9.6 Domeniile cadrului de lucru Val IT ..................................................................................... 64
2.9.7 Business Case (BC)...................................................................................................................... 66
2.9.8 Procesele VAL IT ........................................................................................................................ 68
2.9.9 Liniile directoare Val IT ........................................................................................................... 70
2.10 Cadrul de lucru Risk IT ....................................................................................................................... 71
2.10.1 Principiile cadrului de lucru Risk IT ................................................................................... 71
2.10.2 Documentaia aferent cadrului de lucru Risk IT ......................................................... 72
2.10.3 Domenii, procese i activiti ................................................................................................ 73
2.11 Standardul ISO/CEI 27001 - Sisteme de management al securitii informaiei ..... 75
2.11.1 Abordare bazat pe proces .................................................................................................... 76
2.11.2 Obiective de control .................................................................................................................. 77
Capitolul 3.
Riscuri IT ........................................................................................................... 80
3.1 Componentele eseniale ale domeniului guvernare de risc ..................................................... 80

3.1.1 Scenarii de evaluare a riscurilor .......................................................................................... 81
3.1.2 Fluxul de activiti pentru analiza riscurilor .................................................................. 82
3.1.3 Indicatori de risc ........................................................................................................................ 82
3.2 Probleme de audit asociate cu utilizarea sistemelor IT / IS ................................................... 83
3.2.1 Responsabilitatea ...................................................................................................................... 84
3.2.2 Vulnerabilitatea la modificri ............................................................................................... 84
3.2.3 Uurina la copiere .................................................................................................................... 85
3.2.4 Uurina accesului de la distan ......................................................................................... 85
3.2.5 Procesare invizibil .................................................................................................................. 85
3.2.6 Existena unui parcurs al auditului .................................................................................... 86
3.2.7 Date distribuite ........................................................................................................................... 86
3.2.8 ncrederea n prestatorii de servicii IT ............................................................................. 86
3.2.9 Utilizarea nregistrrilor furnizate de calculator ca prob de audit ...................... 86
3.3 Probleme cu impact semnificativ asupra riscului de audit ..................................................... 87
3.4 Model de management al riscurilor IT ............................................................................................. 88
3.5 Riscurile generate de existena mediului informatizat ............................................................. 91
3.5.1 Dependena de IT ...................................................................................................................... 91
3.5.2 Resurse i cunotine IT .......................................................................................................... 92
3.5.3 ncrederea n IT .......................................................................................................................... 93
3.5.4 Schimbri n domeniul sistemelor IT / IS ........................................................................ 94
3.5.5 Externalizarea serviciilor IT .................................................................................................. 95
3.5.6 Focalizarea pe afacere ............................................................................................................. 97
Pag. 4 / 214
3.5.7
3.5.8
3.5.9
3.5.10
Securitatea informaiei ............................................................................................................98

Protecia fizic a sistemelor IT ...........................................................................................100
Operarea sistemelor IT ..........................................................................................................101
Dezvoltri efectuate de utilizatorii finali ........................................................................102
3.6 Riscuri asociate furnizrii serviciilor IT ....................................................................................... 104

3.6.1 Managementul de vrf ...........................................................................................................104
3.6.2 Strategii i politici ....................................................................................................................108
3.6.3 Operare ........................................................................................................................................110
3.6.4 Managementul resurselor ....................................................................................................114
3.6.5 Factori externi ...........................................................................................................................116
3.6.6 Interaciunea cu utilizatorii .................................................................................................118
3.6.7 Consecine ale utilizrii serviciilor IT asupra cetenilor, mediului de afaceri i
sectorului public .....................................................................................................................................120
Capitolul 4.
Proceduri de audit IT ................................................................................. 126
4.1 Auditul sistemelor informatice ......................................................................................................... 126

4.1.1 Domeniul de aplicare ..............................................................................................................127
4.1.2 Documente de referin (reglementri) aplicabile n domeniul
auditului IS/IT .........................................................................................................................................128
4.1.3 Obiective generale i obiective specifice ale auditului IT/IS ..................................129
4.1.4 Criterii de evaluare generice ...............................................................................................130
4.1.5 Determinarea naturii i volumului procedurilor de audit .......................................130
4.1.6 Revizuirea controalelor IT n cadrul misiunilor de audit financiar ......................131
4.2 Etapele auditului sistemelor informatice .................................................................................... 131
4.2.1 Planificarea auditului .............................................................................................................132
4.2.2 Efectuarea auditului ................................................................................................................139
4.2.3 Elaborarea raportului de audit i valorificarea constatrilor consemnate .......143
4.2.4 Revizuirea auditului sistemelor informatice .................................................................144
4.3 Evaluarea sistemelor informatice financiar-contabile .......................................................... 145
4.3.1 Informaii de fond privind sistemele IT / IS ale entitii auditate ........................147
4.3.2 Controale IT generale .............................................................................................................148
4.3.3 Evaluarea aplicaiei i evaluarea riscurilor ...................................................................150
4.4 Cadrul procedural pentru evaluarea sistemelor informatice ............................................. 158
4.4.1 Informaii de fond privind sistemele IT ale entitii auditate ................................159
PROCEDURA A1 - Privire general asupra entitii auditate ................................................159
PROCEDURA A2 - Principalele probleme IT rezultate din activitile anterioare de
audit .........................................................................................................................................................159
PROCEDURA A3 - Dezvoltri informatice planificate ..............................................................159
PROCEDURA A4 - Configuraia hardware (echipamente), software (programe
informatice) i personalul IT .............................................................................................................159
PROCEDURA A5 - Cerine pentru specialitii n auditul sistemului informatic .............160
PROCEDURA A6 - Activitatea necesar pentru evaluarea sistemelor ...............................160
PROCEDURA A7 - Contacte cheie .....................................................................................................160
4.4.2 Evaluarea mediului de control IT Controale generale IT ......................................160
PROCEDURA B1 - Managementul sistemului informatic ........................................................161
PROCEDURA B2 - Separarea atribuiilor ......................................................................................164
PROCEDURA B3 - Securitatea fizic i controalele de mediu................................................166
PROCEDURA B4 - Securitatea informaiei i a sistemelor......................................................167
Pag. 5 / 214
PROCEDURA B5 - Continuitatea sistemelor ................................................................................ 176

PROCEDURA B6 - Externalizarea serviciilor IT.......................................................................... 180
PROCEDURA B7 - Managementul schimbrii i al dezvoltrii de sistem ......................... 180
PROCEDURA B8 - Auditul intern IT ................................................................................................ 184
4.4.3 Analiza controalelor aplicaiei i evaluarea riscurilor asociate............................. 185
PROCEDURA CA1 - nelegerea sistemului informatic financiar - contabil ..................... 186
PROCEDURA CA2 - Posibilitatea de efectuare a auditului ..................................................... 187
PROCEDURA CA3 - Utilizarea tehnicilor de audit asistat de calculator (CAAT) ............ 187
PROCEDURA CA4 Determinarea rspunderii.......................................................................... 189
PROCEDURA CA5 Evaluarea documentaiei aplicaiei ........................................................ 190
PROCEDURA CA6 Evaluarea securitii aplicaiei ................................................................. 190
PROCEDURA CA7 Evaluarea controalelor privind introducerea datelor ..................... 190
PROCEDURA CA8 Evaluarea controalelor privind transmisia de date.......................... 192
PROCEDURA CA9 Evaluarea controalelor prelucrrii ......................................................... 193
PROCEDURA CA10 Evaluarea controalelor privind datele de ieire .............................. 193
PROCEDURA CA11 Evaluarea controalelor privind fiierele de date permanente .. 194
PROCEDURA CA12 - Evaluarea conformitii aplicaiilor cu legislaia n vigoare ....... 195
PROCEDURA CA13 - Efectuarea testelor de audit ..................................................................... 196
Capitolul 5.
Liste de verificare, machete i chestionare ........................................199
Glosar de termeni ...........................................................................................................................201

Referine bibliografice ..................................................................................................................207
Anexa 1 - Legislaia pentru Societatea Informaional .....................................................213
Pag. 6 / 214
Introducere
Evoluia societii informaionale ctre societatea bazat pe cunoatere, proces care presupune
transformarea progresiv a ntregii economii ntr-o economie digital, implic schimbri majore i n
abordarea auditului extern, cu un dublu impact: att n ceea ce privete managementul auditului i rolul
auditorului, ct i n ceea ce privete planul arhitectural, metodologic i procedural asociat.
Aceste schimbri, care determin o nou tratare a auditului, pun n eviden necesitatea crerii unui nou
cadru de lucru pentru ciclul de via al procesului de auditare, apt s rspund la noile cerine calitative
ale domeniilor i ale obiectivelor auditrii: auditarea se va focaliza preponderent pe managementul i
livrarea serviciilor informatice, care presupun prezena dominant a fluxurilor de documente electronice,
precum i asupra procedurilor de tratare asociate specifice. Din acest motiv, cea mai mare parte a
procedurilor clasice de auditare vor fi nlocuite cu proceduri capabile s asigure auditarea n contextul
digital care se extinde rapid n prezent.
n scopul adecvrii la noul context, modificrile de coninut ale ciclului de via al auditului impun
reingineria arhitecturilor de auditare i a cadrului metodologic i procedural clasic conducnd la crearea
unui nou model al auditului. Auditul clasic i va schimba abordarea i coninutul i se va baza pe
tehnologiile informaiei i comunicaiilor prin adoptarea unor concepte i metode avansate: audit online,
audit continuu, e-audit.
Noul model al auditului se va focaliza ctre soluii integrate ale diferitelor tipuri de audit: auditul financiar,
auditul performanei, auditul IT / IS1, auditul organizaional i auditul de conformitate, astfel de audituri
urmnd a se desfura n cadrul aceleiai misiuni, n diverse combinaii, n funcie de obiectivele i
complexitatea misiunii.
n ceea ce privete maniera i modalitile de lucru, auditorul va trebui s fie pregtit pentru lucrul n
colaborare, precum i pentru adoptarea unor noi stiluri de munc: auditare la distan, orientarea pe
auditarea documentelor electronice, utilizarea unui suport instrumental bazat pe sau asistat de calculator.
Factorii care influeneaz n mod deosebit noul model al auditului sunt o consecin a ansamblului de
schimbri radicale pe care trecerea la economia digital le va antrena, i chiar le antreneaz deja, n ceea
ce privete securitatea informaiei i a sistemelor, protecia datelor cu caracter personal, accesul la baze
de date cu coninut informaional sensibil, expuse atacurilor externe prin reeaua Internet. De asemenea,
cerinele privind asigurarea continuitii sistemelor, precum i a managementului schimbrii i al
dezvoltrii impun elaborarea unui cadru metodologic i procedural de auditare adecvat.
Manualul de fa ofer, ntr-o abordare nou, din perspectiva direciilor de dezvoltare incluse n Planul de
lucru pentru perioada 2011-2014 al Grupului de lucru EUROSAI ITWG2, un set de bune practici cu o
utilitate deosebit pentru auditorii publici externi din cadrul Curii de Conturi a Romniei (CCR) care
desfoar misiuni / aciuni de audit / control la instituii publice, avnd n vedere extinderea problematicii
acoperite de sistemele informatice financiar-contabile i de gestiune ale organizaiilor. Din aceast
perspectiv, prezentarea este orientat, pe de o parte, pe descrierea celor mai noi concepte, metode,
tehnici i proceduri aferente contextului general al auditului sistemelor informatice, precum i, pe de alt
parte, pe problematica auditului sistemelor informatice financiar-contabile.
1
2
Auditul IT / IS - auditul arhitecturilor i infrastructurilor IT / auditul sistemelor, aplicaiilor i serviciilor informatice

EUROSAI ITWG EUROSAI IT Working Group
Pag. 7 / 214
Obiectivul principal al manualului este de a furniza auditorilor publici externi informaii consistente despre
controalele aferente mediului informatizat i despre probleme specifice i cerine asociate, pentru a facilita
planificarea i efectuarea auditului, precum i integrarea procedurilor proprii ale auditului IT n contextul
misiunilor de audit n care auditorii publici externi sunt implicai.
Intruct manualul s-a concentrat preponderent pe aspectele strict necesare nelegerii conceptelor,
standardelor, metodologiilor i procedurilor asociate auditului IT fr de care un auditor nu poate aborda
corect acest domeniu i care au ocupat un spaiu relativ mare de expunere, implementarea practic a
metodologiei de audit n medii informatizate va fi detaliat ntr-un ghid asociat acestui manual i va
descrie concret, n succesiune logic, etapele, activitile, procesele, tehnicile i documentele specifice
acestui tip de audit, pentru ntreg fluxul aferent misiunii de audit, astfel nct cele dou documente s
constituie un suport util pentru auditorii publici externi implicai n misiuni de audit IT, inclusiv pentru
aciunile de control / audit financiar sau de audit al performanei.
Manualul prezint n detaliu controalele specifice mediului informatizat pe care auditorii trebuie s le ia n
considerare atunci cnd evalueaz integritatea, confidenialitatea i disponibilitatea informaiilor care
provin din sistemul informatic financiar-contabil i prezint cadrul metodologic i procedural specific
domeniului auditului IT / IS aplicabil inclusiv la nivelul CCR.
Manualul prezint tehnicile specifice de evaluare a controalelor IT i procedurile de audit asociate.
Procedurile de audit prezentate presupun pentru auditor un nivel de experien adecvat pentru a fi
aplicate la un grad ridicat de performan. Evaluarea trebuie s aib un caracter critic, s fie bazat pe
experiena profesional, iar activitile s se desfoare cu un anumit nivel de scepticism, gndire critic
i creativitate.
Prezentarea are n vedere armonizarea metodologiilor i procedurilor de audit proprii Curii de Conturi a
Romniei cu standardele de auditare i bunele practici n domeniu (INTOSAI3, ISA4, ISACA5, COBIT6,
ISO270007). De asemenea, i propune extinderea experienei i armonizarea rezultatelor cooperrii
internaionale cu specificul Curii de Conturi a Romniei, prin participarea la activitile desfurate n
cadrul grupurilor de cercetare care funcioneaz la nivel EUROSAI.
Manualul are la baz cerinele Regulamentului privind organizarea i desfurarea activitilor specifice
Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti. Abordarea problematicii
este n concordan cu direciile de dezvoltare incluse n Planul de lucru pentru perioada 2011-2014 al
Grupului de lucru EUROSAI IT-WG i n conformitate cu abordarea care caracterizeaz cadrul de auditare
INTOSAI. De asemenea, abordarea se aliniaz cu obiectivele strategice ale CCR.
n ceea ce privete tipul i coninutul aciunilor de verificare desfurate de CCR (aciuni de control,
misiuni de audit financiar i misiuni de audit al performanei), n condiiile extinderii accentuate a
informatizrii instituiilor publice, auditul IT / IS poate i trebuie s constituie o component a misiunilor de
audit ale CCR sau se poate desfura de sine stttor, de regul prin misiuni de audit al performanei
programelor, proiectelor sau aplicaiilor referitoare la sistemele informatice.
Avnd n vedere dinamica specific rapid a tehnologiilor informaiei i comunicaiilor (TIC), care
antreneaz evoluii semnificative n abordarea auditului extern, n realizarea manualului s-a pornit de la
evaluarea stadiului actual al cunoaterii n domeniu i valorificarea experienelor capitalizate la nivelul
instituiilor supreme de audit. Acest demers s-a concretizat n urmtoarele:
International Organization of Supreme Audit Institutions

International Standards for Audit
5 Information Systems Audit and Control Association
6 Control Objectives for Information and Related Technology
7 ISO/IEC 27000: familie de standarde de securitate a informaiei ISO
3
4
Pag. 8 / 214
1. Realizarea unei documentri exhaustive privind problematica specific a domeniului auditului IT / IS,
focalizate pe studii i analize comparative conforme cu metodologiile orientate pe ciclul de via al
sistemelor. Analiza tehnicilor i metodelor de auditare specifice sistemelor informatice, prin prisma
standardelor i bunelor practici existente pe plan internaional.
2. Includerea n cadrul documentrii a unor studii i analize privind cadrul conceptual, arhitecturile de
referin, metodele i tehnicile specifice, precum i a particularitilor care induc schimbri radicale n
desfurarea misiunilor de audit n condiiile unui mediu informatizat.
3. Includerea n manual a aspectelor i cerinelor principale care decurg din documentele celei de a 7-a
ntlniri a EUROSAI IT Working Group, care a avut loc la Istanbul, n perioada 2122 februarie 2011,
la care a participat i Curtea de Conturi a Romniei. Concluzia principal pus n eviden de lucrrile
ntlnirii se refer la noile abordri din domeniul auditului IT / IS privind revizuirea standardelor de
audit IT din perspectiva evoluiilor n domeniul standardelor i liniilor directoare de audit, confirmate
de abordrile i reglementrile instituiilor supreme de audit. In acest cadru, INTOSAI a ntreprins
aciuni orientate pe asigurarea convergenei standardelor de audit proprii cu standardele
internaionale de referin IFAC, IIA8, ISACA.
Cadrul de lucru COBIT a fost asimilat la nivel INTOSAI / EUROSAI drept cadru de referin pentru
auditurile desfurate de SAI-uri. Asociaia profesional The IIA i Comitetul de Standarde
Profesionale al INTOSAI au agreat, n luna decembrie 2010, un Memorandum de nelegere (MOU),
care documenteaz alinierea obiectivelor strategice ale organizaiei, recunoate standardele globale
ale fiecrei pri i definete un proces de colaborare i cooperare continu ntre pri. Un element de
importan major al MOU citat este acordul reciproc c standardele specifice fiecrei organizaii
(seturile de standarde ISSAI i, respectiv, IIA) sunt recunoscute la nivel global.
4. Examinarea impactului pe care generalizarea utilizrii serviciilor informatice l are n plan practic;
analiza rezultatelor i abordrilor raportate pe plan intern i internaional de ctre instituii supreme de
audit (ECA, GAO SUA, NAO UK, CNAO China9, The Office of Auditor General of Canada,
Accounts Chamber of the Russian Federation, The Nederlands Court of Audit Olanda, Tribunal de
Cuentas Spania, Bundesrechnungshof Germania), precum i de ctre instituiile supreme de audit
din Australia, Japonia, Brazilia, India, Norvegia, Suedia, Ungaria10, Polonia, Estonia sau de ctre
instituii cu tradiie n auditul extern (e.g., KPMG, Gartner Group).
5. Examinarea unor aspecte care comport riscuri majore pentru desfurarea i implementarea
auditului ntr-un mediu informatizat:
actualizarea cadrului legislativ,

extinderea lucrului cu documente electronice,
crearea cadrului de interoperabilitate a instituiilor administraiei publice din Romnia i
integrarea n sistemul administraiilor publice europene,
pregtirea auditorilor pentru acest demers,
reproiectarea managementului auditului,
asigurarea calitii auditului,
asigurarea suportului instrumental i metodologic pentru auditare.
IIA - The Institute of Internal Auditors

cadrul CNAO (Chinese National Audit Office) funcioneaz Academia de Audit din Nanjing, care a organizat n anul 2004
manifestarea tiinific internaional The II-nd International Seminar on IT Audit, la care a participat i CCR.
10 In cadrul Instituiei Supreme de Audit din Ungaria funcioneaz un institut de cercetare tiinific n domeniul auditului.
8
9In
Pag. 9 / 214
Au fost luate n considerare, de asemenea, elemente de interes primordial privind atribuiile CCR, ca
premise pentru orientarea studiului: n mod natural, obiectivele strategiilor, politicilor i programelor privind
Societatea Informaional se transpun n cerine i obiective de urmrit n cadrul auditrii sistemelor n
cauz: sisteme informatice sau servicii electronice publice, dezvoltate i implementate la nivel de
organizaie sau n cadrul sistemului e-guvernare.
Modelul de audit n medii informatizate trebuie s ia n considerare, de asemenea, urmtoarele aspecte:
- aplicarea metodelor, tehnicilor i instrumentelor de auditare bazate pe / asistate de calculator;
- managementul auditului pe durata ciclului de via al auditului;
- proiectarea fluxurilor i a procedurilor de auditare specifice pentru ntregul ciclu de via al
auditului;
- proiectarea i standardizarea documentelor de lucru: machete, chestionare, liste de verificare;
- elaborarea instruciunilor metodologice i a ghidurilor tematice de bun practic pentru misiunile
de audit IT.
Structura documentului
Documentul este structurat dup cum urmeaz: un capitol introductiv, cinci capitole de fond, un glosar de
termeni, o list de referine bibliografice semnificative (care au constituit sursa principal de documentare)
i anexe.
n Capitolul 1 este prezentat contextul actual de desfurare a auditului IT, pe plan intern i internaional,
cu referire la mediul socio-economic i la guvernarea IT. Pentru conturarea contextului internaional i
intern, se face o trecere n revist a strategiilor i programelor privind Societatea Informaional i este
prezentat o descriere de ansamblu, sintetic a problemelor specifice asociate.
Acest capitol conine, de asemenea, o evaluare a cadrului legislativ i de reglementare n domeniul
Tehnologiilor Informaiei i Comunicaiilor (TIC) pe plan intern i internaional, precum i o evaluare a
stadiului actual privind cadrul legislativ i de reglementare referitor la auditul sistemelor informatice pe
plan intern i internaional. Sunt prezentate, ca abordri de referin, cadrul de auditare INTOSAI i liniile
de aciune ale EUROSAI-ITWG.
n raport cu constatrile acestor evaluri, sunt prezentate abordarea auditului IT n cadrul CCR i cadrul
de implementare specific.
Capitolul 2 este dedicat standardelor de audit IT / IS. Sunt prezentate aspectele principale privind
standardele de audit IT, din perspectiva evoluiilor n domeniul standardelor i liniilor directoare de audit,
confirmate de abordrile i reglementrile instituiilor supreme de audit i puse n eviden de
lucrrile celei de a 7-a ntlniri a EUROSAI IT Working Group (ITWG), care a avut loc la Istanbul, n
perioada 2122 februarie 2011.
Tot n Capitolul 2, sunt prezentate cele mai relevante instituii, reglementri i standarde n domeniul
auditului IT, sunt prezentate standardele INTOSAI care fac referire expres la auditul n medii
informatizate: Standardul INTOSAI GOV 9100 - Guidelines for Internal Control Standards for the Public
Sector, ISSAI 3000 - Implementarea liniilor directoare pentru auditul performanei - Anexa 5 (Auditul
Performanei i Tehnologia Informaiei) i liniile directoare ISSAI 5310 - Metodologia de revizuire a
sistemului de securitate a Informaiilor. n acest context, se face i o trecere n revist a componentelor
cadrului de lucru COBIT 5, care integreaz cadrul de lucru COBIT, cadrul de lucru Val IT i cadrul de
lucru Risk IT, din perspectiva schimbrii de abordare recomandat la ntlnirea de la Istanbul a grupului
de lucru EUROSAI ITWG. Pentru completitudine, n ceea ce privete auditul securitii sistemelor
informatice n manual a fost inclus o prezentare a standardului internaional ISO/CEI 27001, care
constituie un referenial pentru evaluarea tehnicilor de securitate implementate n sistemele de
management al securitii informaiei i este, de asemenea, agreat de INTOSAI.
Pag. 10 / 214
n Capitolul 3 este prezentat problematica asociat riscurilor generate de implementarea i utilizarea

sistemelor informatice, precum i impactul semnificativ al acestor sisteme att asupra afacerii, ct i
asupra riscului de audit. Din aceast perspectiv sunt detaliate urmtoarele subiecte: modelul de
management al riscurilor, cadrul de lucru Risk IT, riscurile generate de existena mediului informatizat
(dependena de IT, de resurse i cunotine IT, ncrederea n IT, schimbri n domeniul sistemelor IT / IS,
externalizarea serviciilor IT, focalizarea pe afacere, securitatea informaiei, protecia fizic a sistemelor
IT, operarea sistemelor IT, dezvoltri efectuate de utilizatori finali), precum i riscurile asociate furnizrii
serviciilor IT.
Prezentarea procedurilor de audit IT este detaliat n Capitolul 4. Sunt abordate urmtoarele subiecte:
1) problematica general caracteristic a auditului IT (domeniul de aplicare, documente de referin
(reglementri) aplicabile n domeniul auditului IS / IT, obiective generale i obiective specifice ale
auditului IT / IS, criterii de evaluare generice, determinarea naturii i volumului procedurilor de
audit, revizuirea controalelor IT n cadrul misiunilor de audit financiar;
2) etapele auditului sistemelor informatice (planificarea auditului, efectuarea auditului, raportarea i
revizuirea), evaluarea sistemelor informatice financiar-contabile;
3) cadrul procedural pentru evaluarea sistemului informatic (obinerea informaiilor de fond privind
sistemele IT ale entitii auditate (Procedurile A1 A7), evaluarea controalelor generale IT
(Procedurile B1 B8), evaluarea controalelor de aplicaie (Procedurile CA1 CA13);
4) evaluarea riscurilor asociate implementrii i utilizrii sistemului informatic;
5) elaborarea raportului de audit i valorificarea constatrilor consemnate n raport.
n Capitolul 5 se face o prezentare general a documentelor de lucru specifice auditului IT / IS. Acestea
vor fi prezentate pe larg n ghidul asociat acestui manual.
Pag. 11 / 214
Capitolul 1. Contextul de desfurare a auditului IT

pe plan intern i internaional
n acest capitol este prezentat o scurt descriere a contextului de desfurare a auditului IT, ca urmare a
extinderii tehnologiei informaiei n toate domeniile. Prezentarea subiectului se face dintr-o dubl
perspectiv:
(a) Transformarea contextului socio-economic: procesele de trecere la economia i societatea
bazate pe cunoatere, precum i alte procese conexe i / sau convergente, cu impact asupra
domeniului auditrii;
(b) Evoluiile raportate n contextul tehnic i tehnologic: guvernarea IT i asigurarea IT, cu
impact direct i decisiv asupra metodelor i tehnicilor specifice de audit intern i extern.
1.1
Contextul socio-economic. Strategii i politici pentru

societatea informaional
Tehnologiile informaiei i comunicaiilor (ICT11) constituie i vor continua s reprezinte un factor motor
major al modernizrii n economie i n societate. Conform unui raport al Uniunii Europene 12, la nivelul
anului 2010, sectorul afacerilor din cadrul UE aloca mai mult de 20% din volumul investiiilor pentru
domeniul ICT, un volum de 60% din serviciile publice de baz sunt actualmente disponibile n manier
complet online, iar mai mult de jumtate dintre cetenii UE folosesc Internetul n mod constant.
Cadrul strategic european, respectiv Iniiativa i201013, a avut un numr de trei obiective majore:
(1) stabilirea unui spaiu al informaiei european, respectiv a unei piee unice reale pentru
economia digital, care s permit exploatarea deplin a potenialului economiilor anterioare
diverse i distincte, cu factori de scal neuniformi caracteristice pieei de consum europene de
cca 500 milioane de consumatori;
(2) intensificarea inovrii i investiiilor n cercetarea din domeniul ICT, impus de faptul c ICT
constituie motorul principal al economiei, i
(3) promovarea incluziunii sociale, a serviciilor publice i a calitii vieii, respectiv extinderea
valorilor europene de incluziune social i calitate a vieii ctre societatea informaional.
Potrivit evalurilor din raportul citat, Europa se situeaz printre lideri n ceea ce privete dezvoltarea
economiei digitale. Piaa (segmentul tehnologic) de band larg european, dispunnd de 90 milioane de
linii, are mai muli abonai dect oricare alt regiune economic, iar jumtate dintre cetenii europeni
utilizeaz Internetul n mod regulat. Cu toate acestea, trebuie avut n vedere c, pe de o parte, diferenele
dintre statele membre sunt semnificative, iar, pe de alt parte, instituiile europene au nivele de investiii
sub cele ale altor regiuni industrializate, fiind confruntate i cu o competiie accentuat din partea Chinei i
Indiei. Din aceste motive, cadrul de politici furnizat de programul i2010 a fost necesar i i-a dovedit
utilitatea mai mult dect oricnd, n aceast perioad.
Dezvoltarea accentuat a ICT i exploatarea coninutului digital n domeniile de interes public cum ar fi
sntatea, incluziunea, motenirea cultural, sectorul de informaii publice, nvmntul, administraia
public sau eficiena energetic presupun i reclam politici mult mai proactive. Obstacolele majore
Acronimul folosit n lucrare este cel uzual din literatura de specialitate internaional (ICT - Information and Communication
Technologies)
12 The Information and Communications Technologies (ICT) Policy Support Programme (ICT PSP), http://ec.europa.eu/ict-psp
13 Vezi http://ec.europa.eu/information_society/eeurope/i2010
11
Pag. 12 / 214
pentru o utilizare mai bun i pe o scar mai larg a ICT n astfel de domenii includ, ntre altele, lipsa
(indisponibilitatea) serviciilor bazate pe ICT, lipsa de interoperabilitate a soluiilor pe ansamblul statelor
membre, precum i fragmentarea de pia a spaiului de informaie i a soluiilor bazate pe ICT.
Din acest motiv, pe lng strategia general, UE a pus n oper i o serie de programe dedicate (cum ar fi
programul ICT PSP) care susin depirea obstacolelor menionate i concur la realizarea unei societi
informaionale pentru toi, i, implicit, la realizarea obiectivelor strategiei i2010. O direcie de aciune
important n acest sens o reprezint dezvoltarea de piee pentru soluii inovative bazate pe ICT i pentru
coninut digital, n principal n domenii de interes public.
Contextul european nou creat, bazat pe ICT, trebuie s constituie un mediu sigur de lucru pentru
administraia public european i din statele membre, precum i pentru informarea cetenilor i a
mediului de afaceri. Din acest motiv, o cerin de o importan vital pentru Romnia este aceea de a
asigura auditarea sistemelor informatice ale tuturor instituiilor publice, care vor furniza informaii
pentru platforma european e-guvernare n concordan cu obiectivele, standardele de jure sau de facto
i cu bunele practici ale instituiilor supreme de audit i ale instituiilor profesionale recunoscute14, pentru a
asigura punerea la dispoziie a unor informaii de ncredere, n timp real, conforme cu criteriile impuse
informaiei.
1.1.1 Situaia n cadrul Uniunii Europene

Pentru a crea premisele favorabile trecerii la Societatea Informaional, Uniunea European a elaborat
nc din anul 1993 o serie de decizii strategice i programe specifice. Cel mai reprezentativ document
strategic este eEurope O Societate Informaional pentru toi, adoptat n anul 1999, prin care se
propune accelerarea implementrii tehnologiilor digitale n Europa i asigurarea competenelor necesare
pentru utilizarea acestora pe scar larg. Aceast iniiativ, continuat cu programul eEurope+, are un rol
central n agenda rennoirii economico-sociale pe care i-o propune Uniunea European, constituind un
element cheie pentru procesul de tranziie la noua economie bazat pe cunoatere, precum i la o
economie bazat pe servicii publice electronice integrate ntr-un mediu implementat pe o infrastructur
informaional sigur, avnd ca perspectiv anul 2010.
Politica Uniunii Europene n domeniul societii informaionale are urmtoarele componente principale:
politica n domeniul telecomunicaiilor,
sprijinul pentru dezvoltarea tehnologiilor informaiei i comunicaiilor,
contribuia la crearea condiiilor necesare asigurrii competitivitii industriei comunitare,
dezvoltarea reelelor transeuropene (TEN) n sectoarele: transport, energie i telecomunicaii.

De interes pentru obiectivele manualului de fa sunt i alte documente i aciuni care au marcat evoluiile
n domeniu, inclusiv n ceea ce privete situaia din Romnia.
1. Romnia s-a aliniat la programul comunitar Interchange of Data between Administrations (IDA), ale
crui linii de aciune pun accentul pe:
- Implementarea sistemelor de tip e-guvernare;
- Definirea de politici europene cu privire la informaia digital;
- Realizarea unui portal european pentru informaii i servicii;
- Trasarea liniilor directoare de organizare i cutare a informaiilor publice din UE, referitoare la
cadrul legislativ i de reglementare;
- Realizarea de cercetri de pia pentru servicii electronice destinate IMM-urilor;
- Promovarea schimbului de experien cu privire la cele mai bune practici de servicii electronice
pe plan internaional.
14
ISACA, COBIT, ITWGI etc.

Pag. 13 / 214
2. Dezvoltat n paralel cu programul IDA, programul eTEN, finalizat la sfritul anului 2006, a avut ca
obiectiv principal dezvoltarea de servicii electronice la dimensiune trans-European: eGovernment,
eHealth, eInclusion, eLearning, servicii pentru ntreprinderi mici i mijlocii, servicii pentru asigurarea
securitii i ncrederii n reelele i sistemele informatice.
3. Programul IDABC (Interoperable Delivery of European eGovernment Services to public Administration,
Business and Citizens), stabilit prin Decizia nr. 2004/387/CE a Parlamentului European i a Consiliului din
21 aprilie 2004, a fost iniiat pentru a exploata avantajele oferite de ITC n ceea ce privete livrarea
serviciilor publice transfrontaliere pentru ceteni i mediul de afaceri pe teritoriul Europei, pentru a crete
eficiena i colaborarea ntre administraiile publice europene. Pe baza celor mai avansate tehnologii ale
informaiei i comunicaiilor, au fost dezvoltate soluii i servicii comune i a fost creat o platform pentru
schimbul de bune practici ntre administraiile europene n scopul modernizrii sectorului public european.
Interoperabilitatea n cadrul platformei pan-europene eGovernment este conceput pe baza colaborrii
administraiilor publice din cele 27 de state membre i instituiile UE, ceea ce implic existena unui cadru
de lucru bazat pe principii i reguli comune, precum i agrearea unor interfee i standarde deschise
pentru interoperabilitate ntre sisteme, aplicaii, procese de afaceri i actorii care produc sau utilizeaz
servicii eGovernment. Aceast abordare, orientat pe reea, implic un efort mare pentru definirea
regulilor colaborrii, coordonrii proceselor, formatelor i specificaiilor, precum i a instanelor care
acioneaz ca intermediari ntre sisteme. Activitile din cadrul programului IDABC nu se limiteaz numai
la a produce linii directoare, ele acioneaz n sensul planificrii i implementrii infrastructurilor care
susin interoperabilitatea, n condiiile n care administraiile europene funcioneaz n mod diferit, iar
existena unor proceduri administrative diferite genereaz obstacole reale. Soluia degajat, respectiv
crearea unui portal european contribuie la nlturarea barierelor prin utilizarea unui singur punct de intrare
a informaiilor i prin utilizarea serviciilor online indiferent de loc sau or.
4. Cadrul politic strategic al Comisiei Europene pentru Societatea Informaional pn n anul 2010 a fost
trasat prin programul i2010. n cadrul Conferinei eGovernment "Transforming Public Services", care a
avut loc la Manchester n luna noiembrie 2005, a fost aprobat o declaraie care fixeaz repere i
obiective pentru serviciile publice electronice.
Astfel, n perioada 2006-2010 statele membre i-au concentrat eforturile pe crearea condiiilor optime
privind livrarea serviciilor electronice cu un impact mare asupra utilizatorilor, una dintre inte constituind-o
serviciile de achiziii publice.
5. Comisia European a lansat, n luna martie 2010, Strategia European pn n anul 2020 pentru
ieirea din criz i pregtirea economiei UE pentru provocrile noii decade. Una dintre cele apte iniiative
incluse n aceast strategie, The Digital Agenda for Europe, stabilete rolul cheie pe care l va juca ICT n
Europa pentru atingerea obiectivelor generale propuse pentru anul 2020. Sectorul ICT este direct
responsabil pentru asigurarea a 5% din produsul brut european, cu o pia de 660 miliarde EURO anual,
dar contribuia sa la creterea productivitii (20% direct din sectorul ICT i 30% din investiiile ICT), prin
marele su potenial, este major.
Ca stat membru, Romnia trebuie s devin un participant activ la aciunile i programele europene. n
aceste condiii, Curtea de Conturi a Romniei trebuie s devin un factor de impulsionare prin auditurile
desfurate n domeniul IT pentru administraia public, att prin recomandrile formulate ct i prin
ndeplinirea rolului metodologic al auditului.
Pag. 14 / 214
1.1.2 Stadiul Societii Informaionale n Romnia

Integrarea planurilor i programelor asociate ITC din Romnia cu planurile de aciuni pentru Societatea
Informaional adoptate la nivel european (i2010, eTen, IDA), precum i cu programele desfurate n
continuarea acestora, a constituit un pas important pentru accelerarea implementrii structurilor de baz
ale societii informaionale n Romnia.
Principalele obiective care decurg din planurile de aciuni ale UE, n scopul asigurrii interconectrii cu
administraiile europene, sunt:
a) Accelerarea implementrii structurilor de baz ale Societii Informaionale;
b) Informatizarea administraiilor publice i interconectarea cu administraiile publice din statele
membre ale Uniunii Europene, pe o infrastructur comun;
c) Servicii pentru clieni i oportuniti pentru perfecionarea administraiei;
d) Asigurarea securitii reelelor informaionale i a aplicaiilor software.
n acest context, prin Legea nr. 436 / 2006 a fost ratificat Memorandumul de nelegere ntre Romnia i
Comisia European privind participarea Romniei la programul comunitar pentru asigurarea

interoperabilitii serviciilor pan-europene de e-guvernare pentru administraiile publice, mediul de afaceri
i ceteni (IDABC), semnat la Bucureti la 20 martie 2006, i s-a trecut la operarea, prin intermediul
Ministerului Comunicaiilor i Societii Informaionale, a unei puni (gateway) naionale care permite
instituiilor din Romnia accesul la sistemele europene conectate n reea.
In Romnia, premisele de extindere a contextului digital au fost create prin nfiinarea Sistemului
Electronic Naional (SEN), ca sistem informatic de utilitate public, n scopul asigurrii accesului la
informaii publice i furnizrii de servicii publice ctre persoane fizice i juridice15.
Ministerul Comunicaiilor i Societii Informaionale, ca autoritate de specialitate a administraiei publice
centrale n domeniul comunicaiilor i tehnologiei informaiei a elaborat o serie de documente cu caracter
strategic precum:
Strategia Guvernului Romniei de stimulare i susinere a dezvoltrii sectorului de comunicaii n
perioada 2002-2012;
Economia bazat pe cunoatere;
Strategia Guvernului Romniei pentru dezvoltarea sectorului tehnologiei informaiei;
Strategia de Dezvoltare Durabil a Romniei ORIZONT 2025;
Strategia Naional de Export.
Promovarea i aplicarea Strategiei de Dezvoltare Durabil a Romniei ORIZONT - 2025 va avea ca
rezultat asigurarea accesului rapid i ieftin la Internet, dezvoltarea unor sisteme inteligente de transport,
continuarea procesului de securizare a reelelor, combaterea fraudelor n domeniul tehnologiei informaiei
i comunicaiilor, precum i promovarea cardurilor inteligente. Se urmrete ca pn n anul 2025 fiecare
cetean s aib acces la serviciile de comunicaii.
Documentele strategice la nivel naional urmresc consolidarea i aplicarea n Romnia a politicilor de
coeziune social i economic i a celor de dezvoltare regional, cu adaptarea corespunztoare a
acestora la politicile europene i la strategia adoptat la Lisabona16.
n acest cadru, Programul Operaional Sectorial Creterea competitivitii economice (POS CCE) lansat n
anul 200617, rspunde, pe de o parte, primei prioriti a Planului Naional de Dezvoltare 2007 - 2013:
Titlul II din Legea nr. 161 din 19 aprilie 2003 privind transparena n administrarea informaiilor i serviciilor publice prin
mijloace electronice
16 The fourth European Ministerial e-Government Conference in Lisbon, 20 September 2007
15
Pag. 15 / 214
Creterea competitivitii economice i dezvoltarea economiei bazate pe cunoatere i, pe de alt parte,

celei de-a doua prioriti a Cadrului Strategic Naional de Referin, respectiv Creterea competitivitii
economice pe termen lung, contribuind n acelai timp i la implementarea tuturor celorlalte prioriti ale
Cadrului Strategic Naional de Referin.
Domeniile majore de intervenie care fac obiectul programului POS CCE sunt:
Susinerea utilizrii tehnologiei informaiei

Dezvoltarea i creterea eficienei serviciilor publice electronice
Dezvoltarea e-economiei
Corelnd domeniile Societii Informaionale din Uniunea European cu cele existente n Romnia, au
fost identificate urmtoarele arii de interes: eGovernment (e-guvernare); Internet&Broadband (Internet i
Band larg); Telecommunications&IT Security (Telecomunicaii i Securitate IT); eEducation
(e-educaie); eInclusion (e-incluziune social); eCommerce (Comer electronic); eHealth (e-sntate);
e-Business (servicii electronice pentru afaceri); Work, Employment&Skills (Fora de munc).
Ca membru al UE, dezvoltarea Romniei urmrete convergena cu politicile comunitare, att n termeni
reali ct i ca valori absolute.
1.2
Guvernarea IT
Liniile definitorii ale celei de-a doua perspective de analiz, anume elementele de natur tehnic i
practic de importan esenial, pornesc de la premisa c investiiile n domeniul IT, n medii aflate ntr-o
schimbare extrem de rapid, nu se mai rezum exclusiv la implementarea tehnologiei ca atare, obiectivul
unor astfel de investiii fiind acela de a asigura obinerea de valoare din schimbrile induse n activitatea
propriu-zis (afacerea) i din schimbrile de natur organizaional facilitate de IT. n acest sens, se
constat c exist o nelegere din ce n ce mai larg acceptat a faptului c informaia constituie un bun
strategic al afacerii iar IT a devenit un factor cu o contribuie important la succesul acesteia.
O definiie bazat pe bune practici a guvernrii IT, ca parte a guvernrii corporaiei (ntreprinderii) se
poate formula astfel: guvernarea IT este responsabilitatea managementului executiv i a comitetelor de
direcie i const n actul de asumare a conducerii, precum i n procese i structuri organizaionale care
asigur c funcia IT a entitii susine i extinde strategiile i obiectivele acesteia18.
n mod concret, definiia prezentat situeaz guvernarea IT ca o component integral a guvernrii
ntreprinderii (afacerii) i nu ca pe o disciplin izolat.
n ceea ce privete livrabilele n plan practic, guvernarea IT urmrete dou categorii de rezultate:
livrarea de valoare pentru afacere i atenuarea (anihilarea) riscurilor IT. n acest sens, guvernarea IT se
focalizeaz pe cinci zone principale: alinierea strategic, livrarea de valoare, managementul riscurilor,
managementul resurselor, msurarea performanei.
Guvernarea IT funcioneaz ca un proces continuu, ca o parte integrant a guvernrii ntreprinderii i se
focalizeaz pe obiectivele strategice.
Cadrul de lucru COBIT19, pentru guvernare IT, constituie un cadru de lucru cu potenial ridicat de auditare
intern i extern, larg acceptat pe plan internaional, inclusiv de INTOSAI i de organismele UE i are
deopotriv valene de suport pentru managementul entitii i de cadru de auditare a guvernrii IT.
POS CCE - unul dintre cele apte programe operaionale sectoriale care constituie instrumente pentru realizarea prioritilor
trasate prin Cadrul Strategic Naional de Referin (CSNR) i prin Planul Naional de Dezvoltare (PND) pentru perioada 2007
2013
18 Unlocking Value. An executive Primer on the Critical Role of IT Governance, 2008, www.itgi.org
19 Vezi www.itgi.org
17
Pag. 16 / 214
1.3
Cadrul legislativ i de reglementare n domeniul IT
Cadrul legislativ i de reglementare n domeniul IT la nivel internaional prescrie msuri care nu sunt
ntotdeauna similare i difer n funcie de regiunea socio-cultural, sociologic, precum i de factorii
tehnici i tehnologici care stau la baza problemelor pe care le trateaz. Dei aceste reglementri joac un
rol important n modernizarea sistemului de conformitate IT / IS20, ele devin dificil de generalizat n
contextul globalizrii. Globalizarea aduce noi provocri pentru informaie, care este expus unor cerine
multiple de reglementare generate de diversitatea situaiilor i a surselor din care provine aceast
informaie. Unele dintre ele decurg din contextul istoric, altele din dinamica schimbrii pieei, tehnologiei
sau legislaiei, iar magnitudinea riscurilor nu poate fi anticipat pentru fiecare caz n parte.
Legislaia care reglementeaz domeniul ICT pe plan internaional, prezint o serie de trsturi comune,
referitoare la problematica general, cadrul legislativ incluznd o serie de acte normative privind:
securitatea reelelor, semntura electronic, comerul electronic, achiziiile publice prin licitaii electronice,
ncasarea prin mijloace electronice a impozitelor i taxelor locale, avizarea instrumentelor de plat cu
acces la distan (de tipul aplicaiilor Internet-banking, home-banking sau mobile-banking), protecia
persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date.
Aceste acte normative sau reglementri, dup caz, constituie refereniale n auditul IT, n ceea ce privete
conformitatea cu legislaia, avnd n vedere c domeniul auditului este, n acest caz, domeniul IT.
In ceea ce privete legislaia din Romnia, aceasta este armonizat cu legislaia european, ca efect al
calitii de stat membru, desfurnd aciuni de anvergur impuse prin, i convergente cu directivele
Parlamentului European21 referitoare la stabilirea unui cadru comunitar privind aspectele eseniale ale
serviciilor societii informaionale.
Dezvoltarea portalului e-guvernare n cadrul Sistemului Electronic National (SEN), conceput ca punct de
acces unic la serviciile i informaiile instituiilor administraiei centrale i locale, a oferit suportul pentru
lansarea i extinderea livrrii de servicii electronice ctre administraie, mediul de afaceri i ceteni i
asigur c toate procedurile i formalitile cu privire la accesul la o activitate de servicii vor putea fi
ndeplinite cu uurin, de la distan, i prin mijloace electronice, indiferent de statul membru de origine al
furnizorului de servicii.
Operaionalizarea punctului de contact unic (PCU) electronic n cadrul portalului e-guvernare impune
obligativitatea auditrii tuturor serviciilor electronice care vor fi furnizate prin intermediul procedurilor
electronice, pentru a oferi asigurarea cu privire la performana acestor servicii n contextul operrii pe
platforma pan-european.
Realizarea unui cadru de lucru pentru interoperabilitatea administraiilor din statele membre reprezint un
demers dificil, condiionat i generat de diversitatea tipurilor de organizare a administraiilor publice, de
numrul mare al prilor implicate, de varietatea cadrului legislativ, de condiiile economice diferite, de
nivelul tehnologic diferit.
Romnia s-a aliniat n anul 1995 la primul program comunitar, IDA (Interchange of Data between
Administrations) prin care s-au creat premisele dezvoltrii unei infrastructuri comune care s constituie
suportul pentru un cadru de interoperabilitate european.
Programul comunitar eTEN, la care Romnia de asemenea a participat, a fost lansat n scopul extinderii
serviciilor electronice (e-services) la dimensiune trans-european i a avut ca obiectiv prioritar
promovarea serviciilor de interes public pe o platform comun care s creeze oricrui cetean, agent
20
21
IS Information Systems
Anexa 1
Pag. 17 / 214
economic sau administraie, oportunitatea de a profita de beneficiile societii informaionale la nivel

european.
Programul IDABC (Interoperable Delivery of pan-European eGovernment services to public Administrations, Businesses and Citizens)22 reunete eforturile administraiilor publice din cele 27 state membre
pentru a susine dezvoltarea unor noi servicii electronice (emergente) care s susin implementarea
eficient a politicilor UE i dezvoltarea pieei interne.
Aprobarea Strategiei naionale "e-Romnia" (HG nr. 195/2010) a creat premisele constituirii sistemului
informaional global al Romniei, prin interconectarea instituiilor statului printr-o reea de fibr optic de
mare vitez, preconizndu-se ca ntr-un interval de doi ani s fie incluse n aceast platform toate
instituiile statului.
e-Romnia constituie o o strategie asumat de Guvernul Romniei, care i-a propus realizarea a 300 de
servicii electronice operaionale pn la sfritul anului 2011, precum i interconectarea i informatizarea
complet a tuturor instituiilor publice, astfel nct accesul la serviciile publice s fie direct i nelimitat.
Dintre cele mai semnificative componente prevzute n hotrrea de guvern, menionm: e-Cetean,
e-Sntate, e-Educaie, e-Justiie, e-IMM, e-Asociere, e-Turism, e-Funcionari publici, e-Mediu, e-Cultur,
e-Transport, e-Statistic.
Semnalm, ca fiind de interes major pentru CCR, c n lipsa unui cadru standard de interoperabilitate i a
unei arhitecturi coerente, formulate ntr-o viziune sistemic, strategia eRomnia este supus unui risc
major de eec. Misiunile de audit subsecvente ale CCR trebuie s aib n vedere factorii de risc care
decurg din: finanrile substaniale, probabilitatea mare de duplicare a aplicaiilor i sistemelor, timpul de
implementare a proiectelor, maniera de administrare a proiectelor i de implementare a soluiilor,
stabilirea politicilor de migrare pentru proiectele eterogene existente.
1.4
Stadiul actual privind cadrul de auditare a sistemelor

informatice pe plan internaional i intern
Abordarea auditului sistemelor informatice este analizat din trei perspective:

a) prin prisma contextului de ar: manualul include o analiz critic a abordrii de tip "context
de ar", cu detalieri pe coordonatele naturale ale specificului naional, respectiv mediul (fizic,
social, economic) i infrastructurile (de pia, politice, legislative etc.);
b) prin prisma abordrii bazate pe serviciile publice, cu detalierea unor servicii importante pentru
economie i societate i care prezint elemente certe de progres n materie de e-guvernare
(educaie, sntate, taxe i impozite etc.), detalierea incluznd att aspectele tehnologice, ct i
beneficiile nregistrate de serviciile respective;
c) abordarea bazat pe cadre comune (cum ar fi, de exemplu, un cadru comun de
interoperabilitate; similar se pot avea n vedere i cadre comune pentru procese i capabiliti
funcionale).
Principala constatare este prezena unei serii de procese emergente de schimbare a modelului
auditului extern generat de extinderea semnificativ a tehnologiei i comunicrii informaiei (TCI)
care, pe de o parte devine obiect al auditului, iar pe de alt parte devine instrument obligatoriu pentru
auditori. O a doua constatare este aceea c evoluia pus n eviden n prezentul manual reflect
22
http://europa.eu.int/idabc
Pag. 18 / 214
necesitatea unui salt natural, calitativ superior ctre abordrile dirijate de infrastructurile specifice
tehnologiilor informaiei i comunicaiilor (ITC) i de aplicaiile i sistemele aferente.
De un real interes sunt i notele caracteristice ale acestei evoluii:
- focalizarea pe impactul de transformare pe care ICT l are asupra auditului extern;
- extinderea conceptului de audit al guvernrii tehnologiei informaiei ctre conceptul de audit al
sistemelor de tip e-guvernare, dictat de generalizarea guvernrii electronice.
Eforturile de armonizare n cadrul evoluiilor actuale se concentreaz cu precdere la nivelul unor
organizaii internaionale care au un rol deosebit de important n unificarea abordrilor, prin
standardizarea soluiilor, promovarea celor mai bune practici, politici, coduri de conduit i norme.
Cele mai importante instituii internaionale, care au rol determinant n reglementarea domeniului auditului
n general i al auditului IT n particular, sunt: INTOSAI (International Organization of Supreme Audit
Institutions), Consiliul pentru Standarde Internaionale de Audit i Asigurare IAASB (International Audit
and Assurance Standard Board)23 din cadrul Federaiei Internaionale a Contabililor IFAC (International
Federation of Accountants)24, Institutul Auditorilor Interni (The Institute of Internal Auditors - IIA), COSO
(Committee of Sponsoring Organizations of the Treadway Commission), ISACA (Information Systems
Audit and Control Association).
Instituiile supreme de audit (SAI) sunt afiliate la organizaia profesional INTOSAI i, implicit, la grupurile
regionale ale acesteia. Cadrul de reglementare al SAI se armonizeaz cu prevederile cadrului INTOSAI
dar conine i prevederi specifice, potrivit principiului independenei promovat de INTOSAI.
O constatare important n ceea ce privete legislaia care reglementeaz activitatea instituiilor supreme
de audit, rezultat n urma investigrii site-urilor web publicate de aceste instituii pe Internet, este faptul
c aceasta nu conine prevederi explicite privind auditul IT.
Cu toate acestea, majoritatea SAI (cu excepia celor din ri mai puin avansate n domeniu), desfoar
misiuni de audit IT n cadrul unor structuri specializate. Aceast constatare a rezultat dintr-o analiz
statistic asupra informaiilor furnizate de 45 de SAI selectate pe baza criteriului grad de maturitate a
auditului IT reflectat n prezentarea domeniului auditului IT. Cadrul de reglementare este armonizat cu
cadrul INTOSAI.
1.4.1 Cadrul de auditare INTOSAI

Cea mai important constatare care se degaj din investigarea documentelor de referin n domeniul
auditului IT (publicate de INTOSAI, EUROSAI sau pe site-urile web ale SAI-urilor) este aceea c, n
prezent, la nivel internaional exist o preocupare continu pentru dezvoltarea unui cadru metodologic i
procedural coerent care s se impun ca standard de auditare a sistemelor informatice, ncepnd cu
aplicaiile individualizate i ajungnd la sisteme pe scar larg, de tip e-guvernare i servicii electronice.
Experienele actuale se bazeaz, n general, pe standarde i linii directoare i, n cazul unor SAI-uri cu un
nivel mai sczut de dezvoltare, pe utilizri ad-hoc ale unor tehnologii tradiionale care rspund ns numai
parial problemelor ridicate de desfurarea unui audit IT.
Cu toate c la nivelul SAI-urilor auditul sistemelor informatice se face, n general, ntr-o manier
unidimensional, fiind focalizat numai pe faete particulare ale sistemelor respective, la nivelul INTOSAI
se promoveaz n prezent abordarea auditului IT / IS ca proces integrat, particularitile domeniului
IAASB a fost nfiinat pentru a dezvolta i emite standarde i declaraii privind auditul, asigurarea i serviciile conexe n
numele Consiliului IFAC
24 IFAC a fost nfiinat ca urmare a iniiativelor formulate n 1973 i aprobate n mod formal n cadrul Congresului internaional
al contabililor, de la Munchen din 1977.
23
Pag. 19 / 214
antrennd deopotriv elemente specifice auditului financiar, auditului organizaional, auditului tehnologiei
informaiei i comunicaiilor, auditului performanei i auditului conformitii.
Aceste faete ale procesului trebuie s coexiste ntr-o arhitectur coerent, bazat pe sinergie, modelul de
auditare fiind diferit de cel clasic, ntruct fiecare tip de audit nu se desfoar independent, ci se reflect
sub forma unor secvene de proceduri, combinate n cadrul unor fluxuri eterogene, orientate ctre
obiectivul general al auditului i nu ctre obiectivul individual al fiecrui tip de audit. Cu att mai mult,
modelul devine mai complicat n condiiile unor sisteme interoperabile.
n plan practic, aceast abordarea constituie o abordare sistemic integrat i propune un model nou de
auditare bazat pe evaluarea riscurilor i un cadru metodologic i procedural asociat pentru audit extern.
Subliniem c, pe plan internaional exist un interes crescut pentru inventarierea bunelor practici n
domeniu i asigurarea convergenei acestora nr-o manier standardizat.
n acest sens, la nivelul INTOSAI este adoptat ca reprezentativ arhitectura de auditare ISACA25 i
recomandat n consecin. Aceasta se constituie ca un ansamblu ierarhizat de elemente de ghidare care
include urmtoarele niveluri i componente: standarde, ghiduri de aplicare, proceduri i resursele COBIT,
care sunt considerate ca fiind "cele mai bune practici" n materie. Ansamblul acestor componente este
bazat pe un model general de controale i tehnici de control destinat unui mediu informatizat.
Standardul INTOSAI GOV 9100 - Guidelines for Internal Control Standards for the Public Sector (pag 35)
face trimitere expres la cadrul de lucru i la documentaiile pentru audit IT / IS furnizate de ISACA, ITGI
(COBIT) i INTOSAI IT Audit Committee.
Pe ansamblu, se poate aprecia c se nregistreaz schimbri semnificative n coninutul i stilul activitii
de auditare a instituiilor publice, ca rezultat al impactului i efectelor pe care tehnologia informaiei le
genereaz att n ceea ce privete restructurarea domeniului auditat (reingineria sistemelor informaionale
i/sau a sistemelor informatice), ct i n ceea ce privete abordarea propriu-zis a auditului (reingineria
arhitecturilor de auditare, a cadrului metodologic i procedural, schimbarea stilului de auditare).
n contextul actual, implementarea arhitecturilor de auditare bazate pe IT / IS reprezint un proiect
complex, care genereaz i o serie de efecte secundare favorabile, importante chiar, n contextul
extinderii utilizrii IT n domeniul administraiei publice. Evoluia ctre e-guvernare va crea premisele
evoluiei ctre implementarea arhitecturilor de audit online, obiectiv important n abordarea sistemic a
domeniului auditului.
Implementarea arhitecturilor de auditare bazate pe IT are un impact deosebit att asupra organizrii i
monitorizrii activitii de audit, ct i asupra entitilor auditate, cele mai semnificative efecte fiind: (a)
furnizarea informaiei n timp real; (b) depistarea la timp a erorilor prin posibilitatea corelrii rapide a
informaiilor; (c) obinerea unor informaii mai bogate i mai relevante, prin investigaii automatizate,
precum i (d) optimizarea procedurilor de audit.
n vederea creterii capacitii instituionale, un accent deosebit se pune pe evaluarea permanent a activitilor specifice din cadrul SAI-urilor pe baza unei metodologii unitare. n acest sens, au fost dezvoltate
dou proiecte foarte utile: ITSA (IT SelfAssessment) i ITASA (IT Audit SelfAssessment)26.
Se remarc n mod deosebit preocuparea pentru instruirea continu a auditorilor n contextul noilor
evoluii, n cadrul unor programe internaionale iniiate i coordonate de INTOSAI (INTOSAI Development
Initiative - IDI)) i puse n aplicare la nivelul grupurilor regionale.
Prin perfecionarea metodelor de comunicare cu instituiile i autoritile publice, precum i prin asigurarea
flexibilitii accesului la informaii i servicii electronice, devin oportune proiectarea i implementarea unei
arhitecturi de audit concepute n perspectiva integrrii n sisteme e-guvernare. n acest context, la nivelul
25
26
ISACA Information Systems Audit and Control Association

Vezi Planurile de lucru EUROSAI-ITWG 2008-2011 i 2011 - 2014
Pag. 20 / 214
grupului regional EUROSAI-ITWG este n curs de consolidare un cadru de auditare pentru sisteme
e-guvernare elaborat prin proiectul Auditing e-Government27, iniiat de INTOSAI -WGITA28, proiect
coordonat de ctre Office of the Auditor General din Norvegia i avnd ca membri instituii supreme de
audit din Anglia, SUA, Canada, India i Suedia. La acest proiect au fost luate n considerare experienele
tuturor instituiilor supreme de audit care au desfurat audituri n domeniul e-guvernare. Constatrile
respective au fost colectate ntr-o baz de date pe website-ul INTOSAI i au constituit sugestii pentru
realizarea proiectului. CCR a participat la colectarea i capitalizarea experienelor valoroase obinute la
nivelul instituiilor supreme de audit, pe site-ul web www.intosaiit.org fiind incluse rezultatele unor misiuni
de audit IT desfurate de Serviciul auditul sistemelor informatice din cadrul Curii de Conturi a Romniei:
1) Performance audit of the services of accessing and processing the online administrative forms,
available in the National Electronic System of Romania. Infrastructures and IT Services, (2006),
www.intosaiit.org
2) The information system of Ministry of Public Finances for economic agents reports regarding
their budgetary obligations, management of reimbursements and payment facilities grants.
(2006), www.intosaiit.org
3) The performance audit of the implementation and usage of the Computer Assisted Education
System (CAES, 2004), www.intosaiit.org
In viziunea INTOSAI29, cadrul conceptual de auditare are trei dimensiuni: obiectul auditului, tipurile
generale de audit i perspectiva temporal.
1. Obiectul auditului. Auditarea se poate focaliza pe unul sau pe mai multe dintre cele patru tipuri de
obiecte generice: program (colecie de proiecte), proiect, sistem informatic sau resurse informatice. Cele
trei nivele de controale asociate obiectelor generice sunt:
nivelul strategic: eficiena cu care este organizat, planificat, condus i controlat desfurarea
programelor;
nivelul operaional: derularea proiectelor
nivelul aplicaiilor: utilizarea unor sisteme informatice sau a unor resurse informatice existente sau
nou create.
2. Tipuri de audit. Clasificrile standard recunosc urmtoarele tipuri generale de audit:
audit financiar
o auditarea investiiilor i a cheltuielilor, a contabilitii fondurilor, a organizrii controlului
intern i a raportrii eficienei cheltuielilor;
audit IT
o auditarea guvernrii IT
auditul performanei
o evaluarea sistemelor de control al calitii, evaluarea eficienei i eficacitii, a eficienei
procesului decizional, a calitii serviciilor, a politicilor de personal, a aptitudinilor i
cunotinelor personalului.
3. Perspectiva temporal. n concordan cu practicile internaionale acceptate la nivelul instituiilor de

control financiar, se pot defini trei cadre de timp pentru desfurarea misiunilor de audit IT:
pre-implementare: controlul pe perioada procesului de luare a deciziilor privind politica, privind

bugetul sau alte zone de control financiar;
www.eurosai.org
WGITA - Working Group for IT Audit
29 Prezentat n proiectul Auditing e-Government
27
28
Pag. 21 / 214
concurent: controlul aspectelor adiionale privind execuia bugetar care pot s apar pe
parcursul realizrii programelor i proiectelor;
post-implementare: aprobarea rapoartelor privind execuia bugetar i privind efectele
(rezultatele) programelor i proiectelor.
Viziunea tridimensional permite definirea unui spaiu de control n care fiecrui obiect de control i
corespunde un tip de audit i o perspectiv temporal, rezultnd o varietate de combinaii care genereaz
seturi de metode de audit asociate.
Metodele de audit pentru nivelele strategic, operaional i de aplicaie se pot mapa (suprapune) pe cadrul
de lucru COBIT.
Clasificarea tipurilor de audit n categorii separate are rolul de a contribui la o clarificare conceptual. n
practic, auditul programelor i proiectelor combin n mod tipic abordri ale auditului financiar, auditului
IT/IS i auditului performanei.
Aceast tendin de evoluie, confirmat i de experiena altor instituii supreme de audit, a fost
promovat n cadrul misiunilor de audit ale Curii de Conturi a Romniei desfurate n domeniul
sistemelor e-guvernare i al serviciilor electronice asociate.
Auditul tuturor aspectelor relevante ale programelor i proiectelor nu este posibil prin aplicarea metodelor
clasice. Sunt necesare noi metode, iar noile metode trebuie s acopere subiecte, cum ar fi:
calitatea sistemelor financiar-contabile ale organizaiilor care sunt responsabile cu organizarea i

derularea programelor din domeniul IT/IS sau e-guvernare;
conformitatea proiectelor cu standarde funcionale referitoare la managementul investiiilor 30;
conformitatea cu standarde pentru implementarea i utilizarea tehnologiei informaiei (COBIT);
existena sistemelor de control al calitii certificate pentru fiecare stadiu al realizrii proiectului.
n raport cu stadiul actual, CCR trebuie s aib n vedere impactul pe care l va avea trecerea la
economia bazat pe cunoatere asupra auditului extern i modificrile calitative de substan n
abordarea auditului extern pe care aceast tranziie le antreneaz, prin generalizarea implementrii i
utilizrii serviciilor electronice pentru ntreaga administraie public.
n consecin, aa cum s-a menionat, aceste cerine i linii de dezvoltare vor genera cerine i obiective
corespunztoare i pentru auditul sistemelor IT i, n mod deosebit, pentru auditul sistemelor, serviciilor i
aplicaiilor informatice care urmeaz a face obiectul misiunilor de audit ale CCR pe termen lung.
n aceeai ordine de idei, se va nregistra un efect practic important i n ceea ce privete auditul
financiar: pentru a putea evalua procedurile financiar-contabile care vor fi informatizate pe scar larg,
auditorul financiar trebuie s aib, la rndul su, cunotine de tehnologia informaiei i va desfura,
implicit, pn la un anumit nivel, i auditarea de sisteme informatice. Acest lucru este confirmat i prin
experiena celor mai avansate instituii supreme de audit din lume, din care rezult implicarea pe scar
larg a auditorilor financiari n testarea procedurilor informatice financiar-contabile. n funcie de nivelul de
pregtire al auditorilor financiari, se pot utiliza experi IT numai pentru auditarea unor aspecte strict specializate i care necesit cunotine care depesc nivelul stabilit n cadrul instituiei. Instituia Suprem
de Audit Extern din Marea Britanie - UK National Audit Office (NAO - UK) constituie un exemplu de
referin. Curtea de Conturi a Romniei a colaborat cu experii NAO n cadrul Conveniei de Twinning i a
organizat misiuni de audit pilot.
30
Standardul ISO/IEC 15288

Pag. 22 / 214
1.4.2 Liniile de aciune ale EUROSAI IT Working Group

n cadrul EUROSAI IT Working Group31 exist preocupri susinute pentru extinderea cadrului de reglementare i definirea abordrilor optimale n cadrul instituiilor de audit europene. Grupul special de lucru,
EUROSAI IT Working Group, care funcioneaz n cadrul organizaiei EUROSAI are ca sarcin prezentarea unui punct de vedere comun asupra subiectului n discuie.
Prezentm n continuare o sintez a constatrilor i propunerilor grupului EUROSAI IT WG referitoare la
auditul n medii informatizate. Ipoteza de lucru este aceea a unei perspective duale, anume c, lund n
considerare capacitatea de "invadare" (de ptrundere n for i de diseminare) a serviciilor electronice, se
impune n mod natural ca atenia special acordat IT/IS i problematicii asociate, precum i utilizarea IT/
IS s devin o parte integral a tuturor auditrilor, precum i a funcionrii tuturor instituiilor de auditare.
Acceptnd aceast ipotez, concluzia lucrrii de fa este aceea c auditarea n condiiile prezenei sistemelor informatice, i, n egal msur, auditarea sistemelor informatice ca atare reprezint nici mai mult,
nici mai puin dect o auditare normal care ia act ns n mod special de problematica asociat
tehnologiei informaiei.
Dup aprecierea grupului de lucru EUROSAI IT WG, problema real cu care se confrunt domeniul
(comunitatea profesional), inclusiv i n mod deosebit n Romnia, dup aprecierea noastr, este aceea
de a induce contientizarea i de a dezvolta instrumentele corespunztoare pentru ca universul tehnologiilor informaiei i universul auditrii (n sensul clasic) s devin din ce n ce mai accesibile actorilor
implicai (manageri sau auditori).
n acest sens, grupul de lucru EUROSAI IT WG i-a propus s se focalizeze pe urmtoarele linii de
aciune principale, pe care le reinem ca fiind relevante i pentru situaia i evoluiile n planul auditrii din
Romnia:
a) auditarea furnizrii de servicii de tip e-guvernare, e-licitaie, e-administraie i altele;
b) auditarea investiiilor guvernamentale n resurse hardware, software i umane relative la
promovarea i utilizarea eficient a tehnologiilor informaiei;
c) dezvoltarea capabilitii instituiilor supreme de audit de a-i atinge obiectivele strategice prin
utilizarea n mod adecvat a tehnologiilor informaiei (de exemplu, relativ la managementul
intern: realizarea de auditri cu efecte mult mai eficiente i dezvoltarea abilitilor necesare
ale personalului).
Cei douzeci de ani de existen ai EUROSAI au nsemnat acumulri la nivelul fiecrei instituii supreme
de audit, capitalizarea experienelor i diseminarea celor mai reprezentative rezultate pentru a fi
valorificate de aceast comunitate profesional fiind transformate n exemple de bune practici. Utilizarea
EUROSAI ca spaiu de discuie pentru SAI-uri a contribuit la armonizarea i convergena abordrilor n
auditul fondurilor publice, avnd aceeai int, indiferent de particularitile naionale: o bun guvernare i
satisfacerea nevoilor sociale.
Documente de referin recomandate de EUROSAI - ITWG pentru auditul IT / IS
Documentele de referin recomandate i furnizate de EUROSAI - ITWG pe site-ul web www.eurosai.org
pentru desurarea auditului IT / IS sunt urmtoarele:
31
Cobit, 4th Edition: Control Objectives, Management Guidelines, Maturity Models (2005)
Security Baseline (Background document, IT Governance Institute)
The Val IT Framework
EUROSAI-IT WG este accesibil la adresa www.eurosai-it.org

Pag. 23 / 214
IT Control Objectives for Sarbanes-Oxley (Background document, IT Governance Institute)

ECA IT audit guidelines
ECA Guidelines Data Collection
1.4.3 Abordarea auditului sistemelor informatice n cadrul Curii de

Conturi a Romniei
A. Armonizarea obiectivelor strategice ale CCR cu direciile strategice promovate n

cadrul EUROSAI
Strategia dezvoltrii instituionale a Curii de Conturi a Romniei pentru perioada 2010-2014
stabilete misiunea Curii de Conturi a Romniei i obiectivele strategice pe termen lung, lund n
considerare resursele existente i cele care pot fi atrase i utilizate n viitor, precum i principalele
modaliti de realizare a obiectivelor n contextul evoluiei preconizate a mediului n care aceasta i
desfoar activitatea. Astfel, manifestarea pregnant a revoluiei cunotinelor i multiplele mutaii
produse n economie determin necesitatea abordrii acestor realiti ntr-o viziune prospectiv i
pragmatic32.
Strategia pune accent pe impactul pe care l are focalizarea eforturilor de continuare a reformei
economice pentru a realiza economia bazat pe cunoatere, caracterizat ca o economie digital,
bazat n principal pe servicii electronice.
n acest context, Curtea de Conturi a Romniei a iniiat i desfoar aciuni consecvente pentru
modernizarea activitii de auditare i promovarea unei imagini a instituiei n concordan cu valoarea sa
real, n conformitate cu direciile strategice promovate n cadrul EUROSAI. Printre cele mai relevante
aciuni, n acest sens, menionm:
1. Abordarea auditului n concordan cu evoluiile i tendinele internaionale de vrf, astfel nct Curtea
de Conturi a Romniei, ca instituie suprem de audit, s funcioneze n armonie cu cerinele standardelor
profesionale ale Organizaiei Internaionale a Instituiilor Supreme de Audit (INTOSAI), precum i cu Liniile
Directoare Europene de implementare a acestora.
Armonizarea abordrilor CCR cu tendinele strategice stabilite la nivelul INTOSAI, precum i stabilirea
direciilor strategice n domeniul auditului n cadrul Curii de Conturi a Romniei s-au realizat pe baza unei
documentri permanente asupra rezultatelor i abordrilor raportate pe plan intern i internaional de
ctre instituii supreme de audit de prestigiu.
2. Standardizarea auditului. n viziunea CCR, prin standardizarea ntregului flux al auditului, cea mai mare
parte a auditului devine riguros reglementat, fiind astfel evitate ntoarceri sau repetri ale unor proceduri
de audit sau teste de control. n plus, acest cadru de lucru asigur utilizarea resursele disponibile cu
eficien crescut.
Elaborarea i utilizarea unui model standardizat propriu Curii de Conturi pentru misiunile de audit, pe
baza cerinelor standardelor internaionale de audit acceptate: INTOSAI (Cadrul de auditare INTOSAI),
ISA (International Standards for Audit), ISACA (Information Systems Audit and Control Association) i ale
cadrului de lucru COBIT (Control Objectives for Information and Related Technology), va asigura standardizarea activitilor, procedurilor i documentelor de lucru pe ntregul flux al auditului acoperind practic
toate etapele specifice: formularea obiectivelor, proiectarea procedurilor de audit, selecia tehnicilor i
metodelor de audit, elaborarea documentelor de lucru, formularea concluziilor, constatrilor i recomandrilor, elaborarea raportului de audit.
32
Extras din Strategia dezvoltrii instituionale a Curii de Conturi a Romniei pentru perioada 2010-2014
Pag. 24 / 214
Acest model se va baza, n mod inerent, pe tehnici avansate de audit i presupune automatizarea
procedurilor i utilizarea de documente electronice, evoluii care n prezent se extind considerabil.
3. Creterea calitii misiunilor de control i audit public extern, n vederea obinerii i furnizrii de
informaii reale i obiective privind legalitatea, eficiena i transparena utilizrii fondurilor publice i a celor
reprezentnd finanri externe, prin urmrirea respectrii disciplinei financiare, potrivit principiilor bunei
gestiuni financiare i prin eliminarea erorilor i neregularitilor i perfecionarea gestionrii banului public.
4. Desfurarea activitii de control i audit public extern n mod autonom, prin proceduri de control
financiar ulterior i audit public extern prevzute n Regulamentul privind organizarea i desfurarea
activitilor specifice ale Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti, pe
baza standardelor proprii de audit elaborate n conformitate cu standardele de audit internaionale.
5. Creterea responsabilitii entitilor verificate n utilizarea i administrarea fondurilor publice, inclusiv a
fondurilor alocate Romniei de Uniunea European i de ctre alte instituii financiare internaionale va fi
determinat de asemenea ca urmare a aciunilor de control i audit desfurate de CCR.
6. Extinderea utilizrii tehnologiilor moderne de audit n scopul susinerii eficiente a rolului Curii de
Conturi a Romniei n detectarea fraudelor i prevenirea corupiei: audit online, audit continuu, e-audit,
audit asistat de calculator.
Menionm c utilizarea tehnologiilor moderne antreneaz, de asemenea, o serie de efecte colaterale
favorabile n ceea ce privete economisirea resurselor (de timp, spaiu, cheltuieli materiale cu logistica) i
n prevenirea risipei de resurse aferente verificrilor, prin utilizarea unui personal cu competene de specialitate de nivel nalt, precum i prin standardizarea i automatizarea procedurilor bazate pe utilizarea
documentelor de lucru electronice.
7. Extinderea cooperrii n cadrul EUROSAI i exploatarea beneficiilor care decurg din aceast
cooperare.
Pentru nscrierea auditului public extern din Romnia pe linia bunelor practici europene i internaionale i
pentru consolidarea capacitii profesionale, considerm c ar fi oportun un schimb permanent de
experien cu instituii supreme de audit similare.
8. Extinderea activitii i amplificarea contribuiilor CCR n cadrul grupurilor de lucru ale EUROSAI, din
perspectiva noilor sale orientri strategice, care s reflecte afirmarea independenei, integritii, profesionalismului i a unei conduceri puternice i competente.
Se are n vedere implicare CCR n audituri din domeniul de specialitate al Grupurilor de lucru internaionale la ale cror lucrri Curtea de Conturi a Romniei particip, n calitate de membru. Curtea de
Conturi a Romniei face parte n prezent din dou grupuri de lucru din cadrul EUROSAI i particip la
aciunile organizate n acest context: grupul de lucru privind Tehnologia Informaiei (EUROSAI-IT Working
Group) i grupul de lucru privind auditul mediului (WGEA - Working Group of Environment Audit).
9. mbuntirea imaginii instituionale a Curii de Conturi, accentuarea percepiei publice pozitive.
Promovarea unei imagini moderne a Curii de Conturi, prin participarea cu contribuii la conferine,
seminarii, sesiuni de comunicri, simpozioane interne i internaionale i prezentarea unor rezultate de
vrf pe subiecte de mare actualitate referitoare la abordarea auditului n cadrul Curii de Conturi a
Romniei. Participarea activ la astfel de evenimente are ca rezultat subsidiar transmiterea unor idei i
experiene valoroase care contribuie la contientizarea publicului, la asigurarea unei mai bune nelegeri a
activitii i evoluiilor prezente i viitoare ale Curii de Conturi i la garantarea transparenei.
Considerm c formularea unei arhitecturi de auditare, precum i elaborarea unui model de management
al riscurilor generate de prezena i extinderea serviciilor electronice, adaptate la contextul Romniei, prin
maparea standardului COBIT pe standarde de audit financiar i de securitatea informaiei (IAS, COSO,
Pag. 25 / 214
Sarbanes Oxley, Basel II, ISO seria 27000) reprezint un demers necesar, chiar imperativ, n condiiile
impuse de contextul internaional. Aceast evoluie implic reingineria arhitecturilor de auditare, a cadrului
metodologic i procedural de auditare, schimbarea stilului de auditare prin alinierea la standardele
internaionale n domeniu.
B. Desfurarea misiunilor de audit al sistemelor informatice n cadrul CCR

Misiunile de audit desfurate de Serviciul Auditul sistemelor informatice din cadrul Departamentului XII
au vizat, ca domeniu principal, Auditul performanei implementrii i utilizrii infrastructurilor IT la instituiile publice i s-au derulat n baza Programului de activitate al Curii de Conturi a Romniei.
Abordarea auditului IT n cadrul Curii de Conturi a Romniei (CCR) se desfoar n concordan cu
cadrul de auditare INTOSAI referitor la auditul serviciilor publice guvernamentale i cu direciile de
dezvoltare incluse n Planul de lucru pentru perioada 2008-2011 al Grupului de lucru EUROSAI IT-WG.
Subliniem c auditul IT se ncadreaz n obiectivele strategice ale CCR i contribuie la realizarea
acestora.
Auditul sistemelor informatice se desfoar n concordan cu cerinele standardelor internaionale de
audit recomandate de INTOSAI / EUROSAI:
1. INTOSAI (ISSAI 3000 IMPLEMENTATION GUIDELINES FOR PERFORMANCE AUDITING,
INTOSAI GOV 9100 - Guidelines for Internal Control Standards for the Public Sector, INTOSAI
GOV 9130 - Guidelines for Internal Control Standards for the Public Sector Further Information
on Entity Risk Management),
2. ISA International Standards for Audit,
3. ISACA - Information Systems Audit and Control Association Standards,
4. COBIT - Control Objectives for Information and Related Technology (cadrul de lucru, ghidurile de
bun practic i liniile directoare de audit al sistemelor informatice elaborate de ITGI - ISACA,
5. Standardele de securitate din seria ISO 27000.
n cadrul Curii de Conturi a Romniei, pentru auditul sistemelor bazate pe utilizarea tehnologiei
informaiei au fost promovate urmtoarele abordri:
Evaluarea sistemelor informatice n scopul furnizrii unei asigurri rezonabile privind

funcionarea acestora, necesar misiunilor de audit financiar sau de audit al
performanei la care este supus entitatea (de exemplu, auditurile IT desfurate n cadrul
misiunilor de audit financiar pentru ISPA, SAPARD, Fondul Naional de Preaderare, n
perioada 2004-2005 i pentru ANV n anul 2009);
Evaluarea performanei implementrii i utilizrii programelor, proiectelor, sistemelor i

aplicaiilor informatice (de exemplu, audituri ale performanei implementrii i utilizrii
infrastructurilor IT desfurate la MCSI, ASSI, ANV, MEC, ANAF, CNPAS, MJ, CSM, ICCJ,
ANP n perioada 2004-2010);
Auditul sistemelor e-guvernare i e-administraie i al serviciilor electronice asociate

acestor sisteme (de exemplu, misiunile de audit al Sistemului Electronic Naional i al serviciilor electronice asociate - componentele e-guvernare i e-administraie, sistemul e-licitaie,
serviciul electronic formulare online, serviciul electronic declaraii fiscale online, desfurate
n perioada 2005-2008 la MCSI i la ASSI). n condiiile prevzute de Directiva 2006/123/CE,
respectiv obligativitatea afilierii Romniei la platforma pan-european prin punctul de contact
unic, devine imperativ auditarea infrastructurilor IT pentru toate instituiile publice, pentru a
garanta calitatea informaiilor i a serviciilor electronice;
Pag. 26 / 214
Auditul unor soluii informatice care contribuie la prevenirea i combaterea corupiei i

a evaziunii fiscale (de exemplu, Auditul performanei cadrului de interoperabilitate ntre
ANAF i ceilali deintori de date referitoare la bunurile i veniturile contribuabililor n vederea
recuperrii eficiente a debitelor restante i prevenirii i combaterii evaziunii fiscale, respectiv
asigurarea condiiilor pentru ncasarea integral i la timp a veniturilor la bugetul de stat
(2009); Cooperare n cadrul EUROSAI_IT Working Group la tema IT in auditing public
revenue fraud (2007-2008), Relevance of IT in auditing public revenue fraud);
n perspectiv, misiuni de audit mixte, soluii integrate ale celor trei tipuri de audit
(auditul financiar, auditul performanei i auditul IT/IS), acestea urmnd a se desfura n
cadrul unor misiuni comune, n funcie de obiectivele stabilite. Apreciem c astfel de misiuni
ar fi deosebit de utile pentru programe sau proiecte de valori extrem de mari, foarte
complexe, desfurate la nivel naional i cu impact foarte mare n plan economic i social,
cum ar fi Strategia eRomania.
Abordarea general a auditului se bazeaz pe evaluarea riscurilor i pe rezultate. Auditul se poate

efectua pentru ntreg ciclul de via al programelor, proiectelor, sistemelor i aplicaiilor informatice sau
numai pentru anumite faze specificate n obiective.
Pag. 27 / 214
Capitolul 2. Standarde de audit IT

2.1
Instituii, standarde i linii directoare
Cele mai importante instituii internaionale, care au rol determinant n reglementarea domeniului auditului
n general i al auditului IT n particular, sunt: INTOSAI (International Organization of Supreme Audit
Institutions), Consiliul pentru Standarde Internaionale de Audit i Asigurare IAASB (International Audit
and Assurance Standard Board)33 din cadrul Federaiei Internaionale a Contabililor IFAC (International
Federation of Accountants)34, Institutul Auditorilor Interni (The Institute of Internal Auditors - IIA), COSO
(Committee of Sponsoring Organizations of the Treadway Commission , ISACA (Information Systems
Audit and Control).
Instituiile supreme de audit (SAI) sunt afiliate la organizaia profesional INTOSAI i, implicit, la grupurile
regionale ale acesteia. Cadrul de reglementare al SAI se armonizeaz cu prevederile cadrului INTOSAI
dar conine i prevederi specifice, potrivit principiului independenei promovat de INTOSAI.
Profesia de auditor este reglementat de mai multe surse: legislaia naional, reglementrile i
standardele stabilite la nivel naional, standardele stabilite la nivel internaional, organisme profesionale,
precum ACCA35. Prin legislaie se stabilesc, de regul, drepturile i ndatoririle auditorilor, precum i
condiiile de eligibilitatea pentru profesia de auditor.
Misiunea Federaiei Internaionale a Contabililor (IFAC), aa cum este stabilit prin statutul su, este
dezvoltarea i mbuntirea la nivel mondial a profesiei contabile pe baz de standarde armonizate,
capabil s ofere servicii uniforme de o calitate ridicat n interesul public. Pentru realizarea misiunii sale,
Consiliul IFAC a nfiinat Comitetul pentru Etic al IFAC, pentru a elabora i publica, sub autoritatea sa,
standarde de o nalt calitate i alte materiale n sprijinul profesionitilor contabili din ntreaga lume.
Acionnd n interes public, un profesionist contabil ar trebui s respecte i s se conformeze prevederilor
Codului Etic. Unele jurisdicii pot avea cerine i ndrumri care difer de acest Cod. Profesionitii contabili
trebuie s cunoasc aceste diferene i s respecte cerinele i ndrumrile mai exigente, cu excepia
cazului n care acestea sunt interzise n baza unei legi sau a unei reglementri.
Msurile de protecie care pot elimina sau reduce la un nivel acceptabil acest gen de riscuri se mpart n
dou mari categorii: msuri de protecie create de profesie, legislaie sau de reglementare i msuri de
protecie aferente mediului de activitate.
Msurile de protecie create de profesie, legislaie sau reglementare includ, dar nu sunt limitate la:
cerine educaionale, de pregtire profesional i experien pentru accesul la profesie;
cerine de dezvoltare profesional continu;
reglementri de guvernare corporativ;
standarde profesionale;
proceduri disciplinare i de monitorizare profesional sau de reglementare;
revizuirea extern a rapoartelor, evalurilor, comunicatelor sau informaiilor ntocmite de un
profesionist contabil de ctre o ter parte mputernicit prin lege.
IAASB a fost nfiinat pentru a dezvolta i emite standarde i declaraii privind auditul, asigurarea i serviciile conexe n
numele Consiliului IFAC
34 IFAC a fost nfiinat ca urmare a iniiativelor formulate n 1973 i aprobate n mod formal n cadrul Congresului internaional
al contabililor, de la Munchen din 1977.
35 ACCA - Association of Chartered Certified Accountants
Pag. 28 din 214
33
Misiunile de audit IT desfurate de CCR au urmrit asigurarea compatibilitii cu cerinele standardelor

internaionale de audit acceptate (INTOSAI), cu standardele internaionale de audit al sistemelor informatice elaborate de ISACA (Information Systems Audit and Control Association), cu cadrul de lucru
COBIT (Control Objectives for Information and related Technology), cu standarde de securitate din seria
ISO 27000, cu cerinele legislative i de reglementare, cu alte standarde i ghiduri de bune practici n
domeniu.
De asemenea, s-a analizat oportunitatea utilizrii unor standarde i ghiduri de bune practici, precum i a
unor modele de referin pentru auditarea unor domenii speciale:
Standarde privind managementul riscurilor, inclusiv al riscului operaional (COSO,
Basel II);
Model de referin pentru cadrul de interoperabilitate (SAGA, eGIF);
Actul Sarbanes Oxley (SOX) privind Sistemul de Control Intern, inclusiv pentru
controalele IT;
Linii directoare privind comerul electronic ( ISACA G22 B2C e-commerce);
Standarde web (W3C).
2.2
Cadrul de auditare INTOSAI
n Planului Strategic 2005-2010, INTOSAI i-a propus s furnizeze un cadru de nivel nalt constituit din
standarde profesionale relevante, pentru nevoile membrilor si. n acest sens, Comitetul pentru Standarde
Profesionale (PSC36) a decis s integreze standardele existente i noile orientri ale INTOSAI ntr-un
cadru consistent i coerent. Scopul general al cadrului este de a oferi membrilor INTOSAI i altor pri
interesate o imagine de ansamblu i o nelegere comun a standardelor i a liniilor directoare de audit
INTOSAI.
Marea majoritate a liniilor directoare i a standardelor profesionale INTOSAI sunt disponibile n cinci limbi
oficiale.
2.2.1 StandardeIe ISSAI i INTOSAI GOV 9100

Standardele Internaionale ale INTOSAI (ISSAI) atest premisele de baz pentru buna funcionare i
conduita profesional a Instituiilor Supreme de Audit, precum i principiile fundamentale n domeniul
auditului entitilor publice.
Liniile directoare INTOSAI (INTOSAI GOV) ofer asisten autoritilor publice cu privire la administrarea
corect a fondurilor publice.
Dup cum am menionat n seciunea 1.4.1, pentru auditul IT / IS, la nivelul INTOSAI este adoptat ca
reprezentativ arhitectura de auditare ISACA37 i recomandat n consecin. Standardul INTOSAI GOV
9100 - Guidelines for Internal Control Standards for the Public Sector (pag 35) face trimitere expres la
cadrul de lucru i la documentaiile pentru audit IT/IS furnizate de ISACA, ITGI (COBIT) i INTOSAI IT
Audit Committee.
Eforturile de armonizare n cadrul evoluiilor actuale se concentreaz cu precdere la nivelul unor
organizaii internaionale care au un rol deosebit de important n unificarea abordrilor, prin standardizarea soluiilor, promovarea celor mai bune practici, politici, coduri de conduit i norme.
36
37
Professional Standards Commitee

ISACA Information Systems Audit and Control Association
Pag. 29 din 214
2.2.2 ISSAI 3000 - Anexa 5 Auditul Performanei i Tehnologia

Informaiei
Auditul performanei are ca obiect auditul eficienei, eficacitii i economicitii i are urmtoarele arii de audit:
(a) auditul economicitii activitilor administrative, n concordan cu principii i practici
administrative solide, precum i cu politicile managementului;
(b) auditul eficienei utilizrii resurselor umane, financiare i a altor resurse, inclusiv
examinarea sistemului informatic, al cadrului de msurare a performanei i de monitorizare i al procedurilor urmrite de entitile auditate pentru remedierea deficienelor
identificate;
(c) auditul eficacitii, n legtur cu atingerea obiectivelor entitii auditate, precum i
auditul impactului activitilor actuale comparat cu impactul previzionat.
Obiectivele globale ale auditului performanei variaz de la o ar la alta. Ele pot fi definite n legislaia de baz
sau pot fi obiectul unor decizii interne n cadrul SAI:
Obiectul concret al auditului performanei l pot constitui: bunurile, serviciile i alte rezultate, inclusiv
infrastructurile IT.
Calitatea serviciilor publice este un subiect deosebit de important, pe care membrii parlamentelor sau ai
guvernelor ateapt s fie abordat n rapoartele de audit al performanei ale SAI-urilor.
Anexa 538 la Standardul ISSAI 3000 trateaz aspectele legate de relaia dintre auditul performanei i
tehnologia informaiei.
Tehnologia informaiei (IT) este utilizat din ce n ce mai mult pentru planificarea, execuia i
monitorizarea programelor din sectorul public. Partajarea sau integrarea informaiilor ntre instituii ridic
probleme, cum ar fi riscurile de nclcare a securitii i manipulare neautorizat a informaiilor. Auditorii ar
trebui s fie contieni nu numai de utilizarea IT, acetia ar trebui s dezvolte, de asemenea, strategii i
tehnici pentru furnizarea de asigurare pentru prile interesate cu privire la valoarea pentru bani (value for
money) de la utilizarea de IT, la securitatea sistemelor, la existena controalelor proceselor corespunztoare i la exhaustivitatea i acurateea rezultatelor.
Auditul performanei, se poate concentra, de asemenea, pe probleme cum ar fi planificarea, dezvoltarea
i ntreinerea sistemelor individuale IT.
n prezent, perspectiva este mai larg: sistemele IT sunt, n principal, vzute ca fiind componente
importante n toate programele guvernamentale (incluse n sistemul e-guvernare). Evoluia din aceast
perspectiv are consecine semnificative pentru auditul performanei n domeniul tehnologiei informaiei.
Sistemele IT pot fi un mecanism eficient i eficace de livrare a serviciilor susinute de programe guvernamentale complexe. Aceste sisteme au potenialul de a furniza serviciile existente la un cost redus i de a
oferi o gam de servicii suplimentare, inclusiv informaii privind performana programului, cu eficien,
securitate i control superioare celor disponibile n sistemele manuale.
Anexa 5 a Standardului ISSAI 3000 scoate n eviden o serie de aspecte importante pentru auditul
performanei ntr-un mediu IT, dar nu este destinat s nlocuiasc liniile directoare detaliate pe care
SAI-urile ar putea avea nevoie s le dezvolte n scopul de a evalua mediul IT al entitilor auditate.
38
Performance Audit and Information Technology

Pag. 30 din 214
Abordarea auditului performanei ntr-un mediu IT ar trebui s implice urmtoarele procese interdependente:
S obin o nelegere a sistemelor IT auditate i s determine semnificaia acestora pentru

obiectivele auditului performanei;
S identifice extinderea auditului sistemelor IT necesar pentru atingerea obiectivelor auditului
performanei;
S evalueze controalele de mediu i de aplicaie i s utilizeze un specialist IT/IS pentru
problemele aferente acestui domeniu;
S dezvolte i s utilizeze, atunci cnd este necesar, tehnici adecvate de audit asistat de
calculator pentru a facilita auditul.
Un audit al performanei ntr-un mediu IT ar trebui s se orienteze pe urmtoarele activiti:
S evalueze dac sistemele IT contribuie la consolidarea economicitii, eficienei i eficacitii

obiectivelor programului i a managementului acestuia, n special n ceea ce privete planificarea,
execuia, monitorizarea, i feedback-ul programului;
S determine dac rezultatele ndeplinesc parametrii stabilii privind calitatea, serviciile i costurile
de livrare;
S identifice orice deficiene n sistemele informatice i de control al mediului informatizat, precum
i efectul rezultat privind performana (eficiena, economicitatea i eficacitatea);
S compare dezvoltarea i practicile de ntreinere a sistemului IT ale entitii auditate, cu practici
i standarde recunoscute n domeniu;
S compare planificarea strategic IT, managementul riscului i managementul de proiect ale
entitii auditate, cu practici i standarde recunoscute n domeniu.
Anexa 5 a Standardului ISSAI 3000 detaliaz modul n care se vor desfura aceste activiti pentru
ntreg ciclul de via al auditului.
2.2.3 Liniile directoare ISSAI 5310

Liniile directoare INTOSAI, ISSAI 5310 "Metodologia de revizuire a Sistemului de Securitate a
Informaiilor" furnizeaz o metodologie eficient pentru a asista auditorul n revizuirea sau n stabilirea
unor politici i msuri de securitate adecvate n cadrul unei organizaii guvernamentale.
Instituiile supreme de audit (ISA) pot utiliza ghidul n dou moduri: pentru scopuri interne, de a crea un
proces de evaluare a securitii n propria organizaie sau n scopuri externe, pentru a ajuta la revizuirea
procesului de evaluare a securitii n alte organizaii guvernamentale.
Evoluiile semnificative din domeniul tehnologiilor informaiei i comunicaiilor au generat schimbri majore
n ceea ce privete cerinele sistemului de securitate a informaiei i o parte important a liniilor directoare
este perimat, iar problematica nou nu este acoperit. In consecin, versiunea Octombrie 1995 a liniilor
directoare ISSAI 5310 ar trebui s fie revizuit.
Problematica actual a securitii informaiei este acoperit n mod consistent att de standardele de
securitate din seria ISO/IEC 27000, ct i de cadrul de lucru COBIT. Abordarea bazat pe COBIT 5 care
este recomandat de EUROSAI-ITWG va oferi o soluie integrat pentru tratarea aspectelor privind
securitatea informaiilor i a sistemelor.
Pag. 31 din 214
2.3
Standardele internaionale de audit ISA
Standardele Internaionale de Audit ISA sunt elaborate, aprobate i emise de IAASB. Experii INTOSAI
particip n prezent la dezvoltarea standardelor ISA, care, n conformitate cu abordarea dual a INTOSAI,
sunt o parte integrat a liniilor directoare de audit financiar INTOSAI.
Subcomisia de audit financiar din cadrul PSC elaboreaz Notele Practice, cu scopul de a oferi orientri
relevante cu privire la aplicarea standardului ISA n auditul situaiilor financiare ale entitilor din sectorul
public, n plus fa de ceea ce este prevzut n prezent n ISA. Standardul ISA i notele practice aferente
constituie mpreun o linie directoare pentru audit financiar.
Acest lucru a fost aprobat de ctre INCOSAI n 2007, cnd Congresul a aprobat documentul cadru n
cazul n care se prevede c: "O linie directoare INTOSAI privind auditul financiar va consta ntr-un
standard ISA emis de IAASB, mpreun cu o not practic elaborat de INTOSAI subliniind, de
asemenea, modificrile, care trebuie s fie luate n considerare de auditul public.
In ceea ce privete standardele internaionale de audit ISA i declaraiile de practic IASP, aplicarea
acestora poate fi exemplificat prin utilizarea sau evaluarea urmtoarelor componente:
2.4
ISA 300 - Planificarea auditului;

ISA 315 - Cunoaterea entitii i mediului su i evaluarea riscurilor de denaturare
semnificativ;
ISA 400 - Evaluarea riscului i controlul intern;
ISA 402 - Considerente de audit referitoare la entitile care apeleaz la firme de
servicii;
Declaraia internaional privind practica de audit 1013 - comerul electronic efectul
asupra auditului situaiilor financiare;
Declaraia internaional privind practica de audit 1001 - medii IT calculatoare
neincluse n reea;
Declaraia internaional privind practica de audit 1002 - medii IT sisteme
computerizate online;
Declaraia internaional privind practica de audit 1003 medii IT sisteme de baze de
date;
Declaraia internaional privind practica de audit 1008 - evaluarea riscurilor i controlul
intern caracteristici i considerente privind CIS;
Declaraia internaional privind practica de audit 1009 - tehnici de audit asistat de
calculator.
Actul Sarbanes - Oxley
Ca reacie la eecurile cu efecte ulterioare considerabile ale unor misiuni de audit, precum acela din cazul
ENRON, profesia de auditor a devenit foarte bine reglementat.
Cazul ENRON a antrenat, pe lng falimentul companiei de audit Arthur Andersen, i aprobarea de ctre
Congresul american a legii U.S. Sarbanes-Oxley (SOX) Act. In seciunea 404 a acestui Act, se cere
managementului extinderea sistemului de control intern cu implementarea unor proceduri de validare i
de evaluare a controalelor privind procesele de raportare financiar, inclusiv n ceea ce privete
controalele IT.
Schimbrile necontrolate n mediul de producie pot conduce la deficiene serioase i la slbiciuni
semnificative. De aceea, o atenie deosebit trebuie acordat procesului de implementare a schimbrii
sistemului informatic care susine procesul de raportare pentru a asigura conformitatea cu SOX.
Pag. 32 din 214
Un proces eficace de management al schimbrii trebuie s fie documentat pentru a reduce efortul
continuu necesar pentru maparea, validarea i certificarea schimbrilor n procesul de raportare financiar
pentru a asigura conformitatea cu SOX.
2.5
Standardele IIA
Fondat n anul 1941, The IIA este o asociaie profesional, avnd un numr de peste 100.000 de
membri i reprezentane n mai mult de 100 de ri. Aceasta este o autoritate recunoscut ca principal
formator, leader n certificare, instruire, cercetare tiinific i ghidare tehnologic pentru profesia de
auditor pe plan mondial. n domeniul auditului IT, The IIA promoveaz cunotine specializate i suport
modern, n concordan cu tendinele i evoluiile pe plan mondial, contribuind la accelerarea extinderii i
adaptrii misiunilor de audit la cerinele impuse de existena unui mediu de audit informatizat pe scar
larg. Adaptarea auditurilor IT la cerinele de conformitate cu Sarbanes-Oxley (SOX) Act constituie un
exemplu relevant.
The IIA furnizeaz nu numai standarde, ci i numeroase resurse suplimentare pentru a asista auditorii:
ghiduri de implementare a celor mai bune practici, studii de caz i alte instrumente integrate n cadrul de
lucru IPPF (International Professional Practices Framework39) disponibil pe website.
n domeniul auditului IT/ IS, liniile directoare de audit GTAG (Global Technology Audit Guidelines)
abordeaz probleme legate de managementul tehnologiei informaiei, control i securitatea informaiei.
Seria GTAG constituie o resurs pentru auditori, trateaz riscurile asociate diferitelor tehnologii i
recomand practicile pentru reducerea impactului acestora.
Liniile directoare sunt structurate pe urmtoarele categorii de probleme:
GTAG PG-15: Securitatea informaiei

GTAG PG-14: Auditul aplicaiilor dezvoltate de utilizatori
GTAG PG-13: Prevenirea i detectarea fraudei ntr-un mediu informatizat
GTAG PG-12: Auditul proiectelor IT
GTAG PG-11: Elaborarea Planului de Audit IT
GTAG PG-10: Managementul continuitii
PG GTAG-9: Managementul identitii i al accesului
PG GTAG-8: Auditarea controalelor de aplicaie
PG GTAG-7: Externalizarea tehnologiei informaiei
PG GTAG-6: Managementul i auditul vulnerabilitilor IT
GTAG PG-5: Managementul i auditul riscurilor privind confidenialitatea
PG GTAG-4: Managementul auditului IT
PG GTAG-3: Audit continuu: Implicaii pentru asigurare, monitorizare i evaluare a riscurilor
PG GTAG-2: Controale privind managementul schimbrii
PG GTAG-1: Controale IT
Liniile directoare GAIT (Guide to the Assessment of IT Risk40)

Seria de linii directoare GAIT descrie relaiile dintre riscurile afacerii, controalele cheie asociate proceselor
afacerii, controalele automate i controalele cheie din cadrul controalelor generale IT. Este o abordare
bazat pe risc pentru auditarea controalelor generale IT ca parte a sistemului de control intern al entitii,
destinat identificrii deficienelor, n viziunea seciunii 404 din Sarbanes-Oxley Act (SOX).
39
40
Cadrul de practici profesionale internaionale

Ghid de evaluare a riscurilor IT
Pag. 33 din 214
2.6
COSO
In ceea ce privete abordarea auditului bazat pe risc, un model general acceptat i preferat pentru evaluarea controalelor interne este Internal Control Integrated Framework, elaborat de Comittee of Sponsoring Organizations of the Treadway Commission (COSO) n anul 1992. n anul 2004 acest model a
fost perfecionat pentru a oferi un cadru de management al riscurilor acceptat pe scar larg, care include
principii cheie, concepte, un limbaj comun privind riscurile i ghiduri clare pentru implementare. Aceast
direcie nou, numit Enterprise Risk Management Integrated Framework, furnizeaz patru categorii de
obiective organizaionale i opt componente interrelaionate ale managementului eficace al riscului.
2.7
Schimbri ale standardelor de audit IT n viziunea

EUROSAI - ITWG
Schimbri n standardele i liniile directoare de audit IT

n aceast seciune se prezint o descriere sintetic a evoluiilor n domeniul standardelor i liniilor
directoare de audit, confirmate de abordrile i reglementrile instituiilor supreme de audit i puse n
eviden de lucrrile celei de-a 7-a ntlniri a EUROSAI IT Working Group, care a avut loc la Istanbul, n
perioada 21-22 februarie 2011.
Reglementri internaionale
Ca organizaii semnificative n domeniul reglementrilor i ghidurilor (liniilor directoare) acioneaz, n
acest moment, urmtorii actori:
1.
2.
3.
4.
IFAC (International Federation of Accountants), prin setul de standarde ISA Standards;

INTOSAI, prin setul de standarde ISSAI Standards;
IIA (Institute of Internal Auditors), prin setul de standarde IIA Standards;
ISACA (Information Systems Audit and Control Association), prin Liniile directoare de Audit i
Asigurare IT.
Ca preocupri/elaborri specifice pentru fiecare organizaie se pot reine elementele expuse n

continuare.
IFAC / ISA
IFAC a publicat, n anul 2010, dou manuale referitoare, respectiv, la setul de standarde ISA (Handbook
of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronouncements) i la codul de etic (Handbook of the Code of Ethics for Professional Accountants).
INTOSAI / ISSAI
De la primul ghid de audit al performanei (anul 2004), setul de linii directoare ISSAI a evoluat, la nivelul
anului 2010, pe cele trei componente:
a. Linii directoare privind Auditul performanei (seria 3000 3999: ISSAI 3000 2004; ISSAI 3100
aprobat 2010);
b. Linii directoare privind Auditul conformitii (seria 4000 4999: ISSAI 4000, 4100 i 4200, toate
aprobate n anul 2010);
c. Linii directoare privind Peer Reviews (evaluarea performanei de ctre ali factori cu experien n
domeniu) (seria 5600 5699: ISSAI 5600, aprobat 2010).
Pag. 34 din 214
In ceea ce privete stadiul actual al colaborrii ntre ITWG i WGITA 41 n domeniul standardelor, ca surse
de cunoatere i facilitatori de schimb de informaii, sunt disponibile diverse canale, cum ar fi: publicaii,
rapoarte, ghiduri, standarde i baze de date. n plus, Liniile directoare ale INTOSAI referitoare la
Comunicare i Orientare sunt acum disponibile (versiunea iulie 2010, n limbile englez i german). Se
preconizeaz ca instrumentele de comunicare s fie utilizate i consultate.
Se ateapt mbuntiri i cu privire la instrumentul de colaborare INTOSAI Colaboratin Tool (cu 67 de
grupuri de lucru i 630 de utilizatori), care este n prezent neutilizat.
Aa cum am menionat, liniile directoare INTOSAI, ISSAI 5310 "Metodologia de revizuire a Sistemului de
securitate a Informaiilor", versiunea Octombrie 1995, trebuie s fie actualizate.
IIA / Standardele IIA
ncepnd cu anul 2009, IIA a operat modificri asupra setului de standarde IIA, respectiv:
A inclus forma imperativ trebuie n loc de forma opional ar trebui n majoritatea

standardelor;
A adugat 5 noi standarde;
A adugat noi precizri i comentarii la standardele existente.
De remarcat c, trecerea de la forma opional (ar trebui) la forma imperativ (trebuie) genereaz cerine
pentru aciuni care trebuie realizate. Ca impact practic, pentru unele compartimente de audit intern
aceasta poate antrena numai schimbri minore, dar pentru altele pot fi necesare (multiple) activiti
adiionale, unele de substan, pentru a se conforma cu standardele revizuite.
Ca prevederi noi, de interes i pentru activitatea Curii de Conturi a Romniei, se pot reine cel puin
urmtoarele dou:
Activitatea de audit intern trebuie s evalueze dac i n ce msur guvernarea tehnologiei

informaiei n cadrul organizaiei susine (ofer suport pentru) strategiile i obiectivele organizaiei;
Activitatea de audit intern trebuie s evalueze expunerea la riscurile privind guvernarea i
operarea organizaiei, precum i sistemul informatic, referitor la:
o Eficacitatea i eficiena operaiunilor i programelor;
o Protejarea bunurilor organizaiei;
o Conformitatea cu legile, reglementrile, politicile, procedurile i contractele aplicabile
dup caz.
Convergena IIA i INTOSAI

IIA i Comitetul de Standarde Profesionale al INTOSAI au agreat, n luna decembrie 2010, un
Memorandum de Inelegere (MOU), care documenteaz alinierea obiectivelor strategice ale organizaiei,
recunoate standardele globale ale fiecrei pri i definete un proces de colaborare i cooperare
continu ntre pri.
Un element de importan major al MOU este acordul reciproc c standardele specifice fiecrei
organizaii (seturile de standarde ISSAI i, respectiv, IIA) sunt recunoscute la nivel global.
41
Working Group for IT Audit (din cadrul INTOSAI)

Pag. 35 din 214
ISACA - Linii directoare de audit i asigurare

ISACA a elaborat, dezvolt i ntreine un set cuprinztor de linii directoare (ghiduri) pentru audit i
asigurare IT, dintre care menionm (selectiv):
Utilizarea tehnicilor de audit asistat de calculator;

Concepte de materialitate pentru auditarea sistemelor informatice;
Efectele extinderii/generalizrii controalelor pentru sistemele informatice;
Utilizarea evalurii riscurilor n planificarea auditului;
Revizuirea sistemelor de aplicaie;
Guvernarea IT.
Pentru o list complet i actualizat de linii directoare se poate consulta pagina web www.isaca.org.
n ceea ce privete cadrele de lucru proprii (frameworks), ISACA a anunat, pentru anul 2011,
diseminarea versiunii COBIT 5, care aduce ca trstur esenial integrarea COBIT cu celelalte cadre de
lucru disponibile: Val IT i Risk IT.
O reprezentare grafic a acestei scheme de integrare este redat n Fig. 1. Aceast schem a fost
prezentat i recomandat SAI-urilor ca referin la cea de-a 7-a ntlnire a EUROSAI IT Working Group,
care a avut loc la Istanbul, n perioada 2122 Februarie 2011.
Cadrul de lucru COBIT a fost asimilat la nivel INTOSAI / EUROSAI drept cadru de referin pentru
auditurile desfurate de SAI-uri.
Relativ la COBIT, n cadrul EUROSAI ITWG, pn n prezent, au avut loc trei evenimente de formare
COBIT: la Lisabona (2004), Tallinn (2008) i Anvers (2009). CCR a participat la seminarul internaional de
la Tallinn.
Republica Slovac a organizat un seminar internaional intitulat Auditul Sistemelor Informatice i
aplicarea standardelor de audit INTOSAI, n octombrie 2009. Pentru ITSA42 dou seminarii privind leciile
nvate au avut loc, la Berna (2006) i la Luxemburg (2007). Acestea au fost organizate cu scopul de a
mprti experienele prezentri ale SAI-urilor pentru SAI-uri, fr moderare extern. La Berna, n
2009, s-a decis s se organizeze un alt eveniment de genul Leciile nvate, cu condiia ca 12 SAI-uri s
fie dispuse s participe.
Sugestii privind reacia la schimbri
Pentru SAI-uri, reacia la schimbrile evideniate mai sus, se poate materializa n cteva orientri de
natur practic a activitii, ntre care:
Urmrirea consecvent a mbuntirilor, dezvoltrilor i amendamentelor, pentru a beneficia de

standardele i bunele practici internaionale i pentru a asigura conformitatea cu reglementrile
internaionale;
Utilizarea optimal i distribuirea informaiei disponibile: baze de date, instrumente, ghiduri,
publicaii, rapoarte etc.;
Creterea fluxului liber de informaii, idei, experiene i cunotine ntre grupuri de utilizatori, ntre
membrii EUROSAI i INTOSAI i comunitile IT.
O problem important este modul n care SAI-urile se ocup de aceste schimbri i evoluii. Este
recomandat s urmeze ndeaproape evoluia standardelor de audit i a liniilor directoare, pentru a le folosi
i a le distribui i pentru a mbunti fluxul de informaii.
42
IT Self Assessment
Pag. 36 din 214
Fig. 1. COBIT 5 Integrarea COBIT, Val IT i Risk IT

(Cadrul de referin pentru audit IT recomandat de EUROSAI ITWG)
Avnd n vedere dinamica domeniului tehnologiei informaiei, s-a ajuns la concluzia necesitii revizuirii
standardelor de audit IT utilizate pn n prezent i a actualizrii n consecin. Punctul de vedere privind
noua abordare bazat pe CobiT 5 care integreaz standardele specifice de audit IT (CobiT43, Val IT44 i
Risk IT45) a fost susinut de Elveia.
COBIT a fost aliniat i armonizat cu standarde detaliate i bune practici IT: COSO 46, ISO 2700047, ITIL48,
Sarbanes-Oxley Act, BASEL II i acioneaz ca un integrator al acestor standarde, sintetiznd obiectivele
principale sub un singur cadru de referin general acceptat.
n condiiile trecerii la cadul de lucru COBIT 5, se va extinde referenialul pentru auditare i la standardele
enumerate mai sus, noua arhitectur asigurnd convergena cu acestea.
Control Objectives for Information and related Technologies
Value IT
45 Risk IT
46 COSO - Committee of Sponsoring Organizations of the Treadway Commission
47 ISO 27000 - Set de standarde privind securitatea informaiilor
48 ITIL - IT Infrastructure Library
43
44
Pag. 37 din 214
2.8
Cadrul de lucru COBIT

2.8.1 ISACA, ITGI i cadrul de lucru COBIT
Evoluia n domeniul auditului IT confirm cristalizarea unor arhitecturi de auditare generale, un promotor
reprezentativ n acest sens fiind ISACA (Information Systems Audit and Control Association).
Arhitectura de auditare ISACA se constituie ca un ansamblu ierarhizat de elemente de ghidare care
include urmtoarele niveluri i componente: standarde, ghiduri de aplicare, proceduri i resursele COBIT.
Resursele COBIT sunt apreciate ca fiind "cele mai bune practici" n materie i reprezint o structur
bazat pe un model general, detaliat, de controale i tehnici de control destinat unui mediu informatizat.
Componentele arhitecturii de auditare ISACA sunt:
Standarde - Definesc cerinele obligatorii pentru auditarea i raportarea auditrii sistemelor
informatice.
Ghiduri de aplicare - Furnizeaz ghiduri practice pentru aplicarea standardelor de auditare a
sistemelor informatice.
Proceduri - Furnizeaz exemple de proceduri pe care un auditor de sisteme informatice ar trebui
s le urmeze (le-ar putea utiliza) n cadrul unui angajament de audit.
Cel de-al patrulea element al ansamblului menionat, resursele COBIT, funcioneaz ca o surs de
ghidare pentru "cele mai bune practici" n materie.
Unul dintre obiectivele asociaiei ISACA este acela de a avansa (de a dezvolta i disemina) standarde
global aplicabile pentru atingerea viziunii proprii n materie de auditare IT/IS.
COBIT este un cadru de lucru dezvoltat iniial de ctre Information Systems Audit and Control Foundation
(ISACF) i publicat n anul 1996. Aceast prim versiune a fost urmat de o a doua ediie, extins la
nivelul documentelor surs i al componentelor, inclusiv prin adugarea unui set de instrumente de
implementare, care a fost publicat n anul 1998.
Obiectivele de control elaborate de ctre ISACF (ISACA) au fost proiectate ca un instrument pentru
auditori, n timp ce cadrul de lucru COBIT este un rezultat al evoluiei ctre un instrument pentru
management i guvernare IT. Din acest motiv, COBIT a fost suplimentat cu o serie de elemente care
permit decizii de implementare i mbuntire a proceselor IT: indicatori cheie de scop, indicatori cheie
de performan, factori de succes critici, modele de maturitate.
Necesitatea de a avea asigurri cu privire la valoarea tehnologiei informaiei, managementul riscurilor
asociate acestor tehnologii, precum i cerinele sporite pentru controlul asupra informaiilor sunt considerate ca un element-cheie al guvernrii organizaiilor i companiilor. Managementul valorii, managementul riscurilor i controlul constituie nucleul guvernrii IT.
COBIT (acronim de la Control Objectives for Information and related Technology) ofer un set de bune
practici prin intermediul unui cadru de referin bazat pe domenii i procese, prezentnd activitile de o
manier logic, uor de gestionat. Setul de bune practici prezente n COBIT se concentreaz n special
pe controlul proceselor din cadrul organizaiei, oferind bune practici care vor ajuta la optimizarea investiiilor IT, vor asigura livrarea serviciilor i vor furniza un referenial pe baza cruia se va judeca atunci
cnd lucrurile nu merg bine. n acest context, COBIT constituie un instrument deosebit de util i pentru
auditori.
Misiunea COBIT const n cercetarea, dezvoltarea, publicarea i promovarea unui cadru de referin
pentru guvernarea IT, autorizat, actualizat, acceptat la nivel internaional pentru a fi adoptat de ctre
Pag. 38 din 214
organizaii i utilizat n activitatea cotidian a managerilor, profesionitilor IT i auditorilor, avnd n vedere

impactul semnificativ pe care informaiile il pot avea asupra succesului organizaiilor.
Orientarea spre partea economic a COBIT const n legtura dintre obiectivele afacerii i obiectivele IT,
furnizarea de metrici/indicatori i de modele de maturitate pentru a cuantifica realizarea acestora, precum
i identificarea responsabilitilor legate de afacere i a responsabililor de procese IT.
2.8.2 Orientarea COBIT pe domenii i procese

Orientarea COBIT pe procese este pus n eviden de un model orientat pe patru domenii i 34 de
procese, in conformitate cu zonele de responsabiliti pentru planificarea, dezvoltarea, utilizarea i monitorizarea IT, oferind o imagine asupra sistemului informatic al organizaiei.
Conceptele cu privire la arhitectura ntreprinderii ajut la identificarea resurselor eseniale pentru asigurarea succesului procesului, cum ar fi aplicaiile, informaiile, infrastructura i resursele umane.
Pentru a oferi informaiile de care o organizaie are nevoie pentru atingerea obiectivelor sale, resursele IT
trebuie s fie gestionate de un set de procese grupate corespunztor, mediul informatic s fie controlat,
riscurile s fie gestionate i resursele IT s fie securizate.
n primul rnd, este nevoie de obiective de control care s defineasc i s susin obiectivul final de
punere n aplicare a politicilor, planurilor i a procedurilor, precum i de structuri organizatorice concepute
pentru a oferi o asigurare rezonabil n ceea ce privete atingerea obiectivelor economice i prevenirea
sau detectarea i corectarea evenimentelor neprevzute.
n al doilea rnd, n mediile complexe de astzi, managementul se afl ntr-o cutare continu de informaii, condensate i obinute n timp util, pentru a lua decizii dificile, dar cu rapiditate i succes cu
privire la valoare, risc i control.
Organizaiile au nevoie de o unitate de msur obiectiv asupra stadiului de dezvoltare, precum i n ceea
ce privete perfecionrile de care au nevoie, fiind practic obligate s pun n aplicare un instrument de
management pentru a monitoriza aceste mbuntiri. Un rspuns la aceste cerine de determinare i de
monitorizare a adecvrii i de evaluare a performanelor controalelor IT este dat de definiiile COBIT:
Analiza comparativ a performanei i capabilitii unui proces IT este exprimat sub forma unui model
de maturitate derivat din modelul CMM (Capability Maturity Model)49.
Obiectivele i indicatorii unui proces IT definesc i cuantific rezultatele i performana acestuia pe
baza principiilor tablourilor cu indicatori agregai50.
Obiectivele activitii au ca rol inerea proceselor sub control, pe baza controalelor COBIT.
2.8.3 Modele de maturitate COBIT

Evaluarea capabilitii proceselor pe baza modelelor de maturitate COBIT este un element-cheie al
punerii n aplicare a guvernrii IT. Dup identificarea proceselor i controalelor IT considerate critice,
modelele de maturitate permit identificarea lacunelor capabilitilor i argumentarea acestora n faa
managementului. Planurile de aciune pot fi apoi dezvoltate pentru a duce aceste procese pn la nivelul
de capabilitate dorit.
n concluzie, COBIT ofer un cadru de referin care asigur c:
Tehnologiile sunt aliniate cu afacerea;
Tehnologiile uureaz procesele economice i maximizeaz beneficiile;
49
50
de la Software Engineering Institute

dezvoltate de Robert Kaplan si David Norton
Pag. 39 din 214
Resursele sunt utilizate cu responsabilitate;

Riscurile IT sunt gestionate n mod corespunztor.
2.8.4 Msurarea performanelor

Msurarea performanelor este esenial pentru guvernarea IT. Aceasta este oferit de cadrul de lucru
COBIT i include stabilirea i monitorizarea unor obiective cuantificabile cu privire la ceea ce procesele IT
trebuie s ofere (rezultatul procesului), precum i la modul n care se livreaz (capabilitile i performana
procesului). Multe studii au identificat c lipsa de transparen privind costurile associate serviciilor IT,
valoarea investiiilor IT, precum i riscurile generate de prezena mediului informatizat reprezint unul
dintre cei mai importani factori ce afecteaz guvernarea IT. Transparena este obinut n primul rnd prin
msurarea performanei.
2.8.5 Zonele de interes pentru guvernarea IT

Guvernarea IT se focalizeaz pe cinci zone principale: alinierea strategic, livrarea de valoare, managementul riscurilor, managementul resurselor, msurarea performanei.
Alinierea strategic se concentreaz pe asigurarea legturii dintre procesele economice i
planurile IT, definind, meninnd i validnd valoarea propus pentru a fi obinut prin utilizarea IT;
Furnizarea valorii se concentreaz pe obinerea de valoare pe tot parcursul ciclului de via al
sistemului informatic, asigurndu-se c acesta ofer avantajele promise n conformitate cu
strategia adoptat;
Managementul resurselor are n vedere optimizarea investiiilor i managementul corespunztor al resurselor IT critice: aplicaii, informaii, infrastructur i resurse umane. Aspectele
principale vizeaz optimizarea cunoaterii i a infrastructurii;
Managementul riscurilor implic gradul de contientizare a riscurilor de ctre management, o
nelegere clar a apetenei ntreprinderii fa de risc, nelegerea cerinelor de conformitate, de
transparen cu privire la riscuri;
Msurarea performanelor urmrete i monitorizeaz implementarea strategiei, finalizarea
proiectului, utilizarea resurselor, performana procesului i livrarea de servicii, utiliznd, de
exemplu, tablourile cu indicatori agregai, care traduc strategia n aciune pentru a atinge
obiective msurabile, dincolo de contabilitatea convenional.
Cadrul de lucru COBIT ofer un model al proceselor generice ce prezint toate procesele identificate n
mod normal la nivelul funciei IT, oferind n acelai timp un model comun de referin ce poate fi neles
att de ctre manageri ct i de auditori.
Obiectivele de control IT din cadrul COBIT sunt organizate pe procese IT; prin urmare, cadrul de referin
ofer o legtur clar ntre cerinele de guvernare IT, procesele IT i controalele IT.
Guvernarea i cadrele de referin pentru control devin parte a bunelor practici de management IT i sunt,
n acelai timp, un stimulent pentru punerea n practic a guvernrii IT i asigurarea conformitii cu
cerinele legale n continu dezvoltare.
Bunele practici n IT au devenit importante datorit unui numr de factori:
Conducerea solicit o rat de recuperare mai bun a investiiilor n IT i o asigurare c IT

corespunde nevoilor afacerii i sporete valoarea pentru prile interesate;
ngrijorarea fa de nivelul, n general, tot mai mare al cheltuielilor cu IT;
Necesitatea de a ndeplini cerinele de reglementare a controalelor IT, n domenii cum ar fi viaa
privat i raportarea financiar (de exemplu, Actul Sarbanes-Oxley din USA, Basel II), precum i
n sectoare specifice, cum ar fi finane, industria farmaceutic sau asistena medical;
Selecia furnizorilor de servicii i gestionarea achiziiilor de servicii externalizate;
Pag. 40 din 214
Creterea complexitii riscurilor IT, cum ar fi securitatea reelei;

Iniiativele de guvernare IT ce includ adoptarea unor cadre de control i de bune practici cu
scopul de a ajuta la monitorizarea i mbuntirea activitilor IT critice pentru a crete valoarea
afacerii i a reduce riscul economic;
Nevoia de a optimiza costurile prin respectarea, acolo unde este posibil, a unor abordri mai
degrab standardizate dect special dezvoltate;
Creterea nivelului de maturitate i acceptarea pe scar larg a cadrelor de referin, cum ar fi
COBIT, ITIL, seria ISO 27000 privind securitatea informaiilor, standardele de calitate ISO 9001:
2000 Quality Management Systems - Requirements, model de maturitate (CMMI), metodologie
de proiectare n medii controlate (PRINCE2);
Nevoia organizaiilor de a evalua modul n care acestea funcioneaz, comparativ cu standardele
general acceptate i sau cu alte companii (benchmarking).
Cadrul de referin COBIT a fost creat avnd ca principale caracteristici:

1.
2.
3.
4.
Concentrarea pe componenta economic;

Orientarea pe procese;
Bazat pe controale;
Conducerea prin indicatori.
2.8.6 Liniile Directoare pentru Auditare asociate Cadrului de lucru

COBIT
Liniile directoare pentru auditare furnizeaz un instrument complementar de facilitare a aplicrii cadrului
de lucru i a obiectivelor de control COBIT n activitile de auditare i evaluare. Scopul liniilor directoare
pentru auditare este acela de a pune la dispoziie o structur simpl pentru auditarea i evaluarea controalelor bazat pe practici de auditare general acceptate, care sunt compatibile cu schema COBIT
global. Pentru o just situare n ansamblu, considerm util a descrie trsturile definitorii ale liniilor
directoare pentru auditare i relaiile acestora n cadrul arhitecturii de auditare.
(1)- O prim observaie este aceea c, n mod inerent, liniile directoare pentru auditare sunt generice i de
nivel nalt n ceea ce privete structura proprie, ca o consecin direct a diversitii obiectivelor i practicilor de auditare adoptate de o organizaie sau alta, precum i a diversitii profesionitilor implicai n
auditare.
(2)- Caracteristica de esen rezid n aceea c, prin faptul c se bazeaz pe obiectivele de control, liniile
directoare pentru auditare asigur eliminarea opiniei auditorului din concluziile auditului (asigur deci, o
obiectivizare a concluziilor auditului), nlocuind aceast opinie cu criterii de autoritate recunoscut derivate
din fundamentele COBIT (41 de standarde i documente de bune practici, din sistemul public i privat,
recunoscute pe plan mondial).
(3)- Liniile directoare pentru auditare furnizeaz ghidare pentru elaborarea de planuri de auditare care se
integreaz cu cadrul de lucru COBIT i obiectivele de control detaliate, i care pot fi deci utilizate n
contextul obiectivelor de control COBIT. Astfel de planuri de auditare pot fi extinse i rafinate pn la
programe de auditare specifice.
(4)- Liniile directoare pentru auditare permit auditorului revizuirea proceselor IT specifice prin prisma
obiectivelor de control COBIT i sprijinirea n consecin a managementului: indicarea locurilor unde
controalele sunt suficiente sau unde procesele trebuie s fie mbuntite.
(5)- Combinaia dintre Cadrul de lucru COBIT i Liniile Directoare pentru Auditare se poate utiliza att n
manier reactiv, ct i n manier proactiv, aceasta din urm n fazele iniiale ale dezvoltrii proiectelor
i proceselor.
Pag. 41 din 214
Structura general a Liniilor Directoare pentru Auditare

Structura general a liniilor directoare pentru auditare este inspirat de modelele generale de evaluare a
controalelor: (a)- modelul de auditare (cel mai rspndit) sau (b)- modelul de analiz a riscului.
In cele ce urmeaz, vom prezenta o descriere a liniilor directoare pentru auditare prin prisma modelului de
auditare. Un asemenea model ia n considerare o serie de obiective specifice ale auditrii, ntre care cele
mai importante sunt: (a) de a furniza managementului o asigurare rezonabil asupra faptului c obiectivele de control sunt atinse, (b) de a substanializa riscul rezultant, acolo unde sunt puse n eviden
puncte slabe ale controalelor, i (c) de a consilia managementul asupra aciunilor corective.
In aceeai linie de idei, se poate adopta ca premis i faptul c structura general acceptat a procesului
de auditare include urmtoarele componente (faze): (1)- identificarea i documentarea; (2)- evaluarea;
(3)- testarea conformitii; (4)- testarea bazat pe probe.
Cadrul de auditare construit pe cerinele COBIT este prezentat ntr-o manier ierarhizat pe nivele, cu o
orientare declarat ctre obiectivele afacerii, fiind dirijat de proces. De asemenea, cadrul de lucru are o
dubl focalizare: pe resursele care trebuie gestionate i pe criteriile de informaie care sunt necesare.
2.8.7 Criteriile COBIT pentru informaie

Pentru a satisface obiectivele afacerii, informaia trebuie s se conformeze anumitor criterii de control pe
care COBIT le evideniaz sub forma de cerine ale afacerii pentru informaie. Pe baza cerinelor generale
de calitate, de ncredere i de securitate, au fost definite apte criterii distincte pentru informaii, dup cum
urmeaz:
Eficacitatea: impune ca informaiile s fie relevante i pertinente pentru procesul economic,
precum i s fie livrate ntr-un timp util i de o manier corect, coerent i uor de utilizat.
Eficiena: se refer la furnizarea de informaii prin utilizarea optima a resurselor (raportndu-ne la
productivitate i economicitate).
Confidenialitatea: se refer la protejarea informaiilor sensibile impotriva divulgrii neautorizate.
Integritatea: se refer la acurateea i exhaustivitatea informaiilor, precum i la valabilitatea
acestora, n conformitate cu valorile i asteptrile organizaiei.
Disponibilitatea: impune ca informaiile s fie disponibile atunci cnd procesul economic o cere,
la momentul actual sau n viitor. De asemenea, se refer la protejarea resurselor necesare i a
capacitilor asociate.
Conformitatea: se refer la conformitatea cu cadrul legislativ i de reglementare, cu acordurile
contractuale la care este supus procesul economic.
Fiabilitatea: se refer la furnizarea de informaii adecvate managementului pentru a opera
entitatea i pentru a-i exercita responsabilitile de guvernare.
2.8.8 Resursele IT
Funcia IT i atinge scopurile printr-o serie bine definit de procese care implic aptitudinile personalului
i infrastructura tehnologic pentru a executa aplicaii automatizate ce deservesc derularea afacerii,
folosind prghii informaionale specifice afacerii.
Resursele IT identificate n COBIT pot fi definite dup cum urmeaz:
Aplicaiile: sunt sistemele utilizator automatizate i procedurile manuale care prelucreaz

informaiile.
Informaiile: reprezint datele, de toate tipurile, intrate, procesate i rezultate din sistemele
informaionale, indiferent de forma sub care sunt utilizate n derularea afacerii.
Pag. 42 din 214
Infrastructura: este format din tehnica i tehnologiile care permit procesarea i rularea
aplicaiilor (de exemplu: echipamente, hardware, sisteme de operare, sisteme de management al
bazelor de date, reele, multimedia i ntreg mediul de tip suport n care se gsesc).
Resursele umane: reprezint ntreg personalul necesar pentru a planifica, organiza, achiziiona,
implementa, furniza, susine, monitoriza i evalua sistemele informaionale i serviciile. Acetia
pot fi angajai permaneni ai firmei, angajai temporar pe baz de contract sau funciile lor pot fi
nchiriate de pe piaa serviciilor externalizate, dup cerine.
2.8.9 Domeniile COBIT

Cadrul de lucru COBIT definete activitile legate de IT ntr-un model general al proceselor cu patru
domenii: Planificare i Organizare51 (direcioneaz furnizarea soluiilor i a serviciilor), Achiziie i Implementare52 (ofer soluiile i le transmite mai departe spre a fi transformate n servicii), Furnizare i
Suport53 (primete soluiile i le face utilizabile pentru utilizatorii finali), Monitorizare i Evaluare54 (supervizeaz toate procesele pentru a fi asigurat faptul c direciile i msurile decise sunt urmate ntocmai
spre a fi ndeplinite).
Pentru a pstra conformitatea cu cadrul de lucru, pentru procesele COBIT n lucrare vor fi folosite acronimele corespunztoare din limba englez: PO, AI, DS, ME.
Cadrul COBIT ofer un model al proceselor i un limbaj comun tuturor celor implicai n IT dintr-o organizaie, pentru a vizualiza i conduce activitile legate de IT ctre o bun guvernare IT. De asemenea,
acest cadru permite msurarea i monitorizarea performanei IT, comunicarea cu furnizorii de servicii i
adoptarea celor mai bune practici de management. Modelul proceselor susine gestiunea per proces,
precum i ndatoririle i responsabilitile definite.
PLANIFICARE I ORGANIZARE (Plan & Organise - PO)
Acest domeniu acoper strategia i tacticile i vizeaz identificarea celor mai potrivite ci prin care tehnologia informaiei poate contribui la ndeplinirea obiectivelor afacerii. Implementarea viziunii strategice
este necesar a fi planificat, comunicat i abordat din diverse perspective, avnd n vedere c se
raporteaz, pe de o parte, la sistemul de organizare, precum i, pe de alt parte, la asigurarea unei infrastructuri tehnologice.
Cnd este evaluat acest domeniu, se pun urmtoarele ntrebri:
Dac strategia IT este aliniat la strategia afacerii;

Dac organizaia atinge un nivel optim de utilizare a resurselor disponibile;
Dac obiectivele IT sunt nelese de ctre toi membrii organizaiei;
Dac riscurile IT sunt cunoscute i gestionate;
Dac nivelul de calitate al sistemelor IT rspunde n mod corespunztor nevoilor afacerii.
ACHIZIIE I IMPLEMENTARE (Acquire & Implement - AI)

n vederea realizrii strategiei IT, soluiile IT trebuie identificate, dezvoltate sau achiziionate, dar i implementate i integrate n procesele afacerii. n plus, pentru a se asigura continuitatea n atingerea obiectivelor economice pe baza soluiilor IT, sunt acoperite, prin acest domeniu, schimbrile i mentenana
sistemelor deja existente.
PO Plan and Organize

AI Acquire and Implement
53 DS Deliver and Support
54 ME Monitor and Evaluate
51
52
Pag. 43 din 214
Dac exist perspective ca noile proiecte s ofere soluii care s rspund nevoilor afacerii;
Dac noile proiecte au anse s fie duse la bun sfrit, n timpul i cu bugetul prevzute;
Dac noile sisteme vor funciona dup implementare;
Dac este posibil ca schimbrile s aib loc fr a perturba activitile curente ale
afacerii/organizaiei.
FURNIZARE I SUPORT (Deliver & Support - DS)

Acest domeniu este responsabil de furnizarea efectiv a serviciilor necesare, ceea ce include furnizarea
serviciilor IT, managementul securitii i al continuitii, servicii suport pentru utilizatori i managementul
datelor i al capabilitilor operaionale.
Dac serviciile IT sunt furnizate n conformitate cu prioritile afacerii;

Dac sunt optimizate costurile IT;
Dac personalul poate folosi sistemele IT n mod productiv i n siguran;
Dac, n vederea asigurrii securitii, sunt adecvate confidenialitatea, disponibilitatea i integritatea.
MONITORIZARE I EVALUARE (Monitor & Evaluate - ME)

Toate procesele IT trebuie evaluate periodic, din perspectiva calitii lor i a conformitii cu cerinele
controlului. Acest domeniu este axat pe managementul performanei, monitorizarea controlului intern,
conformarea cu legislaia (sau/i cadrul de reglementare) i are n vedere i guvernarea IT.
Cnd este evaluat acest domeniu, se pun urmtoarele intrebri:
Dac este msurat performana sistemului IT pentru a detecta la timp problemele;

Dac managementul asigur eficiena i eficacitatea controlului intern;
Dac se poate face o evaluare privind impactul performanei sistemului IT asupra
intelor/scopurilor afacerii;
Dac, n vederea asigurrii securitii, sunt adecvate confidenialitatea, integritatea i
disponibilitatea.
n cadrul celor patru domenii, COBIT conine 34 de procese IT a cror utilizare este general. Pentru a
verifica completitudinea activitilor i a responsabilitilor, COBIT pune la dispoziie o list complet a
proceselor. n funcie de tipul organizaiei, ele pot fi aplicate integral, partial, sau pot fi combinate dup
necesiti. Pentru fiecare din aceste 34 de procese se face o trimitere ctre obiectivele afacerii si obiectivele IT pe care le susin. De asemenea, sunt oferite informaii despre modul n care pot fi msurate,
despre activitile cheie i principalele rezultat i n responsabilitatea cui cade asigurarea lor.
COBIT definete att obiectivele de control pentru toate cele 34 de procese, ct i controale specifice
aferente aplicaiilor.
2.8.10 Controalele asociate proceselor

Controlul este definit ca totalitatea politicilor, procedurilor, practicilor i a structurilor organizaionale
proiectate s ofere o asigurare rezonabil asupra faptului c obiectivele afacerii vor fi atinse i evenimentele nedorite vor fi prevenite sau detectate i corectate.
Obiectivele de control IT incluse n COBIT ofer un set complet de cerine de nivel nalt care trebuie luate
n considerare de ctre management, n vederea unui control eficient al fiecrui proces IT.
Pag. 44 din 214
Ele pot fi materializate sub urmtoarele forme sau aciuni:
Afirmaii declarative ale managementului privind creterea valorii sau reducerea riscului;
Politici, proceduri, practici i structuri organizaionale;
Sunt concepute spre a asigura in mod acceptabil faptul c obiectivele afacerii vor fi atinse i
evenimentele nedorite vor fi prevenite sau detectate i corectate;
Managementul organizaiei trebuie s fac unele alegeri privind obiectivele de control: selectarea
obiectivelor care sunt aplicabile, decizia privind controalele care vor fi puse n practic.
Alegerea modului de a implementa controalele (frecven, durat, grad de automatizare etc.).
Acceptarea riscului neimplementrii controalelor aplicabile.
ntruct obiectivele de control IT ale COBIT sunt ataate proceselor IT, cadrul de referin COBIT ofer
corespondenele ntre cerinele guvernrii IT, procesele IT i controalele IT.
Fiecare dintre procesele IT definite in COBIT are o descriere a procesului i un numr de obiective legate
de controlul aferent. Vzute ca un ntreg, ele sunt caracteristicile unor procese bine gestionate.
Obiectivele de control sunt identificate prin dou caractere (abrevierea domeniului din care fac parte: PO,
AI, DS i ME), un numr al procesului i un numr al obiectivului controlului.
2.8.11 Cerinele obiectivelor de control

Fiecare proces COBIT are asociate, n afar de obiective de control, i cerine generale de control care
trebuie avute in vedere mpreun cu obiectivele de control ale proceselor.
Scopurile i obiectivele proceselor: Definete i comunic scopuri i obiective ale proceselor cu

respectarea principiilor SMART (specific, msurabil, realizabil, realist, orientat spre rezultat i
posibil de realizat n timp) pentru execuia eficient a fiecrui proces IT. Asigur corespondena
cu obiectivele afacerii i c acestea sunt susinute de indicatori relevani.
Responsabilitatea procesului: Stabilete un responsabil al procesului pentru fiecare proces IT i
definete clar rolurile i responsabilitile sale. Include, de exemplu, responsabilitatea pentru
proiectarea procesului, interaciunea cu alte procese, rspunderea pentru rezultatele finale,
msurarea performanei procesului i identificarea oportunitilor de mbuntire.
Repetabilitatea procesului: Proiecteaz i stabilete fiecare proces cheie spre a fi repetabil i
consecvent n producerea rezultatelor ateptate. Furnizeaz o secvena logic, dar flexibil i
scalabil a activitilor care vor conduce la rezultatele dorite i suficient de agil pentru a face fa
excepiilor i urgenelor. Utilizeaz procese compatibile, acolo unde e posibil i le modific doar
acolo unde nu se poate evita acest lucru.
Roluri i responsabiliti: Definete activitile cheie i livrabilele procesului. Atribuie i comunic
rolurile definite fr ambiguitate i responsabilitile pentru o execuie eficient i eficace a
activitilor cheie i pentru documentarea lor, ca i rspunderea pentru furnizarea rezultatelor
finale ale procesului.
Politici, planuri i proceduri: Definete i comunic modul n care toate politicile, planurile i
procedurile care conduc un proces IT sunt documentate, revizuite, meninute, aprobate, pstrate,
comunicate i utilizate pentru instruire. Atribuie responsabilitile pentru fiecare din aceste
activiti i, la momentele adecvate, revizuiete execuia lor corect. Se asigur c politicile,
planurile i procedurile sunt accesibile, corecte, nelese i nnoite.
mbuntirea performanei procesului: Identific un set de indicatori care ofer o imagine asupra
rezultatelor i a performanei procesului. Stabilete inte care se reflect n scopurile proceselor i
n indicatorii de performan ce permit atingerea scopurilor procesului. Definete modul n care
datele vor fi obinute. Compar msurtorile cu intele stabilite i acioneaz, acolo unde este
cazul, conform deviaiilor constatate. Aliniaz indicatorii, valorile-int i metodele cu abordarea
global cu privire la monitorizarea performanei sistemului IT.
Pag. 45 din 214
Implementarea unor controale eficace reduce riscul, crete probabilitatea obinerii de valoare i
mbuntete eficiena prin diminuarea numrului de erori i printr-o abordare managerial consistent.
2.8.12 Controalele IT i controalele economice

Sistemul de control intern al unei ntreprinderi produce un impact asupra mediului IT, pe trei nivele:
1. La nivelul managementului executiv, sunt stabilite obiectivele economice, politicile, iar deciziile
care se iau vizeaz modul n care trebuie dezvoltate i gestionate resursele organizaiei pentru a
executa strategia acesteia. Mediul de control IT este direcionat prin acest set de obiective i
politici de la cel mai nalt nivel.
2. La nivelul proceselor afacerii, controalele sunt aplicate anumitor activiti. Majoritatea proceselor
economice sunt automatizate i integrate cu sistemele de aplicaii IT astfel c multe dintre
controalele aferente acestui nivel sunt i ele automatizate. Ele sunt cunoscute sub denumirea de
controale de aplicaie. Totui, unele controale ale proceselor economice rmn a fi implementate
prin proceduri manuale, cum ar fi: autorizarea tranzaciilor, segregarea sarcinilor (ndatoririlor),
reconcilierile manuale. Astfel, controalele la nivelul proceselor economice sunt o combinaie de
controale manuale operate de afacere i controale automatizate din afacere (controale de
aplicaie). Ambele cad n responsabilitatea domeniului afacerii pentru a fi definite i gestionate,
dei proiectarea i dezvoltarea controalelor aplicaiilor impune suportul i implicarea funciei IT.
3. Pentru a oferi suport proceselor afacerii, tehnologia informaiei pune la dispoziie serviciile IT, de
obicei ca servicii partajate ntre mai multe procese ale afacerii, dup cum, multe dintre procesele
de dezvoltare i procesele operaionale ale sistemului IT sunt dedicate ntregii organizaii, iar o
mare parte din infrastructura IT este furnizat ca serviciu comun (partajarea reelelor, a bazelor
de date, a sistemelor de operare). Controalele implementate pentru ntreg mediul IT sunt
cunoscute drept controale generale IT. Operarea eficient a acestor controale generale IT este
necesar pentru ca i controalele de la nivelul aplicaiilor s fie de ncredere.
2.8.13 Controale generale IT i controale de aplicaii

Controalele generale sunt incorporate n procesele i serviciile IT i includ: dezvoltarea sistemelor,
managementul schimbrii, securitatea, operarea sistemului.
Controalele incorporate n aplicaiile proceselor economice sunt cunoscute drept controale ale aplicaiilor
care includ: completitudinea, acurateea, validitatea, autorizarea, separarea sarcinilor de serviciu.
COBIT admite c proiectarea i implementarea controalelor automatizate ale aplicaiilor cade n
ndatoririle funciei IT, n baza nevoilor/cerinelor afacerii definite folosind criteriile COBIT pentru informaii.
Managementul operaional i responsabilitatea asupra gestiunii controalelor aplicaiei aparin responsabilului de proces (nu funciei IT).
Responsabilitatea pentru controalele aplicaiilor este o responsabilitate comun att domeniului
economic, ct i funciei IT, dar natura acestor responsabiliti se schimb dup cum urmeaz:
a) domeniul economic este responsabil pentru:
- definirea corespunztoare a cerinelor funcionale i de control
- utilizarea serviciilor automatizate n mod adecvat
b) domeniul IT este responsabil pentru:
- automatizarea i implementarea cerinelor funcionale i de control
- stabilirea elementelor de gestiune pentru a menine integritatea controalelor aplicaiilor
Lista de mai jos conine o serie recomandat de obiective de control ale aplicaiilor
Pag. 46 din 214
Pregtirea i autorizarea surselor de date: Asigur faptul c documentele surs sunt pregtite de
personal autorizat i calificat, folosind proceduri anterior stabilite, demonstrnd o separare adecvat a ndatoririlor cu privire la generarea i aprobarea acestor documente. Erorile i omisiunile
pot fi minimizate printr-o bun proiectare a intrrilor. Detecteaz erorile i neregulile spre a fi
raportate i corectate.
Colectarea surselor de date si introducerea n sistem: Stabilete faptul c intrrile (datele de
intrare) au loc la timp, fiind fcute de ctre personal autorizat i calificat. Corectarea i retrimiterea
datelor care au intrat n sistem n mod eronat trebuie s aib loc fr a compromite nivelurile
iniiale de autorizare privind tranzaciile (intrrile). Cnd este nevoie s se reconstituie intrarea,
trebuie reinut sursa iniial pentru o perioad suficient de timp.
Verificri privind: acurateea, completitudinea i autenticitatea: Asigur faptul c tranzaciile sunt
precise (exacte), complete i valide. Valideaz datele introduse i le editeaz sau le trimite napoi
spre a fi corectate ct mai aproape posibil de punctul de provenien.
Integritatea i validitatea procesului: Menine integritatea i validitatea datelor de-a lungul ciclului
de procesare. Detectarea tranzaciilor compromise din punct de vedere al erorilor nu ntrerupe
procesarea celor valide.
Revizuirea rezultatelor, reconcilierea i tratarea erorilor: Stabilete procedurile i responsabilitile
asociate pentru a asigura c rezultatul este utilizat ntr-o manier autorizat, distribuit destinatarului potrivit i protejat n timpul transmiterii sale, c se efectueaz: verificarea, detectarea i
corectarea exactitii rezultatului i c informaia oferit n rezultatul procesrii este utilizat.
Autentificarea i integritatea tranzaciilor: nainte de a transmite datele tranzaciei de la aplicaiile
interne ctre funciile operaionale ale afacerii (sau ctre exteriorul ntreprinderii), trebuie
verificate: destinaia, autenticitatea sursei i integritatea coninutului. Menine autenticitatea i
integritatea transmiterii sau ale transportului.
2.8.14 Orientarea spre evaluare (msurtori)

Organizaiile au nevoie s evalueze starea n care se afl i unde anume se impune o mbuntire, iar
pentru aceasta, au nevoie s pun n practic un ghid de management n vederea monitorizrii acestei
evoluii de mbuntire. COBIT trateaz aceste aspecte oferind:
Modele de maturitate, care s permit stabilirea unui sistem de indicatori ai performanei i

identificarea msurilor de perfecionare a capabilitilor;
inte ale performanei (scopuri) i metrici (indicatori) pentru procesele IT, prin care se
demonstreaz modul n care procesele susin afacerea i obiectivele IT, precum i modul n care
pot fi utilizate n evaluarea performanei proceselor interne, pe baza principiilor indicatorilor
generali de performan ai activitii (balanced scorecard);
Scopuri ale activitilor (inte) prin care este facilitat, n mod eficace, performana procesului.
2.8.15 Model generic de maturitate

COBIT admite cinci grade de maturitate:
0 - Non-existent
1 - Iniial / Ad Hoc
2 - Repetabil dar intuitiv
3 - Proces definit
4 - Gestionat i msurabil
5 - Optimizat
Modelul maturitii este o modalitate de a evalua ct de bine sunt dezvoltate procesele de management,
de exemplu, care e capacitatea lor, ct de capabile sunt. Aspectul legat de ct de bine dezvoltate sau
Pag. 47 din 214
capabile sunt, depinde n principal de obiectivele IT i de nevoile afacerii, pe care procesele le susin. Ct
de bine este desfurat capabilitatea depinde foarte mult de ceea ce ateapt organizaia s obin de la
respectiva investiie.
Modelele de maturitate sunt construite pornind de la modelul general al calitii la care sunt adugate
principii provenind din urmtoarele atribute, ntr-o manier ascendent pe niveluri:
Contientizare i comunicare
Politici, planuri i proceduri
Instrumente i automatisme
Abiliti i expertiz
Sarcini i responsabiliti
Stabilirea obiectivelor i a indicatorilor de evaluare
2.8.16 Msurarea performanei

Obiectivele i indicatorii sunt definii n COBIT pe trei niveluri:
1. Obiectivele IT i indicatorii care descriu ceea ce ateapt afacerea de la IT i modul n care sunt
msurate aceste ateptri;
2. Obiectivele proceselor i indicatorii care descriu ceea ce procesul IT trebuie s ofere pentru a
susine obiectivele IT i modul n care sunt msurate aceste ateptri;
3. Obiectivele activitilor i indicatorii care stabilesc ceea ce trebuie s aib loc n cadrul unui
proces pentru a atinge gradul de performan cerut i modul n care sunt msurate aceste
prevederi.
Metricile utilizate pentru msurarea performanei sunt:
a) Indicatori de rezultate (pentru ieiri care relev dac obiectivele au fost atinse. Ei pot fi
determinai numai dup actul faptic i de aceea se numesc indicatori de confirmare de feedback
(lag indicators).
b) Indicatori de performan care pun n eviden faptul c obiectivele ar putea fi atinse. Ei pot fi
determinai nainte ca rezultatul s fie cert, i de aceea se numesc indicatori int de referin
(lead indicators).
Indicatorii rezultatelor definesc metrici, care informeaz managementul ulterior producerii evenimentului
dac o funcie IT, un proces sau o activitate i-a atins obiectivele. Indicatorii afereni funciilor IT sunt
foarte des exprimai n termeni de criterii informaionale: disponibilitatea informaiei necesare pentru a
susine nevoile afacerii, absena riscurilor asociate integritii i confidenialitii, analiza cost-eficien
pentru procese i operaiuni, confirmarea siguranei, eficienei i conformitii.
2.8.17 Modelul cadrului de referin COBIT

Cadrul de referin oferit de COBIT leag nevoile informaionale ale afacerii i cerinele legate de
guvernare de obiectivele funcionrii serviciilor IT. Modelul proceselor din COBIT permite activitilor IT i
resurselor aferente care le susin s fie administrate i controlate n baza obiectivelor de control definite n
COBIT, pentru a se alinia i a monitoriza procesele folosind obiectivele i indicatorii COBIT.
n rezumat, procesele IT utilizeaz i administreaz resursele IT pentru ndeplinirea acelor obiective IT
care rspund cerinelor afacerii. Acesta este principiul de baz al cadrului de referin COBIT.
Cadrul de lucru COBIT se bazeaz pe analiza i armonizarea standardelor i bunelor practici IT existente
i este n conformitate cu principiile de guvernare general acceptate. Este poziionat la cel mai nalt nivel,
determinat de cerinele economice, acoper ntreaga gam de activiti IT i se concentreaz pe ceea ce
ar trebui s fie realizat, mai degrab dect pe cum s se asigure o guvernare, un management i un
Pag. 48 din 214
control eficiente. Prin urmare, acioneaz ca un integrator de practici de guvernare IT i face apel la
conducerea executiv, la conducerea operaional i la managementul IT, la profesioniti din domeniul
securitii, precum i la profesioniti din domeniul auditului i controlului. Este proiectat pentru a fi
complementar cu, i utilizat mpreun cu alte standarde i bune practici.
COBIT are relevan pentru urmtorii utilizatori:
Managementul executiv - pentru a obine valoare din investiiile n IT, a echilibra riscul i
controlul investiiilor ntr-un mediu IT care de cele mai multe ori nu e predictibil.
Managementul afacerii - pentru a avea asigurarea asupra managementului i controlului
serviciilor IT furnizate intern sau de pri tere.
Managementul IT - pentru a oferi acele servicii IT de care afacerea are nevoie pentru a susine
strategia de afaceri de o manier controlabil i organizat.
Auditori - pentru a da substan opiniilor proprii i / sau a oferi recomandri managementului n
legtur cu controalele interne.
2.8.18 Procese i obiective de control

DOMENIUL PO (Plan & Organize)
PROCESUL PO1 - Definirea planului strategic IT
Planificarea strategic a tehnologiilor informaionale este necesar pentru a administra i a direciona
toate resursele IT n concordan cu strategia i prioritile organizaiei. Funcia IT i beneficiarii acesteia
sunt responsabili pentru asigurarea realizrii valorii optime a proiectului i a portofoliului de servicii. Planul
strategic urmrete s mbunteasc gradul i capacitatea de nelegere din partea beneficiarilor n
ceea ce privete oportunitile i limitrile, stabilete nivelul de performan curent, identific cerinele
privind capacitatea i necesarul de resurse umane i clarific nivelul necesar de investiii. Strategia organizaiei i prioritile trebuie s fie reflectate prin portofolii i s fie executate prin intermediul planurilor
tactice, planuri ce specific obiective concise, planuri de aciune i sarcini. Toate acestea trebuie s fie
nelese i acceptate de ntreprindere i de departamentul IT.
Obiective de control
PO1.1 Managementul valorii IT
PO1.2 Alinierea cerinelor economice cu tehnologia informaiei
PO1.3 Evaluarea capabilitii i performanei curente
PO1.4 Planul Strategic IT
PO1.5 Planurile tactice IT
PO1.6 Managementul portofoliului IT
PROCESUL PO2 - Definirea arhitecturii informaionale

Funcia sistemelor informaionale creeaz i actualizeaz n mod frecvent un model informaional pentru
organizaie i definete sistemele potrivite pentru optimizarea folosirii informaiilor. Permite nglobarea
dezvoltrii dicionarului de date al organizaiei cu regulile de sintax a datelor organizaiei, cu schemele
de clasificare a datelor i cu nivelele de securitate. Acest proces mbuntete calitatea procesului
decizional asigurnd obinerea de informaii de ncredere i sigure.
Procesul permite raionalizarea resurselor sistemelor informaionale n vederea potrivirii cu strategia economic. De asemenea, este nevoie de acest proces pentru a crete responsabilitatea cu privire la
integritatea i securitatea datelor i pentru a mri eficacitatea i controlul asupra informaiilor partajate
ntre aplicaii i entiti.
Pag. 49 din 214
PO2.1 Modelul arhitecturii informaionale a ntreprinderii
PO2.2 Dicionarul de date al ntreprinderii i regulile de sintax a datelor
PO2.3 Schema de clasificare a datelor
PO2.4 Managementul integritii
PROCESUL PO3 - Determinarea direciei tehnologice

Funcia serviciilor informaionale determin direcia tehnologic necesar n sprijinul afacerii. Aceasta
necesit crearea unui plan al infrastructurii tehnologice i al unei conduceri ce stabilete i administreaz
n mod clar i realist ateptrile cu privire la ceea ce poate oferi tehnologia n materie de produse, servicii
i mecanisme de livrare. Planul este actualizat periodic i nglobeaz aspecte cum ar fi: arhitectura sistemului, direcia tehnologic, planuri de achiziie, standarde, strategii de migrare i situaiile neprevzute.
Acestea fac posibile reaciile n timp util la schimbrile din mediul concurenial, economiile de scar cu
privire la personalul IT i la investiii, precum i mbuntirea interoperabilitii platformelor i aplicaiilor.
PO3.1 Planificarea direciei tehnologice
PO3.2 Planul infrastructurii tehnologice
PO3.3 Monitorizarea tendinelor viitoare i a reglementrilor
PO3.4 Standardele tehnologice
PO3.5 Forumul/comitetul/consiliul arhitecturii IT
PROCESUL PO4 - Definirea proceselor IT, a funciei i a relaiilor

Structura funcional IT este definit lund n considerare cerinele cu privire la personal, abiliti, funcii,
responsabiliti, autoritate, roluri i supraveghere. Aceast structur funcional este inclus ntr-un cadru
de referin al procesului IT care asigur transparena i controlul, precum i implicarea att de la nivel
executiv ct i general. Un comitet/comisie responsabil() cu strategia asigur supravegherea comitetului
IT i a unuia sau mai multor comitete directoare, n care reprezentani ai companiei i persoane din
departamentul IT determin ierarhizarea resurselor IT n conformitate cu nevoile organizaiei. Pentru toate
funciile exist procese, politici administrative i proceduri, acordndu-se atenie deosebit controlului,
asigurrii calitii, managementului riscului, securitii informaiilor, identificrii responsabililor datelor i
sistemelor i separrii funciilor incompatibile. Pentru asigurarea suportului i susinerii cerinelor economice, funcia IT trebuie s fie implicat n procesele decizionale relevante.
PO4.1 Cadrul de referin al proceselor IT
PO4.2 Comitetul responsabil cu strategia IT
PO4.3 Comitetul director IT
PO4.4 Poziionarea organizaional a funciei IT
PO4.5 Structura organizatoric IT
PO4.6 Stabilirea rolurilor i responsabilitilor
PO4.7 Responsabilitatea pentru asigurarea calitii n IT
PO4.8 Responsabilitatea pentru risc, securitate i conformitate
PO4.9 Responsabilitatea cu privire la date i sistem
PO4.10 Supervizarea
PO4.11 Separarea funciilor
PO4.12 Personalul IT
PO4.13 Personalul IT critic
PO4.14 Politicile i procedurile personalului contractual
PO4.15 Relaiile
Pag. 50 din 214
PROCESUL PO5 - Managementul investiiilor IT

Este stabilit i ntreinut un cadru de referin pentru managementul programelor de investiii IT, cadru ce
nglobeaz costuri, beneficii, prioritile n cadrul bugetului, un proces formal de bugetare oficial i de
administrare conform bugetului. Beneficiarii sunt consultai cu scopul de a identifica i controla costurile
totale i beneficiile n contextul planurilor strategice i tactice IT i de a iniia aciunile de corecie acolo
unde este nevoie. Procesul stimuleaz parteneriatul ntre beneficiarii IT i cei din zona economic, permind folosirea resurselor IT n mod efectiv i eficient; furnizeaz transparen i responsabilitate cu
privire la costul total de utilizare (Total Cost of Ownership), la realizarea beneficiilor economice i rata de
recuperare a investiiilor IT (ROI).
PO5.1 Cadrul de referin pentru managementul financiar
PO5.2 Stabilirea prioritilor n cadrul bugetului IT
PO5.3 Finanarea IT
PO5.4 Managementul costurilor
PO5.5 Managementul beneficiilor
PROCESUL PO6 - Comunicarea inteniilor i obiectivelor conducerii

Conducerea dezvolt un cadru de referin al controlului IT la nivelul ntregii organizaii, definete i
comunic politicile. Este pus n aplicare un program de comunicare cu scopul de a articula misiunea,
obiectivele serviciilor, politicile i procedurile etc., aprobate i susinute de ctre conducere. Comunicarea
sprijin realizarea obiectivelor IT i asigur gradul de contientizare i de nelegere a riscurilor afacerii i
a riscurilor ce decurg din IT, a obiectivelor i inteniilor. Procesul asigur conformitatea cu legile i reglementrile relevante.
PO6.1 Politica IT i mediul de control
PO6.2 Riscul IT i cadrul de referin al controlului
PO6.3 Managementul politicilor IT
PO6.4 Iniierea politicii, standardelor i procedurilor
PO6.5 Comunicarea obiectivelor i inteniilor IT
PROCESUL PO7 - Managementul resurselor umane IT

Resursele umane cu competen ridicat se constituie i se menin pentru crearea i livrarea serviciilor IT
n cadrul organizaiei (afacerii). Acest lucru este realizat prin respectarea unor practici definite i agreate
care sprijin recrutarea, instruirea, evaluarea performaelor, promovarea i rezilierea contractului de
munc. Acest proces este critic, deoarece oamenii reprezint active importante, iar guvernarea i mediul
controlului intern sunt puternic dependente de motivaia i competena personalului.
PO7.1 Recrutarea si retenia personalului
PO7.2 Competenele personalului
PO7.3 Acoperirea rolurilor din punct de vedere al personalului
PO7.4 Instruirea personalului
PO7.5 Dependena de individualiti
PO7.6 Proceduri pentru autorizarea personalului
PO7.7 Evaluarea performanelor angajailor
PO7.8 Schimbarea locului de munc i rezilierea contractului de munc
Pag. 51 din 214
PROCESUL PO8 - Managementul calitii

Este dezvoltat i ntreinut un Sistem de Management al Calitii (SMC), incluznd procese i standarde
validate de dezvoltare i achiziie a sistemelor informatice. Acest lucru este posibil cu ajutorul planificrii,
implementrii i meninerii Sistemului de Management al Calitii, prin furnizarea de cerine clare de
calitate, proceduri i politici. Cerinele de calitate sunt formulate i transpuse n indicatori cuantificabili i
realizabili. mbuntirea continu se realizeaz prin monitorizare permanent, analiz i msurarea
abaterilor i comunicarea rezultatelor ctre beneficiari. Managementul calitii este esenial pentru a
asigura c funcia IT ofer valoare afacerii, mbuntire continu i transparen pentru beneficiari.
PO8.1 Sistemul de Management al Calitii
PO8.2 Standarde i practici de calitate IT
PO8.3 Standarde de dezvoltare i achiziie
PO8.4 Orientare spre client
PO8.5 mbuntire continu
PO8.6 Msurarea, monitorizarea i revizuirea calitii
PROCESUL PO9 - Estimarea i managementul riscurilor IT

Este creat i ntreinut un cadru de referin pentru managementul riscurilor. Acest cadru documenteaz
un nivel comun i convenit al riscurilor IT, precum i strategiile de reducere a riscurilor i de tratare a
riscurilor reziduale. Orice impact potenial asupra obiectivelor organizaiei, cauzat de un eveniment
neprevzut, este identificat, analizat i evaluat. Strategiile de reducere a riscurilor sunt adoptate pentru a
minimiza riscurile reziduale la un nivel acceptat. Rezultatul evalurii este uor de neles de ctre acionari
i exprimat n termeni financiari, pentru a permite acionarilor s alinieze riscul la un nivel de toleran
acceptabil.
PO9.1 Cadrul de referin pentru managementul riscurilor IT
PO9.2 Stabilirea contextului riscului
PO9.3 Identificarea evenimentului
PO9.4 Estimarea riscurilor
PO9.5 Reacia fa de risc
PO9.6 ntreinerea i monitorizarea unui plan de aciune mpotriva riscului
PROCESUL PO10 - Administrarea proiectelor

Pentru toate proiectele IT este stabilit un program i un cadru de referin pentru managementul proiectelor. Acest cadru garanteaz o ierarhizare corect i o bun coordonare a proiectelor. Cadrul de
referin include un plan general, alocarea resurselor, definirea livrabilelor, aprobarea utilizatorilor, livrarea
conform fazelor proiectului, AC (asigurarea calitii), un plan formal de testare, revizia testrii i revizia
post-implementrii cu scopul de a asigura managementul riscurilor proiectului i furnizarea de valoare
pentru organizaie. Aceast abodare reduce riscul apariiei unor costuri neateptate i anularea proiectelor, mbuntete comunicarea i colaborarea dintre organizaie i utilizatorii finali, asigur valoarea
i calitatea livrabilelor proiectului, i maximizeaz contribuia lor n programele de investiii IT.
PO10.1 Cadrul de referin pentru managementul programelor
PO10.2 Cadrul de referin pentru managementul proiectelor
PO10.3 Abordarea managementului proiectelor
PO10.4 Implicarea beneficiarilor
Pag. 52 din 214
PO10.5 Stabilirea scopului proiectului

PO10.6 Iniierea fazelor proiectului
PO10.7 Planul integrat al proiectului
PO10.8 Resursele proiectului
PO10.9 Managementul riscurilor proiectului
PO10.10 Planul calitii proiectului
PO10.11 Controlul schimbrilor n cadrul proiectului
PO10.12 Metode de planificare a asigurrii
PO10.13 Monitorizarea, raportarea i indicatorii de performan ai proiectului
PO10.14 Finalizarea proiectului
DOMENIUL AI (Acquire & Implement)

PROCESUL AI1 - Identificarea soluiilor automate
Nevoia unor aplicaii sau funcii noi necesit analiz nainte de achiziie sau dezoltare, pentru a garanta c
cerinele afacerii sunt ndeplinite ntr-o manier eficient i eficace. Acest proces acoper definirea
necesitii, considerarea surselor alternative, analiza fezabilitii tehnologice i economice, efectuarea
analizei riscului, analizei cost-beneficiu i adoptarea unei decizii finale de a realiza sau a cumpra. Toi
aceti pai permit organizaiilor s minimizeze costurile de achiziie i implementare a soluiilor, n acelai
timp asigurndu-se c permit proceselor de afaceri s i ating obiectivele.
AI1.1 Definirea i ntreinerea cerinelor funcionale economice i a cerinelor tehnice
AI1.2 Raportul analizei de risc
AI1.3 Studiul de fezabilitate i formularea de direcii alternative de aciune
AI1.4 Decizia i aprobarea cerinelor i a studiului de fezabilitate
PROCESUL AI2 - Achiziia i ntreinerea aplicaiilor software

Aplicaiile sunt puse la dispoziie n conformitate cu cerinele afacerii. Acest proces ia n considerare arhitectura aplicaiilor, includerea corect a cerinelor de control i securitate ale aplicaiei precum i dezvoltarea i configurarea n conformitate cu standardele. Acest proces permite organizaiilor s susin n mod
corespunztor operaiunile economice cu ajutorul aplicaiilor automatizate potrivite.
AI.2.1 Proiectarea de nivel nalt
AI.2.2 Proiectarea detaliat
AI.2.3 Controlul i auditabilitatea aplicaiilor
AI.2.4 Securitatea i disponibilitatea aplicaiilor
AI.2.5 Configurarea i implementarea aplicaiilor software achiziionate
AI.2.6 Actualizri majore ale sistemelor existente
AI.2.7 Dezvoltarea aplicaiilor software
AI.2.8 Asigurarea calitii software
AI.2.9 Managementul cerinelor aplicaiilor
AI.2.10 ntreinerea aplicaiilor software
Pag. 53 din 214
PROCESUL AI3 - Achiziia i ntreinerea infrastructurii tehnologice

Organizaiile au procese pentru achiziia, implementarea i actualizarea infrastructurii tehnologice.
Aceasta necesit o abordare planificat pentru achiziia, ntreinerea i protecia infrastructurii, n
conformitate cu strategiile tehnologice agreate i pregtirea mediilor de dezvoltare i testare. Acest
proces asigur existena unui suport tehnic continuu pentru aplicaiile economice.
AI3.1 Planul de achiziie a infrastructurii tehnologice
AI3.2 Protecia i disponibilitatea resurselor infrastructurii
AI3.3 ntreinerea infrastructurii
AI3.4 Mediul de testare a fezabilitii
PROCESUL AI4 - Autorizarea operrii i utilizrii

Sunt disponibile cunostine despre noile sisteme. Acest proces cere elaborarea de documentaii i
manuale pentru utilizatori i pentru personalul IT i ofer pregtire profesional pentru a asigura utilizarea
corect i funcionarea aplicaiilor i a infrastructurii.
AI4.1 Planificarea soluiilor operaionale
AI4.2 Transferul cunotinelor ctre managementul afacerii
AI4.3 Transferul cunotinelor ctre utilizatorii finali
AI4.4 Transferul cunotinelor ctre personalul care opereaz i cel care ofer suport
PROCESUL AI5 - Procurarea resurselor

Resursele IT, incluznd personal, echipamente hardware, software i servicii, trebuie s fie achiziionate.
Acest lucru necesit definirea i punerea n aplicare a procedurilor de achiziii, selectarea distribuitorilor,
configurarea aranjamentelor contractuale, precum i achiziia n sine. Se asigur astfel obinerea de ctre
organizaie a tuturor resursele IT ntr-un timp util i n mod eficient.
AI5.1 Controlul achiziiilor
AI5.2 Managementul contractelor cu furnizorii
AI5.3 Selectarea furnizorilor
AI5.4 Achiziionarea resurselor
PROCESUL AI6 - Managementul schimbrilor

Toate schimbrile, incluznd cele de ntreinere urgent i pachetele, referitoare la infrastructura i
aplicaiile din mediul de producie sunt administrate formal i ntr-o manier controlat. Schimbrile
(inclusiv acelea ale procedurilor, proceselor, sistemelor i parametrilor de servicii) sunt nregistrate,
evaluate i autorizate nainte de implementare i revizuite n comparaie cu rezultatul ateptat dup
implementare. Aceasta asigur reducerea riscurilor care afecteaz stabilitatea i integritatea mediului de
producie.
AI6.1 Standardele i procedurile pentru schimbare
AI6.2 Evaluarea impactului, stabilirea prioritilor i autorizarea
AI6.3 Schimbrile urgente
AI6.4 Urmrirea i raportarea strii schimbrii
AI6.5 Finalizarea schimbrii i documentarea
Pag. 54 din 214
PROCESUL AI7 - Instalarea i acreditarea soluiilor i schimbrilor

Noile sisteme trebuie s devin operaionale odat ce dezvoltarea lor este complet. De aceea, sunt
necesare urmtoarele: testare adecvat ntr-un mediu dedicat, cu date de test relevante; definirea
instruciunilor de distribuie i migrare; planificarea pachetelor de distribuie i promovarea n producie,
precum i o revizuire post-implementare. Astfel se asigur c sistemele operaionale rspund ateptrilor
i rezultatelor agreate.
AI7.1 Instruire
AI7.2 Planul de testare
AI7.3 Planul de implementare
AI7.4 Mediul de test
AI7.5 Conversia sistemului i a datelor
AI7.6 Testarea schimbrilor
AI7.7 Testul final de acceptare
AI7.8 Promovarea n producie
AI7.9 Revizia post-implementare
DOMENIUL DS (Deliver & Support)

PROCESUL DS1 - Definirea i administrarea nivelurilor serviciilor
Comunicarea eficient ntre managementul IT i clienii organizaiei n ceea ce privete serviciile solicitate
este asigurat printr-o definire documentat a unui acord legat de serviciile IT i nivelurile acestor servicii.
Acest proces include, de asemenea, monitorizarea i raportarea n timp util ctre beneficiari cu privire la
realizarea nivelurilor serviciilor. Acest proces permite alinierea serviciilor IT la cerinele afacerii.
DS1.1 Cadrul de referin pentru Managementul Nivelului Serviciilor
DS1.2 Definirea serviciilor
DS1.3 Acorduri privind nivelurile serviciilor
DS1.4 Acordurile Operaionale pentru nivelul serviciilor
DS1.5 Monitorizarea i raportarea privind realizarea nivelului serviciului
DS1.6 Revizia contractelor i a acordurilor privind nivelul serviciilor
PROCESUL DS2 - Managementul serviciilor de la teri

Nevoia de siguran c serviciile de la teri (furnizori, vnztori i parteneri) satisfac cerinele afacerii
implic un proces efectiv de management al prii tere. Acest proces este realizat prin definirea clar a
rolurilor, reponsabilitilor i ateptrilor n acordurile cu prile tere, precum i prin revizuirea i
monitorizarea acestor acorduri n vedera asigurrii eficacitii i conformitii. Managementul efectiv al
serviciilor de la teri minimizeaz riscul afacerii asociat furnizorilor neperformani.
DS2.1 Identificarea relaiilor cu toi furnizorii
DS2.2 Managementul relaiilor cu furnizorii
DS2.3 Managementul riscului asociat furnizorilor
DS2.4 Monitorizarea performanei furnizorului
Pag. 55 din 214
PROCESUL DS3 - Managementul performanei i capacitii

Nevoia de a gestiona performana i capacitatea resurselor IT necesit un proces de revizuire periodic a
performanei actuale i a capacitii resurselor IT. Acest proces include previziunea nevoilor viitoare
bazate pe volumul de prelucrare, stocare i cerinele de urgen. Acest proces ofer sigurana c
resursele informaionale care susin cerinele afacerii sunt disponibile continuu.
DS3.1 Planificarea performanei i capacitii
DS3.2 Performana i capacitatea actual
DS3.3 Performana i capacitatea viitoare
DS3.4 Disponibilitatea resurselor IT
DS3.5 Monitorizare i raportare
PROCESUL DS4 - Asigurarea continuitii serviciilor

Nevoia asigurrii continuitii serviciilor IT necesit dezvoltarea, meninerea i testarea planurilor de
continuitate IT, utilizarea amplasamentelor externe de stocare a copiilor de backup i oferirea unui plan de
instruire continuu. Un proces eficient de asigurare a continuitii serviciilor reduce probabilitatea i
impactul unei ntreruperi majore a serviciilor IT asupra funciilor i proceselor cheie ale afacerii.
DS4.1 Cadrul de referin pentru continuitatea IT
DS4.2 Planurile de continuitate IT
DS4.3 Resursele IT critice
DS4.4 ntreinerea planului de continuitate IT
DS4.5 Testarea Planului de continuitate IT
DS4.6 Instruirea privind planul de continuitate IT
DS4.7 Distribuirea planului de continuitate IT
DS4.8 Recuperarea i reluarea serviciilor IT
DS4.9 Stocarea extern a copiilor de siguran
DS4.10 Revizia post-reluare
PROCESUL DS5 - Asigurarea securitii sistemului

Nevoia de meninere a integritii informaiilor i protejarea bunurilor IT necesit un proces de management al securitii. Acest proces include stabilirea i meninerea rolurilor de securitate IT i a
responsabilitilor, politicilor, standardelor i procedurilor. Gestionarea securitii mai include i efectuarea
monitorizrilor periodice de securitate, testarea periodic i implementarea aciunilor corective pentru
identificarea punctelor slabe n securitate i a incidentelor. Gestionarea eficient a securitii protejeaz
toate bunurile IT pentru minimizarea impactului vulnerabilitilor asupra afacerii.
DS5.1 Managementul securitii IT
DS5.2 Planul de securitate IT
DS5.3 Managementul identitii
DS5.4 Managementul conturilor utilizatorilor
DS5.5 Testarea securitii, inspecia i monitorizarea
DS5.6 Definirea incidentelor de securitate
DS5.7 Protecia tehnologiei de securitate
DS5.8 Managementul cheilor criptografice
DS5.9 Prevenirea, detectarea i neutralizarea software-ului ru-intenionat
DS5.10 Securitatea reelei
DS5.11 Schimbul datelor sensibile
Pag. 56 din 214
PROCESUL DS6 - Identificarea i alocarea costurilor

Nevoia de a avea un sistem just i echitabil de alocare a costurilor IT n bugetul organizaiei necesit o
msurare ct mai exact a acestora dar i o colaborare permanent cu personalul IT pentru a le distribui
ct mai judicios. Procesul include construirea i utilizarea unui sistem care s identifice, s aloce i s
raporteze costurile IT ctre utilizatorii de servicii. Un sistem just de alocare permite managementului s ia
decizii mai bine ntemeiate cu privire la utilizarea serviciilor IT.
DS6.1 Definirea serviciilor
DS6.2 Contabilitatea IT
DS6.3 Modelul costurilor i taxarea
DS6.4 Mentenana modelului costurilor
PROCESUL DS7 - Educarea i instruirea utilizatorilor

Educarea eficient a tuturor utilizatorilor, incluznd pe cei din departamentul IT, necesit identificarea
nevoilor de nvare a fiecrui grup de utilizatori. n afara definirii nevoilor, procesul ar trebui s includ
definirea i implementarea unei strategii de creare a unor programe de nvare eficiente cu rezultate
cuantificabile. Un program de instruire eficient duce la eficientizarea folosirii tehnologiei prin reducerea
erorilor cauzate de utilizatori, crescnd productivitatea i conformitatea cu controalele cheie, cum ar fi
msurile de securitate.
DS7.1 Identificarea nevoilor de educare i instruire
DS7.2 Realizarea sesiunilor de instruire i educare
DS7.3 Evaluarea instruirii
PROCESUL DS8 - Coordonarea Help Desk i a incidentelor

Pentru a rspunde la timp i eficient cerinelor utilizatorilor din IT este nevoie de un proces bine structurat
de management al incidentelor i de suport tehnic. Acest proces include stabilirea unei funciuni de
Service Desk pentru nregistrarea incidentelor, analiza tendinei i cauzelor problemelor, precum i pentru
rezolvarea lor. Beneficiile obinute includ creterea productivitii prin rezolvarea mai rapid a cerinelor
utilizatorilor. Mai mult, se pot evidenia cauzele problemelor (cum ar fi lipsa de instruire) printr-o raportare
eficient.
DS8.1 Service Desk
DS8.2 nregistrarea cerinelor clienilor
DS8.3 nregistrarea incidentelor
DS8.4 nchiderea unui incident
DS8.5 Raportarea i analiza tendinelor
PROCESUL DS9 - Managementul configuraiei

Asigurarea integritii configuraiilor hardware i software presupune constituirea i ntreinerea unei baze
de date a configuraiilor corect i complet. Acest proces include colectarea informaiilor iniiale ale
configuraiei, stabilirea liniilor de baz, verificarea i auditarea informaiilor de configurare i actualizarea
bazei de date a configuraiilor atunci cnd este nevoie. Gestionarea efectiv a configuraiilor faciliteaz o
disponibilitate mai mare a sistemului, minimizeaz dificultile ce in de producie si rezolv problemele
mai operativ.
Pag. 57 din 214
DS9.1 Baza de date a configuraiei i liniile de baz
DS9.2 Identificarea i ntreinerea articolelor de configurat
DS9.3 Revizia integritii configuraiei
PROCESUL DS10 - Managementul problemelor

Managementul eficace al problemelor cere identificarea i clasificarea problemelor, analiza cauzelor
primare i a soluiilor propuse pentru acestea. Procesul de management al problemelor include de
asemenea formularea recomandrilor pentru mbuntire, pstrarea inregistrrilor cu privire la probleme
i analiza strii aciunilor corective. Un management eficace al problemelor maximizeaz disponibilitatea
sistemului, mbuntete nivelul serviciilor, reduce costurile i sporete confortul i satisfacia clienilor.
DS10.1 Identificarea i clasificarea problemelor
DS10.2 Urmrirea i rezolvarea problemelor
DS10.3 nchiderea problemei
DS10.4 Integrarea managementului configuraiei, incidentelor i al problemelor
PROCESUL DS11 - Managementul datelor

Managementul eficient al datelor presupune identificarea cerinelor de date. Procesul de management al
datelor include de asemenea stabilirea procedurilor eficiente pentru a gestiona coleciile de date, copiile
de siguran/backup i recuperarea datelor precum i distribuirea eficient a acestora pe suporturile de
informaii. Un management eficient al datelor ajut la asigurarea calitii, aranjrii cronologice i
disponibilitii datelor.
DS11.1 Cerinele afacerii pentru managementul datelor
DS11.2 Aranjamente privind depozitarea i pstrarea
DS11.3 Sistemul de management al bibliotecii media
DS11.4 Eliminarea
DS11.5 Copie de siguran i restaurare
DS11.6 Cerine de securitate pentru managementul datelor
PROCESUL DS12 - Managementul mediului fizic

Protecia echipamentelor electronice i a personalului necesit o bun concepere i o bun gestionare a
facilitilor fizice. Procesul de management al mediului fizic include definirea cerinelor fizice ale amplasamentului, selectarea mijloacelor adecvate i proiectarea proceselor eficiente pentru monitorizarea
factorilor de mediu i gestionarea accesului fizic. Managementul eficient al mediului fizic reduce ntreruperile proceselor economice cauzate de deteriorarea echipamentelor informatice i a personalului.
DS12.1 Selectarea i proiectarea amplasamentului
DS12.2 Msuri de securitate fizic
DS12.3 Accesul fizic
DS12.4 Protecia mpotriva factorilor de mediu
DS12.5 Managementul facilitilor fizice
Pag. 58 din 214
PROCESUL DS13 - Managementul operaiunilor

Procesarea complet i exact a datelor necesit un management eficient al procedurilor de prelucrare a
datelor i o ntreinere temeinic a hardware-ului. Acest proces include definirea politicilor de operare i a
procedurilor pentru gestionarea eficient a prelucrrilor programate, protejnd datele de ieire sensibile,
monitoriznd performana infrastructurii i asigurnd ntreinerea preventiv a hardware-ului. Gestionarea
eficient a operaiunilor ajut la meninerea integritii datelor i reduce ntrzierile i costurile de
exploatare IT.
DS13.1 Proceduri i instruciuni operaionale
DS13.2 Planificarea muncii
DS13.3 Monitorizarea infrastructurii IT
DS13.4 Documente sensibile i dispozitive de ieire
DS13.5 ntreinere preventiv pentru componentele hardware
DOMENIUL ME (Monitor & Evaluate)

PROCESUL ME1 - Monitorizarea i evaluarea performanei IT
Managementul eficace al performanei IT necesit un proces de monitorizare. Acest proces include
definirea unor indicatori de performan relevani, raportri sistematice cu privire la performan i acionarea prompt n cazul abaterilor. Monitorizarea este necesar pentru a asigura c procesele
funcioneaz corect i sunt n conformitate cu setul de direcii i politici.
ME1.1 Abordarea monitorizrii
ME1.2 Definirea i colectarea datelor monitorizate
ME1.3 Metoda de monitorizare
ME1.4 Evaluarea performanei
ME1.5 Raportarea la nivelul Comitetelor i la nivel executiv
ME1.6 Aciuni de remediere
PROCESUL ME2 - Monitorizarea i evaluarea controlului intern

Stabilirea unui program eficient de control intern pentru IT necesit un proces de monitorizare bine definit.
Acest proces include monitorizarea i raportarea excepiilor de la control, rezultatele auto-evalurii i
reviziile unor tere pri. Un beneficiu-cheie al monitorizrii controlului intern este oferirea unei asigurri n
ceea ce privete eficiena i eficacitatea operaiunilor i conformitatea cu legile i reglementrile
aplicabile.
ME2.1 Monitorizarea cadrului general al controlului intern
ME2.2 Revizia de supraveghere
ME2.3 Excepii de la control
ME2.4 Auto-evaluarea controlului
ME2.5 Asigurarea controlului intern
ME2.6 Controlul intern la tere pri
ME2.7 Aciuni de remediere
PROCESUL ME3 - Asigurarea conformitii cu cerinele externe
Supravegherea eficient a conformitii impune stabilirea unui proces de revizuire pentru a se asigura
concordana cu legile, regulamentele i cerinele contractuale. Acest proces include identificarea
Pag. 59 din 214
cerinelor de conformitate, optimizarea i evaluarea rspunsului, obinerea asigurrii c cerinele au fost

respectate, precum i integrarea conformitii IT raportat la restul afacerii.
ME3.1 Identificarea cerinelor de conformitate extern, legal, contractual sau de reglementare
ME3.2 Optimizarea rspunsului la cerinele externe
ME3.3 Evaluarea conformitii cu cerinele externe
ME3.4 Asigurarea conformitii
ME3.5 Raportare integrat
PROCESUL ME4 - Furnizarea guvernrii IT

Instituirea unui cadru de guvernare eficient include definirea structurii organizaionale, a proceselor, conducerea, rolurile i responsabilitile pentru a se asigura c investiiile IT ale intreprinderii sunt aliniate i
livrate n conformitate cu strategiile i obiectivele ntreprinderii.
ME4.1 Stabilirea cadrului de guvernare IT
ME4.2 Alinierea strategic
ME4.3 Furnizarea valorii
ME4.4 Managementul resurselor
ME4.5 Managementul riscurilor
ME4.6 Msurarea performanei
ME4.7 Asigurarea independent
2.9
Cadrul de lucru Val IT
Cadrul de lucru COBIT stabilete cele mai bune practici referitoare la mijloacele care contribuie la procesul de creare a valorii adugate.
Val IT vine s adauge cele mai bune practici pentru final, oferind mijloacelor un instrumentar de msurare
fr ambiguiti, cu ajutorul cruia se monitorizeaz i se optimizeaz realizarea de valoare adugat
pentru afacere55, prin investiii n IT. Val IT complementeaz COBIT din perspectiva afacerii i din perspectiva financiar i contribuie la obinerea unei creteri de valoare prin utilizarea tehnologiei informaiei.
Val IT este un cadru de administrare care const dintr-un set de principii directoare i o serie de procese
conforme cu aceste principii, care sunt definite ca un set de practici cheie de conducere.
Cadrul Val IT aliniaz terminologia sa cu terminologia COBIT i adaug o seciune de linii directoare
(similar cu COBIT), care ofer un nivel mai mare de detaliu proceselor cheie Val IT i practicilor de
management. Conine, de asemenea, modele de maturitate pentru fiecare domeniu al cadrului Val IT.
Necesitatea unei guvernri puternice a investiiilor IT este evident, avnd n vedere c mai mult de 2 din
10 proiecte IT din cadrul unei organizaii eueaz dintr-un numr de motive, printre cele mai comune fiind:
Investiiile IT nu susin strategia afacerii sau nu furnizeaz o valoare ateptat;
Exist proiecte prea multe, ceea ce duce la utilizarea ineficient resurselor;
Proiectele sunt adesea ntrziate, depesc bugetul i/sau nu produc beneficiile necesare;
Exist incapacitatea de a anula proiecte atunci cnd este necesar;
Organizaia are nevoie de resurse pentru a asigura conformitatea cu reglementrile industriei sau
guvernamentale.
Referinele la afacere n acest standard internaional trebuie interpretate n sens larg pentru a se referi la acele activiti
care sunt eseniale scopului pentru care este nfiinat organizaia.
Pag. 60 din 214
55
Scopul investiiilor IT este de a permite schimbarea afacerii. Pentru a gestiona schimbarea afacerii bazate
pe IT, investiiile IT trebuie s fie reglementate.
Cu ajutorul cadrului Val IT promovat de ISACA, pot fi luate decizii mai bune privind modul n care s se
investeasc n IT pentru a permite schimbarea afacerii, creterea rentabilitii investiiilor i pentru a
genera valoare adugat, afacerii.
Val IT este un cadru care se concentreaz pe livrare de valoare, unul dintre cele cinci domenii principale
ale guvernrii IT, i ofer asigurarea c investiiile IT sunt gestionate pe ciclul complet al vieii economice.
Prin aplicarea principiilor de management al portofoliului se pot evalua i monitoriza direct, investiiile n IT
pe ntreg ciclul de via economic al acestora.
2.9.1 Obiectivul i necesitatea cadrului de lucru Val IT

Obiectivul cadrului de lucru Val IT (care include cercetri, documentaii i servicii suport) este de a ajuta
managementul s se asigure c organizaia realizeaz o valoare optim din investiiile i activitile
bazate pe IT la un cost acceptabil i cu un nivel cunoscut i acceptabil de risc.
Cadrul de lucre Val IT furnizeaz linii directoare, procese i practici care permit nelegerea i ndeplinirea
rolului investiiilor IT. Pentru auditori, Val IT constituie referenialul la care se raporteaz cnd evalueaz
investiiile IT.
n ultimii ani, nivelul investiiilor n IT este semnificativ i continu s creasc. Sunt puine organizaii care
mai pot opera astzi, fr o infrastructur IT proprie.
n acest context, este o cerere din ce n ce mai mare din partea conducerii organizaiilor n ceea ce
privete accesul la cele mai bune practice i la linii directoare care s ghideze procesul decizional referitor
la obinerea beneficiilor pe baza investiiilor n IT. Fr o guvernare efectiv i un bun management,
investiiile IT pot genera, ntr-o msur semnificativ, oportunitatea de a distruge valoarea.
n ultimii ani, sondajele au artat constant c ntre 20-70 % din investiiile IT pe scar larg sunt irosite,
contestate sau nu reuesc s aduc un venit n organizaie. De fapt, un studiu privind evaluarea costurilor
i a valorii a constatat c, n multe ntreprinderi, mai puin de 8% din bugetul IT este, de fapt, cheltuit pe
iniiative care s creeze valoare pentru organizaie.
Un studiu Gartner din anul 2002 a constatat c 20% din toate cheltuielile aferente investiiilor IT
au fost risipite, constatare care reprezint, pe o baz global, o distrugere anual a valorii, n total
de aproximativ 600 miliarde dolari.
Un studiu realizat de IBM n 2004 a constatat c, n medie, 40% din totalul cheltuielilor IT nu au
adus nici un venit organizaiilor.
Un studiu din 2006 realizat de Grupul Standish a constatat c doar 35% din totalul proiectelor IT
s-au finalizat cu succes, n timp ce restul (65%) au fost fie contestate sau au euat.56
n mod evident, investiiile n IT pot aduce beneficii substaniale. Un studiu efectuat la nivel mondial n
cadrul grupului de servicii financiare ING, arat c investiiile IT ar oferi oportunitatea de a furniza rate de
rentabilitate mai mari dect aproape orice alte investiii convenionale. Acest studiu, efectuat la mijlocul
anului 2004, indic faptul c, n comparaie cu afacerile imobiliare comerciale sau cu aciunile cotate la
burs, un portofoliu de investiii IT bine echilibrat poate genera un venit semnificativ mai mare.
Luate mpreun, aceste exemple subliniaz o ntrebare strategic: Ce trebuie fcut pentru a ne asigura
c IT asigur rezultate pozitive sau poate chiar de transformare a valorii afacerii?.
56
Sursa: ITGI, Val IT Framework 2.0

Pag. 61 din 214
Definiie: Cadrul de lucru Val IT este un cadru global i pragmatic de organizare care permite crearea de
valoare n cadrul organizaiei pe baza investiiilor n tehnologia informaiei. Conceput pentru a se alinia la
cadrul COBITi pentru a-l completa, Val IT integreaza un set de principii de guvernare practice i
verificate, procese, practici i linii directoare care susin aceast platform, ofer suport managementului
executiv i altor lideri pentru a optimiza obinerea de valoare din investiiile IT.
Folosite cu succes considerabil de muli ani de conducerea organizaiilor, procesele i practicile incluse n
Val IT sunt prezentate, pentru prima dat, ca un cadru unic de guvernan integrat care ofer factorilor
de decizie o abordare cuprinztoare, consecvent, coerent i contribuie la crearea de valoare prin efecte
concrete i msurabile.
Cu sprijinul unui grup de experi n domeniul guvernrii informaiei, n control, securitate i audit,
recunoscui pe plan internaional, ITGI57 a acordat o mare atenie proiectrii acestui cadru pentru a se
asigura c integrarea Val IT cu COBIT va oferi un cadru cuprinztor pentru crearea i livrarea de valoare
de nalt calitate a serviciilor bazate pe IT. Pe de o parte, cadrul de lucru Val IT completeaz cadrul de
lucru COBIT, iar pe de alt parte este susinut de acesta.
nelegerea relaiei dintre aceste dou cadre este vital. Val IT are n vedere guvernarea ntreprinderii. Ca
un cadru cuprinztor pentru proiectarea si livrarea serviciilor bazate pe IT de nalt calitate, COBIT
stabilete seturi de bune practici pentru funcia IT, care contribuie la procesul de creare de valoare. Val IT
furnizeaz seturi de bune practici referitoare la rezultatele obinute pe baza investiiilor IT, permind astfel
ntreprinderilor msurarea, monitorizarea i optimizarea valorii, att financiare, ct i non-financiare.
Coerena ntre metodele i terminologia utilizate n cadrele de lucru Val IT i COBIT mbuntete comunicaia i interaciunile dintre factorii de decizie, funcia de IT i funciile de afaceri responsabile pentru
livrarea valorii planificate.
2.9.2 Aspecte legate de investiiile IT din perspectiva cadrului Val IT

ntrebrile care se pun n legtur cu investiiile IT se refer, n general, la urmtoarele aspecte:
1. Aspecte strategice: Este investiia n conformitate cu viziunea i cu principiile afacerii? Contribuie
aceasta la atingerea obiectivelor strategice? Este furnizat valoarea optim, la un pre accesibil i la un
nivel acceptabil de risc?
2. Aspecte legate de arhitectura de sistem: Este investiia n conformitate cu arhitectura IT existent?
Este investiia n conformitate cu principiile arhitecturale existente? Contribuie investiia la popularea
arhitecturii existente? Investiia este n concordan cu alte iniiative?
3. Aspecte legate de valoarea investiiei: Exist o nelegere clar i comun a beneficiilor ateptate?
Este stabilit o responsabilitate clar pentru realizarea beneficiilor? Sunt utilizate metrici relevante? A fost
stabilit un proces eficient de realizare a beneficiilor pe ntregul ciclu de via economic al investiiei?
4. Aspecte legate de livrare: Se realizeaz o gestionare eficient i disciplinat a livrrilor i a proceselor
de schimbare? Sunt disponibile resurse competente tehnice i de afaceri pentru a gestiona: facilitile
furnizate i schimbrile organizaionale necesare pentru a exploata capacitile?
2.9.3 nelegerea conceptului de valoare n sensul cadrului de

lucru Val IT
n cadrul de lucru Val IT, valoarea este definit ca totalul beneficiilor nete obinute pe tot ciclul de via,
raportate la costurile aferente, adaptate la risc, i (n cazul valorii financiare) pentru valoarea raportat la
timp a banilor.
57
Information Technology Governance Institute

Pag. 62 din 214
Cu toate acestea, n multe cazuri, valoarea nu constituie rezultatul unei msurri cantitative. Valoarea
este complex, dependent de contextul specific i dinamic. Valoarea este, n foarte multe cazuri, "n
ochii privitorului. Natura valorii este diferit pentru diferite tipuri de organizaii. n timp ce zona comercial
din organizaie se concentreaz, mult mai mult dect o fceau n trecut, pe valoarea de natur nonfinanciar, directorii au, n continuare, tendina de a vizualiza valoarea n primul rnd din punct de vedere
financiar, de multe ori pur i simplu ca pe o cretere a profitului ntreprinderii care rezult din investiii.
Pentru sectorul public, sau pentru ntreprinderile non-profit, valoarea este mult mai complex, i adesea,
dei nu ntotdeauna, de natur non-financiar. Aceasta poate include obinerea unor rezultate privind
politicile publice, mbuntirea cantitii i calitii serviciilor oferite (de exemplu, cetenilor pentru
sectorul public) i/sau creterea net a veniturilor oferite celor pentru care aceste servicii care rezult din
investiii sunt disponibile.
Conceptul de valoare se bazeaz pe relaia dintre ndeplinirea ateptrilor prilor interesate i resursele
folosite pentru a atinge obiectivele.
Prile interesate pot avea opinii diferite despre ceea ce reprezint o valoare. Scopul managementului
valorii este de a optimiza valoarea prin reconcilierea acestor diferene, de a permite organizaiei s
defineasc clar i s comunice punctul su de vedere privind semnificaia valorii, s selecteze i s
execute investiii, s gestioneze patrimoniul su i s optimizeze valoarea printr-o utilizare a resurselor la
preuri accesibile i un nivel acceptabil de risc.
ITGI privete furnizarea valorii ca fiind unul dintre cele cinci domenii prioritare ale guvernrii IT. n afar de
valoarea livrat, celelalte patru domenii includ: alinierea strategic, managementul riscurilor, managementul resurselor i msurarea performanelor. Valoarea livrat depinde de focalizarea pe zonele n
care aceasta necesit aliniere strategic, este permis prin gestionarea riscurilor i gestionarea resurselor
i, mpreun cu alte zone, este monitorizat prin msurarea performanei.
2.9.4 Beneficii obinute prin utilizarea cadrului de lucru Val IT

Entitile care aplic principiile, procesele i practicile cuprinse n cadrul de lucru Val IT pot realiza
beneficii strategice i pot s creeze niveluri ale valorii al afacerii reale semnificativ mai ridicate. La un nivel
fundamental, acest cadru ajut factorii de decizie s creasc nelegerea naturii valorii i a modului n care
aceasta este creat; s ctige o transparen n ceea ce privete costurile, riscurile i beneficiile, i ca
o extindere a acestora deciziile managementului s fie bazate mult mai mult pe informaie.
Val IT ajut organizaiile s creasc probabilitatea de selecie a investiiilor cu cel mai mare potenial n a
crea valoare. Val IT, de asemenea, crete probabilitatea de succes n executarea investiiilor selectate,
att atunci cnd serviciile IT sunt create sau mbuntite, ct i ulterior livrrii i utilizrii acestor servicii.
Cadrul Val IT reduce costurile i pierderea de valoare, asigurnd c factorii de decizie rmn concentrai
pe ceea ce ei ar trebui s fac i s ia msuri corective la timp cu privire la investiiile care nu furnizeaz
valoare n conformitate cu potenialul ateptat. n acelai timp, cadrul reduce riscul de eec, n special pe
cel cu impact mare i eec vizibil. De asemenea, cadrul reduce surprizele asociate cu costurile IT i de
livrare, i, n acest sens, valoarea afacerii crete, se reduc costurile inutile i crete nivelul general de
ncredere n IT.
2.9.5 Concepte Val IT i principiile cadrului de lucru Val IT

Proiect - Un set structurat de activiti care au ca scop furnizarea unei faciliti definite organizaiei
(acesta este necesar, dar nu suficient pentru a obine rezultatele cerute ale afacerii), pe baza unui
program i a unui buget aprobate.
Program - O grupare structurat de proiecte interdependente, care sunt att necesare ct i suficiente
pentru a obine un rezultat dorit i pentru a crea valoare. Aceste proiecte ar putea implica, dar nu sunt
Pag. 63 din 214
limitate la, modificri de natur ale afacerii, ale proceselor de afaceri, ale activitii desfurate, precum i
ale competenelor necesare pentru a efectua lucrrile, care s permit tehnologia i structura organizatoric. Programul de investiii este unitatea primar de investiii din Val IT.
Portofoliu - Grupri de "obiecte de interes" (programe de investiii, servicii IT, proiecte IT, alte bunuri IT
sau alte resurse) gestionate i monitorizate pentru a optimiza valoarea afacerii. Portofoliul de investiii
este de interes primar pentru Val IT. Serviciile IT, proiectele, activele sau alte portofolii de resurse sunt de
interes primar pentru COBIT.
Cadrul Val IT susine obiectivul organizaiei de a crea valoare optim din investiiile IT prin achiziii la un
cost accesibil, cu un nivel acceptabil de risc, fiind ghidat de un set de principii aplicate n procesele de
gestionare a valorii, care sunt permise prin practici cheie de management i sunt msurate prin
performana n raport cu obiectivele i indicatorii stabilii.
Principiile cadrului de lucru Val IT sunt:
Investiiile IT vor fi gestionate ca un portofoliu de investiii. Optimizarea investiiilor necesit
abilitatea de a evalua i de a compara investiii, fiind selectate n mod obiectiv cele cu potenialul cel
mai mare de a crea valoare, i de a le gestiona pentru a maximiza valoarea.
Investiiile IT vor include ntreaga sfer de activiti necesare pentru a atinge valoarea afacerii.
Realizarea valorii din investiii IT necesit mai mult dect livrarea de soluii i servicii IT aceasta
necesit, de asemenea, schimbri, cum ar fi: natura activitii n sine; procesele de afaceri, abiliti i
competene, precum i organizarea, toate acestea trebuind s fie incluse n documentaia de fundamentare i de realizare privind investiiile (Business Case - BC).
Investiiile IT vor fi gestionate pe ntreg ciclul de via economic. BC trebuie s fie pstrat activ
de la iniierea unei de investiii pn la finalizarea tuturor serviciiilor aferente investiiei. Acest principiu
recunoate c va exista ntotdeauna un anumit grad de incertitudine i c variaia n timp a costurilor,
riscurilor, beneficiilor, strategiei, i a schimbrilor organizaionale i externe trebuie s fie luat n
considerare cnd se stabilete dac finanarea ar trebui s fie continuat, majorat, diminuat sau
oprit.
Practicile de livrare a valorii vor recunoate c exist diferite categorii de investiii care vor fi
evaluate i gestionate n mod diferit. Astfel de categorii s-ar putea baza pe preferina managementului, pe magnitudinea costurilor, pe tipurile de riscuri, pe importana beneficiilor (de exemplu,
obinerea conformitii cu un cadru de reglementare), precum i pe tipurile i gradul de schimbare a
afacerii.
Practicile de livrare a valorii vor defini i vor monitoriza indicatorii cheie i vor reaciona rapid
la orice modificri sau abateri. Trebuie s fie stabilii i monitorizai cu regularitate indicatori de
performana pentru: (1) portofoliul global, (2) investiiile individuale, incluznd indicatori intermediari i
indicatori finali, (3) serviciile IT, (4), bunurile IT i (5) alte resurse care rezult dintr-o investiie, pentru
a se asigura c valoarea este creat i continu s fie creat pe parcursul ntregului ciclu de via al
investiiei.
Practicile de livrare a valorii vor angaja toate prile interesate i vor atribui responsabiliti
adecvate pentru livrarea facililitilor, precum i pentru realizarea beneficiilor afacerii. Att
funcia IT, ct i alte funcii ale afacerii trebuie s fie angajate i responsabile - funcia IT pentru
faciliti IT i funciile de afaceri pentru facilitile de afaceri necesare pentru a realiza valoare.
Practicile de livrare a valorii vor fi monitorizate, evaluate i mbuntite continuu. Pe msur
ce organizaia ctig experien privind practicile Val IT, aceste practici pot fi aplicate, astfel nct
selectarea investiiilor i gestionarea acestora s se mbunteasc n fiecare an.
2.9.6 Domeniile cadrului de lucru Val IT

Pentru a ndeplini obiectivul cadrului de lucru Val IT, de management al valorii care s permit
organizaiei s realizeze valoarea optim din investiiile IT la un cost accesibil, cu un nivel acceptabil de
Pag. 64 din 214
de risc, principiile cadrului Val IT trebuie s fie aplicate n trei domenii: guvernarea valorii, managementul
portofoliului, managementul investiiilor.
Fiecare domeniu cuprinde o serie de procese i practici cheie de management. Aceste procese i practici
cheie de management au fost distilate din experiena colectiv a echipei care a creat cadrul de lucru
Val IT i a unei echipe de consilieri recunoscui la nivel mondial i extrase din practicile, metodologiile i
cercetrile existente i emergente.
a) Guvernarea Valorii
Scopul guvernrii valorii (Value Governance - VG) este de a asigura c practicile de management al
valorii sunt ncorporate n organizaie i permit obinerea unei valori optime din investiiile IT pe parcursul
ntregului lor ciclu de via economic. Angajamentul conducerii n ceea ce privete guvernarea valorii
contribuie la:
Stabilirea cadrului de guvernare pentru managementul valorii ntr-o manier complet integrat cu
guvernarea de ansamblu a ntreprinderii;
Asigurarea direciei strategice pentru deciziile privind investiiile;
Definirea caracteristicilor portofoliilor necesare pentru a sprijini noi investiii i serviciile IT
rezultate, activele i alte resurse;
mbuntirea gestionrii valorii pe o baz continu, n concordan cu practicile nvate.
Cadrul Val IT definete procesele legate de investiiile IT, practicile i activitile cheie de management
care trebuie s apar n contextul guvernrii globale a ntreprinderii. Cadrul definete n mod special
relaia dintre funcia de IT i celelalte pri ale afacerii, i ntre funcia IT i celelalte structuri cu atribuii de
guvernare din cadrul ntreprinderii (biroul financiar, conducerea executiv). Activitile aferente funciei IT
sunt acoperite de cadrul de lucru COBIT.
b) Managementul Portofoliului
Scopul managementului portofoliului (Portfolio Management - PM), n contextul cadrului Val IT este de a
garanta c o ntreprindere asigur valoarea optim a portofoliului su privind investiiile IT. Angajamentul
conducerii n ceea ce privete managementul portofoliului, contribuie la:
Stabilirea i gestionarea profilurilor resurselor;
Definirea pragurilor de investiii;
Evaluarea, prioritizarea i selectarea, amnarea sau respingerea unor noi investiii;
Gestionarea i optimizarea portofoliului global de investiii;
Monitorizarea i raportarea privind performana portofoliului.
Programele de afaceri privind investiiile IT trebuie s fie gestionate ca parte a portofoliului total al
investiiilor, astfel nct toate investiiile ntreprinderii s fie selectate i gestionate pe o baz comun.
Programele din portofoliu trebuie s fie clar definite, evaluate, prioritizate, selectate i gestionate n mod
activ pe ntreg ciclul lor via economic, pentru a optimiza att valoarea programelor individuale ct i a
portofoliului global. Aceasta include optimizarea alocrii resurselor limitate pentru investiii pe care
organizaia le are la dispoziie, managementul de risc, identificarea i corectarea la timp a problemelor
(inclusiv anularea programului, dac este cazul) i supervizarea investiiilor la nivelul conducerii.
Managementul portofoliului recunoate cerina pentru un portofoliu de a fi echilibrat. Recunoate, de
asemenea, c exist diferite categorii de investiii cu niveluri diferite de complexitate i de grade de
libertate n alocarea fondurilor. Exemplele privind aceste categorii ar putea include, dar nu sunt limitate la,
inovare, reforme cu grad ridicat de risc, extinderea afacerii, mbuntirea operaional, ntreinerea
operaional i investiiile obligatorii. Pentru fiecare categorie din portofoliul de investiii ar trebui s fie
stabilite criterii de evaluare cu ponderi adecvate. Decizia de a include un program n portofoliu nu este un
angajament de moment. Portofoliul format din investiii poteniale i aprobate ar trebui s fie gestionat n
mod activ, pe o baz continu i nu doar atunci cnd se solicit aprobarea. n funcie de performanele
relative ale programelor active i de oportunitatea oferit de programele poteniale din cadrul portofoliului,
Pag. 65 din 214
precum i de schimbrile aduse mediului de afaceri intern i extern, portofoliul poate fi ajustat de ctre
conducere.
c) Managementul Investiiilor
Scopul managementului investiiilor (Investment Management - IM) este de a asigura faptul c investiiile
IT individuale ale ntreprinderii contribuie la obinerea valorii optime.
Cnd liderii organizaiei se angajeaz n gestionarea investiiilor ei contribuie la:
Identificarea cerinelor afacerii;
Dezvoltarea unei nelegeri clare a programelor de investiii candidate;
Analiza unor abordri alternative la punerea n aplicare a programelor;
Definirea fiecrui program, precum i documentarea i meninerea unui BC (Business Case)
detaliat pentru acesta, incluznd detalii privind beneficiile pe ntreg ciclul de via economic al
investiiei;
Asignarea unei responsabiliti clare i a unui proprietar, inclusiv n ceea ce privete realizarea
beneficiilor;
Gestionarea fiecrui program pe ntreg ciclul de via economic, inclusiv finalizarea sau stoparea
acestuia;
Monitorizarea i raportarea privind performana fiecrui program.
Componentele cheie ale managementului investiiilor
Exist trei componente-cheie de gestionare a investiiilor: Prima este Business Case (BC), care este
esenial pentru selectarea corect a programelor de investiii i administrarea acestora pe parcursul
executrii lor. A doua este managementul programului, care reglementeaz toate procesele care susin
executarea programelor. A treia este realizarea beneficiilor - un set de sarcini necesare pentru a gestiona
n mod activ realizarea beneficiilor programului.
2.9.7 Business Case (BC)

Un BC cuprinztor este esenial pentru a estima rezultatele programului, dar puine organizaii sunt
adepte ale dezvoltrii i documentrii acestuia.
Un studiu realizat n anul 2006 de Cranfield University School of Management a constatat c, n timp ce
96% din respondeni au dezvoltat BC pentru investiii care implic IT, 69% dintre acetia nu au fost
mulumii cu eficacitatea practic.
BC conine un set de ipoteze cu privire la modul n care va fi creat valoarea, ipoteze care trebuie s fie
bine testate pentru a se asigura c rezultatele ateptate vor fi atinse. BC ar trebui s fie, de asemenea,
bazat pe indicatori calitativi i cantitativi care s justifice aceste ipoteze i s ofere factorilor de decizie o
perspectiv care va sprijini deciziile viitoare de investiii. Documentaia Enterprise Value: Governance of
IT Investments, The Business Case58 ofer ndrumri pentru a crea BC complete i cuprinztoare,
punnd accent deosebit pe evaluarea cuprinztoare i evaluarea valorii poteniale i a riscurilor, precum
i pe definirea unor indicatori cheie, att financiari (valoarea actualizat net, rata intern de rentabilitate
i perioada de amortizare), ct i non-financiari.
BC const n resurse de intrare majore, precum i din cele trei fluxuri de activiti care sunt: capacitile
tehnice de livrare (de exemplu, managementul relaiilor cu clienii (CRM), facilitile operaionale (de
exemplu, utilizatorii au acces la toate informaiile despre clieni) i facilitile de afaceri (de exemplu, informaiile sunt folosite pentru a suporta vnzri ncruciate).
Cele trei fluxuri dinamice pot fi regsite pe ntreg ciclul de via al proceselor sau al sistemului. Ciclul de
via poate fi sintetizat n patru etape: dezvoltarea, implementarea, operarea i scoaterea din funciune.
58
Sursa: ITGI
Pag. 66 din 214
Fiecare dintre aceste fluxuri de lucru trebuie s fie documentat cu date care s susin decizia de investiii
i procesele de management de portofoliu: iniiative, costuri, riscuri, ipoteze, rezultate i indicatori.
BC ar trebui s includ cel puin urmtoarele elemente:
Beneficiile estimate ale afacerii, alinierea lor cu strategia de afaceri i care dintre funciile afacerii
va fi responsabil pentru asigurarea lor;
Schimbrile de afaceri necesare pentru a crea valoare adugat;
Investiiile necesare pentru a face schimbri ale afacerii;
Investiiile necesare pentru a schimba sau aduga noi servicii IT i elemente de infrastructur;
Funionarea continu a sistemului IT i costurile de afaceri relative la funcionarea n contextul
schimbat;
Riscurile inerente referitoare la elementele prezentate mai sus, inclusiv orice constrngeri sau
dependene;
Cine va fi responsabil pentru crearea cu succes a valorii optime;
Cum vor fi monitorizate investiiile i crearea de valoare pe parcursul ciclului de via economic,
precum i indicatorii care urmeaz s fie utilizai.
BC ar trebui s fie dezvoltat dintr-o perspectiv strategic, de tip top-down (de sus n jos), ncepnd cu
o nelegere clar a rezultatelor dorite privind afacerea i progresnd pn la o descriere detaliat a
sarcinilor critice i reperelor, precum i a rolurilor i responsabilitilor cheie.
BC nu este un document static de folosin unic, ci constituie un instrument dinamic operaional, care
trebuie s fie actualizat continuu pentru a reflecta punctul de vedere actual asupra viitorului programului,
astfel nct viabilitatea acestuia s poat fi meninut.
BC trebuie s includ rspunsuri la patru ntrebri, rspunsuri bazate pe informaii relevante focalizate pe
afacere, despre programele poteniale:
Dac facem ceea ce trebuie Ce s-a propus, pentru ce rezultat al afacerii i cu ce contribuie
proiectele n cadrul unui program?
Dac suntem pe calea cea bun - Cum se va desfura i ce trebuie fcut pentru a ne asigura
c programul se va potrivi cu alte faciliti curente sau viitoare?
Dac ceea ce facem este bine Care este planul pentru ndeplinirea lucrrilor i ce resurse i
fonduri sunt disponibile?
Dac aducem beneficii Cum vor fi furnizate beneficiile? Care este valoarea programului?
Structura BC
Situaiile afacerii pentru investiiile IT iau n considerare urmtoarele relaii cauzale:
- Resursele sunt necesare pentru dezvoltare
- Tehnologia / serviciile IT support
- Capabilitatea operaional pe care o va permite
- Capabilitatea afacerii care va fi creat
- Valoarea pentru prile interesate
Aceste relaii implic existena a trei fluxuri de activiti interrelaionate care creeaz capabiliti tehnice,
operaionale i de afacere.
Fiecare dintre cele trei fluxuri de activitate are un numr de componente care sunt eseniale pentru a
evalua complet BC. Aceste componente, mpreun, formeaz baza pentru un model analitic i sunt definite dup cum urmeaz:
Rezultate - rezultate clare i msurabile vizate, inclusiv rezultate intermediare; aceste rezultate
sunt necesare dar nu suficiente pentru a atinge beneficiile finale. Aceste beneficii pot fi financiare
sau non-financiare.
Pag. 67 din 214
Iniiative - Aciuni/proiecte de afacere, proces de afaceri, oameni, tehnologie i organizaionale

(BPPTO) aciuni/proiecte (activiti care acoper dezvoltarea, punerea n aplicare, operarea i
scoaterea din funciune) care contribuie la unul sau mai multe rezultate.
Contribuii - Contribuia msurabil ateptat de la iniiative sau rezultate intermediare pentru
alte iniiative sau rezultate.
Ipoteze - Ipoteze privind condiiile necesare pentru realizarea rezultatelor sau iniiativelor, dar
asupra crora programul organizaiei are control redus sau deloc. Evaluarea riscului reprezentat
de ipoteze i orice alte constrngeri cu privire la costuri, beneficii i aliniere constituie o mare
parte a BC. Alte componente care sunt identificate n BC sunt resursele necesare pentru a
efectua toate activitile n care const iniiativa, precum i cheltuielile de achiziii i, dac este
necesar, de meninere a acestor resurse.
2.9.8 Procesele VAL IT

Procesele sunt o colecie de activiti care interacioneaz, ntreprinse n conformitate cu practicile de
management. Procesele au intrri de la una sau mai multe surse (inclusiv alte procese), pot manipula
intrrile, utiliza resursele n conformitate cu politicile, i pot produce ieiri (inclusiv ieiri ctre alte
procese). Procesele ar trebui s aib motive clare ale afacerii pentru proprietarii acestora, roluri i
responsabiliti clare relative la executarea fiecrui proces, precum i mijloacele de a genera i msura
performana.
Domenii i procese Val IT

Dup cum am menionat, domeniile Val IT sunt: guvernarea valorii (Value Governance - VG), managementul portofoliului (Portfolio Management - PM), i managementul investiiilor (Investment
Management - IM).
n continuare, vom prezenta o descriere de nivel nalt a proceselor din cadrul fiecrui domeniu.
Guvernarea valorii (Value Governance - VG)

VG1 - Stabilirea unei conduceri informate i angajate - Stabilirea unei conduceri informate i angajate,
cu un comitet (forum) de conducere i un sistem eficient de linie de raportare, n raport cu importana IT
pentru ntreprindere. Dezvoltarea unei nelegeri corecte a elementelor cheie de guvernare i a
perspectivelor clare n cadrul Strategiei IT. Asigurarea, alinierea i integrarea afacerii cu domeniul IT.
VG2 - Definirea i punerea n aplicare a proceselor - Definirea unui cadru de guvernan pentru
managementul valorii IT, inclusiv pentru procesele suport. Evaluarea calitii i acoperirii proceselor
curente pentru a defini cerinele de viitoarelor procese, astfel nct acestea s ofere controlul i
supravegherea necesare i s permit legtura activ ntre strategie, portofolii, programe i proiecte.
Stabilete structurile organizaionale necesare i punerea n aplicare a proceselor cu rolurile, responsabilitile i rspunderile asociate.
VG3 - Definirea caracteristicilor portofoliului - Definirea diferitelor tipuri de portofolii. Definirea categoriilor n cadrul portofoliilor, inclusiv ponderea relativ a acestora. Dezvoltarea i comunicarea modului n
care aceste categorii vor fi evaluate n mod comparabil i transparent. Definirea cerinelor pentru
evaluare, pentru fiecare categorie.
VG4 - Alinierea i integrarea managementul valorii cu planificarea financiar a ntreprinderii Revizuirea practicilor curente bugetare ale ntreprinderii i identificarea i, ulterior, implementarea modificrilor necesare pentru punerea n aplicare a practicilor de management de planificare financiar la
valoarea optim pentru a facilita pregtirea BC, luarea deciziei de a investi i managementul investiiilor n
curs de desfurare.
VG5 - Stabilirea unei monitorizri eficiente de guvernare - Identificarea obiectivelor cheie i a
metricilor proceselor de management al valorii care trebuie monitorizate, precum i a abordrilor,
Pag. 68 din 214
metodelor, tehnicilor i proceselor pentru colectarea i raportarea informaiilor de msurare. Stabilirea

modului n care vor fi identificate i monitorizate abaterile sau problemele i raportarea privind rezultatele
aciunilor de remediere.
VG6 - Imbuntirea continu a practicilor de gestionare a valorii - Revizuirea experienelor
referitoare la managementul valorii. Planificarea, iniierea i monitorizarea schimbrilor necesare pentru
mbuntirea guvernrii valorii, a managementului portofoliului i al proceselor de administrare a
investiiilor.
Managementul portofoliului (Portfolio Management - PM)

PM1 - Stabilirea direciei strategice i a intelor de investiii - Revizuirea i asigurarea claritii
strategiei de afaceri i identificarea i comunicarea oportunitilor de IT pentru a influena sau a sprijini
strategia. Definirea unei combinii adecvate de investiii pe baza ratei de rentabilitate, a gradului de risc i
de tip al beneficiului pentru programele din portofoliu care pun n aplicare strategia. Ajustarea strategiei de
afaceri n cazul n care este necesar i transpunerea acestora n strategia IT i n obiective.
PM2 - determin disponibilitatea i sursele de finanare - Determinarea surselor poteniale de fonduri
pentru program, a nivelului surselor care pot fi atrase, precum i a metodelor necesare de realizare.
Determinarea implicaiilor generate de sursa de finanare asupra ateptrilor privind veniturile din
investiii.
PM3 - Managementul disponibilitii resurselor umane - Crearea i meninerea unui inventar al
afacerii i al resurselor umane IT. nelegerea cererii actuale i viitoare de resurse umane pentru a sprijini
investiiile IT i identificarea neajunsurilor i disputelor. Crearea i meninerea planurilor tactice pentru
managementul resurselor umane. Monitorizarea i revizuirea planurilor i a structurilor organizatorice
suport, precum i ajustarea, dac este necesar.
PM4 - Evaluarea i selectarea programelor pentru a le finana - Evaluarea BC al afacerii, atribuirea
unui scor relativ i comunicarea deciziilor de investiii bazate pe viziunea portofoliului de investiii i pe
punctajele individuale. Ulterior, alocarea de fonduri; etapa final a programelor selectate, mutarea
acestora n portofoliului de investiii active i ajustarea obiectivelor de afaceri, previziuni i bugete, n
consecin.
PM5 - Monitorizarea i raportarea privind performana portofoliului de investiii - Oferirea unei
imagini cuprinztoare i exacte a performanei portofoliului de investiii, n timp util pentru a permite
revizuirea, de ctre prile interesate cheie, a progresului ntreprinderii fa de obiectivele identificate.
PM6 - Optimizarea performanei portofoliului de investiii Revizuirea periodic a portofoliului de
investiii i optimizarea performanei pentru noi oportuniti, sinergii i riscuri. Dup optimizare, revizuirea
viziunii strategiei de afaceri i asupra investiiilor combinate i revizuirea prioritilor portofoliului, dac
este necesar.
Managementul investiiilor (Investment Management - IM)

IM1 - Dezvoltarea i evaluarea iniial a BC al programului - Recunoaterea oportunitii de investiii,
clasificarea fiecreia n concordan cu categoriile din portofoliui de investiii i identificarea unui sponsor
pentru afacere. Clarificarea rezultatelor ateptate ale afacerii i prezentarea unei vederi la nivel nalt a
tuturor iniiativelor necesare pentru a obine rezultatele ateptate i a modului n care acestea ar putea fi
msurate. Furnizarea unei estimri iniiale, la nivel nalt a beneficiilor i costurilor, precum i a principalelor ipoteze i riscuri majore i obinerea aprobrilor corespunztoare. Determinarea oportunitii unor
lucrri suplimentare pentru a sprijini dezvoltarea unui BC detaliat, avnd n vedere alinierea strategic,
beneficiile i cheltuielile, resursele, riscurile i compatibilitatea cu portofoliul de investiii globale.
IM2 - nelegerea programului candidat i a opiunilor de implementare - Implicarea prilor interesate
cheie pentru a dezvolta i documenta o nelegere complet privind: rezultatele programului candidat
ateptate de afacere, modul n care acestea vor fi msurate, ntreaga sfer de iniiative necesar pentru a
Pag. 69 din 214
atinge rezultatele, riscurile implicate i impactul asupra tuturor aspectelor afacerii (ntreprinderii).
Identificarea i evaluarea unor cursuri alternative de aciune pentru a atinge rezultatele dorite ale afacerii.
IM3 - Elaborarea planului de program - Definirea i documentarea tuturor proiectelor necesare pentru
realizarea programului pentru a obine rezultatele ateptate ale afacerii. Precizarea cerinelor de resurse
i a metodei de obinere asociate. Prezentarea unui grafic de timp care s in seama de interdependenele dintre mai multe proiecte.
IM4 - Dezvoltarea costurilor complete aferente ciclului de via i beneficiilor - Pregtirea unui
program de buget bazat pe costurile pe ntreg ciclul de via economic. nscrierea tuturor beneficiilor
intermediare i de afaceri ntr-un registru, precum i planificarea modului n care acestea vor fi realizate.
Identificarea i documentarea obiectivelor pentru rezultatele cheie care urmeaz s fie realizate, inclusiv
n ceea ce privete metoda de msurare i abordarea pentru atenuarea insucceselor. Prezentarea
bugetelor, costurilor, beneficiilor i planurilor aferente pentru revizuire, rafinare i aprobare.
IM5 - Dezvoltarea BC detaliat pentru programul candidat - Elaborarea unui BC complet i cuprinztor
pentru programul candidat, care acoper scopul, obiectivele, domeniul de aplicare i abordarea,
dependenele, riscurile, reperele, precum i impactul schimbrii organizaionale. Includerea unei aprecieri
a valorii, bazate pe costurile economice aferente ntregului ciclu de via, i a beneficiilor, a ratei
preconizate de randament, a alinierii strategice i ipotezelor cheie. De asemenea, furnizarea unui plan al
programului care s acopere planurile componentei proiectului, planul de realizare a beneficiilor, modul de
abordare a managementului riscului i al schimbrii, precum i a structurii programului. Atribuirea clar a
responsabilitilor, autoritii i dreptului de proprietate pentru realizarea beneficiilor, controlului costurilor,
gestionarea riscurilor i coordonarea activitilor i interdependenelor proiectelor multiple. Obinerea
acceptrii cu privire la responsabiliti i rspundere.
IM6 - Lansarea i managementul programului - Planificarea, resurselor necesare proiectelor, pentru a
obine rezultatele programului. Planificarea resurselor pentru perioade ulterioare, dar finanarea acestora
numai pn la urmtoarea revizuire. Administrarea performanei programului pe baza unor criterii cheie,
pentru a identifica abaterile de la plan i a ntreprinde n timp util aciuni de remediere. Monitorizarea
beneficiilor pe tot parcursul programului, a realizrii reale i poteniale i raportarea privind progresele.
Iniierea de aciuni n timp util pentru abateri semnificative de la plan, precum i pentru problemele
aprute.
IM7 - Actualizarea portofoliilor IT operaionale Reflectarea schimbrilor care rezult din programul de
investiii pentru servicii IT relevante, a activelor i a portofoliilor de resurse.
IM8 - Actualizarea BC Actualizarea BC al programului, pentru a reflecta starea curent, ori de cte ori
exist schimbri care afecteaz costurile preconizate, beneficiile, oportunitile sau riscurile.
IM9 - Monitorizarea i raportarea cu privire la program - Monitorizarea performanelor programului
general i a tuturor proiectele sale, precum i un raport ctre conducere, complet i exact, privind livrarea
de capaciti tehnice i de afaceri, aspectele operaionale referitoare la livrarea de servicii, impactul
asupra resurselor i realizarea de beneficii. Raportarea poate include performana n raport cu planul
programului n ceea ce privete calendarul i bugetul, exhaustivitatea i calitatea funcionalitii, calitatea
controlului intern i diminuarea riscurilor, precum i acceptarea continu a responsabilitii pentru
asigurarea unor beneficii intermediare ale afacerii.
IM10 - Scoaterea din funciune a programului - Aducerea programului la o nchidere ordonat i
scoaterea acestuia din portofoliul de investiii active atunci cnd exist un acord c valoarea dorit de
afacere a fost realizat sau atunci cnd este clar c obiectivul nu va fi atins n cadrul criteriilor valorice
stabilite pentru program.
2.9.9 Liniile directoare Val IT

Val IT ofer linii directoare pentru management pentru a ajuta organizaiile n crearea i administrarea
proceselor de gestionare a valorii n mediul IT.
Pag. 70 din 214
Orientrile ofer rspunsuri la ntrebri tipice de management, cum ar fi:

Cum interacioneaz toate procesele i activitile de gestionare a valorii?
Care sunt activitile-cheie care trebuie ntreprinse sau mbuntite?
Ce roluri i responsabiliti vor fi definite pentru procesele de management cu succes al valorii?
Cum putem msura i compara procesele de management al valorii?
Care sunt cei mai buni indicatori de performan?
Pentru fiecare proces Val IT, liniile directoare de gestionare Val IT includ intrri i ieiri, descrieri de
activitate, diagrame RACI59 (Responsabil, Rspunztor, Consultant i Informat) diagrame, obiective i
indicatori pe diferite niveluri.
Val IT definete, de asemenea, un model de maturitate, pentru fiecare dintre cele trei domenii Val IT,
oferind o scala de msurare incremental de la 0 la 5.
2.10
Cadrul de lucru Risk IT
Risk IT este un set de principii i un cadru de lucru care ajut organizaia s identifice, s guverneze i s
gestioneze riscurile IT n mod eficient.
Riscurile joac un rol critic pentru succesul unei afaceri, procesul decizional presupunnd gestionarea
eficient, pe o baz continu, a acestora.
Destul de des, riscurile IT (riscurile legate de implementarea i utilizarea sistemelor IT) sunt neglijate, spre
deosebire de alte categorii de riscuri (riscul de pia, riscul de creditare i riscul operaional) care sunt
incorporate n procesul de luare a deciziei. Riscurile IT trebuie s fie transferate specialitilor tehnicieni i
trebuie s fie incluse n categoria riscurilor care au impact asupra obiectivelor strategice.
Cadrul de lucru Risk IT este un cadru bazat pe un set de principii directoare pentru gestionarea eficient a
riscurilor IT care completeaz cadrul de lucru COBIT, un cadru cuprinztor pentru guvernare i controlul
afacerii bazate pe soluii i servicii IT. n timp ce COBIT ofer un set de controale pentru a atenua riscul
IT, Risk IT ofer un cadru pentru organizaii (pentru a identifica, guverna i gestiona riscurile IT) i pentru
auditorii care l utilizeaz ca referenial n cadrul misiunilor de audit. n timp ce COBIT ofer mijloacele de
management al riscurilor, Risk IT ofer, n plus, un cadru mbuntirea a gestionrii riscului.
Cadrul de lucru Risk IT este o parte din portofoliul de produse ISACA privind guvernarea IT, fiind bazat pe
un set de principii directoare pentru managementul eficient al riscurilor IT.
2.10.1 Principiile cadrului de lucru Risk IT

Cadrul de lucru Risk IT poate fi considerat ca un cadru de management al riscurilor afacerii legate de
utilizarea IT. Conexiunea la afacere se bazeaz pe principiile pe care este construit cadrul de lucru, pe
primul plan situndu-se guvernarea organizaiei i gestionarea eficient a riscurilor IT:
Managementul riscurilor IT se conecteaz ntotdeauna la obiectivele afacerii;
Aliniaz managementul IT la riscul global al managementului organizaiei;
Echilibreaza costurile i beneficiile aferente gestionrii riscurilor IT;
Promoveaz comunicarea echitabil i deschis a riscurilor IT;
Stabilete modul n care conducerea de vrf definete i atribuie responsabilitile personalului privind
operarea sistemului n limitele stabilite;
Este un proces continuu i o parte a activitilor zilnice.
59
RACI - Responsible, Accountable, Consulted, Informed

Pag. 71 din 214
Pentru prioritizarea i gestionarea riscurilor IT, conducerea are nevoie de un cadru de referin i de o
nelegere clar a funciei IT i a riscurilor IT. Cu toate acestea, prile interesate care ar trebui s
rspund pentru gestionarea riscurilor din cadrul organizaiei de multe ori nu au o nelegere deplin n
legtur cu acestea. Managerii IT sunt responsabili pentru gestionarea riscurilor associate i trebuie s
determine ce trebuie fcut pentru a sprijini activitatea.
Cadrul de lucru explic riscurile IT i permite conducerii organizaiei s ia deciziile cele mai adecvate, care
vor permite utilizatorilor s contientizeze importana i s contribuie la minimizarea acestora. n acest
context vor ntreprinde o serie de aciuni:
Integrarea gestionrii riscurilor IT n gestionarea general a riscurilor organizaiei;
Asigurarea unor decizii bine informate cu privire la gradul de risc, la apetitului pentru risc i la
tolerana la risc a ntreprinderii;
nelegerea modului de a rspunde la risc.
Cadrul RISK IT acoper decalajul existent ntre cadrele generice de gestionare a riscurilor cum ar fi
COSO ERM i AS/NZS 4360 (care n curnd vor fi nlocuite cu standardul ISO 31000) i echivalentul su
britanic ARMS6 i cadrele de gestionare a riscurilor IT (n primul rnd cele legate de securitate) detaliate.
2.10.2 Documentaia aferent cadrului de lucru Risk IT

Documentaia aferent cadrului de lucru Risk IT este compus din dou publicaii importante: The Risk IT
Framework i The Risk IT Practitioner Guide.
Documentaia The Risk IT Framework conine:
Un set de practici de guvernare pentru managementul riscului;
Un cadru de lucru orientat pe procese pentru gestionarea cu succes a riscurilor IT;
O list generic de scenarii de risc comune, potenial adverse, legate de IT, care ar putea
avea un impact important n realizarea obiectivelor afacerii;
Instrumente i tehnici pentru a nelege riscurile concrete ale operaiunilor de afaceri, cum ar
fi liste de verificare generice i cerine de conformitate.
Cadrul de lucru prevede un model de proces global pentru risc IT care se refer la activitile cheie din
cadrul fiecrui proces, responsabilitile pentru fiecare proces, fluxurile de informaii ntre procese i de
management al performanei fiecrui proces. Modelul este mprit n trei domenii, fiecare coninnd, la
rndul su trei procese:
Guvernarea riscului (Risk Governance)
Evaluarea riscului (Risk Evaluation)
Rspunsul la risc (Risk Response).

Cele trei procese asociate domeniilor sunt:
Guvernarea riscului
- Stabilirea i meninerea unei viziuni comune asupra riscului;
- Integrarea cu ERM (Enterprise Risk Management);
- Contientizarea necesitii lurii unor decizii privind riscurile afacerii.
Evaluarea riscului
- Colectarea datelor
- Analiza riscului
- Meninerea profilului de risc
Rspunsul la risc
- Riscul agregat
- Managementul riscurilor
- Reacia la evenimente
Pag. 72 din 214
Documentaia The Risk IT Practitioner Guide este un document de sprijin pentru cadrul de lucru Risk IT
care ofer exemple de tehnici posibile pentru a aborda problemele legate de riscul IT, precum i ndrumri
detaliate cu privire la modul de abordare a conceptelor cuprinse n modelul procesului.
Conceptele i tehnicile explorate n detaliu includ:
Scenarii construite pe baza unui set de generic de scenarii de risc IT;
Construirea unei hri a riscurilor, folosind tehnici pentru a descrie impactul i frecvena scenariilor;
Construirea criteriilor de impact cu relevan pentru afaceri;
Definirea indicatoriilor cheie relevani (Key Relevance Indicators KRIs);
Utilizarea COBIT i Val IT pentru a atenua riscul; legtura ntre Risk IT i obiectivele de contol i
practicile de management cheie din COBIT i Val IT.
Aplicarea bunelor practici de management al riscurilor IT aa cum este descris n Risks IT va oferi
beneficii tangibile pentru afacere, de exemplu, mai puine incidente operaionale i eecuri, creterea
calitii informaiilor, o mai mare ncredere a prilor interesate i reducerea numrului de probleme
referitoare la cadrul de reglementare i de inovare, sprijinirea iniiativelor de noi afaceri.
Dei documentaia referitoare la Risk IT ofer un cadru complet i autonom, ea include referiri la COBIT i
Val IT. The Risk IT Practitioner Guide face referiri extinse la COBIT i Val IT, i recomand ca managerii
i practicienii s se familiarizeze cu principalele principii i cu coninutul acestor dou cadre. Ca i COBIT
i Val IT, Risk IT nu este un standard propriu-zis, ci un cadru flexibil bazat pe cele mai bune practici n
domeniu. Acest lucru nseamn c organizaiile pot i ar trebui s personalizeze componentele din cadrul
entitii lor pentru a se potrivi cu specificul organizaiei.
Prin analogie, auditorii vor personaliza documentele de lucru (liste de verificare, machete, chestionare)
pe baza crora vor efectua evalurile, n funcie de specificul entitii auditate.
ISACA se preocup n continuare de actualizarea i dezvoltarea continu a cadrelor de lucru COBIT, Val
IT i Risk IT, precum i de cadrul de asigurare ITAF (The IT Assurance Framework60) i de securitate a
informaiei BMIS (Business Model for Information Security61).
2.10.3 Domenii, procese i activiti

n seciunea urmtoare sunt prezentate sintetic domeniile, procesele i activitile cadrului de lucru RiskIT.
DOMENIUL Guvernarea riscului (Risk Governance - RG)
Procesul RG1 - Stabilirea i meninerea unei viziuni comune asupra

riscurilor
Activiti
RG1.1 Efectuarea evalurii riscului IT al intreprinderii
RG1.2 Propunerea unor praguri de toleran pentru riscurile IT
RG1.3 Aprobarea toleranei pentru riscurile IT
RG1.4 Alinierea la politica de risc IT
RG1.5 Promovarea culturii contientizrii riscurilor IT
RG1.6 ncurajarea comunicrii eficiente a riscurilor IT
Procesul RG2 - Integrarea cu ERM (Enterprise Risk Management)

Activiti
RG2.1 Stabilirea i meninerea rspunderii pentru managementul riscurilor IT
RG2.2 Coordonarea strategiei riscurilor IT cu strategia riscului de afaceri
60
61
Cadrul de asigurare IT
Modelul de afacere al securitii informaiei
Pag. 73 din 214
RG2.3 Adaptarea practicilor de risc IT la practicile de risc pentru ntreprindere

RG2.4 Furnizarea resurselor adecvate pentru managementul riscurilor IT
RG2.5 Furnizarea unei asigurri independente privind managementul riscurilor IT
Procesul RG3 Luarea deciziilor de afaceri contientiznd riscurile

Activiti
RG3.1 Obinerea implicrii efective a managementului pentru abordarea analizei
riscului IT
RG3.2 Aprobarea analizei de risc IT
RG3.3 Incorporarea considerentelor de risc IT n procesul de luare a deciziilor
strategice ale afacerii
RG3.4 Acceptarea riscurilor IT
RG3.5 Prioritizarea activitilor de rspuns la riscurile IT
DOMENIUL Evaluarea riscurilor (Evaluation Risk - RE)
Procesul RE1 - Colectarea de date

Activiti
RE1.1 Stabilirea i meninerea unui model de colectare a datelor
RE1.2 Colectarea datelor cu privire la mediu de operare
RE1.3 Colectarea datelor privind evenimentele de risc
RE1.4 Identificarea factorilor de risc
Procesul RE2 - Analiza de risc

Activiti
RE2.1 Definirea domeniului de aplicare al analizei de risc IT
RE2.2 Estimarea riscurilor IT
RE2.3 Identificarea opiunilor de rspuns la risc
RE2.4 Efectuarea unei evaluri peer review de analiz a riscurilor IT
Procesul RE3 - Meninerea profilului de risc

Activiti
RE3.1 Harta resurselor IT pentru procesele de afaceri
RE3.2 Determinarea resurselor IT critice ale afacerii
RE3.3 nelegerea capabilitilor IT
RE3.4 Actualizarea componentelor scenariului riscurilor IT
RE3.5 Meninerea registrului i a hrii riscurilor IT
RE3.6 Dezvoltarea indicatorilor de risc IT
DOMENIUL Rspunsul la risc (Risk Response RR)
Procesul RR1 Agregarea riscurilor

Activiti
RR1.1 Comunicarea rezultatelor analizei de risc
RR1.2 Raportarea activitilor de management al riscurilor IT i
starea conformitii
RR1.3 Interpretarea independent a constatrilor evalurii IT
RR1.4 Identificarea oportunitilor legate de IT
Pag. 74 din 214
Procesul RR2 Managementul riscurilor

Activiti
RR2.1 Inventarierea controalelor
RR2.2 Monitorizarea alinierii operaionale cu pragurile de toleran a riscurilor
RR2.3 Rspunsul la expunerea la riscurile descoperite
RR2.4 Implementarea controalelor
RR2.5 Raportarea ndeplinirii planului de aciune privind riscurile IT
Procesul RR3 Reacia la evenimente

Activiti
RR3.1 Meninerea planurilor de rspuns la incidente
RR3.2 Monitorizarea riscurilor IT
RR3.3 Iniierea rspunsului la incidente
RR3.4 Comunicarea leciilor nvate din evenimentele referitoare la risc
Monitorizarea riscurilor i a factorilor de risc trebuie s fie revizuit, pentru a face fa mediului n
schimbare. De asemenea, procesele i activitile trebuie s fie actualizate. Trebuie s fie meninut o
privire de ansamblu care s ofere o imagine complet a riscurilor.
2.11
Standardul ISO/CEI 27001 - Sisteme de management al
securitii informaiei
Standardul internaional ISO/CEI 27001 constituie un referenial pentru evaluarea tehnicilor de securitate
implementate n sistemele de management al securitii informaiei.
Acest standard a fost elaborat pentru a furniza un model pentru stabilirea, implementarea, funcionarea,
monitorizarea, revizuirea, ntreinerea i mbuntirea unui Sistem de Management pentru Securitatea
Informaiei (SMSI) i se aplic n toate tipurile de organizaii (de exemplu: societi comerciale, agenii
guvernamentale, organizaii non-profit).
Standardul specific cerinele pentru implementarea msurilor de securitate adaptate la nevoile
individuale ale organizaiei sau ale unor pri din aceasta, astfel nct sistemul de management al securitii informaiei s asigure selectarea adecvat a msurilor de securitate care protejeaz resursele
informatice i s asigure ncrederea prilor implicate.
ISO (Organizaia Internaional de Standardizare) i CEI (Comisia Electrotehnic Internaional) reprezint sistemul internaional specializat pentru standardizare. Comitetele tehnice ISO i CEI colaboreaz n
domenii de interes reciproc.
Standardele internaionale ISO/IEC din seria 27000 au fost elaborate de Comitetul tehnic comun ISO/CEI
JTC 1, Information technology, Subcomitetul SC 27, IT Security techniques. Acestea includ:
ISO/IEC 27000:2009 Information Technology Security Techniques Information Security
Management Systems Overview and Vocabulary
Management Systems Requirements
Management Systems Code of Practice for Information Security
Management Systems Information Security Management System Implementation Guidance
Management Systems Measurement
Management Systems Information Security Risk Management
Pag. 75 din 214

Management Systems Requirements for Bodies providing Audit and Certification of Information
Security Management Systems
Adoptarea SMSI trebuie s fie o decizie strategica pentru o organizaie. Proiectarea i implementarea
unui SMSI ntr-o organizaie este influenat de nevoile i obiectivele acesteia, de cerinele de securitate,
de procesele existente i de mrimea i structura organizaiei.
Standardul internaional ISO/IEC 27001:2005 poate fi folosit pentru evaluarea conformitii de ctre
prile interesate: management, auditori interni, auditori externi i ali factori externi.
ISACA ITGI a asigurat convergena cu standardul ISO/IEC 27001:2005 prin maparea acestui standard
peste procesele COBIT. Prin trecerea la noua arhitectur COBIT 5, propus de ITWG, noul cadru de lucru
va asigura i conformitatea cu aceste standarde de securitate.
2.11.1 Abordare bazat pe proces

Standardul internaional ISO/CEI 27001 adopt o abordare bazat pe proces pentru stabilirea,
implementarea, funcionarea, monitorizarea, evaluarea, ntreinerea i mbuntirea SMSI n cadrul unei
organizaii.
Pentru ca o organizaie s funcioneze n mod eficient ea trebuie s identifice i s conduc numeroase
activiti. Orice activitate care folosete resurse i este condus pentru a permite transformarea intrrilor
n ieiri, poate fi considerat un proces. n multe cazuri, o ieire dintr-un process reprezint n mod direct
intrarea ntr-un alt proces.
Abordarea bazat pe proces pentru managementul securitii informaiei prezentat n acest standard
internaional pune accentul pe urmtoarele aspecte:
a) nelegerea cerinelor de securitate a informaiei ale unei organizaii i nevoia de a stabili politici i
obiective pentru securitatea informaiei;
b) Implementarea i utilizarea msurilor pentru a administra riscurile securitii informaiei n
contextul riscurilor de ansamblu ale afacerii;
c) Monitorizarea i evaluarea performanei i eficienei SMSI; i
d) mbuntirea continu bazat pe msurarea obiectiv.
Acest standard internaional adopt modelul "Plan-Do-Check-Act" (PDCA)62, care este aplicat pentru a
structura toate procesele SMSI.
Semnificaia acestor concepte, n viziunea standardului, este urmtoarea:
Plan (stabilirea SMSI) - Stabilirea politicii SMSI, a obiectivelor, proceselor i procedurilor relevante pentru
managementul riscului i mbunatirea securitii informaiei pentru a furniza rezultate n conformitate cu
politicile i obiectivele de ansamblu ale organizaiei.
Do (implementarea i funcionarea SMSI) - Implementarea i funcionarea politicilor SMSI, a msurilor
de securitate, a proceselor i procedurilor.
Check (monitorizarea i revizuirea SMSI) - Evaluarea i, acolo unde este aplicabil, msurarea
performanei procesului n raport cu politica SMSI, obiectivele i experiena practic, precum i raportarea
rezultatelor ctre echipa de management pentru revizuire.
Act (meninerea i mbuntirea SMSI) - Deciderea aciunilor corective i preventive, bazate pe rezultatele auditului SMSI i revizuirile managementului sau pe alte informaii relevante pentru a obine o
mbuntire continu a SMSI.
62
Planific Implementeaz Verific Acioneaz

Pag. 76 din 214
Adoptarea modelului PDCA trebuie s reflecte, de asemenea, principiile care guverneaz securitatea
sistemelor informaionale i a reelelor aa cum sunt ele exprimate n Liniile Generale ale OECD 63
Standardul internaional ISO/CEI 27001 asigura un model pentru implementarea principiilor care
guverneaz analiza riscului, planificarea i implementarea securitii, managementul securitii i
revizuirea.
Acest standard internaional acoper toate tipurile de organizaii, specific cerinele pentru stabilirea,
implementarea, funcionarea, monitorizarea, revizuirea, meninerea i mbuntirea unui SMSI
documentat n contextul general al riscurilor de afaceri ale organizaiei, precum i cerinele pentru
implementarea msurilor de securitate adaptate la nevoile individuale ale organizaiei sau ale unor pri
din aceasta.
Standardul furnizeaz, de asemenea, ndrumri pentru implementare, care pot fi folosite atunci cnd sunt
proiectate msurile de securitate.
2.11.2 Obiective de control

Obiectivele de control prevzute de standardul ISO/IEC 27001 sunt prezentate sintetic n seciunea
urmtoare. Codificarea este cea prevzut de standard.
A.5 Politica de securitate a informaiei: Asigurarea orientrii generale din partea managementului i
acordarea sprijinului pentru securitatea informaiei n conformitate cu cerinele afacerii, legislaie i
reglementrile aplicabile.
A.6 Organizarea securitii informaiei
A.6.1 Organizarea interna: Administrarea securitii informaiei n cadrul organizaiei.
A.6.2 Pri externe: Meninerea securitii informaiei n cadrul organizaiei i a sistemelor de
procesare a informaiei care sunt accesate, procesate, comunicate ctre sau administrate de pri
externe.
A.7 Managementul resurselor
A.7.1 Responsabilitatea pentru resurse: Obinerea i meninerea unei protecii adecvate a
resurselor organizaionale.
A.7.2 Clasificarea informaiei: Asigurarea c informaia beneficiaz de un nivel de protecie
adecvat.
A.8 Securitatea resurselor umane
A.8.1 naintea angajrii: Asigurarea c angajaii, contractanii i utilizatorii teri neleg responsabilitile care le revin i sunt corespunztori pentru rolurile pentru care sunt alocai, precum i
reducerea riscului de furt, fraud sau de folosire necorespunztoare a sistemelor.
A.8.2 n timpul perioadei de angajare: Asigurarea faptului c toi angajaii, contractanii i
utilizatorii teri sunt contieni de ameninrile privind securitatea informaiei, responsabilitile i
rspunderile juridice ale acestora i sunt pregtii s susin politica de securitate organizaional
pe durata contractului de munc i s asigure reducerea riscului erorilor umane.
A.8.3 ncetarea contractului sau schimbarea locului de munc: Asigurarea faptului c angajaii,
contractanii i utilizatorii teri prsesc organizaia sau schimb locul de munc ntr-o manier
reglementat.
63
OECD Organizaia European pentru Comer i Dezvoltare

Pag. 77 din 214
A.9 Securitatea fizic i a mediului de lucru

A.9.1 Zone de securitate: Prevenirea accesului fizic neautorizat, a distrugerilor i a ptrunderii n
interiorul organizaiei precum i a accesului neautorizat la informaii.
A.9.2 Securitatea echipamentelor: Prevenirea pierderii, avarierii, furtului sau compromiterii
resurselor i a ntreruperii activitilor din cadrul organizaiei.
A.10 Managementul comunicaiilor i operaiunilor
A.10.1 Proceduri operaionale i responsabiliti: Asigurarea operrii corecte i n condiii de
securitate a sistemelor de procesare a informaiei.
A.10.2 Managementul serviciilor furnizate de teri: Implementarea i meninerea unui nivel
corespunztor al securitii informaiei i al livrrii serviciilor n concordan cu acordurile de
furnizare de ctre teri.
A.10.3 Planificarea i acceptana sistemelor: Reducerea riscurilor de disfuncionaliti ale
sistemelor.
A.10.4 Protecia mpotriva codurilor mobile i duntoare: Asigurarea protejrii integritii
software-ului i a informaiei.
A.10.5 Copie de siguran: Meninerea integritii i disponibilitii informaiei i a sistemelor de
procesare a informaiei.
A.10.6 Managementul securitii reelei: Asigurarea proteciei reelelor de informaii i a proteciei
infrastructurii suport.
A.10.7 Manipularea mediilor de stocare: Prevenirea divulgrii neautorizate, modificrii, ndeprtrii sau distrugerii resurselor i ntreruperii activitilor afacerii.
A.10.8 Schimbul de informaii: Meninerea securitii schimbului de informaie i software n
interiorul unei organizaii sau cu orice entitate extern.
A.10.9 Serviciile de comer electronic: Asigurarea securitii serviciilor de comer electronic i a
utilizrii lor n condiii de siguran.
A.10.10 Monitorizarea: Identificarea activitilor neautorizate de procesare a informaiei.
A.11 Controlul accesului
A.11.1 Cerinele afacerii pentru controlul accesului: Controlul accesul la informaie.
A.11.2 Managementul accesului utilizatorului: Asigurarea accesului autorizat al utilizatorului i
prevenirea accesului neautorizat la sistemele informatice.
A.11.3 Responsabilitile utilizatorului: Prevenirea accesului neautorizat al utilizatorului, precum i
a compromiterii sau furtului de informaii i sisteme de procesare a informaiilor.
A.11.4 Controlul de acces la reea: Prevenirea accesului neautorizat la serviciile de reea.
A.11.5 Controlul accesului la sistemul de operare: Prevenirea accesului neautorizat la sistemele
de operare.
A.11.6 Controlul accesului la aplicaii i informaii: Prevenirea accesului neautorizat la informaia
deinut n sistemele de aplicaii.
A.11.7 Prelucrarea datelor folosind echipamente mobile i lucrul la distan: Asigurarea securitii
informaiei atunci cnd se folosesc sisteme pentru prelucrarea datelor care utilizeaz echipamente mobile i de lucru la distan.
A.12 Achiziionarea, dezvoltarea i mentenana sistemelor informatice
A.12.1 Cerine de securitate pentru sistemele informaionale: Asigurarea faptului c securitatea
este parte integrant a sistemelor informatice.
A.12.2 Procesarea corect a datelor n cadrul aplicaiilor: Prevenirea erorilor, pierderilor,
modificrilor neautorizate sau a folosirii greite a informaiilor n cadrul aplicaiilor.
A.12.3 Msuri criptografice: Protejarea confidenialitii, autenticitii sau a integritii informaiei
prin metode criptografice.
A.12.4 Securitatea fiierelor de sistem: Asigurarea securitii fiierelor de sistem.
Pag. 78 din 214
A.12.5 Securitatea n procesele de dezvoltare i de suport: Meninerea securitii produselor

software de aplicaii de sistem i a informaiei.
A.12.6 Managementul vulnerabilitilor tehnice: Reducerea riscurilor care decurg din exploatarea
vulnerabilitilor tehnice.
A.13 Managementul incidentelor de securitate a informaiei
A.13.1 Raportarea evenimentelor produse i a slbiciunilor privind securitatea informaiei:
Asigurarea faptului c evenimentele de securitate a informaiei i slbiciunile asociate sistemelor
informaionale sunt comunicate de o manier astfel nct s permit ntreprinderea la timp a
aciunilor corective.
A.13.2 Managementul incidentelor de securitate a informaiei i mbuntiri: Asigurarea faptului
c pentru managementul incidentelor de securitate a informaiei este aplicat o abordare consistent i eficient.
A.14 Managementul continuitii afacerii
A.14.1 Aspecte de securitate a informaiei privind managementul continuitii afacerii: Contracararea oricror discontinuiti n activitile afacerii i protejarea proceselor critice ale afacerii fa
de efectele cderilor majore ale sistemelor informaionale sau mpotriva dezastrelor, precum i
asigurarea relurii activitii n timp optim.
A.15 Conformitatea
A.15.1 Conformitatea cu cerinele legale: Evitarea nclcrii oricrei legi, obligaii statutare, de
reglementare sau contractuale sau a oricrei alte cerine de securitate.
A.15.2 Conformitatea cu standardele i politicile de securitate i conformitatea tehnic:
Asigurarea conformitii cu standardele i politicile de securitate organizaionale.
A.15.3 Consideraii privind auditul asupra sistemelor informaionale: Maximizarea eficienei
procesului de audit i minimizarea interferenei acestuia asupra sistemelor informaionale.
Pag. 79 din 214
Capitolul 3. Riscuri IT
Riscul IT este o component a universului general al riscurilor ntreprinderii. Alte categorii de riscuri cu
care se confrunt o ntreprindere includ: riscul strategic, riscul de mediu, riscul de pia, riscul de credit,
riscul operaional i riscul de conformitate. n multe ntreprinderi, riscul legat de IT este considerat a fi o
component a riscului operaional, de exemplu, n cadrul Basel II pentru zona financiar. Cu toate
acestea, chiar i riscul strategic poate avea o component IT, n special n cazul n care IT este element
cheie al iniiativelor de afaceri noi.
Riscul IT este un risc specific al afacerii, asociat cu utilizarea, proprietatea, operarea, implicarea, influena
i adoptarea de IT n cadrul unei ntreprinderi. Se compune din evenimente legate de IT i din condiii
care ar putea avea impact potential asupra afacerii. Acesta poate aprea cu frecven i amploare
incerte, i poate s creeze probleme n atingerea obiectivelor strategice i a obiectivelor.
Riscurile IT pot fi clasificate n diferite moduri:
Riscuri privind beneficiile/valoarea generate de IT: tehnologia ca suport pentru iniiativele de

afaceri noi, tehnologia ca suport pentru eficientizarea operaiunilor
Riscuri privind livrarea programelor i proiectelor IT: calitatea proiectului, relevana proiectului,
perturbri n derularea proiectului.
Riscuri privind operarea i livrarea serviciilor IT: stabilitatea n funcionare, disponibilitatea,

protecia i recuperarea serviciilor, probleme de securitate, cerine de conformitate.
Multe probleme legate de riscul IT pot aprea din cauza problemelor generate de teri (furnizarea de
servicii, dezvoltarea de soluii), parteneri IT i parteneri de afaceri. Prin urmare, buna gestionare a
riscurilor IT impune dependene semnificative care urmeaz s fie cunoscute i bine nelese.
Datorita importanei IT pentru ntreprindere (afacere), riscurile IT ar trebui s fie tratate la fel ca alte riscuri
de afaceri cheie, cum ar fi riscul strategic, riscul de mediu, riscul de pia, riscul de credit, riscurile
operaionale i riscul de conformitate, toate acestea avnd impact major asupra ndeplinirii obiectivelor
strategice.
Riscul IT nu este doar o problem tehnic. Dei experii n IT sunt interesai s neleag i s gestioneze
aspectele legate de riscurile IT, managementul este cel mai important dintre prile interesate. Managerii
trebuie s determine care este necesarul de IT pentru a sprijini activitatea lor, s stabileasc obiectivele
pentru IT i, n consecin, care sunt responsabilii cu gestionarea riscurilor asociate.
3.1 Componentele eseniale ale domeniului guvernare de risc

n aceast seciune sunt prezentate cteva componente eseniale ale domeniului guvernare de risc:
apetitul pentru risc i tolerana la risc, responsabilitile i rspunderea pentru gestionarea riscurilor IT,
contientizarea i comunicarea, precum i cultura riscului
Apetitul pentru risc i tolerana riscului
Definiia COSO. Apetitul pentru risc i tolerana sunt concepte care sunt frecvent utilizate, dar potenialul
de nenelegere este mare. Unii oameni vd conceptele ca fiind interanjabile, alii vd o diferen clar.
Definiiile cadru ale riscurilor IT sunt compatibile cu definiiile COSO ERM (care sunt echivalente cu ISO
31000). Ambele concepte sunt introduse n modelul de risc IT.
Pag. 80 din 214
Apetitul pentru risc este valoarea de risc, n sens larg, pe care o societate sau alt entitate este
dispus s o accepte, n exercitarea misiunii sale (sau viziunii).
Atunci cnd se analizeaz nivelurile apetitului de risc pentru ntreprindere, sunt importani doi factori
majori:
a) Capacitatea ntreprinderii n raport cu obiectivul de a absorbi pierderile (de exemplu, pierderile
financiare, afectarea reputaiei)
b) Cultura managementului sau predispoziia fa de risc: prudent sau agresiv. Aceasta se
poate transpune n valoarea pierderilor pe care organizaia vrea s o accepte la un momnent dat,
n perspectiva unei redresri.
Apetitul pentru risc poate fi definit n practic n termenii combinaiilor frecvenei i magnitudinii unui risc.
Apetitul pentru risc este diferit n rndul organizaiilor, neexistnd absolut nici o norm sau standard
privind ceea ce constituie un risc acceptabil i inacceptabil. Fiecare ntreprindere trebuie s defineasc
nivelurile sale de risc propriu n ceea ce privete apetitul pentru risc i s opereze revizuirea acestora n
mod regulat. Aceast definiie ar trebui s fie n concordan cu cultura global a riscurilor pe care ntreprinderea dorete s o exprime, de exemplu, variind de la aversiunea fa de risc, la asumarea
riscului/cutarea oportunitilor. Nu exist nici un cuantificator universal pentru bun sau ru, dar
riscurile trebuie s fie definite, bine nelese i comunicate. Apetitului pentru risc i tolerana la risc ar
trebui s fie aplicate nu numai n evalurile de risc, dar i, n procesul de luare a deciziilor privind toate
riscurile IT.
Tolerana riscului este variaia acceptabil n raport cu realizarea unui obiectiv, cu alte cuvinte, este
abaterea tolerabil fa de nivelul stabilit de ctre apetitul pentru risc i de obiectivele afacerii (de
exemplu, standardele care impun proiecte care urmeaz s fie finalizate la termen, cu bugetele financiare
i de timp estimate, dar admind depiri de 10% din buget sau 20% din timp).
3.1.1 Scenarii de evaluare a riscurilor

Scenariile de risc constituie instrumente de simulare a unor procese poteniale reale, utilizate n scopul
analizei de risc.
Un scenariu de risc IT este o descriere a unui eveniment legat de IT care poate conduce la un impact
asupra afacerii, la momentul i n cazul n care ar trebui s apar. Pentru, acestea ar trebui s conin
urmtoarele componente:
Evenimentul: divulgare, ntrerupere, modificare, furt, distrugere, proiectare ineficient, execuie
ineficient, reguli i reglementri, utilizare neadecvat
Bunuri /Resurse: personal i organizare, proces, infrastructur (faciliti), infrastructur IT,
informaie, aplicaii
Timp: durat, momentul apariiei (critic/non-critic), timp de detectare
Actori: interni (personal, contractori), externi (competitori, parteneri de afaceri, de reglementare,
de pia)
Tip de ameninare: ru intenionat, accidental/eroare, cdere, cauz natural, cerin extern.
Structura scenariului de risc admite i opereaz cu diferena ntre evenimentele distructive (evenimente
care genereaz un impact negativ), vulnerabiliti sau evenimente generatoare de vulnerabiliti (evenimente care contribuie la amplificarea sau creterea frecvenei de apariie a evenimentelor distructive) i
evenimente care constituie o ameninare (circumstane sau evenimente care pot declana evenimente
distructive). Este important s nu se confunde aceste riscuri sau s nu fie incluse ntr-o list lung de
riscuri cu impact nesemnificativ.
Factorii de risc pot fi, de asemenea, interpretai ca factori de cauzalitate ai scenariului, care se materializeaz ca vulnerabiliti sau ca puncte slabe. Acetia sunt termeni adesea folosii i n alte cadre de
gestionare a riscurilor.
Pag. 81 din 214
3.1.2 Fluxul de activiti pentru analiza riscurilor

Fluxul de activiti pentru analiza riscurilor include urmtoarele etape:
1. Definirea domeniului de aplicare al analizei riscurilor - definirea obiectivelor i a limitelor analizei, lund
n considerare mai multe intrri variind de la ntrebri strategice la investigarea evenimentelor frecvente.
Acest pas se realizeaz cu date de intrare provenind de la reprezentanii afacerii implicai n activitate. Ei
trebuie s fie implicat n decizia privind activele i zona luat n considerare.
2. Colectarea datelor trebuie obinut asigurarea c toate sursele posibile sunt folosite pentru a aduna
date relevante cu privire la evenimentele care au dus la un rezultat pozitiv i / sau impact negativ asupra
afacerii. Acestea includ: arhive cu incidente IT, rapoarte de audit i jurnalele de operaii, precum i
rapoartele anterioare de risc i date externe, cum ar fi analiza tendinei IT i modificrile cadrului de
reglementare.
3. Identificarea factorilor generali de risc - trebuie obinut asigurarea c evenimentele legate ntre ele
sunt grupate n jurul factorilor generali de risc. Aceti factori pot influena frecvena i amplitudinea evenimentelor care au un impact semnificativ asupra afacerii. Ca exemple menionm modificrile cadrului de
reglementare i activitile internaionale.
4. Estimarea riscurilor IT - efectuarea analizei efective pentru a estima frecvena i amplitudinea scenariilor, innd seama de factorii de risc care includ toate controalele curente. Trebuie s fie luat n considerare, de asemenea, definirea nivelelor de toleran. Acestea vor servi drept baz pentru determinarea
rspunsului la risc.
5. Identificarea opiunilor de rspuns la risc - acest subiect include elaborarea viitoare a activitilor de
control ca mecanism de reducere a riscului. Acest pas trebuie s fie efectuat n colaborare cu proprietarii
relevani ai proceselor de afaceri care depind de domeniile IT care sunt evaluate.
6. Revizuirea analizei - testarea rezultatelor nainte de raportarea acestora ctre management. Se vor lua
n considerare mai mult dect verificrile matematice. Raionamentul i rezonabilitatea sunt concepte
importante pentru a efectua testarea. Prile interesate relevante cu privire la afacere trebuie s fie
incluse n revizuirea evalurii rezultatelor.
7. Raportarea - asigurarea managementului cu rezultatele analizei pentru a sprijini procesul decizional.
3.1.3 Indicatori de risc

Indicatorii de risc sunt valori capabile s demonstreze c ntreprinderea este supus, sau are o probabilitate mare de a fi supus, unui risc care depete apetitul pentru risc definit. Ei sunt specifici pentru
fiecare organizaie, i selectarea lor depinde de o serie de parametri n mediul intern i extern, cum ar fi
mrimea i complexitatea ntreprinderii, dac acesta funcioneaz ntr-o pia extrem de reglementat,
precum i focalizarea strategiei sale.
Identificarea indicatorilor de risc ar trebui s ia n considerare urmtoarele msuri (printre altele):
Implicarea diferitelor pri interesate n selecia indicatorilor de risc;
Efectuarea unei selecii balansate a indicatorilor de risc, acoperind indicatorii de performan i
tendinele, indicnd ce capabiliti sunt implementate pentru a preveni apariia evenimentelor;
Asigurarea c indicatorii selectai se refer la cauza originii evenimentelor i nu numai la
simptome.
Pag. 82 din 214
3.2
Probleme de audit asociate cu utilizarea sistemelor IT/IS
Auditul sistemelor/serviciilor informatice64 reprezint o activitate de evaluare a sistemelor informatice

prin prisma optimizrii gestiunii resurselor informatice disponibile (date, aplicaii, tehnologii, faciliti,
resurse umane etc.), n scopul atingerii obiectivelor entitii, prin asigurarea unor criterii specifice:
eficien, confidenialitate, integritate, disponibilitate, siguran n funcionare i conformitate cu un cadru
de referin (standarde, bune practici, cadru legislativ etc.).
Prin utilizarea sistemelor informatice, se modific abordarea auditului datorit noilor modaliti de
prelucrare, stocare i prezentare a informaiilor, furnizate de aplicaiile informatice, fr a schimba ns
obiectivul general i scopul auditului.
Procedurile tradiionale de colectare a datelor i de interpretare a rezultatelor sunt nlocuite, total sau
parial, cu proceduri informatizate. Existena sistemului informatic poate afecta sistemele interne de
control utilizate de entitate, modalitatea de evaluare a riscurilor, performana testelor de control i a
procedurilor de fond utilizate n atingerea obiectivului auditului.
Cu toate c prezena tehnologiei informaiei nu modific obiectivele fundamentale ale auditului, prin
specificul lor, sistemele informatice pot influena opinia auditorului cu privire la risc sau pot impune ca
auditorul s adopte o abordare diferit a misiunii de audit.
Principalele aspecte implicate de auditarea n mediul informatizat, care pot induce ambiguiti sau erori
pe parcursul auditului, sunt:
(a) se poate permite anonimatul prin depersonalizarea utilizatorului i, implicit, se poate reduce
rspunderea;
(b) se pot permite modificri neautorizate sau neautentificate ale datelor contabile;
(c) se poate permite duplicarea intrrilor sau a prelucrrilor;
(d) sistemele informatice sunt vulnerabile la accesul de la distan i neautorizat;
(e) se pot ascunde sau se pot face invizibile unele procese;
(f) se poate terge sau ascunde pista de audit;
(g) se pot difuza date, n mod neautorizat, n sistemele distribuite;
(h) aplicaiile pot fi operate de contractani externi, care utilizeaz standarde i controale proprii
sau pot altera informaiile n mod neautorizat.
n cazul auditului unui sistem informatic care furnizeaz informaii relevante pentru o misiune de audit
financiar, evaluarea sistemului informatic se efectueaz n scopul furnizrii unei asigurri rezonabile
privind funcionarea sistemului, necesare auditului financiar la care este supus entitatea.
n cazul n care informaiile necesare auditului sunt furnizate de aplicaii sau sisteme complexe, este
necesar consultarea sau participarea n cadrul echipei de audit a unui specialist care posed cunotine
i aptitudini specializate n domeniul auditului sistemelor informatice, pentru a evalua sistemul. De asemenea, va colabora cu auditorii n scopul nelegerii semnificaiei i complexitii procedurilor informatice,
a prelucrrii datelor furnizate de sistemul informatic, precum i pentru nelegerea sistemului de control
intern, n scopul planificrii i abordrii auditului, adecvate la noile tehnologii i va formula recomandri
privind punctele slabe ale sistemului informatic, n vederea remedierii anomaliilor constatate.
Evaluarea va avea ca rezultat formularea unei opinii privind ncrederea pe care o asigur sistemul
informatic, n condiiile utilizrii sale ca surs de informaii sau ca suport n cadrul misiunii de audit.
64
n funcie de problematica referit, n cadrul prezentului document se folosesc i variantele distincte audit IT/audit IS, cu
semnificaia corespunztoare, respectiv auditul arhitecturilor i infrastructurilor IT (hardware, software, comunicaii i alte
faciliti utilizate pentru introducerea, memorarea, prelucrarea, transmiterea i ieirea datelor, n orice form), precum i auditul
sistemelor, aplicaiilor i serviciilor informatice.
Pag. 83 din 214
Complexitatea sistemului informatic este conferit de o serie de caracteristici relative la: volumul
tranzaciilor, procedurile de validare a datelor sau a transferurilor de date ntre aplicaii, generarea automat a tranzaciilor, comunicaia cu alte aplicaii sau sisteme informatice, complexitatea algoritmilor de
calcul, utilizarea unor informaii provenite din surse de date externe (existente la alte entiti) fr
validarea acestora.
Un mediu informatizat poate oferi auditorilor posibilitatea unor prelucrri adiionale, prin furnizarea
informaiilor solicitate n formate cerute de auditor, n scopul interpretrii sau al utilizrii ca date de intrare
pentru programe specializate de audit asistat de calculator. Acest mod de lucru contribuie la creterea
performanei n efectuarea testelor de fond, prin aplicarea unor proceduri analitice automatizate, precum
i a performanei procedurilor de audit, prin utilizarea tehnicilor de audit asistat de calculator.
Sistemele informatice au unele caracteristici inerente care pot afecta att abordarea auditului, ct i
evaluarea efectuat de auditor cu privire la riscul de audit. Unele caracteristici ale sistemului informatic
sporesc acest risc i reclam o atenie special din partea auditorului. n seciunile care urmeaz prezint
scurte rezumate ale acestor caracteristici, accentul fiind pus pe aspectele eseniale care trebuie avute n
vedere: responsabilitatea, vulnerabilitatea la modificri, uurina copierii, riscurile accesului de la distan,
procesare invizibil, existena unui parcurs al auditului, distribuirea datelor, ncrederea n prestatorii de
servicii IT i utilizarea nregistrrilor furnizate de calculator ca prob de audit.
3.2.1 Responsabilitatea
Utilizatorii calculatorului sunt implicit anonimi. Sistemele care nu pot identifica i nregistra aciunile
utilizatorilor individuali nu pot s-i fac ulterior rspunztori de aciunile lor. Utilizatorii sunt mult mai
nclinai s efectueze activiti informatice neautorizate dac nu pot fi identificai i trai la rspundere.
Riscul procesrii de tranzacii neautorizate poate fi redus prin prezena unor controale care identific
precis utilizatorii individuali i nregistreaz aciunile acestora. Deintorii de sisteme IT / IS pot reduce
riscul asociat cu utilizatorii anonimi, n primul rnd, prin atribuirea de coduri unice de identificare
utilizatorilor i, n al doilea rnd, prin obligaia de a-i autentifica identitatea atunci cnd intr n sistem.
Parola este cea mai utilizat metod de autentificare a identitii utilizatorului.
Pentru a crete gradul de rspundere se pot aduga tranzaciilor controale suplimentare, sub form de
semnturi electronice.
3.2.2 Vulnerabilitatea la modificri

n mod normal calculatoarele stocheaz att datele tranzaciei, ct i programul informatic ntr-o form
intangibil pe medii magnetice (discuri i/sau benzi magnetice) sau optice (CD-ROM, DVD). Natura
mediilor magnetice este astfel conceput nct se pot aduce modificri fie datelor, fie aplicaiilor fr a
lsa nici o urm. Auditorii trebuie s evalueze existena i eficiena controalelor care previn efectuarea de
modificri neautorizate. Controale neadecvate pot conduce la situaia ca auditorul s nu poat acorda
ncredere nregistrrilor din calculatoare sau integritii parcursului auditului.
Programele de aplicaie i datele tranzaciei trebuie s fie protejate fa de modificri neautorizate prin
utilizarea de controale adecvate ale accesului fizic i logic. Controalele de acces fizic includ instalarea de
bariere fizice pentru restricionarea accesului n sediu, n cldiri, n slile de calculatoare i la fiecare
component de hardware. Controalele accesului logic sunt restricii impuse de software-ul calculatorului.
Plile prin calculator, precum i transferurile electronice de fonduri permit modificri neautorizate, mult
mai uor dect instrumentele de plat pe hrtie i deci trebuie s aib o protecie adecvat. Integritatea
tranzaciilor electronice poate fi protejat prin tehnici, precum criptarea datelor, semnturi electronice sau
utilizarea unui algoritm de dispersare a datelor.
Pag. 84 din 214
3.2.3 Uurina la copiere

Copiile datelor informatice pot s fie confundate cu originalul (prin listare, copiere pe supori magnetici sau
optici sau prin transfer electronic). Dac datele au valoare financiar, precum n sistemele de transfer
electronic de fonduri, prevenirea dublrii tranzaciilor este n mod deosebit important. Sistemele
informatice trebuie s ncorporeze controale care s detecteze i s previn procesarea de tranzacii
duble.
Controalele adecvate pot include atribuirea de numere secveniale tranzaciilor i verificarea de rutin a
totalurilor de control. Controalele manuale, precum tampilarea fizic sau anularea formularelor de
introducere n calculator pot de asemenea reduce riscul procesrii duble.
Auditorii trebuie s fie contieni de eventualele probleme n cazul n care instrumente negociabile sunt
stocate i schimbate prin intermediul calculatorului. n astfel de circumstane poate fi adecvat s se
utilizeze intermedierea unei tere pri de ncredere. Tera parte de ncredere va aciona ca registrator i
va ine o eviden a proprietarului nregistrat cu instrumente negociabile particulare. La finalizarea contractului, cumprtorul va atepta confirmarea c vnztorul are drept de proprietate asupra instrumentului, nainte de a autoriza plata. Acest aranjament va preveni ca documentele electronice s fie
negociate de dou ori.
3.2.4 Uurina accesului de la distan

Fiierele pe hrtie pot fi uor protejate fa de accesul neautorizat prin instalarea de lacte la ui, fiete,
supraveghere video, alarme anti-efracie i altele. Mijloace similare de protecie pot fi utilizate pentru
protecia dispozitivelor detaabile de stocare de date, precum benzile magnetice i dischetele. Dac
datele sunt accesibile ntr-o reea de calculatoare, atunci poate aprea un grad de incertitudine cu privire
la persoana care are acces la software i la fiierele de date.
Este foarte frecvent cazul entitilor care i conecteaz sistemele de calculatoare la reeaua Internet.
Aceste conectri mresc substanial riscul de acces neautorizat de la distan i de atacuri cu virui i
viermi. Protejarea reelelor conectate la Internet poate fi dificil de realizat i necesit un grad nalt de
cunotine specializate.
Unele sisteme de operare asigur controale ale accesului care limiteaz capacitatea utilizatorilor de la
distan s vad, s modifice, s tearg sau s creeze date. Controalele de acces ale sistemului de
operare pot fi extinse cu controale suplimentare de identificare i autorizare n cadrul fiecrei aplicaii. n
ambele cazuri, eficiena controalelor de acces depinde de existena unor proceduri puternice de identificare i autentificare i de o bun administrare a sistemelor de securitate.
3.2.5 Procesare invizibil

Procesarea tranzaciilor care are loc in interiorul calculatorului este efectiv invizibil pentru auditor.
Auditorii pot vedea ce informaii intr i ce rezultate sunt obinute, dar au puine cunotine cu privire la ce
se ntmpl pe parcurs. Aceast slbiciune poate fi exploatat prin intermediul unor programe
neautorizate ascunse n programele autorizate. Ameninarea indus de modificrile de program
neautorizate poate fi redus prin adoptarea de proceduri adecvate de control al modificrilor, inclusiv prin
controale de acces eficiente, activiti de nregistrare (logging), revizuirea logurilor respective i o
separare eficient a sarcinilor ntre dezvoltatorii de programe, personalul de operare a calculatoarelor i
utilizatorii finali.
Pag. 85 din 214
3.2.6 Existena unui parcurs al auditului

n cazul n care parcursul auditului se bazeaz pe nregistrri stocate pe un calculator, auditorul trebuie s
se asigure c datele privind tranzacia sunt pstrate un timp suficient i c au fost protejate fa de
modificri neautorizate. Capacitatea limitat de stocare a unor calculatoare poate restriciona cantitatea
de date istorice privind tranzaciile, care poate fi pstrat. n aceste cazuri, auditorul poate i trebuie s
insiste s se arhiveze regulat evidenele contabile i s fie pstrate ntr-un mediu sigur. Auditorul poate,
de asemenea, s analizeze impactul posibil al regulilor de arhivare a datelor entitii cnd planific
auditul.
3.2.7 Date distribuite

Calculatoarele n reea au capacitatea de a stoca aplicaii financiare i fiiere de date pe orice dispozitive
de stocare din reea. Auditorul se poate afla n faa unui sistem care ruleaz o aplicaie financiar pe un
calculator i stocheaz fiierele cu tranzacii procesate pe un calculator din alt sal, din alt cldire sau
chiar din alt ar.
Procesarea datelor distribuite poate implica creterea resurselor necesare pentru analiza sistemelor
informatice ale entitii auditate i poate complica evaluarea de ctre auditor a controalelor de acces fizic
i logic. Mediul de control poate fi foarte bun ntr-o locaie, dar foarte slab n alt locaie.
3.2.8 ncrederea n prestatorii de servicii IT

Serviciile IT sunt asigurate n general n unul din urmtoarele trei moduri:
n interiorul organizaiei de ctre departamentul IT propriu sistemele informatice aparin
clientului i sunt operate de angajaii si;
prin externalizarea managementului facilitilor sistemul este deinut de client, iar operaiile
zilnice i activitile de ntreinere sunt contractate cu un furnizor de servicii de ter parte; sau
prin externalizarea integral a serviciilor IT att sistemele informatice, ct i echipa IT sunt
asigurate de o ter parte.
Cnd o entitate utilizeaz serviciile IT ale unei tere pri, auditorul va trebui s analizeze existena
drepturilor de inspecie i gradul asigurrii de audit, dac exist, care ar putea fi furnizate de auditorii
interni sau de auditorii externi ai furnizorului de servicii IT.
Pentru o aplicaie IT bine controlat se poate face distincia ntre deintor, utilizatorii sistemului i
prestatorii de servicii IT. Deintorul aplicaiei este de obicei utilizatorul iniial al aplicaiei i acesta va fi
responsabil pentru formularea i comunicarea cerinelor ctre prestatorii de servicii IT. Auditorul va trebui
s verifice dac deintorii au prezentat o declaraie adecvat a cerinelor de control i dac prestatorii IT
au reflectat satisfctor cerinele cu privire la modul n care este controlat sistemul IT.
3.2.9 Utilizarea nregistrrilor furnizate de calculator ca prob de

audit
Principiile referitoare la probele de audit nu se schimb datorit faptului c auditul se realizeaz ntr-un
mediu informatizat. nregistrrile furnizate de calculator sub form de date pe discuri magnetice sau
discuri optice pot oferi auditorului probe de audit. Auditorul poate, de asemenea, s genereze probe de
audit utiliznd tehnicile de audit asistat de calculator.
Sunt puine precedente care se adreseaz admisibilitii nregistrrilor din calculator la o instan
judiciar. n cazurile n care probele informatice au fost depuse n aciuni judiciare, instanele au luat n
Pag. 86 din 214
considerare o expertiz cu privire la eficiena mediului de control IT, nainte de a evalua fiabilitatea datelor
informatice.
Auditorul va avea n vedere faptul c tranzaciile sau imaginile de documente provenind de la calculator
pot s nu fie admise ca probe n justiie dac nu se poate arta c exist controale destul de puternice
pentru a nltura dubiul rezonabil privind autenticitatea i integritatea datelor coninute n sistem.
3.3
Probleme cu impact semnificativ asupra riscului de audit
n cazul informatizrii unei pri semnificative a activitii entitii, se impune evaluarea influenei
utilizrii sistemului informatic asupra riscurilor auditului (inerent i de control), avnd n vedere aspectele
legate de relevana i credibilitatea probelor de audit. Vom prezenta n continuare o serie de probleme
tipice cu impact semnificativ asupra riscului de audit.
(a) Complexitatea fluxurilor de prelucrare poate genera lipsa formelor intermediare pe care le
parcurge tranzacia, generndu-se n cele mai multe cazuri numai o form final i uneori numai
n format electronic sau disponibil numai pentru o perioad scurt de timp. n lipsa unor
proceduri de validare adecvate, erorile pot fi dificil de detectat prin proceduri manuale, proba de
audit fiind neconcludent.
(b) Alterarea probelor de audit poate fi cauzat de existena unor anomalii sau erori sistematice ale
funcionrii programelor, care afecteaz prelucrarea ntregului fond de date i duc la obinerea
unor rezultate eronate, greu de corectat prin proceduri manuale, avnd n vedere volumul mare
al tranzaciilor i complexitatea algoritmilor de prelucrare.
(c) Concentrarea operrii unor proceduri cu funcionalitate incompatibil la nivelul aceluiai individ,
proceduri care, potrivit legislaiei sau reglementrilor interne privind separarea atribuiilor, ar
trebui operate de ctre persoane diferite, genereaz executarea unor funcii incompatibile i
posibilitatea accesului i alterrii coninutului informaional n funcie de interese personale. O
cerin important legat de operarea sistemului informatic este distribuirea aplicaiilor n cadrul
entitii i alocarea drepturilor de utilizare n conformitate cu necesitatea separrii atribuiilor,
impus de legislaie.
(d) Datorit interveniei umane, care nu are ntotdeauna asociate protecii stricte privind autorizarea
accesului i intervenia asupra fondului de date, n dezvoltarea, ntreinerea i operarea
sistemului informatic, exist un potenial foarte mare de alterare a fondului de date fr o dovad
explicit.
(e) Ca urmare a gestionrii automate a unui volum mare de date, fr implicare uman, exist riscul
nedetectrii pentru o perioad lung de timp a unor erori datorate unor anomalii de proiectare
sau de actualizare a unor componente software.
(f) n cazul unor proceduri sau tranzacii executate n mod automat, autorizarea acestora de ctre
management poate fi implicit prin modul n care a fost proiectat i dezvoltat sistemul informatic
i pentru modificrile ulterioare, ceea ce presupune lipsa unei autorizri similare celei din
sistemul manual, asupra procedurilor i tranzaciilor.
(g) Eficacitatea procedurilor manuale de control este afectat de eficacitatea controalelor IT n situaia n care procedurile manuale se bazeaz pe documente i rapoarte produse n mod
automat de sistemul informatic.
Pag. 87 din 214
(h) Extinderea structurii de control intern cu controale specializate, bazate pe utilizarea tehnologiei
informaiei, are efecte n planul monitorizrii activitii entitii prin utilizarea unor instrumente
analitice oferite de sistemul informatic.
(i) Efectuarea testelor de control asupra unui volum mare de date, prin utilizarea tehnicilor i
instrumentelor asistate de calculator, este facilitat de existena unor proceduri de prelucrare i
analiz oferite de sistemul informatic.
(j) Evaluarea riscurilor n cazul misiunilor de audit n mediu informatizat trebuie s aib n vedere
probabilitatea obinerii unor informaii eronate cu impact semnificativ asupra auditului ca rezultat
al unor deficiene n funcionarea sistemului informatic,. Aceste deficiene pot fi legate att de
calitatea infrastructurii hardware i/sau software, de dezvoltarea i ntreinerea aplicaiilor, de
operarea sistemului, de securitatea sistemului i a informaiilor, de calitatea personalului implicat
n funcionarea sistemului, de calitatea documentaiei tehnice, ct i de interveniile neautorizate
asupra aplicaiilor, bazelor de date sau condiiilor procedurale impuse n cadrul sistemului.
Evaluarea riscurilor are n vedere urmtoarele tipuri de analize:
a) Dac utilizarea sistemului se realizeaz n cadrul unei structuri clar definite, conducerea este
informat despre activitatea IT i este receptiv la schimbare, gestionarea resurselor umane se face
eficient, monitorizarea cadrului legislativ i a contractelor cu principalii furnizori se desfoar corespunztor, are loc revizuirea funcionalitii, operrii i dezvoltrilor de componente, astfel nct
acestea s fie n concordan cu necesitile activitii entitii i s nu expun entitatea la riscuri
nejustificate;
b) Dac accesul neautorizat la datele sau programele critice este prevenit i controlat, mediul n care
opereaz sistemele este sigur din punct de vedere al confidenialitii, integritii i credibilitii;
c) Dac aplicaiile sunt disponibile atunci cnd este nevoie, funcioneaz conform cerinelor, sunt fiabile
i au implementate controale sigure asupra integritii datelor;
d) Dac sunt luate msurile necesare pentru diminuarea riscului deteriorrii (accidentale sau deliberate)
sau a furtului echipamentelor IT, se acioneaz corespunztor pentru reducerea probabilitii apariiei
unor defeciuni majore i sunt stabilite msurile necesare pentru ca, n cazul indisponibilizrii facilitilor de procesare, entitatea s i reia n mod eficient activitatea, ntr-o perioad de timp rezonabil;
e) Dac personalul este pregtit i are capabilitile necesare pentru operarea i ntreinerea sistemului;
f) Dac sistemul informatic este conform cu cerinele proiectului i cu reglementrile aplicabile n
vigoare.
n proiectarea procedurilor de audit, se vor lua n considerare restriciile impuse de mediul informatic i se
vor alege soluii care s reduc riscul de audit: proceduri manuale de audit, tehnici de audit asistat de
calculator, o soluie mixt, n scopul obinerii unor probe de audit de ncredere.
3.4
Model de management al riscurilor IT
Argumentul fundamental al auditrii bazate pe risc este acela c livrarea serviciilor informatice joac un
rol semnificativ n toate aspectele activitilor unei organizaii. Impactul asupra unei afaceri, n condiiile n
care anumite pri ale livrrii serviciilor IT eueaz, este adesea critic, motivul fiind, n cele mai multe
cazuri, lipsa informrii privind riscurile poteniale.
Din acest motiv, n manual este prezentat un model care descrie serviciile informatice specifice
administraiei publice i riscurile asociate care apar cel mai frecvent.
Ceea ce este indispensabil n tratarea riscurilor, pe lng identificarea, evaluarea i analiza acestora,
este dezvoltarea unei strategii pentru managementul riscurilor. Pentru completitudine, pe lng evaluarea
Pag. 88 din 214
riscurilor, n lucrare sunt descrise att impactul pe care acestea l au asupra organizaiei ct i strategiile
tipice de management al riscurilor recomandate.
Sunt necesare informaii pentru a cunoate ce aciuni ar putea evolua ntr-o direcie greit, care sunt
cauzele i probabilitatea unui impact posibil, care este probabilitatea ca un risc identificat s apar, ce
trebuie fcut pentru a preveni apariia unui risc, ce ar trebui tiut dac acest risc apare, ce ar trebui fcut
pentru a diminua impactul riscului, precum i dac aciunile alternative ar putea produce alte riscuri i
dac acestea pot fi mai severe.
Realizarea efectiv a managementului riscurilor se asigur printr-o secven complex de aciuni care
include:
a) Stabilirea obiectivelor i contextului (mediul riscurilor)
b) Identificarea riscurilor
c) Analiza riscurilor identificate
d) Evaluarea riscurilor
e) Tratarea sau managementul riscurilor
f) Monitorizarea i revizuirea cu regularitate a riscurilor i a mediului acestora
g) Raportarea riscurilor
Acestea sunt trecute n revist pe scurt, urmnd a fi tratate n detaliu n coninutul manualului.
a) Stabilirea obiectivelor i contextului (mediul riscurilor)
Scopul acestei etape a planificrii este nelegerea mediului n care opereaz afacerea, att mediul de
operare extern, ct i cultura intern a organizaiei.
Analiza are n vedere stabilirea contextului strategic, organizaional i de management al riscurilor afacerii
i identificarea constrngerilor i a oportunitilor mediului de operare. n urma analizei efectuate rezult
punctele slabe, oportunitile i prioritile afacerii. De asemenea, se stabilete obiectivul afacerii fa de
care se efectueaz evaluarea riscurilor.
Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt:
analiza unor documentaii relevante ale organizaiei,
examinarea obiectivelor afacerii,
analiza planurilor de afaceri,
analiza managementului riscurilor,
identificarea vulnerabilitilor cu privire la inteniile conducerii n legtur cu atingerea
obiectivelor, analize SWOT65 i PEST66.
b) Identificarea riscurilor
Prin utilizarea informaiilor colectate n legtur cu contextul, se identific riscurile care vor afecta cu cea
mai mare probabililtate ndeplinirea obiectivelor afacerii.
Intrebrile cheie care trebuie formulate pentru a identifica riscurile sunt:
cnd, unde, de ce i cum este probabil apariia riscurilor?
care sunt riscurile asociate cu rezultatele fiecreia dintre prioritile organizaiei?
care sunt riscurile de a nu atinge aceste prioriti?
cine ar putea fi implicat n apariia unor riscuri?
Paii care se parcurg n etapa de identificare a riscurilor sunt: inventarierea riscurilor, identificarea
surselor de risc, identificarea impactului riscului.
generarea de scenarii privind posibilele surse de risc
liste de verificare ale posibilelor riscuri ale afacerii sau ale posibilelor riscuri de fraud
65
66
SWOT - Strength, Weaknesses, Opportunities and Threats

PEST - Political, Economic, Societal and Technological
Pag. 89 din 214
analiza riscurilor tipice n fazele proceselor de achiziii

scenariul de planificare, ca instrument de evaluare a riscurilor
harta proceselor
documentaii, rapoarte de audit, rapoarte de evaluare i/sau de cercetare.
c) Analiza riscurilor
In etapa de identificare a controalelor asociate riscurilor i a eficacitii acestora asupra riscurilor
respective, pentru fiecare risc se stabilesc controale adecvate i eficace pentru prevenirea sau pentru
minimizarea impactului acestuia. Eficacitatea controlului se apreciaz prin unul dintre calificativele:
neadecvat, moderat, adecvat. Aceste controale se iau n considerare n strategia de tratare a riscului.
Pentru fiecare risc trebuie definit profilul prin definirea probabilitii i a unor criterii privind consecinele.
Intrebrile cheie care trebuie formulate pentru definirea probabilitii i a unor criterii privind consecinele
apariiei riscurilor sunt:
Ct de serioase sunt consecinele dac riscul apare?
Care este probabilitatea ca riscul s apar?
Care este nivelul de risc acceptat?
identificarea controalelor asociate riscurilor i a eficaciti acestora
definirea probabilitii i a consecinelor (matricea riscurilor).
d) Evaluarea riscurilor
In procesul de evaluare a riscului este necesar stabilirea nivelului de risc ca fiind acceptabil sau
inacceptabil.
Riscul acceptabil va fi stabilit de raportul dintre importana informaiei i sursele de finanare existente
pentru obinerea i gestionarea acesteia.
Dac riscul este acceptabil nu sunt necesare tratri suplimentare pe lng controalele curente. Riscurile
acceptabile trebuie s fie monitorizate i revizuite periodic pentru a avea asigurarea c rmn
acceptabile.
Dac riscul este inacceptabil este necesar tratarea corespunztoare a acestuia.
analize comparative
analize de costuri
modul de percepere a ameninrii
analiza efectelor poteniale.
e) Tratarea sau managementul riscurilor
Obiectivul acestei etape a procesului de evaluare a riscului este de a gsi opiuni cu costuri mici pentru
tratarea riscului. Metodele de tratare sunt: prevenirea riscului, reducerea riscului, transferarea riscului
ctre alt zon i tratarea propriu-zis a riscului. Pentru fiecare risc se determin opiunile de tratare care
vor fi implementate, se determin nivelul de risc, se aloc responsabilitile i se elaboreaz graficul de
implementare.
identificarea opiunilor pentru tratarea riscurilor

prevenirea riscului
reducerea riscului
transferarea riscului (de exemplu, externalizarea activitilor)
tratarea riscului
analiza cost/beneficiu
identificarea opiunilor care trebuie implementate pentru tratarea riscului potenial
determinarea nivelului int al riscului
Pag. 90 din 214
alocarea responsabilitilor
elaborarea graficului de implementare.
f) Monitorizarea riscurilor
Riscurile i prioritile asociate nu rmn constante, fiind necesar o monitorizare continu a riscurilor
identificate i a riscurilor noi.
Pentru monitorizarea riscurilor trebuie stabilite: modul de msurare a prelucrrilor, termene, analize comparative, cine are responsabilitatea revizuirii, stadiul tratrii riscurilor, frecvena revizuirilor.
elaborarea i ndeplinirea planurilor de aciuni,
analize comparative
raportarea riscurilor
g) Raportarea riscurilor
Este necesar implementarea unui cadru de lucru care s permit persoanelor responsabile s prezinte
rapoarte privind: riscurile cheie, modul de gestionare a riscurilor, eficacitatea strategiei de tratare, identificarea unor riscuri noi cu implicaii pentru afacere.
Riscurile neacceptabile i strategiile de tratare a acestora trebuie incluse n planurile de afaceri ale organizaiei.
Riscurile generate de existena mediului informatizat
3.5
nelegerea aspectelor legate de infrastructura IT, de managementul serviciilor IT, precum i a

procedurilor de evaluare i management al riscurilor este fundamental n efectuarea auditului.
Evaluarea riscurilor generate de funcionarea sistemului informatic, prin analiza unor factori cu impact n
desfurarea activitii entitii auditate, respectiv: dependena de IT, resurse i cunotine IT, ncrederea
n IT, schimbri n IT, externalizarea IT, securitatea informaiei, evaluarea sistemelor IT prin prisma
respectrii legislaiei n vigoare, este esenial.
Pornind de la aceste considerente, auditarea managementului serviciilor IT, bazate pe principiile evalurii
i managementului riscurilor este indispensabil pentru dezvoltarea unei strategii adecvate n acest
domeniu.
3.5.1 Dependena de IT
Dependena de tehnologiile informaiei este un factor cheie n condiiile n care tendina actual este de a
se generaliza utilizarea calculatoarelor n toate domeniile economice i sociale.
n scopul evalurii dependenei conducerii de tehnologiile informaiei, auditorul va examina urmtoarele
aspecte relevante: gradul de automatizare al entitii, complexitatea sistemelor informatice utilizate i
timpul de supravieuire al entitii n lipsa sistemului IT.
Factori de risc
(a) Gradul de automatizare se determin prin inventarierea echipamentelor i tehnologiilor software
existente, aprecierea numrului i importanei sistemelor informatice sau aplicaiilor care funcioneaz i
sunt utilizate n cadrul entitii pentru conducerea proceselor, evaluarea ponderii activitilor informatizate
n totalul activitilor entitii, precum i a gradului de acoperire a necesitilor n compartimentele funcionale i la nivelul conducerii.
Pag. 91 din 214
(b) Complexitatea sistemelor IT este determinat de complexitatea i specificul activitii (economic, industrial, social, cultural, de nvmnt, cercetare etc.) i poate fi caracterizat de volumul tranzaciilor
gestionate de sistemele informatice, de forma de prezentare (alfanumeric, multimedia, analogic), de
tehnologia folosit, de modul de operare (n timp real sau n loturi), de volumul tranzaciilor generate
automat de ctre aplicaii.
(c) Timpul de supravieuire fr IT poate fi un factor de risc major n cazul sistemelor pentru care timpul
de rspuns este critic (mai ales pentru sistemele cu funcionare n timp real), al sistemelor care prelucreaz un volum mare de tranzacii, al sistemelor care au la baz algoritmi i modele complexe a cror
rezolvare nu se poate efectua manual, precum i n entitile care au ntreaga activitate informatizat iar
substituirea procedurilor automate prin proceduri manuale este foarte costisitoare sau imposibil. n unele
cazuri, ntrzierile datorate nefuncionrii sistemului informatic se transfer n costuri semnificative
suportate de ctre entitate, cu impact major asupra afacerii.
3.5.2 Resurse i cunotine IT

Politica de personal i de instruire
Erorile i omisiunile umane sunt cele mai mari surse de probleme. Pentru reducerea riscurilor cauzate de
greelile umane, entitatea trebuie s implementeze controale i proceduri n cadrul unor politici de
personal adecvate:
o structur organizaional clar, formalizat n organigrama entitii;
descrierea posturilor;
planificarea personalului;
instruirea i dezvoltarea personalului;
politici de angajare/concediere (inclusiv coduri de conduit);
evaluarea personalului (promovare/retrogradare);
contracte speciale;
rotaia personalului;
concediile personalului.
Factori de risc
(a) Aptitudinile curente se constituie n cadrul structurii profesionale a angajailor IT prin aciuni care
influeneaz nivelul de pregtire al angajailor IT n raport cu necesitile entitii. Se determin prin
evaluarea personalului IT i prin analiza diseminrii cunotinelor la nivelul ntregului personal. Este de
dorit ca aceste cunotine s nu fie concentrate la nivelul unui numr restrns de personal.
(b) Resursele comparate cu volumul de munc indic gradul de ncrcare a personalului i acoperirea n
raport cu cerinele activitii entitii. Este un factor de risc important ntruct repartizarea dezechilibrat a
sarcinilor poate genera suprasolicitare i, implicit, insatisfacia personalului.
(c) Structura conducerii departamentului IT este determinant n ceea ce privete coordonarea proiectelor
informatice i valorificarea rezultatelor implementrii i utilizrii acestora pentru asigurarea succesului
afacerii.
(d) Fluctuaia personalului se refer la o perioad de un an i este determinat n principal de satisfacia
profesional i material i de moralul personalului IT.
Pag. 92 din 214
3.5.3 ncrederea n IT
ncrederea actorilor implicai n utilizarea sistemelor informatice sau n valorificarea rezultatelor furnizate
de acestea n cadrul unei entiti (management, utilizatori, auditori) este determinat att de calitatea
informaiilor obinute, ct i gradul n care se asigur utilizarea tehnologiilor informatice ca instrumente
accesibile i prietenoase n activitatea curent.
Factori de risc
(a) Complexitatea sistemului i documentaia disponibil. Sunt apreciate prin percepia privind
complexitatea calculelor i a proceselor controlate de ctre sistemele IT, prin amploarea automatizrii
activitilor desfurate n cadrul entitii, prin calitatea i varietatea interfeelor, prin informaiile documentare aferente utilizrii aplicaiilor i sistemului. De asemenea, este relevant opinia utilizatorilor despre
dificultatea operrii.
Riscurile asociate unor politici neadecvate n ceea ce privete existena i calitatea documentaiei sunt
generate de practici de lucru neautorizate adoptate de personalul IT, de creterea numrului de erori produse din aceast cauz de personalul IT, la care se adaug i dificultatea ntreinerii sistemului, precum i
dificultatea diagnosticrii erorilor.
Politica privind documentarea impune n primul rnd pstrarea i utilizarea documentaiei actualizate la
ultima versiune i pstrarea unei copii a documentaiei ntr-un loc sigur n afara sediului entitii.
(b) Integrarea/fragmentarea aplicaiilor. Opinia privind gradul de integrare a aplicaiilor n sistem decurge
din analiza arhitecturii acestuia. n cele mai multe cazuri entitatea nu deine o soluie integrat a sistemului informatic, acesta fiind constituit din implementri de aplicaii insularizate, dedicate unor probleme
punctuale (aplicaia financiar-contabil, aplicaii dedicate activitii de baz a entitii etc.). Acest tip de
arhitectur prezint dezavantaje la nivelul utilizrii, precum i o serie de impedimente cum ar fi: dificultatea (sau chiar imposibilitatea) de a asigura interoperabilitatea aplicaiilor i a evita multiplicarea
informaiilor. Tranzaciile sunt procesate n cadrul unor aplicaii informatice distincte, informaiile introduse
n sistem sunt validate ntr-o manier eterogen, respectiv prin proceduri automate combinate cu proceduri manuale, pentru a se asigura detectarea i corectarea erorilor de intrare, precum i detectarea
inconsistenei sau redundanei datelor. Lipsa unei soluii integrate se reflect de asemenea n existena
unor baze de date diverse, unele instalate pe platforme hardware/software nvechite, existena unor
interfee utilizator diferite i uneori neadecvate, a unor faciliti de comunicaie reduse i a unor probleme
de securitate cu riscuri asociate.
(c) Erori sistematice/intervenii manuale. Pentru a evalua sigurana n funcionare i pentru a detecta
cauzele tipice n situaia fiabilitii sczute a sistemului informatic, este necesar efectuarea unei examinri privind erorile raportate n cadrul utilizrii sistemului i n ce msur este asigurat suportul tehnic
pentru analiza i corectarea acestora n mediul de producie, n ce msur datele generate de sistem
sufer prelucrri manuale adiionale din partea utilizatorilor, precum i problemele de reconciliere ntre
diverse sisteme informatice sau din cadrul sistemului (dac exist). Dup cum am menionat n paragraful anterior, gradul ridicat de fragmentare al sistemului informatic implic aciuni frecvente ale utilizatorului n procesul de prelucrare i influene n ceea ce privete respectarea fluxului documentelor, ceea
ce crete foarte mult riscul de eroare.
(d) Scalabilitatea sistemului. n funcie de soluia arhitectural implementat i de estimrile iniiale privind
dimensiunea bazei de date i complexitatea prelucrrilor, un sistem poate "rezista" sau nu la creteri semnificative ale volumului de tranzacii generate de schimbri majore n activitatea entitii. Estimarea
riscului ca, n viitorul apropiat, sistemul informatic s nu poat suporta creterea volumului de tranzacii
implic decizii importante la nivelul managementului, n sensul reproiectrii acestuia, i, implicit, privind
alocarea unui buget corespunztor.
Pag. 93 din 214
(e) Sisteme depite. Evoluiile remarcate n activitatea organizaiilor, ct i dinamica crescut n evoluia
tehnologiilor informaiei se reflect frecvent n dificultatea sau imposibilitatea adecvrii ritmului schimbrilor sistemelor informatice cu nivelul tehnologic. Succesul afacerii va avea de suferit n lipsa unui
management al schimbrii platformelor hardware/software corespunztor, prin adoptarea unor politici de
nlocuire a sistemelor depite i de cretere continu a nivelului tehnologic.
3.5.4 Schimbri n domeniul sistemelor IT/IS

Cu toate c n urma procesului de dezvoltare un sistem nou a fost acceptat, pe durata sa de via el
trebuie ntreinut, schimbat sau modificat, fapt care are impact asupra controalelor existente i poate
afecta funcionalitatea de baz a acestuia. Revizuirea controalelor schimbrii i schimbarea acestora sunt
necesare pentru a asigura continuitatea sistemelor n ceea ce privete funcionalitatea i modul de
operare.
Factori de risc
Controalele privind schimbarea sunt implementate pentru a asigura c toate schimbrile configuraiilor de
sisteme sunt autorizate, testate, documentate, controlate, c sistemul opereaz potrivit cerinelor i este
implementat un "traseu" adecvat al schimbrilor. Riscurile asociate cu controale ale schimbrii neadecvate sunt:
Schimbri neautorizate accidentale sau deliberate ale sistemelor: de exemplu, modificri

neautorizate din partea programatorilor fcute n mediul de producie;
Termene depite pentru implementarea unor probleme: de exemplu, schimbarea nu este

efectuat la timp pentru a satisface cerinele afacerii (o aplicaie privind plata unor taxe la
termene stabilite prin lege);
Raportri i prelucrri eronate: sisteme care nu efectueaz prelucrrile conform cerinelor i

pot genera: pli eronate, raportri confuze etc.;
Insatisfacia utilizatorului: poate genera erori de introducere a datelor, moral sczut al

personalului, scderea productivitii, aciuni sindicale;
Dificulti de ntreinere: calitatea sczut a sistemelor care genereaz cheltuieli mari de

ntreinere, calitatea sczut sau lipsa documentaiei tehnice, schimbrile multiple ale
sistemului fr o gestiune a versiunilor instalate n mediul de producie, lipsa unor proceduri
privind managementul problemelor;
Utilizarea de hardware i software neautorizate: poate conduce la incompatibiliti ntre

diferite pri ale sistemului, sau la incidena cu legislaia referitoare la drepturile de autor;
Probleme privind schimbrile de urgen: schimbrile de urgen necontrolate n mediul de

producie pot conduce la alterarea sau pierderea datelor i a fiierelor.
Pentru evaluarea impactului pe care l au schimbrile sistemului informatic n viaa organizaiei se

examineaz urmtoarele aspecte:
Care sunt nivelul i natura activitii departamentului IT i dac sunt n desfurare proiecte
semnificative.
Dac achiziia i/sau dezvoltarea de programe s-au realizat pe baza cerinelor afacerii.
Care este reputaia furnizorilor externi IT i a sistemelor folosite n cazul achiziiei de
software, precum i metodologia de dezvoltare intern a aplicaiilor.
Dac noua platform hardware/software are n vedere tehnologii de ultim generaie.
n ce msur se vor impune n viitorul apropiat modificri n sistemele IT generate de modificri structurale ale proceselor afacerii.
Pag. 94 din 214
3.5.5 Externalizarea serviciilor IT

Externalizarea serviciilor se refer la furnizarea unor servicii IT, sau conexe acestora, de ctre o
organizaie independent de entitatea auditat, prin urmtoarele forme: contract cu o ter parte pentru
furnizarea complet a serviciilor IT ctre entitatea auditat (outsourcing), contract cu o ter parte pentru
utilizarea curent i ntreinerea echipamentelor i a aplicaiilor care sunt n proprietatea entitii auditate,
precum i contractarea unor servicii punctuale pe criterii de performan n funcie de necesiti i de
costurile pieei, asociat cu diminuarea sau eliminarea anumitor pri din structura departamentului IT, n
cazul n care externalizarea funciilor aferente acestora este mai eficient.
Contractarea serviciilor IT este folosit pe scar larg n multe organizaii i este n continu cretere.
Principalele argumente pentru susinerea opiunii de externalizare a serviciilor sunt:
costurile: furnizorii de servicii IT ofer servicii mai ieftine dect soluia in-house, prin exploatarea extensiv a configuraiilor proprii;
ealonarea cheltuielilor: nlocuirea unor echipamente costisitoare genereaz cheltuieli

iniiale mari care se vor recupera ntr-un timp ndelungat, n timp ce plata ealonat a
serviciilor este suportat mai uor de ctre entitate;
recrutarea, formarea i meninerea personalului: entitatea elimin sarcinile legate de

managementul resurselor umane;
gestionarea capacitii: furnizorul serviciilor IT este capabil s suplimenteze resursele IT n

situaii de suprancrcare prin realocarea capacitilor disponibile;
furnizarea specialitilor: entitatea poate avea nevoie temporar de specialiti pe anumite

domenii, nejustificndu-se angajarea permanent a acestora;
experiena i expertiza: furnizorii de servicii IT dispun de o larg experien n multe

sectoare de activitate i n multe organizaii, fiind capabili s ofere soluii i idei de
perfecionare pentru serviciile IT, care nu s-ar putea formula dac aceste servicii ar rmne
in house;
responsabilitate: furnizorul este responsabil pentru rezolvarea problemelor care fac obiectul
contractului, pentru livrarea serviciilor la standardele i preurile stabilite;
implementarea mai rapid a noilor sisteme: furnizorii de servicii, datorit resurselor i

experienei personalului implicat n permanen n dezvoltarea sistemelor, sunt capabili s
implementeze la timp sisteme noi i s gestioneze problemele care apar, referitoare la
acestea.
Opiunea privind externalizarea serviciilor IT trebuie s se bazeze pe o bun cunoatere a pieei n scopul
alegerii celei mai adecvate soluii privind: reputaia furnizorilor, costurile corelate cu calitatea serviciilor.
Factori de risc
Evaluarea riscurilor achiziionrii serviciilor IT de la un furnizor de servicii se face n funcie de poziia
entitii auditate n acest proces: entitatea auditat este furnizorul serviciilor IT sau entitatea auditat
achiziioneaz serviciile IT. Examinarea este diferit pentru fiecare caz n parte. Auditorul va revizui
controalele specifice n funcie de unghiul de vedere al auditului: controale de acces logice i fizice,
controale privind managementul schimbrii etc.
(a) Drepturi de acces n auditul extern. Auditorul extern poate avea nevoie s acceseze sistemele
furnizorului de servicii pentru a verifica acurateea prelucrrilor informaiilor entitii auditate i c nu sunt
factori semnificativi care ar putea s afecteze evaluarea auditorului referitoare la fraud sau erori
materiale. Pentru serviciile furnizate intern, evaluarea se va baza pe revizuirea sistemelor de control
Pag. 95 din 214
interne ale entitii auditate. Indiferent de modul de furnizare a serviciilor, auditorul trebuie s neleag
sistemele de control intern i fluxul tranzaciilor n sistem. Dac auditorul extern decide c este necesar
accesul direct la furnizorul de servicii, n contractul semnat cu furnizorul trebuie s existe o clauz n acest
sens.
(b) Prelucrarea erorilor. Pentru asigurarea c prelucrrile efectuate de furnizor sunt corecte i complete,
clientul poate avea nevoie de proceduri de reconciliere a datelor trimise furnizorului cu datele primite dup
ce prelucrarea s-a finalizat. Este necesar stabilirea unei proceduri privind reconcilierea, pentru cazul
cnd sunt depistate erori de prelucrare.
(c) Controlul privind securitatea sistemului. Furnizorul de servicii IT este obligat s menin un nivel de
securitate corespunztor n ceea ce privete informaiile clientului. Exist riscul ca standardele i
procedurile de securitate implementate de furnizor s fie sub nivelul adoptat de client. Pentru a reduce
acest risc n contract trebuie incluse clauze care s stipuleze responsabilitatea furnizorului de a asigura
securitatea datelor clientului n concordan cu un standard specific.
(d) Dependena de furnizorul de servicii IT. Odat cu contractarea furnizrii serviciilor IT, pentru client
exist riscul de a deveni dependent de un anumit furnizor de servicii cel puin pe perioada contractului,
majoritatea expertizei IT interne transferndu-se n serviciile furnizorului. Devine dificil renunarea la
furnizorul de servicii sau trecerea la un alt furnizor n condiii limit (probleme legale, faliment, lichidare).
Pentru a reduce riscul care decurge din dependena de serviciile existente, contractul trebuie s conin
clauze care s protejeze clientul, privind predarea lucrrilor dup rezilierea contractului, pentru a uura
trecerea la alt furnizor i a permite clientului s continue prelucrarea ntr-o manier satisfctoare.
(e) Pierderea flexibilitii. In procesul de contractare, clientul agreeaz cu furnizorul natura serviciilor ce
vor fi furnizate. n cazul schimbrilor survenite n activitatea organizaiei beneficiare, furnizorul nu este
obligat s admit executarea noilor activiti care, de fapt, nu fac obiectul contractului. Acest aspect se
regsete n special n sectorul public unde dinamica schimbrilor este mare, acestea fiind determinate
de schimbri de guvern sau de politic. Pentru reducerea riscului, clientul trebuie s includ n contract
clauze privind schimbarea sistemului n condiiile schimbrii obiectivelor afacerii.
(f) Costul schimbrilor. Dac furnizorul de servicii IT nu are obligaii contractuale n ceea ce privete
schimbarea sistemului n concordan cu noile cerine este necesar ncheierea unui act adiional care n
multe cazuri conine o valoare mare. Clientul trebuie s-i ia msuri pentru a reduce riscul de a fi forat s
plteasc sume mari, ori de cte ori sunt necesare schimbri prin includerea n contract a unor clauze
care s specifice costurile adiionale pentru schimbri ale sistemelor, ale coninutului serviciilor sau pentru
schimbri n ceea ce privete volumul tranzaciilor prelucrate.
(g) Pierderea specialitilor interni proprii i a expertizei n domeniu. Prin contractarea serviciilor IT cu o
ter parte, clientul nu mai are nevoie de specialiti IT la care renun, ceea ce i reduce capacitatea de a
gestiona problemele tehnice i de a le discuta cu furnizorul de servicii. Pierderea expertizei tehnice
determin necesitatea de a reface echipa proprie, ceea ce poate fi dificil de realizat. Acest risc este
asumat din momentul lurii deciziei de externalizare a serviciilor.
(h) Rezistena personalului. n cazul variantei de externalizare pe criterii de performan, exist riscul
reaciilor adverse din partea personalului care este n pericol s-i piard locul de munc. Schimbrile se
reflect n: numrul de ore de munc, condiiile de munc, ealonarea plilor, senzaia de frustrare a
salariailor, i pot conduce la resentimente ale personalului, la scderea productivitii i a performanelor.
Auditorul trebuie s ia n considerare aceste aspecte n evaluarea riscului unor comportamente care s
conduc la activiti neautorizate, fraud sau sabotaj.
Pag. 96 din 214
Contractul
Reducerea riscurilor n cazul externalizrii serviciilor IT este asigurat de clauzele contractuale care
protejeaz ambele pri de efecte nerezonabile. Contractele cu furnizorii de servicii includ clauze
referitoare la: durata contractului, condiiile de reziliere, accesul pentru audit, definirea obligaiilor, penaliti, drepturile de proprietate intelectual, proprietatea asupra datelor, condiiile de predare la sfritul/ntreruperea contractului, standarde de securitate, natura i nivelul serviciilor, costuri adiionale/ comisioane, controlul schimbrii.
Contractele specific detalii privind serviciile furnizate i trebuie examinate de ctre auditor. Pentru
asigurarea c serviciile sunt livrate n mod satisfctor, clientul trebuie s stabileasc proceduri de
monitorizare care s includ ntlniri periodice i la cerere ntre reprezentanii managementului furnizorului i ai clientului pentru a discuta asupra serviciilor livrate i pentru rezolvarea problemelor aprute.
n ceea ce privete dezvoltarea de sisteme informatice de ctre utilizatori, auditorul va evalua
riscurile care decurg din dezvoltarea intern a sistemelor informatice (resurse de dezvoltare/implementare/colarizare etc.). Se vor trata difereniat cazurile n care entitatea are un departament IT care are ca
atribuii dezvoltarea de sisteme i aplicaii, fa de situaiile n care dezvoltrile se fac ad-hoc, fr
utilizarea unui suport metodologic adecvat i fr participarea unor specialiti cu atribuii definite n acest
domeniu.
3.5.6 Focalizarea pe afacere

Lansarea unor investiii n IT, efectuat la nceputul unei afaceri sau schimbrile necesare pe parcursul
acesteia vor fi supuse unor analize privind obiectivele investiiilor IT, configuraiile necesare, personalul IT
implicat n proiecte, soluiile de achiziie sau de dezvoltare, finanarea proiectelor etc.
Deciziile luate de managementul de vrf al entitii n legtur cu direciile de dezvoltare n domeniul IT
trebuie formalizate i documentate ntr-un document denumit Strategia IT n care se identific toate
proiectele i activitile IT care vor face obiectul finanrilor.
Deciziile i schimbrile planificate specificate n strategia IT sunt preluate i detaliate n planurile anuale
ale departamentului IT.
Dei strategia are un efect minimal pentru auditul efectuat pentru o perioad de un an, ea ofer o imagine
n legtur cu o perspectiv mai ndelungat (urmtorii ani) i l avertizeaz pe auditor n ceea ce privete
problemele care pot s apar n viitor.
Factori de risc
Adecvarea strategiei IT la obiectivele afacerii este deosebit de important pentru reducerea riscurilor n
atingerea obiectivelor afacerii i are n vedere urmtoarele aspecte:
Strategia IT trebuie s fie o parte a strategiei entitii i s contribuie prin suportul oferit la
atingerea obiectivelor acesteia. Sistemele IT vor fi instalate i utilizate ntruct sunt
necesare, nu n funcie de dorina personalului;
Investiiile IT trebuie s constituie cheltuieli care trebuie justificate prin efectele pe care le au
asupra afacerii;
Strategia IT se refer n general la o perioad de trei ani, fiind dificil de estimat dinamica
schimbrilor tehnologice n domeniu;
Ritmul accelerat al schimbrilor n domeniul IT implic revizuirea anual a strategiei IT i

actualizarea acesteia dac este nevoie;
Personalul trebuie s fie informat asupra principalelor aspecte incluse n strategia IT;
Pag. 97 din 214
Strategia trebuie s includ consideraii despre sistemele financiare;
Strategia trebuie s fie aprobat de ctre managementul de vrf.
Factorii de risc privind focalizarea strategiei IT pe obiectivele afacerii se pot sintetiza astfel:
(a) Corelaia ntre strategia IT i strategia ntregii afaceri. Se examineaz dac obiectivele departamentului IT sunt consistente cu obiectivele ntregii afaceri, dac planificarea anual a departamentului IT
este realizat pe baza prevederilor strategiei.
(b) Contientizarea conducerii fa de riscurile IT. Se analizeaz n ce msur conducerea este
contient de importana sistemelor IT i de riscurile asociate acestora.
(c) Necesiti curente raportate la funcionalitatea IT. Se evalueaz flexibilitatea i adaptabilitatea sistemelor IT i modul n care sistemele informatice acoper necesitile curente ale afacerii.
3.5.7 Securitatea informaiei

Poziia entitii referitoare la securitatea informaiei trebuie exprimat n Politica de securitate IT, care
stabilete cu claritate politicile, principiile i standardele specifice privind securitatea, precum i cerinele
de conformitate cu acestea, controalele detaliate privind securitatea, responsabilitile i sarcinile
personalului n ceea ce privete securitatea IT, modalitile de raportare n caz de incidente.
Politica de securitate se exprim ntr-o form concis, narativ, este aprobat de managementul de vrf,
trebuie s fie disponibil pentru toi funcionarii responsabili cu securitatea informaiei i trebuie s fie
cunoscut de toi cei care au acces la sistemele de calcul.
Politica de securitate trebuie s conin urmtoarele elemente:
O definiie a securitii informaiei, obiectivele sale generale i scopul;
O declaraie de intenie a managementului prin care acesta susine scopul i principiile

securitii informaiei;
O detaliere a politicilor, principiilor i standardelor specifice privind securitatea, precum i a

cerinelor de conformitate cu acestea:
1. conformitatea cu cerinele legale i contractuale;
2. educaie i instruire n domeniul securitii;
3. politica de prevenire i detectare a viruilor;
4. politica de planificare a continuitii afacerii.
O definire a responsabilitilor generale i specifice pentru toate aspectele legate de

securitate;
O descriere a procesului de raportare n cazul apariiei incidentelor privind securitatea.
Entitatea trebuie s implementeze metode de monitorizare a conformitii cu politica de securitate i s

furnizeze asigurarea c politica este de actualitate. Responsabilitatea pentru securitatea IT este asignat
unei funcii de administrare a securitii.
Factori de risc
(a) Motivaia pentru fraud/infraciuni (intern i extern). Se analizeaz care sunt tipurile de informaii
gestionate de ctre sistemele IT, din punctul de vedere al confidenialitii i n ce msur ar fi afectat
reputaia entitii n caz de fraud.
Pag. 98 din 214
(b) Senzitivitatea datelor. Avnd n vedere c tentativele de fraud asupra datelor din sistemul informatic
sunt stimulate de interesul manifestat pentru informaiile confideniale, se apreciaz ct de confideniale
sunt datele gestionate de ctre sistemele IT, pentru a evalua probabilitatea de atac asupra acestora i
pentru a stabili dac controalele implicate de politica de securitate sunt suficient de riguroase.
(c) Legislaie i regulamente. Se evalueaz modul de aliniere a entitii la contextul legislativ i de
reglementare, prin prisma caracterului informaiilor gestionate de sistemele IT (de exemplu, privind
protecia datelor cu caracter personal).
Riscurile asociate cu controale ale accesului logic neadecvate
Cele mai importante riscuri care pot decurge din lipsa controalelor accesului logic sunt:
Dezvluiri neautorizate prin acces la informaii confideniale;
Modificri neautorizate;
Afectarea integritii sistemului.
Dac sistemul este conectat ntr-o reea de arie larg, cum ar fi reeaua Internet, riscurile sunt cu mult mai
mari, iar controalele accesului logic cu mult mai importante pentru a asigura integritatea, disponibilitatea i
confidenialitatea sistemului. Atacatorii pot fi hackeri, funcionari, foti funcionari, competitori, spioni,
vnztori i consultani.
Consecinele violrii securitii accesului logic se pot reflecta ntr-o gam de efecte care pot afecta att
afacerea, ct i opinia de audit. Acestea pot fi:
a) Pierderi financiare: pot fi directe, decurgnd dintr-o fraud sau indirecte, decurgnd din costurile
modificrilor i corectrii datelor i programelor.
b) Obligaii legale: entitatea poate avea obligaii legale privind stocarea i dezvluirea datelor. De
exemplu, informaiile dezvluite pot intra sub incidena legii proteciei datelor cu caracter personal, sau,
pierderea integritii ntr-un mediu bancar poate produce nclcarea regulilor bancare i aciuni
disciplinare pentru aceasta.
c) Pierderi ale aciunilor pe pia i/sau a credibilitii: sunt foarte grave n special n sectorul serviciilor
financiare (bnci, fonduri de investiii) unde pot conduce la pierderea afacerii.
d) Distrugerea activitilor afacerii: de exemplu, dac un hacker ptrunde n sistemul de fabricaie asistat
de calculator al unei organizaii i schimb toate dimensiunile produselor.
e) Calificarea opiniei de audit: intereseaz cel mai mult pe auditorul extern, avnd n vedere c datele din
sistemul informatic nu pot fi auditate, ntruct nu ofer probe de ncredere, i pot conine erori materiale
datorate alterrii lor.
Riscuri asociate reelelor i conexiunilor la Internet
Prin conectarea sistemelor entitii n reea apare potenialul unor riscuri majore generate de accesul unor
utilizatori anonimi externi sau al unor funcionari neautorizai care conduce la:
Pierderea datelor prin tergere intenionat sau n timpul transmisiei;
Alterarea datelor de ctre utilizatori sau datorate erorilor de transmisie;
Fraud generat de surse interne sau externe;
Indisponibilitatea sistemului: legturile n reea pot fi deteriorate cu uurin. Liniile de

comunicaie se extind n general n afara granielor de control ale entitii (de exemplu,
clientul se poate lega pe o reea telefonic local prin linii ISDN (Integrated Services Digital
Network);
Dezvluirea neautorizat a informaiilor confideniale, accidental sau deliberat;

Pag. 99 din 214
Infectarea cu virui i viermi. Infeciile cu viermi sunt proiectate special pentru a fi rspndite n reele. Infeciile cu virui sunt cu mult mai posibile ntruct msurile tradiionale
de protecie (scanarea) sunt mai puin eficace.
Contravenii la legislaia privind drepturile de proprietate intelectual i de protecie a datelor

private.
Implicaiile privind securitatea i controlul, care decurg din conectarea la Internet a unei organizaii au la
origine o serie de caracteristici ale comunicaiei n reeaua Internet care pot genera riscuri majore pentru
securitatea sistemului entitii. Cele mai importante sunt:
caracterul anonim al unor utilizatori care vor s contravin principiilor accesului n Internet;
vulnerabilitatea confidenialitii prin interceptarea parolei cu ajutorul unor programe specializate
n cursul nregistrrii pe anumite site-uri;
aciunile hackerilor, pirateria i pornografia;
aciunea unui software ru intenionat (virui, programe de tip "cal troian").
Protecia securitii are aspecte specifice acestui tip de comunicaie: educarea utilizatorilor proprii privind
consecinele unui comportament neadecvat sau ale neglijrii unor precauii legate de utilizarea reelei
Internet, utilizarea serviciilor unui provider n locul conexiunii fizice la Internet, n scopul evitrii expunerii
directe a sistemului de calcul propriu la atacuri din reeaua Internet.
3.5.8 Protecia fizic a sistemelor IT

Managementul entitii are responsabilitatea de a asigura existena controalelor adecvate pentru
protejarea bunurilor i a resurselor afacerii. n acest scop trebuie s se implice n identificarea ameninrilor asupra sistemelor, a vulnerabilitii componentelor sistemului i a impactului pe care l pot avea
aceste incidente asupra afacerii, s identifice msurile adecvate pentru a reduce riscul la un nivel
acceptabil. De asemenea, va balansa riscurile identificate cu costul implementrii controalelor.
Politica de securitate a entitii trebuie s includ consideraii privind riscurile accesului fizic i ale
deteriorrii mediului n care funcioneaz sistemele de calcul.
Vulnerabiliti
(a) Lipsa controalelor fizice poate genera urmtoarele ameninri:
Distrugerea sau deteriorarea accidental sau intenionat din partea personalului

(personalul IT, personalul care asigur curenia, personalul care asigur securitatea, ali
salariai);
Furtul calculatoarelor sau al componentelor, care este n continu cretere avnd n vedere
tentaia indus de valoarea mare a acestora i gabaritul mic;
Vrfurile sau cderile de tensiune care pot produce deteriorarea componentelor i pierderea
sau alterarea informaiilor;
Trecerea peste controalele accesului logic (parole de acces), avnd acces fizic la fileserver;
Copierea sau vizualizarea unor informaii "sensibile" sau confideniale.
(b) Lipsa controalelor de mediu se refer la urmtoarele ameninri:
Distrugeri provocate de foc, ap sau de alte dezastre naturale;
Instabilitatea surselor de curent electric;

Pag. 100 din 214
Cderi ale sistemului datorate creterilor sau scderilor de temperatur sau de umiditate
peste/sub limitele normale admise;
Distrugeri provocate de bombe, avnd n vedere c terorismul este n cretere n lumea

ntreag. Centrele de calcul sunt obiective uor de atacat, iar distrugerea lor poate avea
repercusiuni majore la nivel guvernamental;
Electricitatea static poate deteriora anumite componente electronice integrate (memorie,

procesor central etc.), prin ocurile provocate;
Alte cauze (de exemplu, fulgerul).
3.5.9 Operarea sistemelor IT

Rolul i ndatoririle privind operarea sistemelor IT se reflect n urmtoarele activiti:
1. Planificarea capacitii: asigurarea c sistemele de calcul vor continua s asigure servicii cu nivel
de performan satisfctor pe o perioad mare de timp. Aceasta implic: personal de operare IT,
capacitate de calcul i de memorare, capacitate de ncrcare a reelei.
2. Monitorizarea performanei: monitorizarea zilnic a performanei sistemului n termenii msurrii
timpului de rspuns.
3. ncrcarea iniial a programelor: iniializarea sistemelor sau instalarea de software nou.
4. Managementul suporilor tehnici: include controlul discurilor, al benzilor, al discurilor compacte (CD
ROM), al dischetelor etc.
5. Programarea proceselor de calcul: include programarea proceselor care se desfoar n paralel
cu programele curente i efectueaz n principal actualizri de fiiere. Acestea se execut n
general periodic (zilnic, sptmnal, lunar, trimestrial sau anual).
6. Salvri i recuperri n caz de dezastru: salvarea datelor i a programelor se efectueaz regulat
de ctre personalul de operare.
7. Asigurarea suportului (Helpdesk) i managementul problemelor: helpdesk reprezint modalitatea
de a face legtura ntre utilizatori i personalul din departamentul IT, ori de cte ori apar probleme
n operarea calculatorului. Problemele pot s apar n programe individuale (aplicaii i sisteme),
hardware, sau telecomunicaii.
8. ntreinerea: se refer att la hardware, ct i la software.
9. Monitorizarea reelei i administrare: majoritatea calculatoarelor utilizate n afaceri sau n administraie funcioneaz n reea. Funcia de operare IT presupune responsabilitatea asigurrii c
legturile de comunicaie sunt ntreinute i furnizeaz utilizatorilor accesul n reea la nivelul
aprobat. Reelele sunt n mod special importante cnd clientul utilizeaz schimburi electronice de
date.
Riscuri asociate
(a) Aplicaiile nu se execut corect: decurge din operarea greit a aplicaiilor sau utilizarea unei versiuni
incorecte, a unor parametri de configurare incoreci introdui de personalul de operare (de exemplu,
ceasul sistemului i data setate incorect pot genera erori n calculul dobnzilor, al penalitilor, al
salariilor etc.).
(b) Pierderea sau alterarea aplicaiilor financiare sau a fiierelor de date: poate rezulta dintr-o utilizare
greit sau neautorizat a unor programe utilitare.
Pag. 101 din 214
(c) Personalul IT nu tie s gestioneze rezolvarea problemelor sau raportarea erorilor: ncercarea de a
le rezolva singuri poate provoca pierderi i mai mari;
(d) ntrzieri i ntreruperi n prelucrare: sunt alocate prioriti greite n programarea unor sarcini date;
(e) Lipsa salvrilor i a planificrii incidentelor probabile: crete riscul incapacitii de a continua
prelucrarea n urma unui dezastru.
(f) Lipsa capacitii (resurselor) sistemului: sistemul poate fi incapabil de a prelucra tranzaciile
deoarece este suprancrcat.
(g) Timpul mare al cderilor de sistem pn la remedierea erorii: cnd sistemele sunt indisponibile se
poate construi un jurnal provizoriu care s conin tranzaciile netransmise.
(h) Probleme ale utilizatorilor nerezolvate datorit funcionrii defectuoase a facilitii Helpdesk.
3.5.10 Dezvoltri efectuate de utilizatorii finali

Dezvoltrile efectuate de utilizatori ntr-un mediu informatizat este o activitate dificil de controlat, ntruct
utilizatorii nu adopt standardele sau bunele practici utilizate de specialitii din departamentul IT. Acest
mediu necontrolat poate conduce la consum de timp, efort i costuri suplimentare, precum i la riscuri
majore n cazul n care utilizatorii care dezvolt programe prelucreaz i tranzacii financiare.
n ceea ce privete dezvoltarea de sisteme informatice de ctre utilizatori, auditorul va evalua riscurile
care decurg din dezvoltarea intern a sistemelor informatice (resurse de dezvoltare / implementare /
colarizare etc.). Se vor trata difereniat cazurile n care entitatea are un departament IT care are ca
atribuii dezvoltarea de sisteme i aplicaii, de cele n care dezvoltrile se fac ad-hoc, fr utilizarea unui
suport metodologic adecvat i fr participarea unor specialiti cu atribuii definite n acest domeniu.
Factori de risc
(a) Dezvoltarea programelor de ctre utilizatori este realizat de personal lipsit de experien, neinstruit n
dezvoltarea de sisteme software i lipsit de asisten de specialitate din partea departamentului IT, ceea
ce genereaz n mod tipic urmtoarele probleme:
Sisteme nesigure care nu efectueaz prelucrrile n conformitate cu cerinele;
Sisteme care nu includ controale privind: integritatea datelor, intrrile, prelucrrile sau
ieirile;
Sisteme netestate i cu rezultate imprevizibile;
Sisteme nedocumentate, dificil de ntreinut, dependente de persoana care le-a realizat;
Sisteme supuse unor schimbri necontrolate, fr gestionarea versiunilor;
Incompatibilitatea i fragmentarea informaiei n cadrul sistemului entitii.
(b) Duplicarea efortului rezult din efectuarea unor sarcini care se execut i n departamentul de
informatic pentru rezolvarea aceleiai probleme, n lipsa unei coordonri unitare. Din acest punct apar
probleme adiionale privind renunarea la una dintre variante, dublarea efortului de ntreinere i
documentare, sau, n unele cazuri, obinerea de rezultate diferite n urma prelucrrii datelor.
(c) Inconsistena datelor provine din utilizarea sistemului distribuit care prelucreaz date inconsistente din
departamente diferite (tarife de plat pentru colaboratori, uniti de msur, costuri unitare, regii) care, n
lipsa unificrii la nivelul departamentului IT, sunt preluate n prelucrri ca atare.
Pag. 102 din 214
(d) Creterea costurilor de utilizare a serviciilor IT se datoreaz mai multor factori:
Cerinele de instruire suplimentare;
O mai mare solicitare a serviciilor helpdesk;
Alte costuri adiionale ascunse (aferente timpului suplimentar pe care utilizatorul l folosete
pentru rezolvarea problemelor, comparativ cu specialitii IT),
Sistemele dezvoltate de utilizatori au tendina de a utiliza mai puin eficient resursele de

calcul (timp de calcul, resurse de comunicaie, timp de imprimare).
(e) tergerea informaiilor din sistemul central se produce n cazul unei comunicaii bidirecionale, cnd
utilizatorul preia date de pe serverul central pentru examinare sau prelucrare n programul su de
aplicaie, i dup prelucrare datele sunt transmise ctre serverul central, unde fiierele originale sunt
suprascrise. Admiterea unor astfel de proceduri provoac incertitudine n ceea ce privete ncrederea n
fondul de informaii al entitii.
(f) Conformitatea cu legislaia. n lipsa unei legturi cu departamentul IT, utilizatorii risc s nu respecte
legislaia asociat domeniului IT (utilizarea calculatoarelor, memorarea informaiilor cu caracter personal
sau secrete, drepturile de proprietate intelectual) i sunt tentai s utilizeze software neautorizat.
(g) Pierderea datelor se poate datora urmtoarelor motive:
n mediul informatizat creat de utilizatori nu sunt aplicate procedurile privind recuperarea n

caz de dezastru a datelor i sistemului impuse de departamentul IT (salvri regulate);
Lipsa controalelor privind protecia informaiilor creeaz condiii pentru fraud n mediul
informatizat creat de utilizator.
Creterea portabilitii calculatoarelor personale sub forma calculatoarelor de tip laptop

constituie un risc nou generat de furtul sau pierderea calculatorului, i, odat cu acesta, al
datelor pe care le conine.
(h) Virusarea calculatoarelor. Calculatoarele personale ale utilizatorilor pot infecta programele de pe
servere i celelalte calculatoare din reeaua entitii, fiind o surs potenial de virui preluai de pe supori
tehnici de arhivare a datelor, neprotejai de un program antivirus (floppy disk, CD ROM etc.) sau din
reeaua Internet.
(i) Securitatea accesului logic sau fizic. Majoritatea calculatoarelor personale utilizeaz sisteme de
operare proiectate pentru utilizatori individuali, i, n consecin, cu restricii limitate privind controalele
accesului logic, cunoscute, n cele mai multe cazuri de ctre utilizator i posibil de depit de utilizatori
neautorizai, cu cunotine n domeniul IT. Accesul fizic la calculatoarele personale, este mai puin
controlat. Sistemul informatic al entitii (servere i minicalculatoare) funcioneaz, de regul, ntr-un
mediu controlat, cu acces restricionat prin chei, carduri de acces etc., ceea ce nu se ntmpl n cazul
calculatoarelor personale. Datele sunt n general memorate pe dischete sau pe CD ROM, putnd fi uor
copiate, editate sau terse de utilizatori neautorizai.
Pag. 103 din 214
Riscuri asociate furnizrii serviciilor IT
3.6
n luna octombrie 1999, cu ocazia celei de-a opta ntlniri, INTOSAI Standing Committee on IT Audit a
iniiat proiectul The IT Infrastructure Management Project, care a pornit de la necesitatea elaborrii unui
instrument de audit orientat pe managementul infrastructurii IT n administraiile publice. Proiectul a fost
coordonat de Oficiul Auditorului General al Norvegiei i a avut ca membri SAI-uri din Anglia, Suedia,
Japonia, Canada i Rusia.
Obiectivul principal al proiectului a fost de a furniza un model de audit pentru managementul
infrastructurilor IT, care s poat fi utilizat pentru diferite niveluri ale infrastructurilor IT. Pentru a asigura
conformitatea cu aceste obiective, grupul de lucru al proiectului a elaborat liniile directoare pentru un
model generic de audit al managementului serviciilor, care include managementul infrastructurii IT. Acesta
reprezint un instrument pentru asistarea auditurilor managementului serviciilor IT n administraia
public, bazate pe evaluarea riscurilor i pe principiile de management al riscurilor. Premisa a fost
constatarea c un numr important de audituri au atribuit ca motiv principal de eec al serviciilor IT lipsa
de contientizare n ceea ce privete riscurile. n acest cadru, a fost realizat un portofoliu al riscurilor IT,
obinut n urma unei vaste cercetri desfurate pe acest subiect, prin colectarea i capitalizarea
informaiilor relevante privind riscurile, furnizate de SAI-uri din ntreaga lume.
Managementul serviciilor IT. Infrastructura IT este destinat furnizrii serviciilor IT care s satisfac
diferite cerine legate de necesitile afacerii. Aceste servicii pot varia de la aplicaii simple, pn la
sisteme complexe, cum ar fi automatizarea ntreprinderii. Serviciile pot fi distribuite pe un numr mare de
sisteme hardware, software i de comunicaii i pot fi furnizate intern, de ctre organizaii externe, prin
externalizare, precum i ntr-o manier eterogen.
Modelul de management al riscurilor prezentat n acest capitol ia n considerare opt arii de risc,
corespunztoare arhitecturii de referin privind furnizarea serviciilor IT, elaborate de INTOSAI Standing
Committee on IT Audit:
1 Managementul de vrf
2 Strategii i politici
3 Operare
4 Externalizarea serviciilor
5 Servicii suport
6 Cerine externe, constrngeri i reglementri formale
7 Interaciunea utilizatorilor cu serviciile electronice
8 Consecinele furnizrii serviciilor IT asupra instituiilor publice, mediului de afaceri i cetenilor
3.6.1 Managementul de vrf

Planificare
Obiectiv: Managementul de vrf trebuie s dezvolte un plan strategic, ca parte integrant a strategiei
organizaiei, n scopul utilizrii eficace i eficiente a infrastructurii IT, i s se asigure c acest plan este
implementat i produce efecte n sensul atingerii obiectivelor generale ale organizaiei.
Elaborarea planului strategic presupune:
Recunoaterea oportunitilor i problemelor cu care se confrunt organizaia, n cadrul crora utilizarea
serviciilor IT se poate face, n general, cu costuri adecvate;
Identificarea resurselor necesare pentru a furniza serviciile IT solicitate;
Formularea de strategii pentru achiziionarea resurselor necesare;
Stabilirea unor obiective realiste (fezabile) i msurabile.
Pag. 104 din 214
Tabelul 1
Risc
Impact
1. Contientizarea slab din partea managementului

de vrf cu privire la IT
a. Servicii IT de calitate sczut
2. Funcia IT este privit ca o funcie de excelen i

nu ca o funcie suport
a. Exagerarea alocrii fondurilor pentru investiii IT

asociate unor faciliti care exced funcionalitatea
aferent obiectivelor afacerii
b. Investiiile nu sunt adecvate sau necesare pentru
furnizarea serviciilor IT
3. Nivelul contribuiei tehnologiei informaiei la

activitatea cheie nu este apreciat de managementul
de vrf
a. Subestimarea semnificaiei tehnologiei informaiei
4. Domeniile de activitate privind serviciile IT nu sunt

definite, sau examinarea acestora nu este finalizat
Alocarea suportului economic, uman i tehnologic
este inadecvat
a. Sunt neglijate sau nu sunt gestionate suficient zone

importante (de exemplu, cnd se dezvolt un sistem,
conducerea nu ia n considerare reglementri externe
sau nu evalueaz consecinele pe care sistemul le-ar
avea asupra societii)
5. Obiectivele serviciilor IT nu susin obiectivele

organizaionale
a. Serviciile livrate nu sunt n concordan cu obiectivele

organizaionale
6. Obiectivele stabilite nu pot fi atinse
a. Motivaie sczut, incertitudine ridicat c

infrastructura IT susine componenta organizaional
7. Obiectivele nu sunt msurabile
a. Cei responsabili nu pot aprecia ce rezultate se vor

obine sau cnd vor fi atinse obiectivele
b. Oportuniti pierdute
Organizare
Obiectiv: Managementul de vrf trebuie s asigure organizarea eficient i eficace a serviciilor IT pentru a
permite ndeplinirea obiectivelor organizaionale stabilite.
Tabelul 2
Risc
Impact
1. Ariile de activitate acoperite de serviciile IT care

trebuie organizate nu sunt definite sau supravegherea
lor nu este realizat
a. Sunt neglijate arii importante
2. Managementul de vrf nu este capabil s

comunice autoritilor guvernamentale nevoile
financiare n scopul alocrii fondurilor
a. Organizaia nu primete finanri suficiente i nu va fi

capabil s-i ating obiectivele
Pag. 105 din 214
3. Managementul de vrf nu este capabil s aloce

fonduri sau resurse umane n mod adecvat pentru
serviciile IT
a. Nu sunt alocate fonduri sau resurse umane

suficiente pentru anumite activiti ceea ce va contribui
la incapacitatea livrrii satisfctoare a serviciilor IT, n
timp ce altele sunt supraestimate. Ambele situaii ar
putea avea impact asupra altor activiti dependente
4. Scderea numrului personalului calificat i cu

experien
a. Nu este disponibil la timp suportul adecvat.

Angajarea constant a suportului extern ar putea duce
la creterea semnificativ a costurilor
5. Tehnologie insuficient sau neadecvat
a. Serviciile IT nu sunt livrate eficient datorit

subevalurii sau supraevalurii capacitii
b. Prelucrarea neadecvat a datelor
Conducere
Obiectiv: Managementul de vrf trebuie s asigure direcionarea dezvoltrii serviciilor IT necesare pentru
crearea unui mediu adecvat, capabil s susin prosperitatea, performana i creterea.
Tabelul 3
Risc
1. Motivaie slab a personalului n ceea ce privete
receptivitatea fa de serviciile IT
Impact
a. Obiective conflictuale ale managementului conduc la
performana sczut a salariailor
b. Reducerea capacitii de a ndeplini obiectivele cheie
2. Personalul ezit s participe la instruiri sau

programe de instruire pentru a-i perfeciona
abilitile IT
a. Lipsa abilitilor IT adecvate n cadrul organizaiei
3. Informaii importante nu sunt disponibile

managementului
a. Afecteaz capacitatea de a conduce la toate

nivelurile
b. Reducerea abilitilor de a ndeplini obiectivele cheie
b. Impact uman, economic, legal i/sau technologic, la

nivel extern i intern
4. Contientizare neadecvat privind tendinele i
dezvoltrile tehnice
a. Bugetele sunt subestimate, oportunitile de afaceri

nu sunt exploatate, satisfacie sczut a clienilor,
motivare sczut a personalului
Pag. 106 din 214
Control i monitorizare
Obiectiv: Managementul de vrf trebuie s stabileasc proceduri pentru controlul i monitorizarea
activitilor de furnizare a serviciilor IT.
Tabelul 4
Risc
Impact
Activitatea de control i monitorizare Managementul riscurilor

1. Managementul de vrf nu este familiarizat cu
teoriile i modelele privind managementul riscurilor
a. Este cheltuit o cantitate disproporionat de resurse

pentru riscuri care nu au o mare probabilitate de apariie
sau un impact major
2. Managementul de vrf nu vede importana sau

a. Actori responsabili ar putea implementa proceduri
beneficiile oferite de utilizarea procedurilor formale de individuale sau managementul riscurilor ar putea fi
management al riscurilor
informal
Ar putea s nu existe deloc proceduri pentru
monitorizarea efectiv a riscurilor aferente ariilor de
activitate.
b. Lipsa contientizrii i o probabilitate mare de a nu
realiza un management echilibrat al entitii.
Semnale din multiple surse i motivare sczut n
cadrul organizaiei.
3. Managementul de vrf nu promoveaz
contientizarea riscurilor
a. Motivare sczut
4. Managementul de vrf nu vede importana

motivrii celor responsabili cu managementul
riscurilor.
a. Managementul riscurilor ar putea fi informal sau

incomplet. Personalul nu vede punctele n care se
consum timp valoros cu managementul riscurilor
5. Managementul de vrf nu reuete s

implementeze proceduri eficace i eficiente pentru
managementul riscurilor
a. Fundamentarea deciziilor este incorect sau

incomplet. Schimbrile necesare nu sunt
implementate. Pri sau ntreaga infrastructur IT nu
reuesc s contribuie la atingerea obiectivelor
organizaionale
Control financiar i monitorizare

6. Managerii de vrf sau, cel mai probabil, mijlocii nu
au abiliti de management financiar adecvate
a. Managementul IT se focalizeaz pe livrarea serviciilor

IT fr a lua n considerare aspectele financiare
7. Rapoartele i informaiile pentru management

financiar sunt incomplete sau incorecte
Depirea costurilor i valoarea mic a fluxului de

numerar nu sunt identificate. Deciziile sunt bazate pe
informaii nefiabile, rezultnd activiti importante crora
managementul nu le acord suficient atenie
8. Lipsa sau aplicarea unor proceduri neadecvate

pentru instituii bugetare i raportare a costurilor
ntrzierea sau lipsa informrii.

Personalul exagereaz n mod deliberat sau
subestimeaz cerinele de finanare. Aceasta poate
Pag. 107 din 214
conduce la stabilirea incorect a costurilor i beneficiilor

proiectului, i la prioritizarea incorect a proiectelor
Managementul schimbrilor
9. Schimbri politice cu rezultat n schimbarea
nivelului finanrii i/sau a prioritilor
Managementul de vrf nu este capabil s fac

schimbrile necesare ale sistemelor sau proiectelor IT
pentru a implementa noile cerine
3.6.2 Strategii i politici

Obiective:
1.
nelegerea clar a obiectivelor afacerii i a rolului pe care serviciile IT l au n atingerea

acestora
2.
nfiinarea unei structuri de management pentru implementarea, monitorizarea costurilor i

actualizarea planului strategic IT
3.
Identificarea standardelor, metodelor i instrumentelor software care s susin aplicarea

planului strategic
4.
Revizuirea periodic a rezultatelor planului strategic IT i operarea ajustrilor necesare

Tabelul 5
Risc
1. Unul sau mai multe servicii IT noi nu sunt livrate

la timp
Impact
a. Eec n ndeplinirea obligaiilor statutare sau
contractuale
b. Pierderea unor oportuniti de afaceri
c. Eec n aplicarea la timp a politicii guvernamentale
2. Costurile de dezvoltare a noului serviciu/ale noilor

servicii depesc justificarea bugetar sau
economic
a. Investii inutile (abandonarea posibil a proiectului)

b. Deturnarea fondurilor limitate de la proiecte de succes
c. Lipsa funcionalitii eseniale a serviciilor datorat
necesitii unor economii neprevzute
3. Exist schimbri semnificative ale cerinelor pe

parcursul ciclului de via al proiectului/programului
IT
a. Depirea costurilor proiectului/programului

b.Abandonarea proiectelor/programelor din cauza
costului excesiv
c. Probleme sau riscuri tehnice neprevzute asociate cu
schimbarea cerinelor
d. ntrzieri n implementarea noilor servicii datorate
nevoii de timp adiional pentru dezvoltare
e. Costuri operaionale i de ntreinere mai mari dect
cele estimate
Pag. 108 din 214
4. Noilor servicii IT le lipsete funcionalitatea

important
a. Serviciul IT nu este capabil s satisfac necesiti

importante ale afacerii
b. Eec n implementarea cerinelor statutare i
contractuale
c. Eec n producerea unor explicaii acceptabile, n
cazul n care nu sunt adresate cerine de justificare
importante (de exemplu, piste de audit)
d. Eec privind securitatea, n cazul n care c nu sunt
adresate erine importante privind securitatea (e.g.,
controale ale accesului logic puternice)
e. Serviciul IT este sub-utilizat sau ignorat de public
(avnd ca rezultat pierderea investiiilor, eecul aplicrii
politicii guvernamentale etc.)
5. Noul serviciu IT nu este prietenos i este dificil de

utilizat
a. Costuri de operare mai mari, datorate productivitii

sczute
b. Rat de eroare nalt
c. Moral sczut al personalului
e. Serviciul IT este sub-utilizat sau ignorat de public
6. Noul serviciu IT nu este disponibil n mod

continuu
a. Nevoia de timp de lucru suplimentar excesiv,

materializat n costuri de operare mari
b. Serviciul IT este sub-utilizat sau ignorat de public
c. Cderi ale serviciului datorate suprancrcrii
d. Moral sczut al personalului (de exemplu, datorit
slbiciunilor sistemului n a suporta activitile i nevoia
constant de a rezolva situaii neprevzute)
7. Noul serviciu/noile servicii IT nu ofer satisfacie

n ceea ce privete disponibilitatea i/sau utilitatea
a. Moral sczut al personalului (de exemplu, datorit

incapacitii sistemului de a susine activitatea, i, nevoii
constante de a rezolva situaii neprevzute)
b. Imposibilitatea de a satisface termenele programate
ale afacerii
c. Costuri ridicate ale operrii (de exemplu, datorit
necesitii recuperrilor frecvente ale sistemului i relurii
unor activiti)
8. Noul serviciu/noile servicii este/sunt dificil de
a. Pierderea unor oportuniti de afaceri

Pag. 109 din 214
ntreinut i/sau de schimbat
b. Incapacitatea de a aplica la timp politica

guvernamental
c. Operarea serviciilor IT este scump
d. Schimbrile de sistem sunt scumpe i vulnerabile la
erori i cderi
9. Serviciul/serviciile IT nu este/nu sunt scalabile,

pentru a se adapta la extinderea afacerii (de
exemplu, mai muli utilizatori i/sau extinderea
funcionalitii)
a. Pierderea unor oportuniti de afaceri

b. Incapacitatea de a aplica la timp politica
guvernamental
c. Costuri ale serviciilor de re-inginerie
10. Noul serviciu / noile servicii IT nu este/nu sunt

sigure
a. Spargerea, deteriorarea, cderea serviciului

b. Frauda
c. Indivizi susceptibili de riscuri personale (de exemplu,
prin securitate neadecvat a informaiei sau erori
software)
Investiii pierdute (de exemplu, publicul ignor serviciul
din cauza motivelor de securitate)
3.6.3 Operare
Asigurarea dezvoltrii sistemului
Obiectiv: Asigurarea c procesele de dezvoltare a sistemului sunt proiectate pentru a susine obiectivele
asumate de organizaii.
Tabelul 6
Risc
1. Un proiect IT/proiectele IT nu este/nu sunt n
concordan cu planurile organizaiei sau cu
strategia IT
Impact
a. Sistemul IT nu suport obiectivele afacerii
b. Ineficacitatea utilizrii resurselor
c. Livrarea proiectului nu este acceptat de utilizatori
2. Infrastructura IT nu interacioneaz eficient i

eficace cu obiectivele organizaiei
a. Organizarea IT nu ia n considerare necesitile

organizaiei
b. Managementul de vrf are ncredere sczut n
importana IT
3. Nivelul de confidenialitate a informaiei nu este

luat n considerare
a. Expuneri neateptate ale informaiei

Interne
Externe
Pag. 110 din 214
4. Alocare bugetar nerealist, deliberat sau nu,

din punct de vedere al timpului i costului
a. Achiziia i dezvoltarea nu sunt desfurate la timp

b. Costuri mai mari dect cele finanate
c. Pierderea credibilitii
Intern
Extern
5. Dreptul de proprietate asupra sistemului nu este

stabilit
a. Nu este stabilit responsabilitatea global de zi cu zi

asupra securitii sistemului
b. Nu este stabilit responsabilitatea global pentru
schimbrile de sistem, actualizri etc.
6. Noul serviciu / noile servicii IT nu reuete / nu

reuesc s ating performana optim
a. Eec n optimizarea recuperrii investiiei

b. Productivitatea la nivelul utilizatorului mai mic dect
s-a anticipat
c. Costuri de operare i/sau de ntreinere mai mari dect
s-a anticipat
d. Insatisfacie continu a utilizatorului n ceea ce
privete sistemul
e. Incapacitatea de a nva (lecii) din greeli pentru
viitoarele proiecte
Asigurarea continuitii n livrarea serviciilor IT

Obiectiv: Asigurarea continuitii n livrarea serviciilor IT n concordan cu obiectivele strategice ale
organizaiei:
- Strategii de afaceri
- Strategii funcionale
- Planuri operaionale
Tabelul 7
Risc
Impact
1. Organizaia nu are ncredere n aspecte legate

de securitate
a. Pierderi ale afacerii. Dac sunt expuse secrete

industriale s-ar putea ajunge, n cazul cel mai ru, la
compromiterea afacerii
2. Organizarea departamentului IT nu previne

accesul neautorizat la date
a. Expunerea organizaiei nsei la aciuni intenionate de

alterare a datelor i la furtul bunurilor organizaiei
Pag. 111 din 214
b. Expunerea neateptat sau pierderea datelor

c. Intruziuni din interiorul sau din exteriorul organizaiei n
scopul accesrii datelor
d. Schimbarea datelor permanente
3. Funcia IT este incapabil s livreze serviciul
datorit lipsei de capacitate
a. Activitile nu pot fi realizate

b. Cderi de sistem datorate lipsei planificrii
capacitilor
c. Resursele IT nu sunt utilizate eficient (capacitatea IT
nu este utilizat)
4. Procedurile backup i de recuperare nu sunt n

concordan cu nivelul serviciilor stabilit de
organizaie
a. Pierderea datelor
b. Organizaia nu poate livra serviciile la timp
c. Procedurile backup/recovery trebuie s fie consistente
cu nevoile organizaiei (de exemplu, utilizarea rezervei
calde cnd nu este necesar)
d. Procedurile nu sunt eficiente
5. Nu exist proceduri de management al

schimbrilor
a. Probleme legate de compatibilitatea sistemului
6. Dificulti n recrutarea personalului calificat
a. Incetinirea vitezei n producie
b. Schimbrile conduc la probleme care pot concura cu

uurina detectrii sau prevenirii
b. Forarea organizaiei s utilizeze soluii alternative cum

ar fi agenii de recrutare a personalului temporar
c. Pierderea cunotinelor
7. Cderi de reea
a. Organizaia poate deveni incapabil s livreze

serviciile
8. Sunt utilizate versiuni greite ale programelor.
a. Pierderea datelor
b. Date incorecte
c. Cderea programului
9. Aplicaiile software sunt utilizate fr licen

software legal
a. Utilizarea ilegal a software-ului copiat

b. Organizaia ar putea fi fcut responsabil din punct
de vedere economic pentru utilizarea ilegal a aplicaiilor
software
Pag. 112 din 214
Obinerea nivelului de mentenan cerut

Obiectiv: Obinerea nivelului de mentenan cerut pentru a asigura continuitatea serviciilor IT.
Tabelul 8
Risc
Impact
1. Organizaia nu reuete s ating un nivel

adecvat al disponibilitii serviciilor
a. Utilizatori i clieni nesatisfcui
2. Rolurile i responsibilitile pentru teri nu sunt

definite cu claritate.
a. Terii nu-i accept responsabilitile
b. Pierderea credibilitii organizaiei
b. Probleme n continuitatea serviciilor

c. Organizaia nu are nici o protecie legal dac apar
pierderi n cadrul afacerii datorate ntreruperilor n livrrile
terilor
3. Componentele critice ale infrastructurii nu sunt

identificate i monitorizate
a. Eec n livrarera serviciilor
4. Organizaia nu are o abordare uniform n ceea

ce privete achiziionarea componentelor hardware
i software
a. Dificultatea meninerii infrastructurii

b. Rutina ntreinerii scumpe fr a fi necesar, datorit,
de exemplu, mai multor contracte mici de ntreinere cu
teri, n locul unor contracte mai puine i mai eficiente
c. Probleme cu angajamentele vnztorului
Asigurarea suportului tehnic necesar

Obiectiv: Asigurarea unui suport tehnic suficient pentru a permite organizaiei s utilizeze serviciile IT
furnizate.
Tabelul 9
Risc
1.Utilizatorul final nu poate utiliza aplicaia
Impact
a. Sarcinile nu pot fi aduse la ndeplinire
b. Pierderea datelor datorit utilizatorilor fr experien
2. Nu exist nici o funcie care s informeze

utilizatorul final asupra problemelor care apar
a. Pierderea credibilitii
b. Eec n satisfacerea cerinelor utilizatorilor
c. Schimbrile n sistem vor fi fcute de salariai
inteligeni datorit lipsei de responsabilizare
Pag. 113 din 214
3.6.4 Managementul resurselor

Managementul resurselor umane
Obiectiv: Asigurarea c sunt suficiente resurse umane pentru a dezvolta i ntreine infrastructura.
Tabelul 10
Risc
1. Lipsa abilitilor personalului pentru a asigura
continuitatea serviciilor IT
Impact
a. Probleme n livrarea la timp a seviciilor
b. Calitate sczut
c. Asupra sistemelor IT relevante
d. Rata de nlocuire a personalului
e. Personal lipsit de experien
f. Nencredere n personalul cheie
2. Infrastructura technologic nu este consistent, iar

utilizarea sistemelor incompatibile conduce la
creterea costurilor pentru ntreaga organizaie
a. Incapacitatea de a livra serviciile
3. Utilizarea neeficace a resurselor
a. Lipsa suportului personalului
b. Costuri de ntreinere mari
b. Pierderea competitivitii
4. Utilizarea neeficace a resurselor datorit lipsei
abilitilor utilizatorilor
a. Lipsa credibilitii din cauz c utilizatorii nu

consider serviciile utile
b. Decizie luat greit datorit utilizrii incorecte
c. Resursele IT consum prea mult timp pentru a
rezolva erori cauzate de lipsa abilitilor utilizatorilor
5. Serviciul operational nu este n conformitate cu

cerinele legale i de reglementare
a. Serviciul IT nu este n concordan cu obiectivele i

scopurile stabilite ale organizaiei
b. Pierderea credibilitii
c. Costuri ale aciunii de remediere
d. Consecine legale posibile datorit prelucrrii
tranzaciilor ntr-o manier ilegal
Pag. 114 din 214
Finanare
Obiectiv: Organizaia trebuie s primeasc fonduri suficiente pentru a permite dezvoltarea infrastructurii
IT, astfel nct s se ating obiectivele organizaionale.
Tabelul 11
Risc
1. Infrastructura IT nu este actualizat
Impact
a. Organizaia poate s nu ating obiectivele stabilite
b. Infrastructura nu contribuie la progresul
organizaional i/sau la schimbrile sociale
c. Infrastructura IT este dificil i costisitor de ntreinut
d. Probleme cu recrutarea personalului calificat care s
neleag tehnologia nvechit
e. Probleme cu recrutarea personalului necesar, att
pentru departamentele sau funciile tehnice ct i pentru
cele de afaceri
f. Costuri mari de operare pentru exploatarea i
ntreinerea sistemelor perimate
2. Dificulti n obinerea acceptrii utilizatorului (de

exemplu, beneficiile sunt dificil de msurat sau nu
sunt obinute rapid)
a. Pierderi ale afacerii sau clieni nesatisfcui

b. Dificulti cu acceptana utilizatorilor finali
c. Productivitate sczut i scderea moralului
personalului
3. Rata de nlocuire a personalului mai mare dect

poate tolera organizaia pentru a asigura
continuitatea
a. Planurile dezvoltrii infrastructurii IT sunt ntrziate

sau abandonate
b. Creterea incertitudinii n livrarea serviciului IT
c. Costuri mai ridicate, datorit instruirii continue a noilor
angajai
d. Productivitate sczut i scderea moralului
personalului datorit lipsei de continuitate
4. Incapacitatea de a identifica, msura sau controla

costurile infrastructurii IT
a. Alocare bugetar supra/sub evaluat

b. Lipsa de ncredere n cadrul organizaiei fa de
dezvoltarea IT
c. Dificultatea de a msura avantajele noului sistem
5. Investiia n IT nu reuete s ating performana

(value for money) - risc al investiiei
a. Noile investiii vor fi greu de justificat
Pag. 115 din 214
Exploatarea oportunitilor tehnice

Obiectiv: Organizaia trebuie s exploateze oportunitile oferite de noua tehnologie n scopul atingerii
obiectivelor organizaionale ntr-o manier eficient i eficace.
Tabelul 12
Risc
1. Managementul de vrf nu este contient de
oportunitile de afaceri fcute posibile de dezvoltri
ale infrastructurii IT
Impact
a. Eficacitatea i eficiena infrastructurii IT nu vor fi
optimizate
b. Obstrucionarea introducerii guvernrii electronice
c. Costuri excesive datorate meninerii sistemelor
ineficiente i neeconomice bazate pe hrtie sau
perimate
2. Noile investiii IT sunt coordonate i conduse de

personalul IT
a. Risipirea investiiilor pe technic la mod n locul

celor legitimate de necesitile afacerii
b. Risipirea investiiilor pe nlocuirea sistemelor care nu
au ajuns la finalul vieii lor economice
c. Sistemele conin funcionalitate excesiv i sunt, n
consecin, mai dificil de utilizat i mai scump de
ntreinut
3.6.5 Factori externi

Managementul reglementrilor i politicilor formale
Obiectiv: Asigurarea c organizaia recunoate reglementrile formale care au un impact asupra
infrastructurii serviciilor IT pe care se bazeaz.
Organizaiile trebuie s identifice i s analizeze reglementrile formale pentru a evalua gradul n care
aceste reglementri au impact asupra serviciilor i infrastructurilor IT care le susin. Reglementrile
formale sunt produse de Parlament sau de alte instituii publice i sunt: (a) reglementri comune
(referitoare la integritate, secret, arhive, securitate etc.), (b) reglementri IT speciale (achiziii IT,
dezvoltare, mentenan, securitate IT, (c) reglementri guvernamentale pentru diferite domenii de aciune
(serviciile electronice care se livreaz) i reglementri speciale pentru instituii publice.
Riscul eecului n a identifica i a analiza reglementrile este acela de a dezvolta servicii IT care nu sunt
conforme cu legislaia.
n societate exist o serie de factori externi care influeneaz dezvoltarea i utilizarea serviciilor IT:
(a) politica Guvernului de utilizare a serviciilor informatice n administraie (de exemplu, modernizarea
Guvernului prin intermediul IT), (b) competiia organizaiilor n dezvoltarea IT i (c) universitile i alte
instituii de cercetare care dezvolt bune practici n dezvoltarea infrastructurii IT. Managementul trebuie s
promoveze o politic de analiz a reglementrilor care s se focalizeze pe identificarea reglementrilor
care au impact asupra serviciilor IT.
Pag. 116 din 214
Managementul cerinelor grupurilor int

Obiectiv: Asigurarea c organizaia nelege cine sunt clienii / utilizatorii, precum i care sunt nevoile lor
particulare.
Organizaiile trebuie s desfoare cercetri nc din faza de nceput a dezvoltrii unui serviciu IT pentru
a stabili cerinele afacerii utilizatorului final. Aceast analiz trebuie desfurat periodic pentru a fi
actualizat de grupurile int, altfel, serviciile IT vor fi afectate de riscul eecului n atingerea cerinelor
formulate de acestea.
Managementul trebuie s se asigure c aceast cercetare atent este desfurat pentru a identifica i a
prioritiza cerinele utilizatorilor unui nou serviciu.
Managementul opiniilor de la tere pri
Obiectiv: Asigurarea c organizaia obine opinii relevante de la teri cu privire la serviciile IT n care sunt
implicai.
Organizaiile utilizeaz frecvent tere pri pentru a livra, dezvolta sau opera, pe baz de contract, pri ale
serviciilor electronice. Uneori, o organizaie poate externaliza ntregul serviciu IT unui furnizor de servicii.
Organizaiile trebuie s desfoare cercetri sau activiti de revizuire pentru a stabili opinia furnizorului
de servicii n legtur cu eficiena serviciului IT, altfel exist riscul ca organizaia s nu poat perfeciona
serviciul IT.
Managementul trebuie s ncurajeze furnizorii de servicii s fac sugestii pentru perfecionarea furnizrii
serviciului IT care face obiectul revizuirii.
Tabelul 13
Risc
Impact
1. Managementul de vrf nu reuete s vad

domeniul IT ca pe un domeniu al managementului
Organizaia nu este capabil s rspund operativ

factorilor externi n vederea schimbrii, antrennd:
nenelegeri politice
ntrziere n implementarea politicii guvernamentale
costuri excesive datorit unei nevoi mai mari de timp
de lucru suplimentar i nevoii de a utiliza consultani
2. Eec n identificarea i monitorizarea riscurilor

externe
a. Informaia utilizat n luarea deciziilor legate de

serviciile IT este incomplet
b. Luarea deciziilor este slab, datorit faptului c
strategiile de management i politicile legate de
infrastructura IT se bazeaz pe informaii nesigure
3. Eec n interpretarea i n nelegerea factorilor de

risc extern identificai
a. Deciziile privind serviciile IT nu sunt luate sau se

bazeaz pe informaie nesigur
b. Deciziile necorespunztoare despre strategiile i
politicile legate de infrastructura IT operaional se
reflect n infrastructur operaional IT i suport
insuficiente
Pag. 117 din 214
4. Eec n ceea ce privete schimbul de cunotine

despre factorii externi cu ali manageri
a. Managerii de servicii IT nu sunt contieni de factorii

de risc externi, rezultnd decizii bazate pe informaie
nesigur
3.6.6 Interaciunea cu utilizatorii

Gestionarea accesibilitii utilizatorului la servicile IT
Obiectiv: Asigurarea c utilizatorii interni i externi sunt capabili s acceseze infrastructura de servicii IT.
Tabelul 14
Risc
Impact
1. Managementul de vrf nu reuete s identifice

riscul generat de interfaa neadecvat a utilizatorului
cu serviciile IT
a. O interfa neadecvat a utilizatorului cu serviciile IT

are ca efecte:
2. Eec n furnizarea de servicii IT accesibile,

focalizate pe utilizator
a. Serviciul este sub-utilizat din cauza lipsei de

nelegere asupra a ceea ce se urmrete s se obin.
un serviciu sub-utilizat (i risipirea investiiei n

dezvoltarea sa)
productivitate sczut datorit dificultii i
problemelor n utilizarea serviciului
date nesigure i proces de luare a deciziilor slab
deziluzia personalului i moral sczut
n particular:
1) serviciul nu reuete s ating funcionalitatea
cerut;
2) serviciul nu este disponibil pentru a fi utilizat la
momentul potrivit;
3) nu sunt furnizate mijloacele preferate de acces;
4) serviciul nu este accesibil pe o arie geografic
suficient de mare;
5) serviciul este scump de accesat;
6) serviciul este neprietenos i dificil de utilizat;
7) serviciul nu poate fi utilizat de vorbitori de limbi
strine;
8) nu este oferit nici o posibilitate de contact direct
(fa n fa) cu utilizatorii finali
3. Livrarea serviciilor electronice nu reuete s ofere
creteri semnificative ale calitii
a. Investiii pierdute
b. Insatisfacia publicului i publicitate advers
c. Utilizarea serviciilor ineficient, sub-utilizarea
serviciilor
4. Un eec major al proiectrii se produce dup
a. Intrziere i pierderea investiiei

Pag. 118 din 214
implementarea livrrii serviciilor electronice n mediul

real
b. Publicitate negativ
c. Necesitatea de ntoarcere la sisteme ineficiente,
perimate sau de perpetuare a unor astfel de sisteme
d. Impact negativ asupra moralului personalului.
e. Dificulti datorate incapacitii de a respecta
condiiile legislative i politice
5. Livrarea serviciilor electronice poate deveni

obiectul comparaiei cu alte dezvoltri (nefavorabile)
a. Eec n optimizarea oportunitilor i a ncasrilor din

livrarea serviciilor IT
b. Comentarii publice nefavorabile
c. Dificulti politice
Gestionarea suportului i a instruirii utilizatorului

Obiectiv: Asigurarea c utilizatorii interni i externi primesc un nivel adecvat al suportului pentru utilizarea
serviciilor i pot utiliza serviciul eficace i eficient.
Tabelul 15
Risc
1. Utilizatorii nu sunt capabili s utilizeze un serviciu
ntr-o manier eficace i eficient datorit lipsei
instruirii sau a unei instruiri neadecvate
Impact
a. Productivitate sczut / standard sczut al serviciului
b. Utilizatorii evit s utilizeze serviciul, rezultnd
pierderi ale investiiei
c. Performan sczut n atingerea obiectivelor
organizaiei
d. Dificulti politice
2. Incapacitatea de a asigura nelegerea
a. Ignorana poate conduce la o multitudine de

probleme, inclusiv:
1) serviciul fiind sub-utilizat din cauza incapacitii de a
nelege ce trebuie fcut sau cum trebuie utilizat pentru
a satisface o cerin anume;
2) rate mari de erori i reluarea operaiunilor datorate
utilizrii incorecte;
3) oportuniti pierdute datorit incapacitii managerilor
afacerii de a exploata serviciul integral, din cauza lipsei
de nelegere;
4) disfuncionaliti ale serviciului i cderi ale acestuia
datorit operrii incorecte din partea personalului care
asigur suportul;
Pag. 119 din 214
4) lipsa de rspuns, proasta funcionare i cderea

serviciului datorit ntreinerii tehnice slabe din partea
personalului care asigur suportul
Gestionarea calitii comunicrii

Obiectiv: Asigurarea c dialogul ntre utilizatori i serviciul IT are calitatea corespunztoare n cadrul
comunicrii.
Tabelul 16
Risc
Impact
1. Interaciunea ntre utilizator i serviciul IT nu

satisface cerinele de calitate ale comunicrii
a. Diseminarea n sistem de ctre utilizator a unor

informaii de calitate sczut conduce la consecine
negative pentru ali actori
b. Nencrederea utilizatorilor n rezultatele serviciilor IT
3.6.7 Consecine ale utilizrii serviciilor IT asupra cetenilor,

mediului de afaceri i sectorului public
Gestiunea informaiei
Obiectiv: Asigurarea c organizaia recunoate c informaia este o resurs vital i o gestioneaz n
condiii de securitate i cu cel mai bun efect.
Tabelul 17
Risc
1. Eec n gestiunea eficace a
informaiei
Impact
a. Lucrul interoperabil nu poate fi exploatat datorit:
1) ignoranei despre:
unde i cnd au fost obinute
datele care trebuie schimbate ntre servicii;
ce reprezint datele;
cine poate accesa datele n mod legal i le poate utiliza pe cele
puse la dispoziie;
2) formate de date incompatible.
b. Pierderea rspunderii prin:
incapacitatea de a reconstitui, recupera sau de a citi nregistrrile
Pag. 120 din 214
electronice ale afacerii;

incapacitatea de a demonstra autenticitatea nregistrrilor
electronice ale afacerii.
Managementul schimbrii
Obiectiv: Asigurarea c schimbrile asupra serviciului electronic sunt implementate ntr-o manier care s
nu genereze probleme.
Schimbarea gestionat defectuos poate induce probleme n ceea ce privete funcionalitatea i n modul
n care rspunde serviciul electronic, probleme care se manifest prin rate ridicate de eroare i de cdere.
Tabelul 18
Risc
1. Managementul schimbrii este ineficace.
Impact
a. Schimbarea gestionat defectuos poate induce
probleme n ceea ce privete funcionalitatea i n
modul n care rspunde serviciul electronic, care se
manifest prin rate ridicate de eroare i de cdere.
Acestea antreneaz:
1) pierderi ale investiiei prin eec n satisfacerea
cerinelor utilizatorului;
2) pierderea unor oportuniti ale afacerii prin
inabilitatea de a rspunde rapid i eficace la
schimbrile necesitilor i obiectivelor afacerii
3) costuri mari de operare (datorate necesitii de a
recupera sistemul, de reluare a unor operaii) i
pierderi n producie;
4) insatisfacie n rndul personalului din cauza lipsei
de fiabilitate a sistemelor;
5) insatisfacia publicului i neplceri politice rezultnd
din disfuncionaliti ale serviciului i/sau eec n
furnizarea unui nivel adecvat al serviciului.
Managementul securitii informaiei

Obiectiv: Protejarea confidenialitii, integritii i disponibilitii pentru utilizarea datelor organizaiei ntr-o
manier a eficienei costurilor capabil s inspire ncredere n rndul comunitii utilizatorilor.
O securitatea a informaiei ineficace poate avea un impact dramatic asupra operaiilor afacerii. Poate
avea, de asemenea, un impact semnificativ asupra percepiei publicului n ceea ce privete serviciile
electronice (n mod particular, atunci cnd implic fraud), avnd drept consecin o pierdere general a
ncrederii.
Pag. 121 din 214
Tabelul 19
Risc
1. Securitate a informaiei ineficace
Impact
a. O securitate a informaiei ineficace poate avea impact
dramatic asupra operaiilor afacerii.
Poate avea, de asemenea, un impact semnificativ
asupra percepiei publicului n ceea ce privete serviciile
electronice (n mod particular, cnd implic fraud),
rezultnd ntr-o pierdere general a ncrederii.
Impactul specific include:
1) dezvluirea neautorizat a informaiei sensibile
despre afacere i/sau personale, care ar putea
avea ca rezultat impactul distrugtor ulterior asupra
afacerii i asupra indivizilor);
2) manipularea neautorizat a informaiei, care poate
avea impact i poate avea ca rezultat frauda i
corupia datelor personale (ex. datorate erorilor
software sau atacurilor viruilor);
3) pierderea disponibilitii serviciului, de exemplu,
datorit unei capaciti neadecvate de reluare a
funcionrii n urma cderilor sau din lipsa unui plan
al continuitii eficace, n eventualitatea unei cderi
prelungite;
4)
deteriorarea fizic a componentelor IT datorat

securitii fizice i de mediu inadecvate.
b. Eecul n meninerea unei securiti adecvate a

informaiei poate avea ca rezultat, de asemenea, impact
legal cnd cderile conduc la compromiterea cerinelor
contractuale, statutare (de exemplu, protecia datelor)
sau a cerinelor de reglementare.
Managementul mediului de lucru

Obiectiv: Promovarea unei productiviti ridicate i a principiilor morale prin dezvoltarea unui mediu de
lucru sigur i sntos.
Pag. 122 din 214
Tabelul 20
Risc
1. Eec n gestionarea mediului de lucru
sntate i siguran
Impact
a. Absene pe caz de boal
b. Cereri pentru compensaii
c. Urmrire pentru nclcarea reglementrilor
d. Productivitate sczut
e. Moral sczut
2. Eec n gestionarea mediului de lucru

teleworking
a. Urmrirea / penalizarea pentru nclcarea cerinelor

legale
b. Costuri de operare crescute
c. Cderi ale securitii IT
d. Productivitate sczut
e. Ieiri cu calitate nesatisfctoare
3. Redundana abilitilor
a. omaj
b. Scderea moralului personalului
Managementul efectelor asupra cetenilor, societii i organizaiilor

Obiective: Focalizarea i contientizarea consecinelor intenionate i neintenionate care decurg din
dezvoltarea i schimbrile serviciilor electronice.
Tabelul 21
Risc
1.Cetenii nu au ncredere n livrarea serviciilor
electronice i n avantajele acestora.
Impact
a. Noile servicii sunt sub-utilizate.
b. Pierderi ale investiiei.
c. Eec n atingerea nivelului de eficien.
d. Obiectivele strategice ale Guvernului legate de
aceste servicii nu sunt atinse.
Pag. 123 din 214
2. Cetenilor le lipsete abilitatea de a exploata

serviciile electronice furnizate
a. Serviciile electronice livrate sunt sub-utilizate.

b. Pierderi ale investiiei.
c. Eec n atingerea nivelului de eficien.
d. Obiectivele strategice ale Guvernului legate de
aceste servicii nu sunt atinse.
3. Excluziune social
a. Cetenii sund exclui n mod discriminatoriu de la

a accesa serviciile ectronice; de exemplu, prin
disabiliti fizice, bariere de limb, izolare geografic,
lips de educaie
b. Servicii sub-utilizate
c. Implicaii legale posibile (de exemplu, prin legislaia
"drepturilor egale")
4. Informaia nu poate fi inter-schimbat prompt n

interiorul i ntre diferite organizaii ale sectorului
public.
a. Infrastructura IT nu reuete s suporte

mbuntirile n elaborarea politicii, livrarea serviciilor
electronice i lucrul mai eficient
5. Cadrul de Interoperabiliate a sistemelor este sau

devine ineficace
Informaia nu poate fi schimbat prompt n i ntre

diferite organizaii ale sectorului public
6. Livrarea serviciilor electronice sufer de un nivel

inacceptabil al erorilor de sistem i al cderilor
serviciului.
a. Costuri mari de operare

b. Sisteme care nu rspund solicitrilor
c. Securitatea informaiei neadecvat sau ineficace
d. Moral sczut n rndul personalului care asigur
suport, datorit confruntrii continue cu numeroasele
plngeri ale clienilor
e. Insatisfacia publicului, frustrare i publicitate
advers
f. Neplceri politice
g. Implicaii legale posibile (de exemplu, privind
protecia datelor, libera circulaie a informaiei)
Pag. 124 din 214
7. Livrarea serviciilor electronice poate face obiectul

comparaiei cu alte dezvoltri (nefavorabile)
a. Eec n optimizarea oportunitilor i n obinerea

economiilor din livrarea serviciilor electronice
b. Comentarii nefavorabile din partea publicului
c. Neplceri politice
Pag. 125 din 214
Capitolul 4. Proceduri de audit IT

Prezentul capitol stabilete un cadru metodologic i procedural orientat pe fluxul activitilor care se
desfoar n cadrul unei misiuni de audit IT, misiunea avnd ca scop investigarea i evaluarea
conformitii proceselor care au loc n cadrul unei entiti cu cerinele unui cadru de reglementare,
respectiv un set de standarde, bune practici, legislaie, metodologii. Rezultatele evalurilor se
materializeaz n constatri i concluzii care reflect opiniile auditorului prin prisma obiectivelor misiunii
de audit. n cazul constatrii unor neconformiti, auditorul formuleaz recomandri pentru remedierea
acestora i perfecionarea activitii entitii.
Subiectele abordate sunt urmtoarele:
(a) problematica general specific auditului IT (domeniul de aplicare, documente de referin
(reglementri) aplicabile n domeniul auditului IS/IT, obiective generale i obiective specifice ale
auditului IT / IS, criterii de evaluare generice, determinarea naturii i volumului procedurilor de
audit, revizuirea controalelor IT n cadrul misiunilor de audit financiar),
(b) etapele auditului sistemelor informatice (planificarea auditului, efectuarea auditului, raportarea
i revizuirea),
c) evaluarea sistemelor informatice financiar-contabile,
d) cadrul procedural pentru evaluarea sistemului informatic (obinerea informaiilor de fond privind
sistemele IT ale entitii auditate (Procedurile A1 A7), evaluarea controalelor generale IT,
(Procedurile B1 B8), evaluarea controalelor aplicaiei (Procedurile CA1 CA13), precum i
evaluarea riscurilor asociate implementrii i utilizrii sistemului informatic,
e) elaborarea raportului de audit i valorificarea constatrilor consemnate n acesta.
4.1
Auditul sistemelor informatice
n concordan cu cadrul de lucru INTOSAI i cu standardele asociate, n ceea ce privete tipul i

coninutul aciunilor de verificare desfurate de Curtea de Conturi a Romniei (aciuni de control, misiuni
de audit financiar i misiuni de audit al performanei), n condiiile extinderii accentuate a informatizrii
instituiilor publice, auditul sistemelor informatice poate constitui o component a acestor aciuni sau se
poate desfura de sine stttor, de regul prin misiuni de audit al performanei implementrii i utilizrii
de sisteme, soluii informatice sau servicii electronice care fac obiectul unor programe naionale sau
proiecte complexe de impact pentru societate, avnd efecte n planul modernizrii unor domenii sau
activiti.
Aciunile specifice de audit al sistemelor informatice din ansamblul competenelor atribuite CCR, se
desfoar pe baza programului anual de activitate, aprobat de Plenul Curii de Conturi. Aceste aciuni se
refer la auditul IT / IS, respectiv auditul arhitecturilor i infrastructurilor IT, precum i auditul sistemelor,
aplicaiilor i serviciilor informatice i reprezint o activitate de evaluare a sistemelor informatice prin
prisma optimizrii managementului resurselor informatice disponibile (date, aplicaii, tehnologii, faciliti,
servicii, resurse umane etc.), n scopul atingerii obiectivelor entitii, prin asigurarea unor criterii de:
eficien, confidenialitate, integritate, disponibilitate, siguran n funcionare i conformitate cu un cadru
de referin (standarde, bune practici, cadru legislativ etc.).
Prin intermediul rapoartelor de audit al sistemelor informatice, Curtea de Conturi furnizeaz prilor
interesate (Parlament, Guvern, entiti auditate, instituii interesate i ceteni), informaii privind
performana implementrii i utilizrii infrastructurilor bazate pe tehnologia informaiei i efectele obinute
n planul modernizrii activitii prin informatizarea acesteia, precum i ncrederea pe care sistemul o
asigur utilizatorului (instituii publice, ceteni). Generic, acestea se materializeaz n reducerea timpului
de acces la informaie, prevenirea pierderii ori nlocuirii informaiei, creterea gradului de securitate a
Pag. 126 din 214
informaiilor, protecia datelor personale, reducerea birocraiei i a blocajelor la ghieu, promovarea

culturii informatice n rndul cetenilor, reducerea real a costurilor administrative, furnizarea i utilizarea
de informaii n timp real prin extinderea serviciilor electronice bazate pe implementarea tehnologiilor web,
asigurarea compatibilitii i interoperabilitii cu sistemele similare disponibile n rile Uniunii Europene.
4.1.1 Domeniul de aplicare

Armonizarea abordrilor cu tendinele strategice stabilite la nivelul INTOSAI, precum i stabilirea direciilor
strategice n domeniul auditului IT / IS n cadrul Curii de Conturi a Romniei se raporteaz att la
abordrile instituiilor supreme de audit de prestigiu din cadrul INTOSAI i ale unor instituii cu tradiie n
auditul extern, ct i la cerinele standardelor i bunelor practici internaionale (INTOSAI, ISA, ISO 27000,
ISACA, COBIT, ITIL). Abordarea auditului IT / IS n cadrul Curii de Conturi a Romniei este n
concordan cu direciile de dezvoltare incluse n Planul de lucru pentru perioada 2008-2011 al Grupului
de lucru EUROSAI IT-WG i, implicit, n conformitate cu abordarea impus de cadrul de auditare
INTOSAI. De asemenea, aceast abordare este consistent cu obiectivele strategice ale CCR i
contribuie la realizarea acestora.
Cadrul conceptual, metodologic i procedural pentru auditul IT / IS implementat n cadrul Curii de Conturi
a Romniei este armonizat cu punctul de vedere asupra auditului n medii informatizate, formulat de
Grupul special de lucru EUROSAI IT Working Group, care acord o atenia special auditului sistemelor
IT i problematicii asociate i recomand ca auditul IT s devin o parte integrant a tuturor auditurilor
desfurate de Instituiile Supreme de Audit.
Potrivit cadrului INTOSAI, obiectul auditului sistemelor informatice poate fi focalizat pe programe,
proiecte, sisteme informatice sau resurse informatice create sau utilizate n instituiile publice. Acestea pot
fi auditate la nivel strategic, operaional sau la nivel de aplicaie. Auditarea se poate desfura pe ntreg
ciclul de via al sistemului sau numai pe anumite etape: proiectare, dezvoltare, implementare, producie,
livrare, interoperabilitate, acces, utilizare. Auditarea include, de asemenea, i evaluarea conformitii cu
legislaia n vigoare.
n cadrul misiunilor de audit al sistemelor informatice se va efectua evaluarea componentei aferente
controalelor IT / IS implementate n sistemul de control intern al entitii auditate. Constatrile vor
evidenia punctele tari i punctele slabe ale sistemului informatic i vor meniona aspectele care trebuie
remediate. Pe baza acestora se vor formula recomandri privind perfecionarea structurii de procese,
controale i proceduri IT existente.
Principalele constatri, concluzii i recomandri formulate pe parcursul misiunii de audit vor fi sintetizate i
vor fi naintate conducerii entitii auditate, constituind obiectul valorificrii raportului de audit. Modul de
implementare a recomandrilor i stadiul implementrii acestora vor fi revizuite periodic, la termene
comunicate entitii auditate.
Curtea de Conturi desfoar urmtoarele tipuri de audit IT:
Evaluarea unui sistem informatic n scopul furnizrii unei asigurri rezonabile privind
funcionarea acestuia, asigurare necesar inclusiv misiunilor de audit financiar sau de audit al
performanei la care este supus entitatea;
Evaluarea performanei implementrii i utilizrii sistemelor informatice;
Misiuni de audit mixte, prin integrarea celor trei tipuri de audit: auditul financiar, auditul
performanei i auditul IT / IS, acestea urmnd a se desfura n cadrul unor misiuni comune,
n funcie de obiectivele stabilite;
Auditul unor soluii informatice dezvoltate i implementate pentru a contribui la prevenirea i
combaterea corupiei i a evaziunii fiscale;
Pag. 127 din 214
Auditul sistemelor e-guvernare i e-administraie, precum i al serviciilor electronice asociate

(sistemul e-licitaie, serviciul electronic declaraii fiscale online etc.), raportat la condiiile
prevzute de Directiva 2006/123/CE);
Evaluarea unui sistem IT / IS integrat i/sau a unor aplicaii individuale utilizate ca suport
pentru asistarea deciziei (sisteme IT / IS utilizate pentru eviden, prelucrarea i obinerea de
rezultate, situaii operative i sintetice la toate nivelele de raportare) n cadrul entitii
auditate.
n cadrul Curii de Conturi, auditul sistemelor informatice este un audit de tip multidisciplinar cu caracter
transversal, interdepartamental. Curtea de Conturi va desfura orice misiuni de audit IT menite s
creeze condiiile optime pentru derularea eficient a celorlalte forme de control i audit i s ofere suportul
tehnic pentru aceste misiuni.
Extinderea utilizrii tehnologiei informaiei n toate domeniile, inclusiv n cel al sistemelor financiar-contabile, care presupune att extinderea controalelor IT n cadrul sistemului de control intern al
entitilor auditate/controlate, ct i existena unor programe i proiecte de mare anvergur finanate din
fonduri publice, materializate n investiii IT cu valori foarte mari, genereaz necesitatea perfecionrii
modelelor tradiionale de auditare i extinderea auditului sistemelor informatice n activitatea Curii de
Conturi.
In cadrul aciunilor de control i audit financiar desfurate de ctre structurile Curii de Conturi, auditorii
publici externi vor efectua evaluri ale sistemelor informatice existente la entitile auditate, pentru a
determina dac sistemele i aplicaiile furnizeaz informaii de ncredere pentru aciunile respective.
Pentru misiunile de audit financiar este de o deosebit importan identificarea riscurilor care rezult din
utilizarea unui sistem contabil bazat pe tehnologii informatice. Aceste riscuri mresc probabilitatea
apariiei unor prezentri semnificativ eronate n situaiile financiare, fapt ce ar trebui luat n considerare de
management i de auditori. Riscurile cheie specifice mediilor bazate pe tehnologii informatice sunt:
dependena de funcionarea echipamentelor i programelor informatice, vizibilitatea pistei de audit,
reducerea implicrii factorului uman, erori sistematice versus erori incidentale, accesul neautorizat,
pierderea datelor, externalizarea serviciilor IT / IS, lipsa separrii sarcinilor, absena autorizrii tradiionale,
lipsa de experien n domeniul IT.
4.1.2 Documente de referin (reglementri) aplicabile n domeniul

auditului IS / IT
Constituia Romniei;
Legea nr. 94/1992 privind organizarea i funcionarea Curii de Conturi, cu modificrile i
completrile ulterioare;
Regulamentul privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum
i valorificarea actelor rezultate din aceste activiti;
Cadrul metodologic i procedural elaborat de structura de specialitate a Curii de Conturi a
Romniei, convergent cu standardele de audit generale i specifice adoptate de Curtea de
Conturi, n baza standardelor internaionale de audit INTOSAI, ISA, ISACA i a standardelor de
securitate.
Cadrul conceptual, metodologic i procedural pentru auditul IT / IS implementat n cadrul Curii de
Conturi a Romniei este armonizat cu punctul de vedere asupra auditului n medii informatizate,
formulat de Grupul special de lucru EUROSAI IT Working Group, care acord o atenia special
auditului sistemelor IT i problematicii asociate i recomand ca auditul IT s devin o parte
integrant a tuturor auditurilor desfurate de Instituiile Supreme de Audit;
Manualul de auditul performanei, elaborat de Curtea de Conturi a Romniei, ediia 2005.
Pag. 128 din 214
4.1.3 Obiective generale i obiective specifice ale auditului IT / IS

Obiectivele misiunii de audit au un rol determinant n abordarea auditului, din acestea decurgnd cerine
i restricii privind desfurarea activitilor n toate etapele misiunii de audit: planificarea auditului,
efectuarea auditului, raportare, revizuire.
Abordarea general a auditului IT / IS se bazeaz pe evaluarea riscurilor. Pentru auditul performanei
implementrii i utilizrii sistemelor informatice se asociaz i abordarea pe rezultate. Auditul se poate
efectua pentru ntreg ciclul de via al sistemelor i aplicaiilor informatice sau se poate raporta numai la
anumite componente specificate sau la anumite etape de dezvoltare a sistemului.
Formularea obiectivelor generale se face n funcie de scopul evalurii: evaluarea performanei unei
activiti bazate pe tehnologia informaiei, evaluarea unui program sau a unui sistem bazat pe tehnologia
informaiei, evaluarea tehnic a unui sistem sau a unor aplicaii, evaluarea unor componente ale
sistemului dintr-un punct de vedere precizat.
Scopul generic al misiunilor de audit al sistemelor informatice este obinerea unei asigurri rezonabile
asupra implementrii i funcionrii sistemului, n conformitate cu prevederile legislaiei n vigoare, cu
reglementrile n domeniu, cu standardele internaionale i ghidurile de bune practici, precum i evaluarea
sistemului din punctul de vedere al furnizrii unor servicii informatice de calitate sau prin prisma
performanei privind modernizarea administraiei i asigurarea ncrederii n utilizarea mijloacelor
electronice.
n funcie de tematica auditului, auditorul public extern are sarcina de a clarifica obiectivele auditului, de a
identifica referenialul pentru efectuarea auditrii (standarde, bune practici, reglementri, reguli, proceduri,
dispoziii contractuale etc.) i de a examina gradul n care cerinele care decurg sunt aplicate i contribuie
la realizarea obiectivelor entiti.
n principiu, exist dou categorii de probleme care pot constitui obiective generale ale auditului:
stabilirea conformitii rezultatelor entitii cu un document de referin, conformitate asupra

creia trebuie s se pronune auditorul;
evaluarea eficienei cadrului procedural i de reglementare i a focalizrii acestuia pe obiectivele

entitii.
Pornind de la obiectivul general, se formuleaz obiective specifice care determin direciile de audit,
cerinele concrete i criteriile care vor sta la baza evalurilor. Ca obiective specifice generice, se vor avea
n vedere:
Evaluarea soluiilor arhitecturale i de implementare a sistemului informatic;
Evaluarea infrastructurii hardware i software: echipamente, sisteme, aplicaii;
Evaluarea implicrii managementului de la cel mai nalt nivel n perfecionarea guvernanei IT;
Evaluarea calitii personalului utilizator al sistemelor i aplicaiilor informatice;
Evaluarea securitii sistemului informatic;
Evaluarea disponibilitii i accesibilitii informaiilor;
Evaluarea managementului schimbrilor i al continuitii sistemului;
Evaluarea sistemului de management al documentelor;
Evaluarea utilizrii serviciilor electronice disponibile;
Evaluarea schimbului de informaii i a comunicrii cu alte instituii;
Conformitatea cu legislaia n vigoare;
Identificarea i analiza riscurilor decurgnd din utilizarea sistemului informatic, precum i a
impactului acestora;
Evaluarea efectelor implementrii i utilizrii infrastructurii IT n modernizarea activitii entitii
auditate.
Pag. 129 din 214
4.1.4 Criterii de evaluare generice

Misiunea de audit al sistemelor informatice are n vedere urmtoarele criterii de evaluare generice:
Dac sistemul informatic asigur un cadru adecvat, bazat pe integrarea tehnologiilor informatice
pentru desfurarea continu a activitii;
Dac activitile desfurate pe parcursul derulrii proiectelor IT / IS sunt conforme cu obiectivele
i termenele de realizare, aprobate la nivel instituional, la fundamentarea acestora;
Dac pe parcursul proiectelor s-au nregistrat dificulti tehnice, de implementare sau de alt
natur;
Dac implementarea proiectelor conduce la modernizarea activitii entitii, contribuind la
integrarea unor noi metode de lucru, adecvate i conforme cu noile abordri pe plan european i
internaional;
Dac soluia tehnic este fiabil i susine funcionalitatea cerut n vederea creterii calitii
activitii;
Dac sistemul informatic funcioneaz n conformitate cu cerinele programelor i proiectelor
informatice privind integralitatea, acurateea i veridicitatea, precum i cu standardele specifice de
securitate;
Dac pregtirea utilizatorilor atinge nivelul performanei cerute de aceast nou abordare,
analizat prin prisma impactului cu noile tehnologii;
Dac exist i au fost respectate standarde privind calitatea suportului tehnic i metodologic.
Aceste criterii vor fi utilizate pe parcursul misiunii de audit IT, din perspectiva crerii, la nivelul instituiilor
auditate, a unor arhitecturi de sistem coerente, bazate pe creterea partajrii informaiei i a sistemelor n
administraia public, reducerea costurilor totale prin reutilizare i evitarea duplicrii aplicaiilor i
sistemelor, reducerea timpului de implementare a proiectelor, mbuntirea manierei de administrare a
proiectelor i de implementare a soluiilor (portofoliul de proiecte), stabilirea politicilor de migrare pentru
proiectele existente.
Criteriile de audit pot fi diferite de la un audit la altul, n funcie de obiectivele specifice ale misiunii de
audit.
4.1.5 Determinarea naturii i volumului procedurilor de audit

Natura i volumul procedurilor de audit necesare pentru evaluarea controalelor aferente mediului
informatizat variaz n funcie de obiectivele auditului i de ali factori care trebuie luai n considerare:
natura i complexitatea sistemului informatic al entitii, mediul de control al entitii, precum i conturile i
aplicaiile semnificative pentru obinerea situaiilor financiare.
Auditorul public extern cu atribuii de evaluare a sistemului IT i auditorul public extern cu atribuii de
auditare a situaiilor financiar contabile trebuie s coopereze pentru a determina care sunt activitile care
vor fi incluse n procesul de revizuire. Cnd auditul sistemului informatic este o parte din misiunea de
audit financiar, evaluarea controalelor IT face parte dintr-un efort consistent att de evaluare a
controalelor, ct i de evaluare a fiabilitii datelor financiare raportate.
Pag. 130 din 214
4.1.6 Revizuirea controalelor IT n cadrul misiunilor de audit

financiar
Misiunile de audit financiar au un rol central n furnizarea unor informaii financiare mai fiabile i mai utile
factorilor de decizie i n perfecionarea sistemului de control intern pentru a fi adecvat cu sistemele de
management financiar. Controalele IT reprezint un factor semnificativ n atingerea acestor scopuri i n
nelegerea de ctre auditor a structurii controlului intern al entitii. Acestea trebuie luate n considerare
pe parcursul ntregului ciclu de via al auditului.
4.2
Etapele auditului sistemelor informatice
Etapele auditului sistemelor informatice sunt: planificarea auditului, efectuarea auditului, raportarea i
revizuirea auditului.
Structura de specialitate care efectueaz misiunea de audit al sistemelor informatice ntiineaz, prin
adresa de notificare, entitile incluse n programul de activitate, aprobat de plenul Curii de Conturi,
asupra misiunii de audit ce urmeaz a se realiza la acestea.
Misiunea de audit al sistemelor informatice se deschide n cadrul unei ntlniri cu conducerea entitii
auditate, organizate la sediul acesteia, iniiate de structura de specialitate a Curii de Conturi care
desfoar auditul. Din partea Curii de Conturi, la ntlnire pot s participe eful departamentului /
directorul din cadrul departamentului sau directorul / directorul adjunct al camerei de conturi, dup caz, i
echipa de audit desemnat.
n cadrul ntlnirii de deschidere a auditului se prezint echipa de audit, tema i obiectivele auditului, se
stabilesc persoanele de contact, precum i alte detalii necesare realizrii auditului i se clarific aspectele
legate de asigurarea unor spaii de lucru adecvate i a suportului logistic corespunztor.
Pentru a efectua auditul sistemelor informatice, auditorul public extern va trebui s aib suficiente
cunotine n domeniul tehnologiei informaiei i comunicaiilor, care s-i permit nelegerea strategiilor,
politicilor i activitilor care fac obiectul auditului.
De asemenea, auditorul public extern trebuie s dein cunotinele necesare pentru identificarea
riscurilor induse de funcionarea sistemului informatic, precum i pentru evaluarea metodelor de tratare a
acestor riscuri (gradul de adecvare al sistemelor de control intern, inclusiv infrastructura de securitate i
controalele aferente).
nelegerea acestui domeniu i va permite auditorului s determine natura, durata i ntinderea
procedurilor de audit, s stabileasc efectul dependenei entitii de sistemul informatic i s evalueze
capacitatea entitii de a asigura continuitatea activitii.
Auditorul trebuie s planifice i s efectueze auditul astfel nct s obin o asigurare rezonabil privind
existena sau absena unor anomalii, deficiene de implementare sau erori semnificative.
Metodologia care trebuie utilizat pentru evaluarea controalelor IT / IS presupune att evaluarea
controalelor generale aferente mediului de implementare a sistemului informatic la nivelul entitii, ct i
evaluarea controalelor de aplicaie, asupra datelor de intrare, a prelucrrilor i a datelor de ieire asociate
cu aplicaiile individuale.
Controalele generale vizeaz strategiile, politicile i procedurile care se aplic tuturor sistemelor
informatice ale entitii sau numai asupra unui segment al acestora, cum ar fi de exemplu protecia
datelor, protecia programelor, prevenirea accesului neautorizat, asigurarea continuitii sistemului.
Pag. 131 din 214
Eficacitatea controalelor generale este un factor semnificativ n determinarea eficacitii controalelor de

aplicaie. Fr un sistem de controale generale fiabil, controalele de aplicaie nu pot fi eficace din cauza
nesiguranei n ceea ce privete protecia fa de tentativele de alterare sau de distrugere a informaiilor i
programelor sau fa de atacurile fizice asupra sistemului de calcul.
Controalele de aplicaie sunt specifice fiecrei aplicaii i ofer asigurarea c tranzaciile sunt valide,
autorizate, prelucrate i raportate complet. Acest tip de controale include tehnici de control automate sau
revizuiri manuale ale rapoartelor (situaiilor) generate de calculator i identificarea articolelor eronate sau
neuzuale.
Att controalele generale ct i controalele de aplicaie trebuie s fie eficace pentru a contribui la
obinerea unei asigurri c informaia critic obinut n urma prelucrrilor pe calculator este fiabil,
adecvat, disponibil i protejat n ceea ce privete confidenialitatea.
4.2.1 Planificarea auditului

Planificarea este prima etap din ciclul de via al auditului, corectitudinea acesteia asigurnd eficiena i
execuia efectiv a tuturor celorlalte etape ale auditului. Planificarea presupune obinerea de informaii
privind entitatea auditat i de informaii despre sistemul de control intern al acesteia. De asemenea, i
foarte important, planificarea trebuie s includ o evaluare a riscurilor care decurg din funcionarea
acestor sisteme.
Planificarea auditului are la baz o strategie de audit, care se formuleaz pornind de la definirea abordrii
auditului i precizeaz elemente legate de coordonarea misiunii de audit, echipa implicat n aceast
misiune, atribuiile n cadrul echipei, orizontul de timp i direciile principale de aciune.
Scopul planificrii auditului IT / IS este acela de a obine o nelegere a mediului n care funcioneaz
sistemul informatic n cadrul entitii auditate, de a evalua riscul de eroare sau de fraud, de a elabora o
abordare eficient a auditului prin care s se colecteze probe suficiente i de ncredere n scopul formrii
unei opinii, i de a aloca resursele necesare pentru realizarea acestor activiti. Planificarea activitilor
are n vedere minimizarea costurilor auditului.
Planificarea auditului sistemelor informatice trebuie s includ toate fazele necesare atingerii obiectivelor
misiunii auditului, respectiv: documentarea privind activitatea auditat, programul sau sistemul care face
obiectul auditului, stabilirea strategiei de audit, stabilirea procedurilor de audit i a tehnicilor aferente, a
metodelor de sintetizare, analiz i interpretare a probelor de audit, identificarea i evaluarea riscurilor
generate de furnizarea serviciilor electronice.
n cazul auditrii sistemelor informatice financiar-contabile, trebuie analizat impactul acestor sisteme
asupra planului misiunii de audit. Aceast analiz are la baz urmtoarele activiti:
cunoaterea relaiei dintre situaiile financiare i sistemele informatice care le susin;
evaluarea necesitii implicrii n audit a specialitilor n audit IT / IS;
luarea n considerare a impactului implementrii i utilizrii sistemului informatic asupra riscului,
att la nivelul entitii ct i pentru domeniul financiar-contabil;
luarea n considerare a posibilitilor de utilizare a tehnicilor de audit asistat de calculator pentru
susinerea auditului, inclusiv identificarea celor mai adecvate mijloace de accesare i analiz a
datelor aferente tranzaciilor;
analiza modului de includere a evalurii controalelor IT n abordarea auditului;
identificarea sistemelor informatice financiar-contabile n curs de dezvoltare care vor necesita
implicarea auditului.
Pag. 132 din 214
Aceste activiti fac parte din evaluarea IT / IS pe care auditorii trebuie s o finalizeze ca parte integrant
a planificrii auditului. Dac sistemele au un grad de complexitate ridicat, este indicat s se utilizeze un
specialist n audit IT / IS pentru a finaliza sau a asigura consultan pentru finalizarea ntregii analize sau
a unei pri din aceasta. Dac exist o evaluare anterioar finalizat, aceasta poate fi actualizat i se va
pune accent pe revizuirea aplicaiilor noi i pe schimbrile majore ale sistemelor existente.
Sistemul informatic constituie suportul furnizrii informaiei i devine indispensabil n condiiile Societii
Informaionale. Datorit extinderii misiunilor de audit financiar i a aciunilor de control care se desfoar
n medii informatizate, se accentueaz necesitatea asigurrii convergenei metodelor i standardelor de
audit financiar cu metodele i standardele de audit IT. Pentru a verifica satisfacerea cerinelor pentru
informaie (eficacitate, eficien, confidenialitate, integritate, disponibilitate, conformitate i ncredere), se
va avea n vedere, auditarea sistemului informatic care furnizeaz informaia financiar-contabil.
Documentarea n auditul sistemelor informatice
Pentru stabilirea unei strategii de audit, auditorul trebuie s obin informaii i cunotine legate de
entitatea auditat i de mediul n care aceasta opereaz. Activitatea de documentare are ca scop
cunoaterea obiectivelor entitii cu privire la performana tehnologiei informaiei, precum i a principalelor
aspecte legate de coordonarea, structura i funcionalitatea sistemelor, serviciilor i aplicaiilor care susin
obiectivele, n vederea alegerii celor mai adecvate metode, tehnici i proceduri de audit.
n faza de planificare, auditorul obine o nelegere a operaiilor i controalelor IT i a riscurilor asociate.
Prin prisma acestor riscuri, auditorul decide care controale sunt cel mai probabil s fie eficace. n situaia
n care controalele au o probabilitate mare de a fi eficace i dac sunt relevante pentru obiectivele misiunii
de audit, auditorul trebuie s determine natura i volumul procedurilor de audit necesare pentru a
confirma ipotezele. n situaia n care controalele nu au o probabilitate mare de a fi eficace, auditorul
trebuie s obin o nelegere suficient a riscurilor de control asociate pentru a formula constatri
adecvate i recomandri asociate privind aciuni corective.
De asemenea, auditorul trebuie s determine natura, ntinderea i volumul testelor necesare, n vederea
alegerii celor mai adecvate metode, tehnici i proceduri de audit.
Metodele utilizate pentru colectarea informaiilor n faza de documentare sunt:
o prezentri n cadrul unor discuii preliminare cu reprezentanii managementului entitii auditate;
o consultarea unor materiale documentare relevante privind activitatea entitii;
o consultarea legislaiei aferente tematicii;
o consultarea documentaiilor tehnice;
o documentare n domeniul standardelor i bunelor practici;
o interviuri cu persoanele implicate n coordonarea, monitorizarea, administrarea, ntreinerea i
utilizarea sistemului informatic;
o participarea la demonstraii privind utilizarea sistemului;
o studiul documentar realizat prin accesarea pe Internet a unor informaii publicate pe website-ul
entitii auditate.
Cunoaterea suficient a entitii, respectiv a sistemului informatic este fundamental pentru planificarea
i efectuarea procedurilor de audit, precum i pentru definirea criteriilor, metodelor i tehnicilor de
evaluare a rezultatelor i a indicatorilor de performan. Pe baza acesteia, auditorul realizeaz o evaluare
preliminar a sistemului i identific punctele critice care vor fi testate n detaliu n cadrul auditului.
In faza de cunoatere a entitii, auditorul va lua n considerare identificarea i analiza factorilor care pot
influena procesul de audit:
o componentele sistemului;
o activitile, problematica i nivelele de decizie;
o atribuiile entitii, pe nivele de implicare;
Pag. 133 din 214
o
o
o
o
o
coordonarea i monitorizarea proiectelor IT;

normele metodologice i standardele n domeniu;
cadrul legislativ i de reglementare n care entitatea i desfoar activitatea;
soluia organizatoric privind implementarea sistemului informatic (desfurare n teritoriu,
etapizarea activitilor, alocarea sarcinilor i responsabilitilor, selecia personalului);
arhitectura sistemului informatic: platforma hardware / software (soluii de implementare,
echipamente, arhitecturi de reea, licene, desfurare n teritoriu, locaii funcionale, versiuni
operaionale); fluxuri de colectare / transmitere / stocare a informaiilor (documente text, coninut
digital, tehnici multimedia);
factorii care influeneaz funcionalitatea sistemului: complexitatea componentelor software,
sistemul de constituire, achiziie, validare, utilizare a fondului documentar (documente text,
coninut digital, tehnici multimedia), operarea sistemului, interfaa utilizator, schimbul de date ntre
structuri, interoperabilitate, anomalii n implementare, modaliti de raportare i operare a
coreciilor, sigurana n funcionare, rata cderilor, puncte critice, instruirea personalului utilizator,
documentaie tehnic, ghiduri de operare, forme i programe de instruire a personalului,
asigurarea suportului tehnic;
raportarea i soluionarea problemelor tehnice, organizatorice, de personal.
n cadrul documentrii se vor identifica punctele critice care acumuleaz potenialul unor riscuri generate
de implementarea i utilizarea sistemului informatic:
slaba implicarea a managementului;

obiective neatinse sau ndeplinite parial;
iniiative nefundamentate corespunztor;
sisteme interne de control organizate sau conduse necorespunztor;
pierderi importante cauzate de calamiti naturale, furturi etc.;
lipsa ncrederii n tehnologia informaiei;
lipsa de interes fa de planificarea continuitii sistemului (proceduri de salvare a datelor,
securitatea sistemului informatic, recuperare n caz de dezastru);
calitatea necorespunztoare a serviciilor furnizate utilizatorilor sistemului;
cheltuieli nejustificate: intranet, Internet, resurse umane;
costuri i depiri semnificative ale termenelor;
existena unor reclamaii, observaii, contestaii.
Pentru toate tipurile de audit, se va realiza o evaluare a controalelor generale IT pe baza Listei de
verificare a controalelor generale IT, care conine urmtoarele categorii de obiective de control:
managementul funciei IT;
securitatea fizic i controalele de mediu;
securitatea informaiei i a sistemelor;
continuitatea sistemelor;
managementul schimbrii i dezvoltarea de sistem;
auditul intern.
Aceast list nu exclude adugarea altor categorii de probleme considerate semnificative de ctre
auditor, n funcie de obiectivele specifice ale auditului. De asemenea, se va analiza modul n care aceste
controale afecteaz eficacitatea sistemului de control intern al entitii.
Evaluarea riscurilor
Dup obinerea unei nelegeri asupra mediului informatizat al entitii, auditorul va evalua riscul inerent i
riscul de control, factori care se iau n considerare la determinarea riscului de audit.
Riscul de audit, indus de utilizarea sistemului informatic, poate fi exprimat n termenii urmtoarelor trei
componente:
Pag. 134 din 214
Riscul inerent, care decurge din susceptibilitatea asupra resurselor informatice sau asupra
resurselor controlate de sistemul informatic: furt material, distrugere, dezvluire, modificri
neautorizate, incompatibilitate, n lipsa controalelor interne asociate.
Riscul de control, care reprezint riscul ca erorile materiale din datele entitii s nu fie
prevenite sau detectate i corectate n timp util de structura controlului intern al entitii.
Riscul de nedetectare, care reprezint riscul ca auditorul s nu detecteze erorile existente n
sistem.
Factori care afecteaz riscul inerent

Operaiile informatizate pot introduce factori adiionali de risc inerent. Auditorul trebuie s ia n
considerare aceti factori i s evalueze impactul prelucrrilor pe calculator asupra riscului inerent.
Pentru sistemele informatice financiar-contabile, cei mai relevani factori indui de mediul informatizat sunt
menionai n continuare.
Prelucrarea uniform a tranzaciilor: favorizeaz propagarea erorilor pentru tranzaciile

similare i reduce substanial posibilitatea prelucrrii selective a erorilor.
Prelucrarea automat: probele aferente acestor operaiuni pot sau nu pot fi vizibile.
Potenial crescut de nedetectare a greelilor: se datoreaz implicrii umane n prelucrare mai
puin dect n sistemele manuale, ceea ce crete potenialul obinerii accesului neautorizat al
indivizilor la informaiile sensibile i al alterrii datelor fr probe vizibile. Datorit formatului
electronic, schimbrile programelor i datelor sunt dificil de detectat. De asemenea, este
probabil ca utilizatorii s poat interveni mai uor asupra formei electronice dect asupra
rapoartelor manuale.
Existena, completitudinea i volumul parcursului auditului: parcursul auditului financiar
reprezint proba care demonstreaz modul n care a fost iniiat, prelucrat i agregat o
tranzacie specific i reprezint o cerin fundamental. Anumite sisteme informatice sunt
proiectate pentru a reine parcursul auditului numai pentru o perioad scurt, numai n format
electronic i numai ntr-o form sintetic. De asemenea, informaia generat poate fi prea
voluminoas pentru a putea fi analizat cu eficacitate. Tranzaciile pot rezulta dintr-o
agregare a informaiei din numeroase surse. Fr utilizarea unor produse software de
regsire i prelucrare, extragerea tranzaciilor ar putea deveni extrem de dificil. Fr un
parcurs al auditului, poate s nu fie fezabil formularea unei opinii categorice privind situaiile
financiare. Sistemele financiare trebuie s permit auditorului s urmreasc tranzaciile
ncepnd cu intrarea iniial, tranzaciile generate de sistem i tranzaciile cu alocare intern;
pn la reflectarea lor corect n situaiile financiare. Toate datele relevante i informaiile de
parcurs al auditului financiar trebuie reinute un timp suficient pentru finalizarea auditului.
Documentele surs trebuie de asemenea s fac parte din parcursul auditului financiar, i
acestea trebuie i ele s fie pstrate pn la finalizarea auditului.
Natura configuraiei hardware i software utilizate: tipul de prelucrare (local, online,
distribuit); dispozitivele periferice, interfeele sistem sau conexiunea la Internet; reelele
distribuite, furnizarea serviciilor IT. Riscurile tipice sunt: accesul neautorizat la resursele
sistemului, posibila alterare a datelor, dezvluirea informaiilor sensibile, dependena de
furnizorul de programe.
Tranzacii neuzuale: Programele dezvoltate pentru prelucrarea tranzaciilor neuzuale sau la o
cerere special a managementului pentru extragerea unor informaii specifice se plaseaz n
afara sistemului standard.
Pag. 135 din 214
Factori care afecteaz riscul de control

n anul 1992, The Committee of Sponsoring Organizations of the Treadway Commission (COSO) a
identificat urmtoarele componente interrelaionate ale sistemului de control intern care au fost adoptate
de AICPA67:
Mediul de control, care include: integritatea, valorile etice i competena personalului entitii;
viziunea managementului i stilul de operare i modul n care managementul i manifest
autoritatea, i organizeaz i dezvolt resursele umane.
Evaluarea riscurilor: identificarea i analiza riscurilor relevante pentru atingerea obiectivelor
entitii, n scopul formrii unei baze pentru determinarea modului n care acestea pot fi
gestionate.
Activitile de control: politicile i procedurile care ofer asigurarea c deciziile managementului sunt aduse la ndeplinire. Acestea includ activiti care presupun: aprobri, verificri,
reconcilieri, revizuiri ale performanei i separarea atribuiilor.
Informarea i comunicarea, care presupun identificarea, capturarea i comunicarea
informaiei pertinente ctre indivizi, ntr-o form adecvat i ntr-un timp care s le permit
ndeplinirea responsabilitilor.
Monitorizarea: se refer la activitile viitoare care presupun evaluarea continu a performanei controlului intern i asigurarea c deficienele identificate sunt raportate managementului de vrf.
Atunci cnd evalueaz sistemul de control intern, auditorul trebuie s ia n considerare factorii specifici
mediului informatizat. De exemplu, auditorul trebuie s ia n considerare atitudinea i contientizarea
managementului n ceea ce privete operaiile informatizate:
Considerarea riscurilor i beneficiilor aplicaiilor informatice;

Comunicarea politicilor privind funciile informatizate i responsabilitile;
Supervizarea politicilor i procedurilor referitoare la dezvoltarea, modificarea, ntreinerea i
utilizarea programelor i fiierelor, precum i pentru controlul accesului la acestea;
Considerarea riscului inerent i a riscului de control aferente calculatoarelor i datelor
electronice;
Reacia la recomandrile i cerinele anterioare;
Planificarea operativ i eficace a activitilor IT / IS;
Contientizarea dependenei de sistemul informatic n luarea deciziei.
Riscurile generice asociate sistemului informatic, detectate pe parcursul unei misiuni de audit al
sistemelor informatice vor fi clasificate n trei categorii:
a) Riscuri privind planificarea, dezvoltarea i introducerea sistemelor i serviciilor informatice
Aceste riscuri decurg din:
Lipsa unei planificri strategice;
Insatisfacia utilizatorilor; ignorarea explorrii profilului utilizatorilor;
Neglijarea aspectelor legate de asigurarea calitii;
Lipsa unor evaluri privind eficacitatea costurilor;
Nendeplinirea atribuiilor privind crearea cadrului necesar legal i organizaional;
Implicarea sporadic i inconsecvent n elaborarea i implementarea reglementrilor i

standardelor IT i de securitate;
Furnizarea neadecvat a infrastructurii tehnice;
Dependena de companiile IT;

67
AICPA - American Institute of Certified Public Accountants

Pag. 136 din 214
Lipsa reglementrii drepturilor privind reeaua Internet;

Lipsa unor evaluri ale proiectelor raportate la evoluiile tehnologiilor informaiei i comunicaiilor.
b) Riscuri n funcionarea sistemelor i serviciilor informatice

Politici de securitate IT tehnic i organizaional neadecvate, care afecteaz integritatea,

autenticitatea, confidenialitatea i disponibilitatea informaiilor; securizarea transferului de
date;
Capabilitile de auditare a informaiilor;
Securitatea tranzaciilor;
Redundan, discontinuiti media i interoperabilitate neadecvat.

c) Riscuri i efecte n plan economic
Decizii neadecvate, datorate pierderilor sau alterrii informaiilor furnizate de sistemul

informatic;
Pierderi datorate unor disfuncionaliti generate de indisponibilitatea informaiilor n timp real;
Dezvoltarea i implementarea necontrolat a unor componente informatice eterogene;
Cheltuieli dispersate, nejustificate;
Scderea eficienei serviciilor informatice furnizate.

Procedurile de audit vor furniza elemente pentru fundamentarea opiniei de audit privind gestionarea
resurselor informatice disponibile (date, aplicaii, tehnologii, faciliti, resurse umane etc.), n scopul
atingerii obiectivelor entitii, prin asigurarea eficienei, confidenialitii, integritii, disponibilitii,
siguranei n funcionare i conformitii cu un cadru de referin (standarde, bune practici, cadru legislativ
etc.). Aceast opinie trebuie s includ, n cazul neconformitilor, nivelul de risc (minor, mediu, major) i
s contribuie prin recomandrile formulate la remedierea acestora.
Evaluarea riscurilor se va efectua n conformitate cu urmtoarele criterii generale:
Utilizarea sistemului informatic se realizeaz n cadrul unei structuri clar definite; conducerea la
cel mai nalt nivel este informat despre activitatea IT i este receptiv la schimbare; gestionarea
resurselor umane se face eficient; monitorizarea cadrului legislativ i a contractelor cu principalii
furnizori se desfoar corespunztor; are loc revizuirea funcionalitii, operrii i dezvoltrilor de
componente, astfel nct acestea s fie n concordan cu necesitile activitii entitii i s nu
expun entitatea la riscuri nejustificate.
Accesul neautorizat la datele sau programele critice este prevenit i controlat; mediul n care
opereaz sistemele este sigur din punct de vedere al confidenialitii, integritii i credibilitii.
Aplicaiile sunt disponibile atunci cnd este nevoie, funcioneaz conform cerinelor, sunt fiabile i
au implementate controale sigure asupra integritii datelor.
Sunt luate msurile necesare pentru diminuarea riscului deteriorrii (accidentale sau deliberate)
sau al furtului echipamentelor IT, se acioneaz corespunztor pentru reducerea probabilitii
apariiei unor defeciuni majore i sunt stabilite msurile necesare pentru ca, n cazul
indisponibilizrii facilitilor de procesare, entitatea s i reia n mod eficient activitatea, ntr-o
perioad de timp rezonabil.
Sistemul este conform cu reglementrile legale n vigoare.
n evaluarea riscurilor IT se va utiliza Lista de verificare privind evaluarea riscurilor generate de

funcionarea sistemului informatic. Aceasta conine urmtoarele categorii de probleme generatoare de
riscuri:
Pag. 137 din 214
dependena de sistemul informatic;

resursele i cunotinele de tehnologia informaiei;
ncrederea n sistemul informatic;
schimbrile n sistemul informatic;
externalizarea serviciilor de tehnologia informaiei;
focalizarea pe activitate;
securitatea informaiei i a sistemului;
managementul tehnologiei informaiei.
Aceast list nu exclude adugarea altor categorii de probleme considerate semnificative de ctre
auditor, n funcie de obiectivele specifice ale auditului.
Descrierea riscurilor identificate de auditorii publici externi trebuie s includ informaii privind cauzele i
impactul posibil al acestora, precum i nivelul de risc (mic, mediu sau mare) evaluat de auditorul public
extern pe baza raionamentului profesional.
Elaborarea Planului de audit
Planul de audit ofer cadrul general pentru atingerea obiectivelor auditului ntr-un mod eficient i oportun.
Pe parcursul desfurrii auditului, se admit ajustri ale planului de audit, justificate de apariia unor
elemente noi fa de evaluarea contextului iniial, care necesit adncirea unor investigaii i aplicarea
unor proceduri de audit mai detaliate.
Planul de audit conine informaii privind natura, durata i programarea procedurilor de audit, precum i
resursele necesare (de personal, financiare, tehnice, documentare etc.).
Elaborarea planului de audit se concentreaz pe urmtoarele direcii: definirea ariei de acoperire a
auditului, descrierea modului n care se va desfura auditul, furnizarea unui mijloc de comunicare a
informaiilor despre audit ntregului personal implicat n auditare.
Planul de audit conine urmtoarele seciuni:
1. Informaii despre entitatea auditat: obiective, structur, dotare hardware i software,
volumul operaiilor prelucrate automat;
2. Stabilirea obiectivelor auditului: abordarea auditului, aria de acoperire a auditului, rolul
auditorului IT;
3. Evidenierea domeniilor critice care vor fi examinate: ariile cu riscul cel mai ridicat;
4. Criteriile de audit stabilite;
5. Etapele misiunii de audit i tipurile de evaluri aferente: procedurile de audit prin care se
obin probele de audit, metodele i tehnicile de analiz, sintez i interpretare a probelor de
audit;
6. Resurse necesare: personal, timp, resurse tehnice i financiare.
Planul de audit se avizeaz de directorul din cadrul departamentului de specialitate / directorul adjunct al
camerei de conturi i se aprob de eful de departament / directorul camerei de conturi.
Planul de audit al sistemelor informatice poate fi actualizat pe parcursul desfurrii misiunii de audit de
ctre membrii echipei, cu aprobarea conducerii structurilor de specialitate ale Curii de Conturi, n situaii
temeinic justificate.
Auditorii publici externi trebuie s comunice cu entitatea auditat ntr-o manier constructiv, pe tot
parcursul desfurrii misiunii de audit, prin organizarea unor ntlniri sau prin mijloace electronice.
In scopul ndeplinirii obiectivelor din Planul de audit, auditorii publici externi vor elabora proceduri de audit
pentru categoriile de probleme specifice sistemelor informatice: evaluarea calitii managementului,
Pag. 138 din 214
securitatea fizic i controalele de mediu, securitatea informaiei i a sistemului informatic, continuitatea

sistemului, managementul schimbrii i al dezvoltrii sistemului, funcionalitatea aplicaiilor, calitatea
auditului intern cu privire la sistemul informatic, evaluarea riscurilor generate de funcionarea sistemului
informatic. Aceste proceduri au asociate instruciuni metodologice, liste de verificare, machete i
chestionare, dup caz.
Procedurile de audit se refer la obinerea probelor de audit, la analiza probelor de audit i la sintetizarea
rezultatelor.
4.2.2 Efectuarea auditului

Obinerea probelor de audit
Probele de audit specifice sistemelor informatice pot fi ncadrate n urmtoarele categorii:
a) Probe de audit fizice - rezultate din demonstraii ale aplicaiilor, documentaii tehnice, diagrame,
scheme de arhitectur i alte elemente echivalente acestora.
b) Probe de audit verbale rspunsuri la interviuri, sondaje.
c) Probe de audit documentare documente, documentaii, manuale n form scris sau n format
electronic.
d) Probe de audit analitice rezultate obinute n urma evalurilor i analizei fondului de informaii
(indicatori, tendine).
Auditorii publici externi vor colecta probe de audit suficiente i adecvate. n cazul n care probele de audit
nu sunt suficiente i/sau adecvate, auditorii publici externi vor extinde procedurile de colectare cu teste
suplimentare, aprofundate asupra sistemului informatic.
n cadrul auditului se vor efectua teste asupra controalelor specializate pentru identificarea unor elemente
sau aciuni care constituie factori de risc i se va face o analiz a impactului acestora asupra activitii
entitii.
Alterarea probelor de audit poate fi cauzat de existena unor anomalii sau erori sistematice ale
funcionrii programelor, care afecteaz prelucrarea ntregului fond de date i conduc la obinerea unor
rezultate eronate, greu de corectat prin proceduri manuale, avnd n vedere volumul mare al tranzaciilor
i complexitatea algoritmilor de prelucrare. Ca urmare a gestionrii automate a unui volum mare de date,
fr implicare uman, exist riscul nedetectrii pentru o perioad lung de timp a unor erori datorate unor
anomalii de proiectare sau de actualizare a unor componente software.
Tehnici de audit
Pentru obinerea probelor de audit se vor utiliza, n principal, urmtoarele tehnici de audit:
Realizarea de interviuri cu persoane cheie implicate n proiect (coordonatori, utilizatori,

administratori de sistem IT etc.);
Utilizarea chestionarelor i machetelor;
Examinarea unor documentaii tehnice, economice, de monitorizare i de raportare: grafice de
implementare, coresponden, rapoarte interne, situaii de raportare, rapoarte de stadiu al
proiectului, registre de eviden, documentaii de monitorizare a utilizrii, contracte, sinteze
statistice, metodologii, standarde;
Participarea la demonstraii privind utilizarea sistemului ;
Evaluarea portalului i a serviciilor electronice;
Utilizarea tehnicilor i instrumentelor de audit asistat de calculator (IDEA, TeamMate, ACL sau
alte aplicaii utilizate);
Pag. 139 din 214
Documentarea pe Internet n scopul informrii asupra unor evenimente, comunicri, evoluii

legate de sistemul IT sau pentru consultarea unor documentaii tehnice.
Colectarea i inventarierea probelor de audit

Colectarea i inventarierea probelor de audit se refer la constituirea fondului de date n format electronic
i / sau n format tiprit pe baza machetelor, chestionarelor i a listelor de verificare completate, precum i
la organizarea i stocarea acestora.
Natura probelor de audit este dependent de scopul auditului i de modelul de auditare utilizat. Dei
modelele de auditare pot diferi n ceea ce privete detaliile, ele reflect i acoper cerina comun de a
furniza o asigurare rezonabil c obiectivele i criteriile impuse n cadrul unei misiuni de audit (de
exemplu, audit financiar) sunt satisfcute.
Documentarea probelor de audit
Obinerea probelor de audit i nscrierea acestora n documentele de lucru reprezint activiti eseniale
ale procesului de audit. Documentele de lucru se ntocmesc pe msura desfurrii activitilor din toate
etapele auditului. Documentele de lucru trebuie s fie ntocmite i completate cu acuratee, s fie clare i
inteligibile, s fie lizibile i aranjate n ordine, s se refere strict la aspectele semnificative, relevante i
utile din punctul de vedere al auditului.
Aceleai cerine se aplic i pentru documentele de lucru utilizate n format electronic.
Documentarea corespunztoare a activitii de audit are n vedere urmtoarele considerente:
Confirm i susine opiniile auditorilor exprimate n raportul de audit;

mbuntete performana activitii de audit;
Constituie o surs de informaii pentru pregtirea raportului de audit sau pentru a rspunde
oricror ntrebri ale entitii auditate sau ale altor pri interesate;
Constituie dovada respectrii de ctre auditor a standardelor i a manualului de audit;
Faciliteaz monitorizarea auditului;
Furnizeaz informaii privind expertiza n audit.
Documentele de lucru, elaborate n format tiprit, vor fi organizate n dosare, iar documentele elaborate n
format electronic vor fi organizate n colecii de fiiere i / sau baze de date.
Documentele trebuie s fie prezentate ntr-o manier inteligibil, coerent, consistent cu obiectivele
auditului.
Pentru descrierea sistemelor entitii auditate se utilizeaz urmtoarele tipuri de documente: diagrame de
tip flowchart, prezentri narative, machete i chestionare. Alegerea acestor tehnici variaz n funcie de
practicile locale de audit, de preferina personal a auditorului i de complexitatea sistemelor auditate.
Diagramele flowchart exprim n mod grafic descrierea sistemului auditat. Diagramele flowchart
nregistreaz ciclul de via al unei tranzacii, de la iniiere pn la stocarea acesteia i evideniaz
controalele i procedurile automate i manuale.
Descrierea narativ a ciclului de prelucrare a tranzaciilor este utilizat, de asemenea, n documentarea
sistemelor. Se utilizeaz n conjuncie cu alte metode de documentare a sistemelor. Descrierea narativ
include: obiectivele sistemului i intele, procesele i procedurile, legturi i interfee cu alte sisteme,
controale, proceduri pentru condiii speciale.
Listele de verificare
n cazul evalurilor efectuate pentru auditarea infrastructurii IT, se vor utiliza urmtoarele liste de
verificare:
Pag. 140 din 214
Lista de verificare privind evaluarea controalelor generale IT;

Lista de verificare privind evaluarea riscurilor generate de funcionarea sistemului IT.
Aceste liste de verificare se vor utiliza i n cadrul misiunilor de audit financiar sau de audit al
performanei, pentru evaluarea controalelor generale IT i a riscurilor generate de funcionarea sistemului
informatic.
Listele de verificare generice nu exclud adugarea altor categorii de probleme considerate semnificative
de ctre auditor, n funcie de obiectivele specifice ale auditului.
n cazul misiunilor de audit financiar, care presupun evaluarea sistemului informatic financiar-contabil
pentru a formula o opinie privind ncrederea n informaiile furnizate de sistemul informatic, auditorul public
extern va elabora Lista de verificare pentru testarea controalelor IT specifice aplicaiei financiar-contabile,
care conine urmtoarele categorii de controale de aplicaie:
controale privind integritatea fiierelor;

controale privind securitatea aplicaiei;
controale ale datelor de intrare;
controale de prelucrare;
controale ale ieirilor;
controale privind reeaua i comunicaia;
controale ale fiierelor cu date permanente.
n Anexa 5 este prezentat o list de verificare generic pentru testarea controalelor IT specifice aplicaiei
financiar-contabile. Aceasta poate fi extins de auditor, n condiiile n care sunt necesare teste de audit
suplimantare.
n cazul n care sistemul nu pare a fi suficient de robust, auditorul trebuie s evalueze riscul funcionrii
necorespunztoare a sistemului asupra obiectivelor misiunii de audit financiar.
n cadrul entitilor auditate, sistemele informatice care fac obiectul evalurii sunt utilizate ca suport pentru
asistarea deciziei, constituind sisteme IT / IS utilizate pentru evidena, prelucrarea i obinerea de
rezultate, situaii operative i sintetice la toate nivelele de raportare. Din acest motiv, o categorie special
de controale IT se refer la conformitatea sistemului informatic cu cerinele impuse de cadrul legislativ i
de reglementare.
Cerinele legislative i de reglementare includ:
Legislaia din domeniul finanelor i contabilitii;

Legislaia privind protecia datelor private i legislaia privind protecia datelor personale;
Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii informatice;
Reglementri financiare i bancare;
Legile cu privire la proprietatea intelectual.
n cazul sistemelor complexe sau desfurate la scar naional (de exemplu, Sistemul Electronic
Naional) se folosesc liste de verificare specializate elaborate n cadrul Curii de Conturi a Romniei: lista
de verificare pentru evaluarea guvernanei sistemelor de tip e-guvernare, lista de verificare pentru
evaluarea portalului web, lista de evaluare a perimetrului de securitate, liste de verificare pentru evaluarea
serviciilor electronice, liste de verificare pentru evaluarea cadrului de interoperabilitate, precum i alte liste
de verificare a cror necesitate decurge din obiectivele auditului.
Avnd n vedere specificul i complexitatea ridicat a unor astfel de misiuni de audit, cadrul de auditare
asociat necesit o tratare separat.
Auditul performanei implementrii i utilizrii sistemelor informatice va lua n considerare urmtoarele
aspecte:
Pag. 141 din 214
Modul n care funcionarea sistemului contribuie la modernizarea activitii entitii;

Modul n care managementul adecvat al configuraiilor IT contribuie la creterea valorii adugate
prin utilizarea sistemului informatic, reflectat n economii privind costurile de achiziie i creterea
calitii serviciilor;
Creterea semnificativ a productivitii unor activiti de rutin foarte mari consumatoare de timp
i resurse, care, transpuse n proceduri electronice (tehnoredactare, redactarea automat a documentelor, cutri n arhive electronice, reutilizarea unor informaii, accesarea pachetelor software
legislative), se materializeaz n reduceri de costuri cu aceste activiti;
Scurtarea timpului de prelucrare prin reducerea numrului de erori i evitarea relurii unor
proceduri pentru remedierea acestora;
Eliminarea paralelismelor i integrarea proceselor, care se reflect n creterea eficienei
activitii prin eliminarea redundanelor;
Scderea costurilor serviciilor, creterea disponibilitii acestora i scderea timpului de rspuns;
Creterea gradului de instruire a personalului n utilizarea noilor tehnologii i dezvoltarea de noi
aptitudini;
Reducerea costurilor administrative.
Chestionarele
Chestionarele conin ntrebri despre sistemele entitii auditate i constituie suportul pentru colectarea
informaiilor despre acestea.
Chestionarele conin, n general, opinii ale actorilor implicai n sistem referitoare la: acceptarea
sistemului, calitatea instruirii, efectele sistemului asupra activitii entitii, calitatea documentaiei
tehnice, ncrederea n sistemul informatic, dificultatea utilizrii sistemului, efectele n planul modernizrii
activitii, necesitatea extinderii sistemului.
n cazul n care chestionarele sunt proiectate pentru efectuarea unor analize statistice, acestea conin
ntrebri formulate astfel nct s poat fi agregate i analizate n funcie de criterii stabilite. Rspunsurile
pot fi de tip DA/NU, note, ponderi, i altele. De asemenea, sunt admise aprecieri personale i comentarii.
Pe baza informaiilor colectate se pot elabora diagrame i grafice care s exprime sugestiv concluzii
referitoare la percepia unei populaii despre efectele implementrii i utilizrii sistemului informatic supus
evalurii.
Machetele
Machetele sunt elaborate de auditorii publici externi i constituie suportul pentru colectarea informaiilor
legate de: bugetul IT / IS, configuraia hardware / software, infrastructura de reea, sistemul aplicativ,
instruirea personalului, utilizarea sistemului informatic, costuri, furnizori.
Sintetizarea, analiza i interpretarea probelor de audit
Auditorii publici externi vor face o evaluare a sistemelor informatice i a aplicaiilor, prin analiza,
interpretarea i sinteza informaiilor obinute n cadrul interviurilor sau colectate din sursele documentare
i prin intermediul machetelor, chestionarelor i listelor de verificare.
Aceste operaiuni se bazeaz n principal pe elaborarea i/sau utilizarea unor tabele sintetice, reprezentri grafice, indicatori de performan, matrici de corelaie etc. n acest scop se utilizeaz, pe scar din
ce n ce mai larg, instrumentele i tehnicile bazate pe calculator.
Pag. 142 din 214
Formularea constatrilor i recomandrilor

Evaluarea i revizuirea sistemului informatic se fac prin analiza constatrilor rezultate i interpretarea
acestora. n funcie de impactul pe care l au neconformitile constatate, se formuleaz recomandri
pentru remedierea acestora i reducerea nivelului riscurilor. Aceste recomandri reflect opiniile
auditorului asupra entitii auditate prin prisma obiectivelor misiunii de audit. Sintetic, constatrile se vor
referi la urmtoarele aspecte: evaluarea complexitii sistemelor informatice, evaluarea general a
riscurilor entitii n cadrul mediului IT, evaluarea riscurilor n cadrul fiecrei aplicaii, precum i un punct
de vedere al auditorului privind fezabilitatea unui demers de audit bazat pe controale.
4.2.3 Elaborarea raportului de audit i valorificarea constatrilor

consemnate
Raportarea are ca scop punerea n eviden a punctelor slabe ale controalelor, identificate de auditor i
aducerea lor la cunotina entitii auditate prin intermediul raportului de audit i al unei scrisori care
conine sinteza principalelor constatri i recomandri.
Raportul de audit identific aria de cuprindere, obiectivele, perioada, planificarea n timp i aria de
acoperire ale activitii de auditare efectuate.
Raportul de audit este elaborat de auditorii publici externi pentru fiecare misiune de audit i va include
cele mai semnificative constatri, recomandri i concluzii care au rezultat n cadrul misiunii de audit cu
privire la stadiul i evoluia implementrii i utilizrii sistemelor informatice existente n entitatea auditat.
Raportul va include, de asemenea, opinia auditorilor cu privire la natura i extinderea punctelor slabe ale
controlului intern n cadrul entitii auditate i impactul posibil al acestora asupra activitii entitii.
Recomandrile formulate n raportul de audit nu trebuie s detalieze modul de implementare, aceasta
fiind o responsabilitate a managementului entitii auditate.
Raportul de audit al sistemelor informatice trebuie s fie obiectiv i corect, s cuprind toate constatrile
relevante, inclusiv cele pozitive, s fie constructiv i s prezinte concluziile i recomandrile formulate de
echipa de audit.
Pentru punerea de acord cu entitatea auditat cu privire la proiectul raportului de audit, are loc reconcilierea care const ntr-o dezbatere ntre echipa de audit i conducerea entitii auditate cu privire la
constatrile, concluziile i recomandrile formulate n cadrul misiunii de audit. Proiectul raportului de audit,
mpreun cu anexele la acesta, se transmit entitii auditate, nsoit de o adres de naintare n care se
precizeaz data la care va avea loc reconcilierea. Alturi de echipa de audit, la conciliere poate participa
i conducerea departamentului / camerei de conturi.
Entitatea auditat formuleaz punctul de vedere cu privire la constatrile i recomandrile coninute n
proiectul raportului de audit i l transmite, n termen de 10 zile, structurii care a efectuat auditul.
n situaia n care exist diferene de opinii ntre auditorii publici externi i conducerea entitii auditate cu
privire la coninutul proiectului raportului de audit al sistemelor informatice, care nu pot fi soluionate cu
ocazia reconcilierii, echipa de audit prezint n raportul de audit al sistemelor informatice, punctul de
vedere al entitii auditate i explic cu claritate motivele care au stat la baza nensuirii acestora, dac
este cazul.
Dup discuiile purtate cu entitatea auditat, auditorii publici externi pot modifica proiectul raportului de
audit al sistemelor informatice, dac entitatea auditat aduce probe de noi care s justifice modificarea
constatrilor.
Pag. 143 din 214
Recomandrile formulate de auditorii publici externi n urma misiunii de audit al sistemelor informatice
consemnate n actele ntocmite vor putea fi mbuntite de conducerea structurilor de specialitate ale
CCR n a cror competen de verificare intra domeniul respectiv.
n situaia n care pe parcursul misiunii de audit se constat: erori / abateri grave de la legalitate i
regularitate, fapte pentru care exist indicii c au fost svrite cu nclcarea legii penale sau nerealizarea
obiectivelor propuse de entitate n legtur cu programul / procesul / activitatea auditat () datorit
nerespectrii principiilor economicitii, eficienei i eficacitii n utilizarea fondurilor publice i n
administrarea patrimoniului public i privat al statului / unitilor administrativ - teritoriale, se ntocmesc
proces verbal de constatare, precum i celelalte tipuri de acte prevzute la pct. 354 din Regulamentul
privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i valorificarea actelor
rezultate din aceste activiti, aceste acte constituind anexe la raportul de audit al sistemelor informatice.
Raportul final de audit al sistemelor informatice este semnat de auditorii publici externi care au efectuat
auditul i va fi naintat entitii auditate, nsoit de o adres de naintare, pentru a fi nregistrat.
Raportul de audit al sistemelor informatice, nregistrat la entitatea auditat va fi evideniat n registrul de
intrri ieiri de la nivelul structurilor de specialitate respective, n Registrul special privind evidena
actelor ntocmite i modul de valorificare a constatrilor consemnate n acestea i n aplicaia INFOPAC.
Sinteza principalelor constatri, concluzii i recomandri ale auditului, nsoit de o adres semnat de
eful departamentului / directorul camerei de conturi se transmite entitii auditate nsoit de o adres n
care se specific termenul la care entitatea auditat va transmite Curii de Conturi informaii privind
msurile i modul de implementare a recomandrilor cuprinse n raportul de audit.
Raportul de audit al sistemului informatic sau o sintez a principalelor constatri, concluzii i recomandri
ale acestuia pot fi transmise, dup caz, i instituiilor publice interesate, Guvernului, comisiilor de
specialitate din cadrul Parlamentului, prin intermediul departamentului n a crui competen de verificare
intr domeniul respectiv.
n situaia n care misiunea de audit al sistemelor informatice este coordonat de ctre un departament de
specialitate, aspectele semnificative cuprinse n rapoartele de audit al sistemelor informatice ntocmite la
nivelul camerelor de conturi vor fi incluse n raportul de audit al sistemelor informatice ntocmit la nivelul
departamentului coordonator.
Valorificarea constatrilor consemnate n raportul de audit al sistemelor informatice i n anexele la acesta
se face prin emiterea unei decizii de ctre eful de departament / directorul camerei de conturi, potrivit
competenelor stabilite n Regulamentul privind organizarea i desfurarea activitilor specifice Curii de
Conturi, precum i valorificarea actelor rezultate din aceste activiti. Decizia va conine msurile propuse
de Curtea de Conturi pentru intrarea n legalitate, conform procedurii prevzute la pct. 171 din
Regulamentul privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i
valorificarea actelor rezultate din aceste activiti, precum i pentru creterea performanei programului /
proiectului / procesului / activitii auditat (e). Recomandrile formulate de auditorii publici externi vor sta
la baza formulrii msurilor din decizie.
4.2.4 Revizuirea auditului sistemelor informatice

Revizuirea auditului se realizeaz n cadrul unei noi misiuni de audit, care are ca obiectiv evaluarea
modului n care au fost implementate recomandrile formulate n raportul de audit anterior aferent misiunii
de audit al sistemelor informatice. Rezultatele se consemneaz ntr-un nou raport de audit care conine
concluzii, constatri i recomandri relative la stadiul implementrii recomandrilor formulate n raportul
de audit iniial.
Pag. 144 din 214
4.3
Evaluarea sistemelor informatice financiar-contabile
n conformitate cu standardul ISA 400, Evaluarea Riscului i Controlului Intern, auditorul va analiza dac
mediul de control i procedurile de control aplicate de entitate activitilor proprii desfurate n mediul
informatizat, n msura n care acestea sunt relevante pentru aseriunile situaiilor financiare, este un
mediu sigur. n cazul sistemelor informatice, atunci cnd procedurile sunt automatizate, cnd volumul
tranzaciilor este mare sau cnd probele electronice nu pot fi urmrite pe tot parcursul fluxului de
prelucrare, auditorul poate decide c nu este posibil s reduc riscul de audit la un nivel acceptabil dect
prin utilizarea testelor detaliate de audit. n astfel de cazuri sunt frecvent utilizate tehnici de audit asistat
de calculator.
De asemenea, pentru sistemele informatice financiar-contabile sunt deosebit de importante urmtoarele
aspecte ale controlului intern: (a) meninerea integritii procedurilor de control n mediul informatizat i
(b) asigurarea accesului la nregistrri relevante pentru a satisface necesitile entitii, precum i n
scopul auditului.
Auditorul va analiza exhaustivitatea, acurateea i autorizarea informaiilor furnizate pentru nregistrarea i
procesarea nregistrrilor financiare ale entitii (integritatea tranzaciei). Natura i complexitatea
aplicaiilor influeneaz natura i amploarea riscurilor referitoare la nregistrarea i procesarea tranzaciilor
electronice.
Procedurile de audit referitoare la integritatea informaiei, aferente tranzaciilor electronice, se axeaz n
mare parte pe evaluarea credibilitii sistemelor utilizate pentru prelucrarea tranzaciilor. Utilizarea
serviciilor informatice iniiaz, n mod automat, alte secvene de prelucrare a tranzaciei fa de sistemele
tradiionale. Procedurile de audit pentru sistemele informatice trebuie s se concentreze asupra
controalelor automate referitoare la integritatea tranzaciilor, pe msur ce acestea sunt nregistrate i
apoi procesate imediat.
ntr-un mediu informatic, controalele referitoare la integritatea tranzaciei sunt n majoritatea cazurilor
proiectate pentru a asigura, printre altele: validarea intrrilor i prevenirea duplicrii sau a omiterii
tranzaciilor.
n general, tranzaciile electronice nu au asociate nregistrri scrise i pot fi mult mai uor de distrus sau
de alterat dect cele scrise, fr a lsa nici o urm a distrugerii sau alterrii. Auditorul trebuie s
stabileasc dac politicile de securitate a informaiei i controalele de securitate ale entitii sunt
implementate adecvat pentru prevenirea modificrilor neautorizate ale nregistrrilor contabile, ale
sistemului contabil sau ale sistemelor care furnizeaz date sistemului contabil. Aceasta se poate realiza
prin testarea controalelor automate, cum ar fi verificrile de integritate a datelor, tampile de dat
electronic, semnturi digitale i controale de versiune n vederea stabilirii autenticitii i integritii
probelor electronice. n funcie de estimrile cu privire la aceste controale, auditorul poate considera
necesar efectuarea unor proceduri suplimentare, cum ar fi confirmarea detaliilor tranzaciilor sau a
soldurilor conturilor cu tere pri68.
Utilizatorii sistemului informatic sunt, implicit, anonimi. Sistemele care nu pot identifica i nregistra
aciunile utilizatorilor individuali nu pot s-i fac ulterior rspunztori de aciunile lor. Utilizatorii sunt mult
mai nclinai s efectueze activiti informatice neautorizate daca nu pot fi identificai i fcui rspunztori.
Riscul procesrii de tranzacii neautorizate poate fi redus prin prezena unor controale care identific
utilizatorii individuali i ntreprind aciuni de contracarare a eventualelor aciuni ostile ale acestora. Riscul
poate fi redus prin obligativitatea autentificrii la accesarea sistemului i prin introducerea unor controale
suplimentare, sub form de semnturi electronice.
68
ISA 505 - Confirmri Externe

Pag. 145 din 214
Avnd n vedere faptul c datele tranzaciilor electronice se regsesc ntr-o form intangibil pe diverse
medii de stocare, acestea pot fi modificate fr a lsa nici o urm. Auditorii trebuie s evalueze existena
i eficiena controalelor care previn efectuarea de modificri neautorizate. Controale neadecvate pot
conduce la situaia ca auditorul s nu poat acorda ncredere nregistrrilor din calculatoare sau integritii
parcursului auditului.
Programul de aplicaie i datele tranzaciei trebuie s fie protejate fa de modificri neautorizate prin
utilizarea de controale adecvate ale accesului fizic i logic.
Plile prin calculator, ca i transferurile electronice de fonduri, sunt mult mai uor de modificat dect
instrumentele de plat pe hrtie i de aceea trebuie sa aib o protecie adecvat. Integritatea tranzaciilor
electronice poate fi protejat prin tehnici precum criptarea datelor, semnturi electronice sau prin
utilizarea unui algoritm de dispersare a datelor.
Dac datele au valoare financiar, prevenirea dublrii tranzaciilor prin copiere este n mod deosebit
important. Sistemele utilizatorului trebuie s ncorporeze controale care s detecteze i s previn
procesarea de tranzacii duble.
Controalele pot include atribuirea de numere secveniale tranzaciilor i verificarea de rutin a totalurilor
de control.
Fiierele pe hrtie pot fi uor protejate fa de accesul neautorizat prin implementarea unor controale ale
accesului fizic. Mijloace similare de protecie pot fi utilizate pentru protecia dispozitivelor de stocare a
datelor (CD-ROM, benzi magnetice i dischete). Dac datele sunt accesibile pe o reea de calculatoare,
atunci apare un grad de incertitudine cu privire la cine are acces la software i la fiierele de date.
Conectarea sistemelor de calculatoare la reeaua global Internet mrete substanial riscul de acces
neautorizat de la distan i de atacuri cu virui sau alte forme de alterare a informaiei sau de distrugere
a unor sisteme informatice. Protejarea reelelor conectate la Internet poate fi dificil de realizat i necesit
controale de nivel nalt, specializate.
Unele sisteme de operare asigur controale ale accesului care limiteaz capacitatea utilizatorilor de la
distan s vad, s modifice, s tearg sau s creeze date. Controalele de acces ale sistemului de
operare pot fi mrite prin controale suplimentare de identificare i autorizare n cadrul fiecrei tranzacii. n
ambele cazuri, eficiena controalelor de acces depinde de proceduri de identificare i autentificare i de o
bun administrare a sistemelor de securitate.
Procesarea tranzaciilor care are loc n interiorul calculatorului este invizibil pentru auditor. Auditorii pot
vedea ceea ce intr i ceea ce iese, dar au puine informaii cu privire la ceea ce se ntmpl pe parcurs.
Aceast slbiciune poate fi exploatat de programe neautorizate ascunse n programele autorizate.
Ameninarea modificrilor neautorizate poate fi redus prin adoptarea de proceduri adecvate de control al
modificrilor, inclusiv controale eficiente de acces, activarea i revizuirea jurnalelor de operaii, precum i
o separare eficient a sarcinilor ntre actorii implicai n sistem.
n cazul tranzaciilor electronice, n care parcursul auditului se reconstituie din nregistrri stocate pe un
calculator, auditorul trebuie s se asigure c datele privind tranzaciile sunt pstrate un timp suficient i c
au fost protejate fa de modificri neautorizate. Capacitatea limitat de stocare a unor calculatoare
poate restriciona cantitatea de date istorice aferente tranzaciilor care trebuie pstrate. n aceste cazuri,
auditorul trebuie s impun arhivarea regulat a evidenelor contabile i acestea s fie pstrate ntr-un
mediu sigur. Auditorul poate, de asemenea, s analizeze impactul posibil al regulilor de arhivare a datelor
clientului atunci cnd planific auditul.
Calculatoarele n reea au capacitatea de a stoca aplicaii financiare i fiiere de date pe orice dispozitive
de stocare din reea. Auditorul se poate afla n faa unui sistem care ruleaz o aplicaie financiar pe un
calculator i stocheaz fiierele cu tranzacii procesate pe un calculator din alt sal, din alt cldire sau
Pag. 146 din 214
chiar din alt ar. Procesarea datelor distribuite complic evaluarea de ctre auditor a controalelor de
acces fizic i logic. Mediul de control poate fi foarte bun ntr-un anumit loc, dar foarte slab n alt loc, iar
eterogenitatea mediului informatic crete riscul de audit.
Principiile referitoare la probele de audit nu se schimb datorit faptului c auditul se realizeaz ntr-un
mediu informatic. nregistrrile din calculator furnizeaz auditorului o asigurare de audit. Auditorul poate,
de asemenea, s genereze probe de audit utiliznd tehnicile de audit asistat de calculator.
Din studiul literaturii de specialitate, rezult c sunt puine precedente care s ilustreze admisibilitatea
nregistrrilor din calculator la o instan de judecat. n cazurile n care probele informatice au fost
depuse n aciuni judectoreti, instanele au luat n considerare o expertiz cu privire la eficiena mediului
de control IT, nainte de a evalua fiabilitatea datelor informatice.
Auditorul va avea n vedere faptul c tranzaciile sau imaginile de documente provenind de la calculator
pot s nu fie admisibile ca probe n justiie dac nu se poate demonstra c exist controale destul de
puternice care s nlture dubiul rezonabil privind autenticitatea i integritatea datelor coninute n sistem.
n ceea ce privete tranzaciile electronice, aceste controale sunt deosebit de complexe.
Evaluarea sistemelor IT cuprinde trei pri:
A Colectarea informaiilor de fond privind sistemele IT ale entitii auditate impun auditorului
sa culeag informaii de fond privind sistemele IT hardware i software ale clientului. Informaii
privind dimensiunea, tipul i complexitatea tehnic a sistemelor informatice permit auditorilor s
evalueze dac este necesar sprijinul unui auditor IT specialist. De asemenea, auditorul identific
sistemele financiare n curs de dezvoltare, care necesit n continuare implicarea auditului.
Colectarea informaiilor de fond privind sistemele IT ale entitii auditate trebuie s fie finalizat
nainte ca auditorul s realizeze o evaluare a mediului de control IT sau a procedurilor de control
ale aplicaiei.
B Evaluarea mediului de control IT i evaluarea riscului entitii este utilizat pentru a
evalua controalele i procedurile care opereaz n cadrul mediului de control IT. Punctele slabe
identificate n mediul de control IT pot submina eficacitatea procedurilor de control n cadrul
fiecrei aplicaii financiare.
C Evaluarea controalelor aplicaiei i evaluarea riscului zonei contabile: auditorul trebuie
s utilizeze evaluarea controalelor aplicaiei i evaluarea riscului zonei contabile pentru a examina
procedurile de control, sistemele de control intern i riscurile de audit n cadrul fiecrei aplicaii
financiare.
4.3.1 Informaii de fond privind sistemele IT / IS ale entitii auditate

Prima parte a evalurii sistemelor informatice se refer la colectarea informaiilor de fond privind sistemele
IT ale entitii auditate. Aceast etap va fi finalizat nainte de evaluarea detaliat a controalelor IT,
informaiile colectate fiind utilizate de auditorul care va realiza analiza mediului de control IT i a
procedurilor de control ale aplicaiei.
Pe baza acestei analize, auditorul obine o nelegere preliminar a situaiei cu care va fi confruntat pe
parcursul evalurii IT. De asemenea, sunt furnizate indicaii cu privire la documentaiile tehnice care
trebuie consultate nainte de vizitarea entitii auditate, de exemplu documentaii privind sistemele de
operare i aplicaiile de contabilitate.
Pag. 147 din 214
n funcie de concluziile acestei etape, referitoare la complexitatea sistemului care face obiectul auditului,
auditorul poate s stabileasc dac este oportun sau nu s implice specialiti n audit IT n echipa de
audit. Factorii care vor afecta aceast decizie includ:
abilitile i experiena IT proprie a auditorului auditorii nu trebuie s realizeze evaluri IT

dac consider c nu au abilitile necesare sau experiena necesar;
dimensiunea (volumul) operaiilor clientului operaiile informatice de volume mari tind s fie
mai complexe att n ceea ce privete sistemele propriu-zise, ct i din punctul de vedere al
structurilor organizatorice;
complexitatea tehnic a echipamentului IT i a reelei sistemele mai complexe, care ncorporeaz tehnologii noi, vor necesita asistena specialitilor IT pentru a identifica i a evalua
riscurile de audit;
cazul n care utilizatorii sistemului dezvolt i utilizeaz aplicaii sau au capacitatea de a

modifica pachetele contabile standard n general, exist un risc crescut de audit n situaia
n care utilizatorii dezvolt sau personalizeaz aplicaiile contabile;
antecedente de probleme IT n cazul n care auditorii au avut n trecut probleme cu sistemele IT ale clientului, de exemplu, unde exist antecedente legate de erori ale utilizatorului,
greeli de programare, fraud informatic sau nclcri grave ale securitii;
n cazul n care sistemele informatice sau tranzaciile pe care le proceseaz furnizeaz

informaii sensibile;
sisteme n curs de dezvoltare auditorul poate fi solicitat s formuleze puncte de vedere cu

privire la specificaiile i planurile de implementare ale noilor sisteme financiare.
n aceast etap sunt furnizate de asemenea detalii administrative, precum contractele personalului din
cadrul departamentelor financiar-contabil i IT ale entitii auditate.
4.3.2 Controale IT generale

Controalele IT generale se refer la infrastructura IT a entitii auditate, la politicile IT aferente, la
procedurile i practicile de lucru. Acestea trebuie s se concentreze, din punctul de vedere al auditorului,
pe examinarea departamentului IT sau a compartimentului cu atribuii similare i nu sunt specifice
pachetelor de programe sau aplicaiilor.
Categoriile principale de controale generale sunt:
Organizare i management (politici IT i standarde);
Separarea sarcinilor (atribuiilor);
Controale fizice (al accesului i de mediu);
Controale ale accesului logic;
Dezvoltarea sistemului i managementul schimbrii;
Controale privind planificarea continuitii sistemului i recuperarea n caz de dezastru;
Controale privind personalul IT (inclusiv programatori, analiti de sistem i personal de

operare a calculatoarelor);
Controale privind disponibilitatea configuraiilor hardware/software;
Controale privind operarea sistemului.

Pag. 148 din 214
n cadrul evalurii controalelor de nivel nalt, adoptate de management pentru a se asigura c sistemele
informatice funcioneaz corect i satisfac obiectivele afacerii, auditorul poate determina dac activitile
IT sunt controlate adecvat iar controalele impuse de entitatea auditat sunt suficiente.
n cadrul evalurii este necesar examinarea urmtoarelor aspecte:
Detectarea riscurilor asociate controalelor de management neadecvate;
Structura organizaional IT;
Strategia IT i implicarea managementului de vrf;
Politici de personal i de instruire;
Documentaie i politici de documentare (politici de pstrare a documentelor);
Politici de externalizare;
Implicarea auditului intern;
Politici de securitate IT;
Conformitatea cu reglementrile n vigoare;
Separarea atribuiilor.
Politicile IT de nivel nalt, procedurile i standardele sunt foarte importante n stabilirea unui cadru de
control intern adecvat. Auditorul trebuie s fie capabil s identifice componentele controlului intern,
aferente mediului informatizat, fiecare avnd obiective diferite:
Controalele de aplicaie;
Controale operaionale: funcii i activiti care asigur c activitile operaionale contribuie

la obiectivele afacerii;
Controale administrative: asigur eficiena i conformitatea cu politicile de management,

inclusiv controalele operaionale.
Obiectivele de control aferente mediului informatizat se axeaz pe: evaluarea calitii managementului,
securitatea fizic i controalele de mediu, securitatea informaiei i a sistemului IT, continuitatea sistemului, managementul schimbrii i al dezvoltrii sistemului, funcionalitatea aplicaiilor, calitatea auditului
intern cu privire la sistemul IT.
Controalele IT generale includ: politici, structuri organizaionale, practici, reguli i proceduri, proiectate
pentru a furniza o asigurare rezonabil c obiectivele afacerii vor fi atinse i evenimentele neprevzute
vor fi prevenite sau detectate i corectate.
Exist unele considerente speciale care trebuie avute n vedere atunci cnd se realizeaz evaluarea
controalelor IT:
examinarea iniial a sistemelor IT ale clientului se realizeaz pe zone contabile diferite,

tranzaciile procesate de o aplicaie putnd parcurge diverse fluxuri de prelucrare n
cadrul sistemului IT, fiecare dintre acestea fiind supus unor riscuri de audit diferite.
importana sistemelor informatice n raport cu producerea situaiilor financiare i cu
contribuia la obiectivele afacerii.
aplicabilitatea i oportunitatea auditului bazat pe/asistat de calculator. Aceasta va permite
identificarea procedurilor de control ale aplicaiei i o evaluare iniial a oportunitii lor.
relaia controalelor IT cu mediul general de control. Se va avea n vedere ca existena
controalelor manuale, care diminueaz punctele slabe ale sistemului IT, s fie luat integral n considerare.
Pag. 149 din 214
Evaluarea mediului de control IT

Evaluarea controalelor IT generale vizeaz identificarea punctelor tari, a punctelor slabe i a riscurilor n
cadrul mediului general de control IT. Riscurile identificate n mediul general de control IT pot submina
eficiena controalelor n aplicaiile care se bazeaz pe acestea i deci pot fi descrise ca riscuri la nivelul
entitii. Evaluarea IT va fi utilizat de auditor pentru a identifica extinderea i natura riscurilor generale de
audit IT asociate cu utilizarea de ctre client a sistemelor informatice n domeniul financiar-contabil.
Evaluarea ncepe cu ntrebri privind cadrul procedural implementat de entitatea auditat. Aceasta
permite auditorului s examineze oportunitatea strategiei IT, a managementului, auditului intern i
politicilor de securitate ale clientului. Rspunsurile la aceste ntrebri n faza iniial vor da auditorului o
vedere preliminar rezonabil asupra mediului de control IT. Experiena a artat c entitile cu reguli IT
puine sau necorespunztoare nu sunt n msur s aib un mediu de control intern adecvat.
Analiza include, de asemenea, o evaluare a controalelor generale n cadrul departamentului IT, referitoare
la configuraia hardware, software i de comunicaii, precum i la resursele umane care au atribuii n
domeniul IT: controlul privind accesul fizic, controlul privind accesul logic, controlul operaional,
procedurile de management al schimbrilor, planificarea recuperrii dup dezastru, utilizarea de prestatori
externi de servicii IT, controlul asupra aplicaiilor dezvoltate i rulate de utilizatorii nii, separarea
sarcinilor.
Punctele slabe identificate n mediul general de control IT vor influena eficacitatea tuturor controalelor din
cadrul aplicaiilor care ruleaz pe configuraia respectiv. De exemplu, auditorul acord puin ncredere
comenzilor de intrare pentru o tranzacie rulat de aplicaie chiar n situaia n care baza de date suport a
fost neprotejat fa de modificrile neautorizate.
Odat finalizat, analiza va permite auditorului s fac o evaluare a riscurilor n cadrul mediului general
de control IT al clientului. n general, pentru o entitate cu un mediu de control IT insuficient, evaluarea
riscurilor IT va conduce n mod normal la o concluzie de risc nalt de audit. Dac mediul general de
control IT este evaluat ca insuficient, poate fi nc posibil s se acorde o oarecare ncredere controalelor
de compensare sau controalelor foarte puternice n cadrul aplicaiilor. Este de asemenea posibil ca o
aplicaie financiar s aib controale foarte slabe cu toate c mediul de control IT suport are controale
puternice.
4.3.3 Evaluarea aplicaiei i evaluarea riscurilor

Controalele de aplicaie
Aplicaiile reprezint unul sau mai multe programe de calculator care realizeaz o funcionalitate orientat
ctre un scop precizat. Aplicaiile pot fi dezvoltate special pentru un client, respectiv sisteme la comand,
sau pot fi cumprate sub form de pachete / soluii software de la furnizorii externi.
Cele mai rspndite pachete de aplicaii ntlnite de auditorii financiari sunt: pachete integrate de
contabilitate, sisteme state de plat / personal / pensii, registre de active fixe, sisteme de management al
mprumuturilor nerambursabile.
Toate aplicaiile financiare trebuie s conin controale proprii care s asigure integritatea, disponibilitatea
i confidenialitatea, att a datelor tranzaciei, ct i a datelor permanente. n realitate, sistemele nu conin
toate controalele posibile pentru fiecare component. Entitatea trebuie s evalueze riscurile pentru fiecare
aplicaie i s aib instalate controale adecvate, eficiente din punct de vedere al costurilor pentru a
reduce riscurile la un nivel acceptabil. Acest principiu trebuie avut n vedere cnd se formuleaz
recomandrile auditului.
Pag. 150 din 214
Controalele de aplicaie sunt particulare pentru o aplicaie i pot avea un impact direct asupra prelucrrii
tranzaciilor individuale.
Ele se refer, n general, la acele controale incluse n aplicaie pentru a asigura c numai tranzaciile
valide sunt prelucrate i nregistrate complet i corect n fiierele aplicaiei, precum i la controalele
manuale care opereaz n corelaie cu aplicaia.
O mare parte a controalelor de aplicaii sunt versiuni automatizate ale controalelor manuale. De exemplu,
autorizarea prin intermediul calculatorului de ctre supervizor este similar cu utilizarea semnturii pe
documente tiprite.
Exist i controale de aplicaie manuale, cum ar fi: analiza formatelor rapoartelor de ieire, inventarierea
situaiilor de ieire etc..
Controalele de aplicaie sunt proceduri specifice de control asupra aplicaiilor, care furnizeaz asigurarea
c toate tranzaciile sunt autorizate i nregistrate, prelucrate complet, corect i la termenul stabilit.
Controalele de aplicaie pot fi constituite din proceduri manuale efectuate de utilizatori (controale utilizator)
i din proceduri automate sau controale efectuate de produse software.
Proprietarii aplicaiei, administratorii i utilizatorii aplicaiei

n special n cazul aplicaiilor financia re exist trei tipuri de utilizatori: proprietarii aplicaiei, administratorii
i utilizatorii aplicaiei care ndeplinesc urmtoarele sarcini:
Proprietarii aplicaiilor sunt n mod normal coordonatorii administrativi ai departamentului n

care funcioneaz aplicaia i au responsabilitatea privind contribuia strategic a sistemului de a
satisface obiectivele afacerii. Proprietarii aplicaiei fac parte din managementul entitii i asigur,
de asemenea, funcionarea sistemului n concordan cu cerinele i operarea acestuia de ctre
personalul desemnat
Administratorul aplicaiei are urmtoarele sarcini tipice: menine lista utilizatorilor autorizai ai
aplicaiei, adaug sau terge utilizatori din profilele de securitate a aplicaiei, asigur c
departamentul IT a salvat datele n concordan cu politicile de back-up, rezolv cerine ale
utilizatorilor aplicaiei, identific, monitorizeaz i raporteaz proprietarului aplicaiei sau
departamentului IT problemele semnificative care apar, deine i distribuie documentaia
aplicaiei, menine legtura cu departamentul IT, cu ali administratori de aplicaii sau cu furnizori
de software. n cazul aplicaiilor financiar-contabile, administratorul nu trebuie s fac parte din
acest departament, dect numai dac nu are cunotine despre procedurile manuale specifice
domeniului, avnd n vedere principiul separrii atribuiilor.
Utilizatorii aplicaiei asigur operarea zilnic a aplicaiei avnd acces numai la acele resurse ale
sistemului aferente sarcinilor proprii. Instruirea lor privind sistemul este limitat, de asemenea, la
funciile necesare realizrii sarcinilor proprii.
ncrederea n controalele de aplicaie

n etapa de studiu preliminar, auditorul trebuie s obin o nelegere suficient a sistemului pentru a
determina dac sistemul de control intern este de ncredere i furnizeaz informaii corecte despre
acurateea nregistrrilor. n cazul n care sistemul nu pare a fi suficient de robust, auditorul trebuie s
testeze controalele pentru a evalua riscul asupra obiectivelor auditului.
n acest scop auditorul poate utiliza tehnici i metode de testare variate. Acestea pot fi bazate pe
programe de test al conformitii care conin informaii privind: descrierea controlului care va fi testat,
Pag. 151 din 214
proba de audit estimat pentru satisfacerea condiiilor, teste extinse (inclusiv bazate pe eantionare),
descrierea funcionrii eronate a controlului, cte eecuri pot fi tolerate. Probele de audit se colecteaz
prin combinarea unor tehnici cum ar fi observarea, interviul, examinarea i eantionarea, cu tehnici de
auditare asistat de calculator.
Problemele care pot aprea cu privire la ncrederea n controalele de aplicaie se pot sintetiza
astfel:
(a) Controalele IT nu furnizeaz un istoric al operrii din cauza scufundrii lor n corpul aplicaiei
i, n consecin, nu furnizeaz probe de audit explicite.
(b) Perioada de timp n care acioneaz controalele de aplicaie IT este limitat, acestea
acionnd pe o durat foarte scurt a ciclului de via al tranzaciei (de exemplu, pe durata
introducerii datelor).
(c) Rezervele auditorilor fa de controalele de aplicaie IT, datorate eventualitii ca acestea s
fie alterate de ctre persoane interesate n inducerea n eroare a auditorului.
(d) Rezervele auditorilor fa de controlul preventiv asigurat, decurgnd din natura controalelor IT,
care nu prezint garanii privind funcionarea corect.
Relaia ntre controalele generale i controalele de aplicaie
O modalitate de a privi relaia dintre controalele generale i cele de aplicaie este aceea de a aloca
adecvat controalele generale pentru a proteja aplicaiile i bazele de date i pentru a asigura resursele
necesare funcionrii continue.
Cele mai uzuale controale de aplicaie
n cazul unei aplicaii financiar-contabile sistemul de controale are urmtoarele nivele:
Examinarea situaiilor financiare pentru a determina dac reflect corect operaiile efectuate
asupra tranzaciilor: nregistrarea corect n conturi a unor tranzacii de test, reflectarea
acestor tranzacii n situaiile contabile, respectarea formatelor cerute de lege pentru situaiile
contabile etc.
Controale ale ieirilor, care au ca scop verificarea c fiierele temporare generate pentru
listare (n spooler) naintea transmiterii ctre imprimant pot fi alterate, n lipsa unei protecii
adecvate, nainte de a fi listate.
Controale ale prelucrrilor, care sunt implementate pentru verificarea prelucrrii corecte a
ratelor de schimb, a comisioanelor, a aplicrii unor cote de regie, a utilizrii unor tarife etc..
Controale ale intrrilor, care au ca scop verificarea c documentele contabile se refer la

perioada contabil aferent, c se utilizeaz corect planul de conturi, c aplicaia permite
efectuarea automat a egalitilor contabile etc.
Prevenirea accesului neautorizat n sistem
Asigurarea c pe calculatoare este instalat versiunea corect a programului de contabilitate

i nu versiuni netestate care pot conine erori de programare.
Controale privind sistemul de operare, care asigur verificarea c accesul la aplicaia

financiar-contabil este controlat i autorizat pentru utilizatorii care o opereaz.
Controale ale accesului n reea, care asigur c utilizatorii neautorizai nu pot avea acces n
sistemele conectate la reea.
Auditarea sistemului de securitate al sistemelor i al conexiunilor la Internet, care verific

existena i atribuiile ofierului de securitate al sistemelor, precum i sistemul de controale
Pag. 152 din 214
specifice, n scopul identificrii riscurilor i al adoptrii unor msuri de reducere a acestora la

un nivel acceptabil.
Selecia i instruirea personalului, care furnizeaz asigurarea c procedurile de selecie i de

instruire a personalului reduc riscul erorilor umane.
Controalele fizice i de mediu, care asigur protejarea fizic a sistemelor de calcul.
Politicile de management i standardele; acestea se refer la toate categoriile de controale.
Cele mai uzuale evaluri ale controalelor de aplicaie se refer la urmtoarele aspecte:
Existena procedurilor de generare automat de ctre aplicaie a situaiilor de ieire;

Existena funciei de export al rapoartelor n format electronic, n cadrul sistemului;
Validitatea i consistena datelor din baza de date a aplicaiei;
Existena discontinuitilor i a duplicatelor;
Existena procedurii de pstrare a datelor pe suport tehnic pe o perioad prevzut de lege;
Asigurarea posibilitii n orice moment, de a reintegra n sistem datele arhivate;
Procedura de restaurare folosit;
Existena procedurii de remprosptare periodic a datelor arhivate;
Existena interdiciei de modificare, inserare sau tergere a datelor n condiii precizate (de
exemplu, pentru o aplicaie financiar-contabil, interdicia se poate referi la tergerea datelor
contabile pentru o perioad nchis);
Existena i completitudinea documentaiei produsului informatic;
Contractul cu furnizorul aplicaiei din punctul de vedere al clauzelor privind ntreinerea i
adaptarea produsului informatic;
Organizarea gestiunii versiunilor, modificrilor, corecturilor i schimbrilor de sistem
informatic, produse program i sistem de calcul;
Reconcilierile fcute n urma migrrii datelor, ca urmare a schimbrii sistemului de calcul sau
a modului de prelucrare a datelor;
Alte controale decurgnd din specificul aplicaiei.
O categorie special de controale IT se refer la conformitatea sistemului informatic cu cerinele impuse

de cadrul legislativ i de reglementare.
Cerinele legislative i de reglementare variaz de la o ar la alta. Acestea includ:

Testarea aplicaiei financiar-contabile

n ceea ce privete determinarea volumului de teste necesare pentru obinerea asigurrii privind
funcionarea controalelor, auditorul i bazeaz decizia pe o combinaie ntre raionamentul profesional
i o modelare statistic pe care o poate opera n acest scop. Dac auditorul i propune s planifice ca
testele de control s se efectueze pe un numr mare de tranzacii, atunci va aplica metoda eantionrii
datelor i va stabili dimensiunea eantionului.
n ceea ce privete controlul asupra informaiilor de intrare, ieire sau memorate n baza de date, pentru o
aplicaie financiar-contabil verificrile uzuale privind satisfacerea cerinelor legislative sunt:
Pag. 153 din 214
Conformitatea conturilor cu Planul de conturi;

Denumirea n limba romn a informaiilor coninute n documentele de intrare i n situaiile de
ieire;
Interdicia deschiderii a dou conturi cu acelai numr;
Interdicia modificrii numrului de cont n cazul n care au fost nregistrate date n acel cont;
Interdicia suprimrii unui cont n cursul exerciiului curent sau aferent exerciiului precedent, dac
acesta conine nregistrri sau sold;
Respectarea formatului prevzut de lege pentru documentele i situaiile generate de aplicaia
contabil;
Acurateea balanei sintetice, pornind de la balana analitic; generarea balanei pentru orice lun
calendaristic;
Reflectarea corect a operaiunilor n baza de date, n documente i n situaii de ieire;
Existena i corectitudinea situaiilor prevzute de lege ca fiind obligatorii;
Alte controale decurgnd din specificul aplicaiei.
Analiza riscului ntr-un mediu informatizat

Mediul informatizat introduce riscuri noi, pe lng alte categorii de riscuri cu care se confrunt organizaia.
n vederea asigurrii proteciei informaiilor i sistemelor IT este necesar dezvoltarea unui flux continuu
activiti privind identificarea, analiza, evaluarea i gestionarea riscurilor specifice.
Riscurile generate de funcionarea sistemului informatic pot fi puse n eviden prin analiza unor factori cu
impact n desfurarea activitii entitii auditate, respectiv: dependena de sistemul informatic, resursele
i cunotinele n domeniul tehnologiei informaiei, ncrederea n sistemul informatic, schimbri ale
sistemului informatic, externalizarea activitilor de tehnologia informaiei, securitatea informaiei,
respectarea legislaiei n vigoare.
Erorile i omisiunile umane sunt cele mai mari surse de probleme. Pentru reducerea riscurilor cauzate
de acestea, entitatea trebuie s implementeze controale i proceduri care s contribuie la diminuarea /
eliminarea efectelor generate de ignorarea unor aspecte care determin modul de utilizare a angajailor,
calitatea acestora, motivarea n activitatea desfurat, fluctuaia personalului, structura conducerii,
volumul de munc.
n cele mai multe cazuri entitatea nu deine o soluie integrat a sistemului informatic, acesta fiind
constituit din implementri de aplicaii insularizate, dedicate unor probleme strict focalizate (aplicaia
financiar-contabil, aplicaii dedicate activitii de baz a entitii etc.). Acest tip de arhitectur prezint
dezavantaje la nivelul utilizrii, precum i o serie de alte impedimente cum ar fi cele legate de dificultatea
sau imposibilitatea asigurrii interoperabilitii aplicaiilor sau de multiplicarea informaiilor. La aceasta se
adaug i faptul c tranzaciile sunt procesate n cadrul unor aplicaii informatice distincte iar informaiile
introduse n sistem sunt validate ntr-o manier eterogen: proceduri automate combinate cu proceduri
manuale, pentru a se asigura detectarea i corectarea erorilor de intrare, precum i detectarea
inconsistenei sau a redundanei datelor. Lipsa unei soluii integrate se reflect, de asemenea, n
existena unor baze de date diverse, unele aparinnd unor platforme hardware/software nvechite,
interfee utilizator diferite i uneori neadecvate, faciliti de comunicaie reduse i probleme de securitate
cu riscuri asociate.
Gradul ridicat de fragmentare a sistemului informatic implic aciuni frecvente ale utilizatorului n procesul
de prelucrare i atrage efecte negative n ceea ce privete respectarea fluxului documentelor, ceea ce
crete foarte mult riscul de eroare.
n funcie de soluia arhitectural implementat i de estimrile iniiale privind dimensiunea bazei de date
i complexitatea prelucrrilor, un sistem poate "rezista" sau nu la creteri semnificative ale volumului de
tranzacii care pot rezulta din schimbri majore n activitatea entitii. Estimarea riscului ca, n viitorul
apropiat, sistemul informatic s nu poat suporta creterea volumului de tranzacii implic decizii
Pag. 154 din 214
importante la nivelul managementului, n sensul reproiectrii sistemului, i, implicit, privind alocarea unui
buget corespunztor.
Schimbrile configuraiilor de sisteme trebuie s fie autorizate, testate, documentate, controlate.
ntr-un mediu informatizat, amploarea riscurilor capt o alt dimensiune, natura riscurilor fiind influenat
de o serie de factori specifici utilizrii tehnologiei informaiei:
a) Densitatea informaiei este mult mai mare dect n sistemele clasice, bazate pe hrtie.
b) Absena documentelor de intrare datele pot fi introduse n sistem fr a avea la baz documente
justificative este cazul tranzaciilor din sistemele on-line.
c) Lipsa unor urme vizibile ale tranzaciilor Dei n practica prelucrrii manuale orice tranzacie poate fi
urmrit plecnd de la documentul primar, apoi n registrele contabile, conturi n prelucrarea automat
traseul unei tranzacii poate exista o perioad limitat, ntr-un format electronic.
d) Lipsa unor ieiri vizibile anumite tranzacii sau rezultate, n special cnd acestea reprezint detalii, se
pot regsi memorate doar n fiierele aplicaiei (nu i ntr-o form tiprit).
e) Transparena documentelor privind desfurarea unor operaiuni. Dischetele, discurile optice i alte
suporturi moderne ce sunt utilizate pentru salvarea acestui volum mare de informaii, nsumnd zeci de
mii de pagini de hrtie, pot fi subtilizate mult mai discret genernd astfel fraude sau cel puin afectnd
confidenialitatea acestor informaii.
f) Autorizarea tranzaciilor. ntr-un mediu informatizat se poate include i capacitatea calculatorului de a
iniia i executa automat unele tranzacii; altfel spus, este vorba de modul de proiectare a aplicaiei
informatice care poate avea ncorporate anumite autorizri implicite i funcii de generare automat.
g) Procesarea uniform a tranzaciilor. O aplicaie informatic proceseaz n mod uniform tranzacii
similare, pe baza acelorai instruciuni program. n felul acesta, erorile de redactare a documentelor
asociate unei procesri manuale sunt n mod virtual eliminate. n schimb, erorile de programare pot
conduce la procesarea incorect a tranzaciilor, astfel nct auditorii i vor concentra atenia asupra
acurateei i consistenei ieirilor.
h) Accesul neautorizat la date i fiiere se poate efectua cu o mai mare uurin, ceea ce implic un mare
potenial de fraud i eroare.
i) Remanena suporturilor de memorare a datelor, dup ce au fost terse, poate constitui o cale sigur ca
persoane interesate, neautorizate s intre n posesia unor informaii de valoare.
j) Agregarea datelor. Noile sisteme de prelucrare automat a datelor, precum sunt cele de asistare a
deciziei, au condus la valorificarea unor informaii importante ale entitii, genernd prognoze i strategii
ntr-un anumit domeniu. Astfel, informaiile capt valene suplimentare.
Evoluia tehnologiei informaiei a cunoscut n ultimii ani un ritm accelerat, dar nu acelai lucru se poate
spune despre progresele nregistrate n domeniul securitii datelor.
Integrarea puternic a sistemelor apare ca o consecin a mbuntirii formelor de comunicaie i a
proliferrii reelelor de calculatoare. Aplicaiile de comer electronic sunt doar un exemplu n acest sens,
dar se poate afirma c aceast evoluie a deschis i mai mult apetitul specialitilor n ceea ce privete
frauda informaional.
Lipsa urmelor eventualelor atacuri criminale constituie un alt element ngrijortor al noului mediu de lucru;
n acest sens modificarea datelor, adugarea sau chiar tergerea lor au devenit operaii mult mai uor de
realizat, dar, n acelai timp, destul de greu de depistat.
Obiectivul unei analize a riscurilor informaionale (riscuri IT) este de a identifica modalitile prin care
datele i, implicit, sistemul informatic care le conine, sunt expuse la risc. Elementele prezentate n
paragraful anterior conduc la ideea c mediul informatizat genereaz noi riscuri i c orice organizaie, n
vederea asigurrii unei protecii eficiente a informaiilor, este necesar s dezvolte un proces complex de
studiu i analiz a riscurilor.
Pag. 155 din 214
Riscul implicat de utilizarea tehnologiei informaiei se manifest prin intermediul componentelor proprii ale
acestei tehnologii: ameninri, vulnerabiliti i impact. Ameninrile exploateaz vulnerabilitile unui
sistem cauznd impactul i, n esen, combinaia celor trei elemente determin mrimea riscului. Riscul
la nivelul unei organizaii nu poate fi eliminat, el va exista ntotdeauna, managementul organizaiei fiind
responsabil de reducerea acestuia la un nivel acceptabil.
Anomalii frecvente n operarea sistemului
Cele mai frecvente efecte ale operrii necorespunztoare a sistemului pot avea ca surs disfuncionaliti
la nivelul infrastructurii IT sau pot fi generate de personalul care gestioneaz sistemul sau de ctre teri, n
cazul serviciilor externalizate.
Aplicaiile nu se execut corect datorit operrii greite a aplicaiilor sau utilizrii unor versiuni
incorecte, precum i datorit unor parametri de configurare incoreci introdui de personalul de
operare (de exemplu, ceasul sistemului i data setate incorect pot genera erori n calculul
dobnzilor, al penalitilor, al salariilor etc.).
Pierderea sau alterarea aplicaiilor financiare sau a fiierelor de date poate rezulta dintr-o utilizare
greit sau neautorizat a unor programe utilitare.
Personalul IT nu tie s gestioneze rezolvarea sau escaladarea problemelor sau raportarea

erorilor, iar ncercarea de a le rezolva pe cont propriu poate provoca pierderi i mai mari;
ntrzieri i ntreruperi n prelucrare din cauza alocrii unor prioriti greite n programarea
sarcinilor;
Lipsa salvrilor i a planificrii reaciei la incidentele probabile crete riscul de pierdere a capacitii
de a continua prelucrarea n urma unui dezastru;
Lipsa capacitii (resurselor) sistemului, sistemul devenind incapabil de a prelucra tranzaciile din
cauza suprancrcrii;
Timpul mare al cderilor de sistem pn la remedierea erorii;
Probleme ale utilizatorilor nerezolvate datorit funcionrii defectuoase a facilitii de asisten

tehnic (Helpdesk).
Sisteme n curs de dezvoltare

Sistemele informatice financiar-contabile n curs de dezvoltare ale entitii auditate nu sunt susceptibile s
aib un impact asupra auditului situaiilor financiare curente. ns, un sistem financiar greit conceput sau
implementat ar putea conduce la un audit al evidenelor informatizate scump sau imposibil de realizat n
anii urmtori. Aceast seciune trateaz implicarea auditorilor externi n formularea unor cerine pentru
sistemele financiare care urmeaz s fie achiziionate de la furnizori sau dezvoltate n cadrul entitii.
Revine entitii auditate, i n particular auditului intern, s stabileasc dac demersul de dezvoltare
propus de auditor este susceptibil s conduc la un sistem care s satisfac necesitile activitii. Nu
este rolul auditorilor s avizeze demersul sau aspectele particulare ale acestuia. Trebuie, ns, ca
auditorul intern s fac observaii asupra aspectelor demersului care ar putea duce la dificulti n
emiterea unei opinii asupra situaiilor financiare i pentru a putea evita dificultile de audit extern
ulterioare.
Auditul sistemelor financiare n curs de dezvoltare este o zon cu caracter tehnic, complex i care
comport multe aspecte care necesit o analiz.
Pag. 156 din 214
Documente i informaii solicitate entitii auditate

n cadrul misiunii de audit IT, n mod uzual, se solicit urmtoarele documente i informaii privind
sistemele, proiectele i aplicaiile existente n cadrul entitii auditate.
a) Referitor la managementul tehnologiei informaiei:
1.
2.
3.
4.
5.
6.
7.
8.
Structura organizaional. Fie de post pentru persoanele implicate n proiectele informatice;

Strategia IT i stadiul de implementare a acesteia;
Politici i proceduri incluse n sistemul de control intern;
Legislaie i reglementri care guverneaz domeniul;
Documente referitoare la coordonarea i monitorizarea proiectelor IT;
Raportri ctre management privind proiectele IT;
Buget alocat pentru proiectele informatice;
Lista furnizorilor i copiile contractelor pentru hardware i software (furnizare, service, mentenan etc.);
9. Rapoarte de audit privind sistemul IT n ultimii 3 ani;
10. Raportarea indicatorilor de performan.
b) Referitor la infrastructura hardware / software i de securitate a sistemului
11. Infrastructura hardware, software i de comunicaie. Documentaie de prezentare;
12. Politica de securitate. Proceduri generale. Proceduri operaionale IT (back-up, managementul
capacitii, managementul configuraiilor, managementul schimbrii proceselor, managementul
schimbrilor tehnice, managementul problemelor etc.);
13. Proceduri i norme specifice, inclusiv cele legate de administrare i securitate, n vederea
creterii gradului necesar de confidenialitate i a siguranei n utilizare, n scopul bunei
desfurri a procedurilor electronice i pentru asigurarea proteciei datelor cu caracter personal;
14. Arhitectura de sistem. Categorii de servicii i tehnologii utilizate;
15. Arhitectura de reea. Tipuri de conexiuni;
16. Personalul implicat n proiecte. Numr, structur, calificare;
17. Manuale, documentaie de sistem i orice alt documentaie referitoare la aplicaiile informatice.
c) Referitor la continuitatea sistemului
18. Plan de continuitate a activitii care face obiectul proiectelor IT;
19. Plan de recuperare n caz de dezastru.
d) Referitor la dezvoltarea sistemului
20. Lista aplicaiilor i proiectelor IT (scurt prezentare a portofoliului de proiecte);
21. Stadiul actual, grafice de implementare i rapoarte de utilizare;
22. Perspective de dezvoltare.
e) Referitor la sistemul de monitorizare i raportare
23. Raportri ale managementului IT referitoare la proiectele informatice;
24. Rapoarte de monitorizare a modului de implementare a proiectelor informatice.
Pag. 157 din 214
4.4
Cadrul procedural pentru evaluarea sistemelor informatice
n aceast seciune se prezint cadrul procedural pentru evaluarea sistemelor informatice, n general, cu
exemplificri pentru sistemele financiar-contabile. Auditorii trebuie s recurg la raionamentul propriu
pentru a stabili ce controale ar fi rezonabile, avnd n vedere mrimea, complexitatea i importana
sistemelor informatice financiar-contabile ale entitii auditate.
Scopurile unei evaluri a sistemelor informatice financiar-contabile sunt:
s identifice configuraiile hardware i aplicaiile informatice implicate n pregtirea situaiilor

financiare ale entitii auditate;
s permit auditorilor s evalueze gradul de complexitate a sistemului informatic;
s identifice riscurile generate de mediul IT;
s permit auditorilor s obin o nelegere suficient a sistemelor de controale informatice

interne pentru a planifica auditul i a dezvolta o abordare de audit eficient.
Structurarea cadrului procedural este prezentat n tabelul urmtor.
Seciune
A
Denumirea seciunii
Informaii de fond privind sistemele IT ale entitii auditate
Privire general asupra entitii auditate
Principalele probleme IT rezultate din activitile anterioare de audit
Dezvoltri informatice planificate
Echipament informatic [hardware] i programe informatice [software]
Cerine pentru specialitii n auditul informatic
Activitatea necesar pentru revizuirea sistemelor
Contacte cheie
A1
A2
A3
A4
A5
A6
A7
Evaluarea mediului de control IT Controale IT generale

Management IT
Separarea atribuiilor
Securitatea fizic i controalele de mediu
Securitatea informaiei i a sistemelor
Continuitatea sistemelor
Externalizarea serviciilor IT
Managementul schimbrii i al dezvoltrii de sistem
Audit intern
CA
Procedura
B1
B2
B3
B4
B5
B6
B7
B8
Evaluarea controalelor de aplicaie

nelegerea sistemului informatic
Posibilitatea de efectuare a auditului
Utilizarea tehnicilor de audit asistat de calculator (CAAT)
Determinarea rspunderii
Evaluarea documentaiei aplicaiei
Evaluarea securitii aplicaiei
Evaluarea controalelor la introducerea datelor
Evaluarea controalelor transmisiei de date
Evaluarea controalelor prelucrrii
CA1
CA2
CA3
CA4
CA5
CA6
CA7
CA8
CA9
Pag. 158 din 214
Evaluarea controalelor datelor de ieire

Evaluarea controalelor fiierelor cu date permanente
Evaluarea conformitii cu legislaia n vigoare
Efectuarea testelor de audit
CA10
CA11
CA12
CA13
4.4.1 Informaii de fond privind sistemele IT ale entitii auditate

Scop: Scopul acestei evaluri este de a obine informaii privind mrimea, tipul i complexitatea
sistemelor financiare informatizate ale clientului. Auditorul poate apoi clasifica sistemele dup
complexitate i aprecia dac evaluarea IT trebuie realizat de un auditor IT specialist.
PROCEDURA A1 - Privire general asupra entitii auditate

Auditorul va obine informaii din analizele anterioare, avnd ca surs rapoarte de audit, cunotine
anterioare i fiiere curente de audit, sau pe baza unei documentri preliminare, privind natura activitilor
entitii supuse auditului. Pentru colectarea datelor se poate folosi Macheta 1.
De asemenea, se vor analiza urmtorii indicatori de baz:
-
Pli / cheltuieli anuale;

ncasri / venituri anuale;
Total active;
Valoarea activelor IT;
Bugetul anual IT;
PROCEDURA A2 - Principalele probleme IT rezultate din activitile

anterioare de audit
Auditorul va obine informaii din analizele anterioare, avnd ca surse rapoarte de audit sau referiri la
scrisori ctre conducere, evaluri ale sistemelor contabile, evaluri ale riscurilor i altele.
PROCEDURA A3 - Dezvoltri informatice planificate

Auditorul va obine informaii legate de principalele proiecte de dezvoltare a sistemelor IT: cnd vor intra
n exploatare, locul instalrii, dac au fost identificate probleme, ce efecte ar putea avea noile sisteme
asupra activitii de audit prezente i viitoare. n situaia n care apar probleme tehnice dificil de neles i
tratat, auditorul trebuie s aib n vedere contactarea unui auditor IT specialist (utilizat de regul n faza
de specificare a sistemelor sau nainte de intrarea n funcie a sistemelor).
PROCEDURA A4 - Configuraia hardware (echipamente), software

(programe informatice) i personalul IT
Pentru colectarea datelor auditorul poate folosi Machetele 2, 3 i 4 care pot fi adaptate n funcie de
complexitatea i specificul sistemului informatic, ntruct n instituiile publice exist o mare diversitate de
configuraii IT, pornind de la entiti (de exemplu, primrii) care au n dotare un singur calculator i
ajungnd la entiti cu sisteme complexe i configuraii mari, desfurate la nivel naional.
Auditorul va colecta informaii privind:
Echipamentul informatic (hardware) i de comunicaii (topologie, cablare, protocol de comunicaii,
modem-uri, gateways, routere);
Pag. 159 din 214
Programe informatice (software): sistemul de operare, software de securitate, software de

gestionare a bazelor de date, software de audit, generatoarele de rapoarte, software de
programare i altele;
Software de aplicaie (denumire, furnizor, versiune, platform, limbaj de programare / dezvoltare,
numr de utilizatori, data instalrii, pachet la cheie sau dezvoltat la comand, module, prelucrare
offline / online, utilizare EDI);
Informaii privind personalul implicat n proiectele IT.
PROCEDURA A5 - Cerine pentru specialitii n auditul sistemului

informatic
Auditorii trebuie s decid dac ei nii au abiliti IT i de audit IT necesare i suficiente pentru a realiza
evaluarea la un standard adecvat de competen. Factorii luai n considerare n acest sens includ:
mrimea departamentului IT care face obiectul auditului, utilizarea reelelor de comunicaii n cadrul
entitii auditate, procesarea de date distribuite, utilizarea de tehnologii noi, sisteme n curs de dezvoltare,
cunoaterea problemelor IT anterioare ale clientului i dac este de dorit o abordare a auditului bazat pe
controale.
PROCEDURA A6 - Activitatea necesar pentru evaluarea sistemelor

Auditorul va inventaria care sunt sistemele / componentele / serviciile informatice care trebuie s fie
evaluate n funcie de obiectivele auditului i va decide asupra cerinelor pentru auditul IT.
PROCEDURA A7 - Contacte cheie

Conducerea entitii va stabili persoanele de contact din cadrul entitii auditate, din domeniile financiar i
IT (nume, funcie, locaie, nr. telefon), care vor colabora cu auditorul pe parcursul misiunii de audit.
4.4.2 Evaluarea mediului de control IT Controale generale IT

Scop: Identificarea naturii i impactului riscurilor generate de utilizarea de ctre entitate a tehnologiei
informaiei asupra situaiilor financiare ale organizaiei, precum i a capacitii auditorilor de a le evalua. O
evaluare a controalelor IT la nivelul entitii este realizat prin derularea unei evaluri a mediului
informatic n care se afl aplicaiile financiare. Punctele slabe ale mediului informatic pot afecta negativ
integritatea i viabilitatea tuturor aplicaiilor informatice i a datelor contabile prelucrate de acestea.
Obiectivul unei evaluri a mediului de control IT este de a examina i de a evalua riscurile, controalele i
procedurile care exist n cadrul mediului IT al unei entiti. O evaluare a mediului de control IT este
focalizat pe controalele care asigur integritatea i disponibilitatea programelor i aplicaiilor financiare,
n timp ce evaluarea unei aplicaii se concentreaz pe integritatea i disponibilitatea tranzaciilor
procesate de respectiva aplicaie.
Termenul de mediu de control IT se refer la configuraia hardware, la programele informatice de sistem,
la mediul de lucru. Dimensiunea unei configuraii IT poate varia de la un sistem mare, amplasat ntr-o
construcie special destinat, deservit de un personal numeros, pn la un simplu calculator personal
(PC) din cadrul unui birou de contabilitate.
Mediul de control IT trebuie s aib controale adecvate pentru:
a asigura un mediu de procesare sigur i sistematic;
a proteja aplicaiile i fiierele de date de baz fa de acces, modificare sau tergere
neautorizate;
Pag. 160 din 214
a asigura c pierderea facilitilor de calcul nu afecteaz capacitatea organizaiei de a

produce situaii financiare care pot fi supuse auditului.
Auditorul trebuie s determine ce controale ar fi rezonabile n cadrul fiecrei configuraii de calcul. Cnd
evalueaz un mediu de control IT auditorul trebuie s aib n vedere diferii factori, inclusiv natura
activitii clientului, mrimea departamentului IT, istoricul erorilor i ncrederea acordat sistemelor
informatice.
Auditorul poate obine informaii privind mediul general IT prin interviuri i discuii cu personalul implicat,
prin analize ale documentaiei sistemului, precum i prin legtura cu auditul intern i observaia direct.
Pentru evaluarea controalelor IT generale se folosete Lista de verificare privind evaluarea controalelor
generale IT.
n seciunile urmtoare sunt prezentate proceduri reprezentative pentru auditul sistemelor informatice.
PROCEDURA B1 - Managementul sistemului informatic

Pe baza testelor efectuate asupra controalelor implementate n cadrul entitii se poate aprecia dac
utilizarea tehnologiilor informaiei de ctre entitatea auditat se desfoar n cadrul unei structuri bine
definite, dac este efectuat o informare operativ a conducerii legat de activitatea IT i conducerea este
receptiv la schimbare, dac funcionarea sistemului informatic este eficient din punct de vedere al
costurilor i al gestionrii resurselor umane, dac monitorizarea cadrului legislativ i a contractelor cu
principalii furnizori se desfoar corespunztor.
B.1.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind
managementul i organizarea departamentului IT al entitii (responsabilitatea de ansamblu, structura
formal, organizarea i desfurarea activitii IT, implicarea conducerii entitii auditate n coordonarea
activitilor legate de funcionarea sistemului informatic)
Examinarea controalelor privind managementul i organizarea departamentului IT al entitii presupune
urmtoarele activiti din partea auditorului:
Revizuirea modului n care se regsete domeniul IT n structura organizaional de ansamblu i
dac unul dintre membrii conducerii are responsabiliti IT;
Verificarea existenei unei structuri organizatorice formale n care tot personalul s-i cunoasc
rolurile i responsabilitile, pe baza fielor de descriere a postului, scrise i semnate;
Evaluarea formelor de implicare a conducerii entitii n coordonarea activitilor legate de
funcionarea sistemului informatic i a faptului c msurile corective sunt adecvate i sunt aplicate
consecvent. Se va verifica de asemenea dac au loc ntlniri regulate cu persoanele cu atribuii n
implementarea, utilizarea, administrarea i ntreinerea sistemului, dac este stabilit o direcie
unitar de dezvoltare, cu precizarea clar a obiectivelor, dac se asigur elaborarea unor linii
directoare;
Evaluarea implicrii conducerii n elaborarea i implementarea unei politici formale, consistente
privind serviciile informatice i n comunicarea acesteia utilizatorilor;
Revizuirea modului n care se realizeaz managementul riscurilor: identificarea, planificarea i
managementul riscurilor implicate de implementarea i utilizarea sistemului IT, analiza beneficiilor
poteniale;
Verificarea implicrii conducerii n elaborarea strategiilor i politicilor bazate pe o evaluare a
riscurilor (riscuri n etapa de implementare, riscuri n etapa de furnizare a serviciilor informatice), a
implicrii conducerii instituiei n coordonarea activitilor IT - ntlniri regulate ntre conducerea
instituiei i persoanele cu atribuii n implementarea, administrarea i ntreinerea sistemului,
precum i n analiza activitilor n raport cu strategia de implementare.
Pag. 161 din 214
Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu conducerea entitii i cu

persoanele implicate n coordonarea operativ a sistemului informatic i pe baza analizei documentelor
privind ntlnirile organizate de conducerea entitii (minute, procese verbale, adrese etc.).
Auditorul va evalua soluia organizatoric prin prisma criteriilor menionate i va colecta probe privind:
subordonarea departamentului IT, nivelele de monitorizare a proiectului, existena unei politici de angajri,
instruirea profesional i evaluarea periodic a performanei personalului tehnic implicat proiect i a
utilizatorilor sistemului, analiza dependenei de persoanele cheie. Pentru personalul implicat n activiti
legate de sistemul informatic, va verifica existena fielor de post semnate i dac acestea conin
atribuiile specifice utilizrii tehnologiilor informaiei.
B.1.2 Aspectele care se iau n considerare atunci cnd se examineaz controalele referitoare la
planificarea activitilor privind utilizarea tehnologiilor informaiei
Existena unui plan corespunztor i documentat pentru coordonarea activitilor legate de

implementarea i funcionarea sistemului informatic, corelat cu strategia instituiei;
Documentarea n planificarea entitii a rezultatelor scontate / intelor i etapelor de dezvoltare i
implementare a proiectelor;
ntocmirea i aprobarea de ctre conducere a unui plan strategic adecvat prin care obiectivele
cuprinse n politic s aib asociate aciuni, termene i resurse;
Desfurarea unor aciuni legate de sistemele de achiziie a informaiilor electronice (colectarea
informaiilor i migrarea acestora n mediul electronic);
Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu conducerea entitii i cu

persoanele implicate n coordonarea operativ a sistemului informatic i pe baza analizei documentelor
privind planificarea i monitorizarea proiectelor IT.
managementul costurilor
Elaborarea unei strategii de finanare pentru proiectele aferente serviciilor IT, astfel nct nivelele
de finanare s fie consistente cu obiectivele;
Existena unui buget separat pentru investiii i cheltuieli legate de IT. Stabilirea responsabilitilor
privind ntocmirea, aprobarea i urmrirea bugetului;
Implementarea sistemelor pentru monitorizarea i calculul cheltuielilor;
Efectuarea analizei activitilor fa de Strategia IT a entitii.
Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu persoanele implicate n

coordonarea operativ a sistemului informatic i pe baza analizei documentelor privind modul de alocare
i gestionare a bugetului proiectului, n concordan cu obiectivele i strategia entitii.
n cazul auditului performanei implementrii i utilizrii sistemului informatic, analiza ponderii diferitelor
categorii de costuri n bugetul total al proiectului, raportate la rezultatele obinute, poate furniza informaii
privind eficiena utilizrii fondurilor. Urmrirea gestionrii bugetului alocat proiectului se reflect n
evidenele operative ale entitii (procese verbale privind ndeplinirea sarcinilor furnizorilor, documente
coninnd rezultatele unor inspecii, documente privind analize i raportri periodice ale activitilor i
stadiului proiectului, n raport cu strategia de implementare).
Pag. 162 din 214
managementul programelor i al proiectelor, precum i raportarea ctre conducerea instituiei (cu
scopul de a evalua problematica i de a ntreprinde msuri corective pentru remedierea unor deficiene
sau de a efectua evaluri ale efectelor utilizrii sistemului n raport cu obiectivele activitii entitii)
Managementul portofoliilor de proiecte;

Managementul proiectelor este cuprinztor, riguros i sistematic;
Monitorizarea activitilor i progresului proiectelor n raport cu planurile elaborate n acest
domeniu;
Nominalizarea unui colectiv i a unui responsabil care supravegheaz desfurarea activitilor n
concordan cu liniile directoare;
Informarea personalului n legtur cu politicile, reglementrile, standardele i procedurile legate
de IT;
Raportarea regulat ctre conducerea instituiei a activitilor legate de implementarea IT.
Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu persoanele implicate n

managementul proiectelor i pe baza analizei documentelor privind modul de monitorizare i de
gestionare a acestora. Auditorul va constata modul n care se face raportarea ctre management, prin
colectarea unor probe care decurg din analiza documentelor de raportare care ofer informaii privind
coninutul i periodicitatea raportrilor, privind organizarea unor ntlniri ntre actorii implicai n proiect
pentru semnalarea problemelor aprute i alegerea cilor de rezolvare a problemelor semnalate. De
asemenea, este evaluat modul n care sunt analizai i adui la cunotina conducerii entitii, n mod
oficial, indicatorii de performan ai sistemului informatic.
B.1.5 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind calitatea
serviciilor furnizate utilizatorilor interni (care se reflect n succesul proiectului, un obiectiv important al
conducerii, avnd efecte inclusiv n planul ncrederii personalului n noile tehnologii)
Nivelul calitii serviciilor furnizate utilizatorilor interni se menioneaz ntr-un document care
prevede clauzele referitoare la acestea - SLA (Service Level Agreement).
Auditorul va face evaluarea pe baza concluziilor rezultate n urma interviurilor cu persoanele implicate n
managementul proiectelor i pe baza analizei documentelor privind clauzele referitoare la asigurarea
calitii pentru ntreg ciclul de via al proiectului (specificarea cerinelor, dezvoltarea sistemului,
implementarea sistemului, elaborarea i predarea documentaiei, instruirea personalului la toate nivelurile,
ntreinerea sistemului, asigurarea suportului tehnic etc.), care trebuie s fac parte din contractele cu
furnizorii.
respectarea reglementrilor n domeniu i a cerinelor proiectului
Stabilirea responsabilitii pentru asigurarea c sistemul implementat este actualizat n

conformitate cu ultima versiune furnizat, c pachetele software au fost furnizate conform
clauzelor contractuale, c au fost furnizate licenele n cadrul contractelor, c documentaia a
fost furnizat conform contractului.
Auditorul va face evaluarea pe baza concluziilor rezultate n urma interviurilor cu persoanele implicate n
managementul proiectelor i pe baza analizei documentelor care se refer la existena unor politici sau
proceduri formale prin care se atribuie responsabilitatea monitorizrii mediului legislativ care poate avea
impact asupra sistemelor informatice, precum i a asigurrii conformitii cu clauzele contractuale privind:
Pag. 163 din 214
Responsabilitatea asigurrii c sistemul implementat este actualizat n conformitate cu

ultima versiune furnizat;
Respectarea termenelor privind distribuirea ultimelor versiuni de echipamente, software,
documentaie;
Livrarea i instalarea configuraiilor hardware / software pe baza unui grafic, conform
clauzelor contractuale, pe etape i la termenele stabilite;
Respectarea obligaiilor privind instruirea i suportul tehnic, stabilite prin contract;
Furnizarea pachetelor software conform clauzelor contractuale. Verificarea existenei i
valabilitii licenelor furnizate n cadrul contractului;
Asigurarea suportului tehnic (prin telefon, e-mail sau utiliznd un portal care poate avea
seciuni distincte pentru suport tehnic, specializat pe categorii relevante de probleme /
anomalii sau pentru instruirea continu a utilizatorilor);
Existena unor proceduri scrise privind analiza i acceptarea produselor i serviciilor
furnizate n cadrul contractului, precum i recepia cantitativ i calitativ;
Furnizarea documentaiei tehnice conform contractului: coninutul (lista, numrul
manualelor, limba) i formatul (tiprit, n format electronic, on-line);
Existena specificaiilor funcionale, a manualelor de utilizare i administrare pentru
proiectele de dezvoltare software;
Existena manualelor de utilizare pentru echipamentele livrate.
PROCEDURA B2 - Separarea atribuiilor

Separarea atribuiilor este o modalitate de a asigura c tranzaciile sunt autorizate i nregistrate i c
patrimoniul este protejat. Separarea atribuiilor are loc atunci cnd o persoan efectueaz o verificare
privind activitatea altei persoane. Se previne n acest fel desfurarea unei activiti, de ctre aceeai
persoan, de la nceput pn la sfrit, fr implicarea altei persoane. Separarea atribuiilor reduce riscul
de fraud i constituie o form de verificare a erorilor i de control al calitii.
Separaia atribuiilor include:
separarea responsabilitii privind controlul patrimoniului de responsabilitatea de a menine

nregistrrile contabile pentru acesta;
separarea funciilor n mediul informatizat.

Separarea atribuiilor se aplic att mediului controalelor generale, ct i programelor i aplicaiilor
specifice.
n mediul controalelor generale, anumite funcii i roluri trebuie s fie separate. De exemplu, un
programator nu trebuie s aib acces la mediul de producie pentru a-i ndeplini sarcinile. Personalul
care face programare nu trebuie s aib autoritatea de a transfera software nou ntre mediile de
dezvoltare, testare i producie. Segregarea atribuiilor ntre programatori i personalul de operare reduce
riscul ca acetia, cu cunotinele de programare pe care le dein, s poat efectua modificri neautorizate
n programe. n multe cazuri activitatea departamentului IT se mparte n dou tipuri distincte: programare
(sisteme i aplicaii) i operarea calculatoarelor. Personalul nu poate avea atribuii care s se plaseze n
ambele tipuri de activiti. Personalul care face programare nu trebuie s aib acces la fiiere i programe
din mediul de producie.
Sub presiunea reducerii costurilor funciilor IT numrul de personal este de multe ori redus, ceea ce
limiteaz separarea atribuiilor. n cazul limitrii separrii atribuiilor, auditorul trebuie s identifice
controale compensatorii, care de obicei se plaseaz n sfera securitii sistemelor sau n cea a
reconcilierii utilizatorilor finali, pe care s le recomande entitii (de ex. verificri i inspecii regulate ale
conducerii, utilizarea parcursurilor de audit i a controalelor manuale).
Pag. 164 din 214
separarea atribuiilor (sarcinilor)
Existena unei structuri organizatorice formale / cunoaterea de ctre personal a modului de

subordonare i a limitelor de responsabilitate proprii i ale restului de personal. Aceasta va
face mai dificil s se efectueze aciuni neautorizate fr a fi detectate.
Includerea cu claritate a atribuiilor personalului n fia postului, n scopul reducerii riscului
efecturii de ctre acesta a unor aciuni dincolo de limitele autorizate.
Separarea sarcinilor realizat prin intermediul sistemului informatic, prin utilizarea de profile
de securitate individuale i de grup, preprogramate.
Interdicia ca personalul care are sarcini n departamentul IT s aib sarcini i n
departamentul financiar-contabil sau de personal.
Existena unei separri fizice i manageriale a atribuiilor, pentru a reduce riscul de fraud.
Separarea funciilor IT de utilizatori, pentru a reduce riscul de efectuare de ctre utilizatori a
unor modificri neautorizate ale programelor sau ale datelor financiar-contabile, avnd n
vedere c persoanele cu sarcini att n domeniul financiar-contabil, ct i n domeniul IT au
oportuniti mai mari de a efectua activiti neautorizate prin intermediul aplicaiilor
informatice, fr a fi depistate.
Existena unui cadru formal de separare a sarcinilor n cadrul departamentului IT, pentru
urmtoarele categorii de activiti:
o Proiectarea i programarea sistemelor;
o ntreinerea sistemelor;
o Operaii IT de rutin;
o Introducerea datelor;
o Securitatea sistemelor;
o Administrarea bazelor de date;
o Managementul schimbrii i al dezvoltrii sistemului informatic.
Separarea sarcinilor de administrator de sistem de cele de control al securitii sistemului.
Asigurarea unei separri adecvate a sarcinilor pentru a reduce riscurile ca personalul cu
cunotine semnificative despre sistem s efectueze aciuni neautorizate i s nlture urmele
aciunilor proprii.
Existena unei separri eficiente a sarcinilor ntre dezvoltatorii de sisteme, personalul de
operare a calculatoarelor i utilizatorii finali.
Interdicia ca programatorii s aib acces la mediul de producie (introducere de date, fiiere
permanente date de ieire, programe etc.) pentru a-i ndeplini sarcinile.
Interdicia ca personalul care face programare s aib permisiunea de a transfera software
nou ntre mediile de dezvoltare, testare i producie.
Interdicia ca personalul cu cunotine de programare s aib atribuii de operare care s
permit efectuarea de modificri neautorizate n programe.
Separarea responsabilitii privind operarea aplicaiei de control al patrimoniului de responsabilitatea de a menine nregistrrile contabile privind patrimoniul.
Utilizarea separrii sarcinilor ca form de revizie, detectare a erorilor i control al calitii.
Contientizarea personalului.
Auditorul trebuie s determine prin interviu, prin observare direct i prin analiza documentelor relevante
(organigram, fia postului, decizii ale conducerii, contracte etc.) dac personalul IT are responsabiliti n
departamentele utilizatorilor, dac funciile IT sunt separate de funciile de utilizare (financiar, gestiunea
stocurilor etc.) pentru a nu se opera schimbri neautorizate, de obicei dificil de detectat, dac alte funcii
incompatibile, potrivit aspectelor menionate mai sus, sunt separate.
Pag. 165 din 214
PROCEDURA B3 - Securitatea fizic i controalele de mediu

Obiectivul controalelor fizice i de mediu este de a preveni accesul neautorizat i interferena cu serviciile
IT n scopul diminurii riscului deteriorrii accidentale sau deliberate sau a furtului echipamentelor IT i al
informaiilor. Aceste controale trebuie s asigure, pe de o parte, protecia mpotriva accesului personalului
neautorizat, iar pe de alt parte, protecia n ceea ce privete deteriorarea mediului n care funcioneaz
sistemul (cauzat de foc, ap, cutremur, praf, cderi sau creteri brute ale curentului electric).
n concordan cu rezultatele raportate de ISACA (Information Systems Audit and Control Association),
cauzele generatoare de erori produse de dezastre naturale se plaseaz pe locul 2 (erorile produse de
utilizatori pe locul 1, frauda pe locul 3 i cderile hardware pe locul 4).
Restricionarea accesului la sistemul de calcul se poate realiza pe baza a dou tipuri de controale,
privitoare la accesul fizic i, respectiv, la accesul logic.
Controale fizice:
Asigurarea securitii zonei (delimitarea clar a perimetrului afectat facilitilor IT i informarea
personalului n legtur cu "graniele" acestuia);
Accesul n aria securizat trebuie controlat pe nivele de control, prin controale fizice explicite: chei,
card-uri de acces, trsturi biometrice (amprent, semntur, voce, imagine etc.), coduri de acces
sau implicite: atribuii specificate n fia postului, care necesit prezena n zona de operare IT.
Controalele administrative:
Uniforma personalului sau utilizarea ecusoanelor;

tergerea drepturilor de acces la plecarea persoanei din organizaie i informarea
personalului care asigur paza n legtur cu acest lucru. Pentru aceast situaie trebuie s
existe proceduri de identificare a celor care pleac i de asigurare c accesul fizic al
acestora n zona de operare IT nu mai este permis;
Identificarea vizitatorilor i primirea acestora;
Proceduri pentru evenimente neateptate: plecarea temporar din birou a unor salariai
pentru a lua masa, sau la o solicitare expres. Msurile pentru aceste situaii pot include:
ncuierea laptop-urilor n sertare sau dulapuri, blocarea tastaturii, ncuierea suporilor tehnici
care conin date.
Controalele specifice de mediu

Se refer la urmtoarele aspecte:
Prevenirea, detectarea i stingerea incendiilor: politica de interzicere a fumatului, nlturarea

unor materiale inflamabile din spaiile care gzduiesc calculatoare, utilizarea detectoarelor
de fum i de cldur, dotarea cu stingtoare de incendii manuale i automate, utilizarea
dispozitivelor de alarm, instruirea personalului;
Protecia mpotriva inundaiilor i a excesului de umiditate: amplasarea calculatoarelor la

etajele superioare, dotarea cu detectoare de umiditate conectate la dispozitive de alarm;
Protecia i controlul surselor de alimentare: utilizarea unor dispozitive de protecie la

suprasarcin, surse de tensiune neintreruptibile (UPS), generatoare electrice de rezerv,
cablare alternativ;
Asigurarea condiiilor de nclzire, ventilaie i aer condiionat: asigurarea unui mediu

ambiental controlat prin instalarea echipamentelor de aer condiionat;
ntreinere i curenie: asigurarea condiiilor de curenie adecvate cerinelor acestor tipuri

de echipamente.
Pag. 166 din 214
controlul accesului fizic
Alocarea unor spaii adecvate pentru camera serverelor;

Implementarea unor proceduri formale de acces n locaiile care gzduiesc echipamente IT
importante care s stabileasc: persoanele care au acces la servere, modul n care se
controleaz accesul la servere (de exemplu, cartele de acces, chei, registre), procedura de
alocare a cartelelor ctre utilizatori i de monitorizare a respectrii acesteia, cerina ca vizitatorii
s fie nsoii de un reprezentant al entitii;
Existena unor msuri pentru a asigura c se ine o eviden exact a echipamentului informatic
i a programelor informatice (marcarea sau etichetarea echipamentele pentru a ajuta
identificarea), pentru a preveni pierderea intenionat sau neintenionat de echipamente i a
datelor coninute n acestea.
Auditorul trebuie s determine prin interviu i prin observare direct (inspecie n slile n care sunt
amplasate echipamentele) dac exist dotrile necesare pentru asigurarea controlului accesului fizic n
zona de securitate definit. De asemenea, trebuie s verifice existena i modul de implementare a
procedurilor asociate.
B.3.2 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind protecia
mediului
Asigurarea c n camera serverelor exist dotrile necesare pentru protecia mediului:

sisteme de prevenire a incendiilor;
dispozitive pentru controlul umiditii;
aer condiionat;
dispozitive UPS;
senzori de micare;
camere de supraveghere video.
Amplasarea n rackuri speciale i protejarea serverelor, protejarea elementelor active ale reelei i
a cablurilor de reea, etichetarea cablurilor.
Auditorul trebuie s determine prin interviu i prin observare direct (inspecie n slile n care sunt
amplasate echipamentele) dac exist dotrile necesare pentru protecia mediului (sisteme de prevenire
a incendiilor, dispozitive pentru controlul umiditii, aer condiionat, dispozitive UPS, senzori de micare,
camere de supraveghere video). De asemenea, trebuie s verifice existena i modul de implementare a
procedurilor asociate.
PROCEDURA B4 - Securitatea informaiei i a sistemelor

Securitatea informaiei i a sistemelor se realizeaz prin implementarea unor proceduri care s previn
obinerea accesului neautorizat la date sau programe critice i s asigurare confidenialitatea, integritatea
i credibilitatea n mediul n care aceste sisteme opereaz.
Controalele privind securitatea informaiei i a sistemelor sunt urmtoarele:
Existena unei politici de securitate IT formale (distribuit tuturor utilizatorilor, cu semntura c au

luat cunotin), existena unei persoane care are responsabilitatea actualizrii acestei politici,
precum i aplicarea msurilor pentru a crete contientizarea n cadrul entitii cu privire la
securitate (cursuri, prezentri, mesaje pe e-mail).
Pag. 167 din 214
Desemnarea unei persoane cu atribuii privind administrarea securitii, desemnarea unui

responsabil (ofier) pentru securitate i definirea n mod formal a atribuiilor acestora, asigurarea
segregrii responsabilitilor pentru aceste funcii, asigurarea c politicile de securitate acoper
toate activitile IT ntr-un mod consistent.
Controlul accesului logic (administrarea utilizatorilor, existena i implementarea regulilor pentru
parole, controlul asupra conturilor cu drepturi depline, existena unor utilitare de sistem cu funcii
specializate, accesul IT, revizuirea jurnalelor de operaii).
Revizuirea jurnalelor de operaii presupune monitorizarea i analiza periodic a jurnalelor de
operaii, alocarea responsabilitilor i specificarea metodelor care se aplic.
Administrarea utilizatorilor are asociate proceduri formale privind administrarea drepturilor
utilizatorilor, acordarea, modificarea i revocarea drepturilor de acces.
Regulile pentru parole. Se stabilesc proceduri formale care implementeaz controale relative la:
lungimea parolei, existena unor reguli referitoare la coninutul parolei, stabilirea unei perioade de
valabilitate a parolei, numrul de ncercri prevzute pn la blocarea contului, existena unei
persoane cu atribuii n deblocarea conturilor blocate, numrul de parole reinute de ctre sistem,
schimbarea parolei la prima accesare.
Controlul asupra conturilor cu drepturi depline / utilitare de sistem. Se au n vedere controale
privind: stabilirea dreptului de administrare a sistemului, de alocare i autorizare a conturilor cu
drepturi depline, de monitorizare a activitilor utilizatorilor cu drepturi depline.
Acces IT. Se au n vedere controale privind: drepturile de acces ale programatorilor la mediile de
producie, drepturile de acces ale departamentului IT la datele celorlalte departamente.
Conexiuni externe. Controalele se refer la: protejarea conexiunilor externe mpotriva atacurilor
informatice, existena unor proceduri de control al accesului de la distan, msurile de securitate
aplicate pentru a controla accesul de la distan.
B.4.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind Politica
de securitate
Existena unei politici de securitate IT formale;

Se verific dac aceasta este distribuit tuturor utilizatorilor, dac utilizatorii semneaz c au luat
cunotin de politica de securitate IT;
Aplicarea unor msuri pentru a crete contientizarea n cadrul entitii cu privire la securitate
(cursuri, prezentri, mesaje pe e-mail);
Se analizeaz coninutul documentului pentru a evalua domeniile acoperite de politica de
securitate i cadrul procedural asociat;
Se verific dac politica de securitate este actualizat periodic i dac este alocat
responsabilitatea cu privire la actualizarea politicii de securitate.
Auditorul trebuie s determine prin interviu, prin analiza politicii de securitate i a procedurilor asociate i
prin observare direct dac Politica de securitate este distribuit tuturor utilizatorilor, dac utilizatorii au
semnat c au luat cunotin de politica de securitate IT, dac exist o persoan care este responsabil
de actualizarea acestei politici, dac s-au aplicat msuri pentru a crete contientizarea n cadrul entitii
cu privire la securitate (cursuri, prezentri, mesaje pe e-mail).
Pag. 168 din 214
B.4.2 Controlul accesului logic

Organizaiile, prin utilizarea aplicaiilor informatice, iniiaz tranzacii, efectueaz prelucrri i elaboreaz
rapoarte legate de specificul afacerii. O problem deosebit de important este protejarea informaiilor i a
resurselor aferente sistemelor IT, care nu pot fi controlate uor numai prin intermediul controalelor fizice.
Problema este cu att mai complicat, cu ct calculatoarele sunt conectate n reele locale sau n reele
distribuite geografic.
Controalele logice de acces pot exista att la nivelul sistemului, ct i la nivelul aplicaiei. Controalele la
nivelul sistemului pot fi utilizate pentru restricionarea accesului utilizatorilor la anumite aplicaii i date i
pentru a restriciona folosirea neautorizat a utilitilor sistemelor. Controalele logice de acces sunt
adesea utilizate mpreun cu controalele fizice de acces pentru a reduce riscul modificrii neautorizate a
programelor i a fiierelor de date. Monitorizarea continu a documentelor (jurnalelor) care nregistreaz
evenimentele care se refer la accesul logic constituie un factor de cretere a eficienei controalelor
implementate. Eficiena rapoartelor ctre conducere i a registrelor produse de calculatoare este
semnificativ redus dac nu sunt analizate i verificate regulat de ctre conducere.
Msurile de acces logice se reflect n regulamente sau norme interne care trebuie s conduc la
adoptarea controalelor specifice. Fr un regulament este dificil s se constate dac msurile aplicate
sunt adecvate.
Controalele logice de acces neadecvate nu vor asigura protecia sistemului fa de utilizatorii neautorizai.
De exemplu, accesul neautorizat la editoarele de fiiere poate conduce la modificarea fiierelor aplicaiei.
Pentru a identifica utilizatorii care ncearc s desfoare activiti neautorizate se aloc acestora coduri
unice de identificare. Codul unic de identificare al utilizatorului poate asigura un parcurs al auditului, cu
condiia ca acesta s fie nregistrat n sistem i n aplicaie.
Utilizarea de controale logice de acces suplimentare reduce riscul accesului neautorizat i riscul de
manipulare a datelor i crete ansele de detectare.
Parola constituie, de asemenea, un control puternic al accesului logic. Reguli neadecvate privind parolele
pot conduce la lipsa acestora sau la identificarea lor cu uurin i, n consecin, sistemele pot fi mai uor
accesate de utilizatori neautorizai.
Personalul de dezvoltare cu acces la datele reale i la programe constituie, de asemenea, un factor de
risc cu grad ridicat, ntruct aceast categorie de personal poate s fac modificri accidentale sau / i
tie cum s opereze modificri de rea credin sau frauduloase.
Un risc major l constituie i controlul neadecvat asupra utilizatorilor puternici (administratori, ingineri de
sistem), care crete riscul modificrilor neautorizate ale programelor i ale datelor financiare.
Controalele accesului logic sunt constituite dintr-un ansamblu de msuri i proceduri implementate prin
soluii organizatorice sau prin programe software, avnd ca scop protejarea resurselor de calcul (date,
programe i echipamente) mpotriva accesului neautorizat.
n ceea ce privete securitatea accesului logic, se au n vedere urmtoarele elemente:
o Identificarea utilizatorului prin intermediul numelui sau a unui identificator;
o Autentificarea utilizatorului prin intermediul parolelor, al codurilor PIN (pentru card-ul
bancar), al semnturii sau al caracteristicilor biometrice (amprente, voce etc.);
o Protecia resurselor (fiiere, directoare, uniti periferice). Protecia resurselor are n vedere
asigurarea necesitilor fiecrui utilizator i restricionarea accesului numai la resursele
asociate cu drepturile care decurg din cerinele sarcinilor sale.
Resurse, fiiere i faciliti care necesit protecie
Principalele resurse, fiiere i faciliti care necesit protecie sunt:
Pag. 169 din 214
Fiierele de date (fiiere cu tranzacii sau baze de date): acestea trebuie protejate, existnd riscul
modificrilor neautorizate sau chiar al tergerii datelor.
Aplicaiile. Accesul nerestricionat la aplicaii crete riscul modificrilor neautorizate, care pot
conduce la fraud, pierdere de date sau alterare a datelor. Anumite modificri n aplicaii pot
rmne nedetectate o perioad ndelungat, producnd consecine greu de estimat.
Fiierele de parole protejate neadecvat pot fi citite de ctre persoane care vor avea acces la toate
conturile din sistem, inclusiv la cele privilegiate, putnd produce pagube considerabile.
Software-ul de sistem i utilitarele (editoare, compilatoare, programe de depanare) trebuie
protejate pentru a nu fi utilizate ca instrumente de modificare a fiierelor de date i a aplicaiilor
software sau terse.
Jurnalele de operaii (Log files) reprezint documente coninnd contabilitatea sistemului, acestea
nregistrndu toate aciunile utilizatorilor (cine s-a conectat la sistem, cnd, ce resurse a utilizat).
Pentru schimbarea datelor financiare, aplicaia nregistreaz utilizatorul care a operat modificarea,
ce date au fost modificate, valorile nainte i dup modificare. Accesul neautorizat la jurnalul de
operaii, combinat cu modificarea neautorizat a datelor financiar-contabile constituie fraud care
poate fi mascat prin tergerea sau editarea aciunilor din jurnalul de operaii, n scopul ascunderii
interveniei neautorizate n sistem.
Fiierele temporare care memoreaz informaii pentru o perioad scurt (de exemplu, fiierele
create naintea transmiterii ctre imprimant): acestea pot fi alterate n lipsa unei protecii
adecvate, nainte de a fi prelucrate (n cazul listrii fiierelor generate de sistem pentru a fi
transmise la imprimant, acestea pot fi afiate n prealabil i chiar modificate).
Cadrul de securitate a accesului

Asigurarea unor controale adecvate care s se adreseze oricrui risc identificat pentru sistemele
informatice este responsabilitatea managementului. Managementul trebuie s decid asupra sistemului
de controale logice ale accesului, stabilind pentru entitate politica de securitate a accesului, care poate
conine:
Definirea sistemului de securitate i, n mod specific, a termenilor confidenialitate, integritate

i disponibilitate;
Declaraii privind securitatea (de exemplu, "nivelul de protecie va fi comensurat cu nivelul
riscului i cu valoarea patrimoniului");
Responsabiliti: vor fi definite responsabilitile tuturor utilizatorilor (grupuri de utilizatori:
utilizatori obinuii, proprietarul sistemului, managementul securitii, auditul IT).
Controalele accesului logic se vor detalia pe baza declaraiilor de nivel nalt cuprinse n politica de
securitate IT a entitii.
Aspectele care se iau n considerare atunci cnd se examineaz controalele privind controlul accesului
logic:
Revizuirea logurilor (jurnalelor de operaii)
o Asigurarea c logurile aplicaiilor importante sunt monitorizate i analizate periodic (cine, cnd,
cum, dovezi).
Administrarea utilizatorilor
o Existena unei proceduri pentru administrarea drepturilor utilizatorilor. Se verific modul de
implementare;
o Includerea n procedura de mai sus a msurilor ce trebuie luate n cazul n care un angajat pleac
din cadrul instituiei;
Pag. 170 din 214
o Existena unui document (formular pe hrtie sau n format electronic) pentru crearea i tergerea
conturilor de utilizator i pentru acordarea, modificarea i revocarea drepturilor de acces care s
fie aprobat de conducere;
o Acordarea tuturor drepturilor de acces, n baza acestui formular;
o Verificarea periodic a utilizatorilor activi ai sistemului n concordan cu lista de angajai furnizat
de departamentul resurse umane.
Reguli pentru parole
o Definirea regulilor pentru parole de acces n subsistemele IT;
o Trebuie avute n vedere urmtoarele elemente:
-
lungimea parolei;
reguli referitoare la coninutul parolei;
perioada de valabilitate a parolei;
numrul de ncercri pn la blocarea contului;
cine poate debloca un cont;
numrul de parole precedente reinute de ctre sistem;
utilizatorii sunt forai s schimbe parola la prima accesare.
Control asupra conturilor cu drepturi depline / utilitare de sistem

o Alocarea dreptului de administrare pentru aplicaiile / subsistemele de baz;
o Alocarea i autorizarea conturilor cu drepturi depline;
o Monitorizarea activitilor utilizatorilor cu drepturi depline.
Acces IT
o Verificarea drepturilor de acces la datele reale pentru programatori;
o Verificarea drepturilor de acces la datele celorlalte structuri ale entitii pentru compartimentul
IT.
Controale privind accesul la aplicaii i la sistemul de operare
Controalele accesului logic pot exista pe dou niveluri: nivelul sistemului i nivelul aplicaiilor i, n
consecin, controalele accesului pot fi construite n sistemul de operare i / sau n fiecare aplicaie. La
fiecare nivel, controalele accesului logic sunt implementate de administratori diferii.
La nivelul instalrii, responsabilul cu administrarea va controla cine se poate lega la reea i care sunt
aplicaiile i fiierele de date pe care le poate accesa.
La nivelul aplicaiilor, administratorul aplicaiei va fi responsabil cu alocarea drepturilor de acces la
funciile i la informaiile fiecrei aplicaii n parte.
Administratorul de sistem din departamentul IT trebuie s cunoasc sistemul de operare, resursele
acestuia i care sunt aplicaiile i utilitarele performante ale sistemelor, care necesit s fie protejate fa
de persoane din afar sau fa de personalul IT neautorizat. Aceast abordare asigur separarea
atribuiilor ntre administratorul de sistem i administratorul de aplicaie.
Protecia resurselor
Protecia resurselor presupune un nivel adiional de controale, necesar pentru a restriciona accesul
utilizatorilor numai la anumite resurse ale sistemului.
Pag. 171 din 214
Controalele de meniu pot fi prezente n sistemul de operare, n software-ul utilitar sau n

aplicaii. Administratorul de sistem poate configura sistemul astfel nct s menin active numai
funciile din meniu la care utilizatorul are acces. Ca form de prezentare, denumirile acestora au o
culoare intens, n timp ce funciile neautorizate sunt colorate n "gri".
Securizarea fiierelor i a programelor. Accesul la funciile sistem trebuie s fie acordat numai
utilizatorilor autorizai de ctre management, avnd n vedere considerente privind asigurarea
integritii i confidenialitii datelor n concordan cu obiectivele afacerii.
Permisiile pentru fiiere se refer la autorizarea difereniat a funciilor de introducere i
actualizare sau de modificare a acestora n funcie de drepturile alocate utilizatorilor.
Not: Atributele tipice privind accesul la fiiere sau la alte resurse ale sistemului sunt:
citire, scriere, creare, actualizare, tergere, execuie i copiere.
Alte controale ale accesului logic sunt: limitarea numrului de sesiuni concurente, limitarea intervalului
de lucru (ntre anumite ore), blocarea accesului la introducerea repetat a parolei greite, ieirea
automat din sistem dac ntr-un interval de timp nu s-a detectat nici o activitate, restricionarea accesului
pentru anumite terminale specificate.
Jurnalele de operaii ale sistemului
Controalele menionate n seciunea anterioar au un caracter preventiv, fiind proiectate pentru a asigura
c accesul persoanelor neautorizate n sistem este prevenit.
O alt categorie de controale presupune detectarea tentativelor i a activitilor de acces neautorizat.
Aceste evenimente sunt nregistrate automat n jurnalele de operaii ale sistemului: jurnalul de operaii
privind securitatea i jurnalul de operaii al tranzaciilor.
Jurnalul de operaii privind securitatea conine informaii privind: accesul nereuit, utilizarea sistemelor
utilitare i a aplicaiilor, identificarea utilizatorului care a iniiat accesul.
ntruct nregistrarea tuturor evenimentelor privind securitatea presupune un efort i un consum de
resurse semnificative, iar efortul de revizuire a acestora este mare consumator de timp, maniera de
tratare a evenimentelor constituie obiectul unei decizii care trebuie s aib la baz balana ntre
evenimentele legate de securitate i senzitivitatea sistemului. O soluie eficient n acest caz este
utilizarea unor instrumente de raportare prin excepie a celor mai semnificative evenimente.
De asemenea, trebuie implementate controale privind protecia jurnalului de operaii pentru a preveni
tergerea sau suprascrierea acestuia n scopul distrugerii dovezilor n cazul tentativelor de fraud.
Jurnalul de operaii al tranzaciilor nregistreaz traseul tranzaciilor n procesul de prelucrare, n interiorul sistemului.
Auditorul trebuie s determine prin consultarea documentelor, prin interviu i prin observare direct (la
staiile de lucru) dac este implementat cadrul procedural pentru asigurarea controlului accesului logic i
modul de monitorizare a acestuia:
trebuie s verifice modul de implementare a regulamentului de control al accesului i dac acesta

este documentat i actualizat.
trebuie s evalueze msurile de acces logic existente pentru a restriciona accesul la sistemul de
operare, la fiierele de date i la aplicaii i s aprecieze dac acestea sunt corespunzatoare:
meniuri restricionate pentru utilizatori, coduri unice de identificare i parole pentru utilizator,
revizuirea drepturilor de acces ale utilizatorului, profilul utilizatorului i al grupului.
Pag. 172 din 214
va evalua ct de adecvate sunt regulile privind parolele ale entitii (lungimea parolei, durata /
datele de expirare, procedurile de modificare, componena parolei, dezafectarea codului de
identificare al celor ce pleac din instituie, criptarea parolei, nregistrarea i alocarea de parole
noilor utilizatori, punerea n aplicare a regulilor privind parolele.
va efectua teste privind modul de implementare a unor tipuri suplimentare de controale de acces
logic: jurnale de operaii, restricionarea ncercrilor de acces, proceduri i registre de acces,
acces specific n funcie de terminal, registre de ncercri neautorizate, limitarea acceselor
multiple, timp automat de expirare, acces restricionat la utiliti i nregistrarea folosirii utilitilor
sistemului i a instrumentelor de audit, controlul staiilor de lucru neutilizate.
va evalua msurile pentru restricionarea accesului personalului de dezvoltare a sistemului la
datele reale (din mediul de producie) i la mediul de producie (programatori, firma dezvoltatoare
de software).
va evalua modul de alocare, autorizare, control i monitorizare a utilizatorilor privilegiai
(administratori, ingineri de sistem i programatori de sistem i de baze de date).
B4.3 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind
administrarea securitii
Alocarea responsabilitii cu privire la administrarea securitii IT i definirea n mod

formal a sarcinilor administratorului securitii
Asigurarea separrii responsabilitilor pentru administratorul securitii
Se verific dac aplicarea politicilor de securitate acoper toate activitile IT ntr-un mod
consistent.
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este implementat
cadrul procedural pentru asigurarea controlului administrrii securitii (examinarea documentelor din care
rezult responsabilitile i sarcinile cu privire la administrarea securitii IT, separarea atribuiilor,
reflectarea acestora n politica de securitate).
conexiuni externe
Existena unei persoane desemnate pentru administrarea reelei IT

Msurile luate pentru monitorizarea reelei din punct de vedere al securitii i performanei
Modul de protejare a conexiunilor externe mpotriva atacurilor informatice (virui, acces
neautorizat)
Dac este permis accesul la sistem unor organizaii externe (ex. Internet, conexiuni on-line)
Se verific existena unor proceduri de control privind accesul de la distan i msurile de
securitate aplicate
Controale de acces slabe mresc riscul atacurilor din partea hackerilor, al viermilor i al viruilor care
afecteaz integritatea i disponibilitatea evidenelor financiare.
Managementul inadecvat al reelei poate expune organizaia ameninrilor interne i externe cu privire la
integritatea datelor. O reea slab securizat poate, de exemplu, s fie vulnerabil la difuzarea viruilor
informatici.
cadrul procedural pentru asigurarea controlului reelei: existena unei persoane desemnate pentru
administrarea reelei IT, msurile luate pentru monitorizarea securitii reelei, pentru protejarea
conexiunilor externe mpotriva atacurilor informatice (virui, acces neautorizat), reglementarea accesului
Pag. 173 din 214
la sistem din partea unor organizaii externe (de exemplu, Internet, conexiuni on-line), existena unor
proceduri de control privind accesul de la distan i msurile de securitate aplicate.
B.4.5 Aspectele care se iau n considerare atunci cnd se examineaz controalele de reea i de
utilizare a Internetului
ntruct conectarea sistemelor n reele comport riscuri specifice, reeaua trebuie controlat astfel nct
s poat fi accesat numai de ctre utilizatorii autorizai, iar datele transmise s nu fie pierdute, alterate
sau interceptate.
n ultimii ani, extinderea reelei Internet a scos n eviden i a impus cerine, concepte i riscuri noi, care
au avut consecine privind securitatea sistemelor i controalele asociate.
a) Controalele privind erorile de transmisie i de comunicaie: se refer la erorile care pot s apar n
fiecare stadiu al ciclului comunicaiei, de la introducerea datelor de ctre utilizator, continund cu
transferul pn la destinaie.
Controalele de reea cele mai relevante pe care entitile trebuie s le implementeze, sunt:
Politica de securitate a reelei, care poate face parte din politica general de securitate IT;
Standardele de reea, procedurile i instruciunile de operare, care trebuie s se bazeze pe

politica de securitate a reelei i s fie documentate. Copii ale acestei documentaii trebuie s fie
disponibile pentru personalul implicat n securitatea sistemului;
Documentaia reelei, care descrie structura logic i fizic a reelei;
Controalele accesului logic: procedura de conectare, reguli privind parolele, permisiile de acces
la resursele sistemului;
Restriciile privind utilizarea resurselor externe (de exemplu este restricionat accesul n reeaua
Internet);
Reeaua trebuie s fie controlat i administrat de personal cu instruire i experien adecvate,

monitorizat de management;
Anumite evenimente trebuie nregistrate automat n jurnalele de operaii de ctre sistemul de

operare al reelei. Jurnalele de operaii trebuie revizuite periodic pentru a se depista activitile
neautorizate;
Utilizarea unor instrumente utilitare pentru managementul i monitorizarea reelei (pachete

software sau echipamente hardware), disponibile pentru administratorii de reea. Acestea pot
monitoriza utilizarea reelei i a capacitii acesteia i pot inventaria produsele software utilizate
de ctre fiecare utilizator;
Accesul furnizorilor de servicii i al consultanilor trebuie s fie monitorizat;
Terminalele pot fi restricionate prin intermediul codurilor de terminal sau a al adresei de reea;
Criptarea datelor pentru protejare n cazul interceptrii n reea;
Utilizarea liniilor private sau dedicate pentru reducerea riscului de intercepie;
Utilizarea comunicaiei digitale n locul celei analoge. Legturile digitale au o capacitate mai
mare, nu au nevoie de modem-uri i nu au erori din cauza conversiei digital - analog.
b) Controalele Internet
Implicaiile privind securitatea i controlul, care decurg din conectarea la Internet a unei entit sunt:
Implicaiile privind securitatea decurg dintr-o serie de caracteristici ale comunicaiei n reeaua
Internet, care pot genera riscuri majore pentru securitatea sistemului entitii. Cele mai importante
sunt: caracterul anonim al unor utilizatori care vor s contravin principiilor accesului n Internet,
vulnerabilitatea confidenialitii prin interceptarea parolei cu ajutorul unor programe specializate
Pag. 174 din 214
n cursul nregistrrii pe anumite site-uri, aciunile hackerilor, pirateria i pornografia, software ru

intenionat (virui, programe "cal troian").
Protecia securitii are aspecte specifice acestui tip de comunicaie: educarea utilizatorilor proprii
privind consecinele unui comportament neadecvat sau ale neglijrii unor precauii legate de
utilizarea reelei Internet, utilizarea serviciilor unui provider n locul conexiunii fizice la Internet, n
scopul evitrii expunerii directe a sistemului de calcul propriu la atacuri din reeaua Internet.
cadrul procedural pentru asigurarea c reeaua este controlat astfel nct s poat fi accesat numai de
ctre utilizatorii interni sau externi autorizai, iar datele transmise s nu fie pierdute, alterate sau
interceptate: implementarea unei politici de securitate a reelei, utilizarea standardelor de reea, a
procedurilor i a instruciunilor de operare asociate acestei politici, existena i disponibilitatea
documentaiei aferente cadrului procedural i a documentaiei reelei (care descrie structura logic i
fizic a reelei), implementarea controalelor accesului logic (procedura de conectare, reguli privind
parolele, permisiile de acces la resursele sistemului), stabilirea unor reguli privind utilizarea resurselor
externe, existena unui personal cu instruire i experien adecvate, nregistrarea automat n jurnalele de
operaii i revizuirea periodic a acestora pentru a se depista activitile neautorizate, utilizarea unor
instrumente software/hardware pentru managementul i monitorizarea reelei, monitorizarea accesului
furnizorilor de servicii i al consultanilor, criptarea datelor.
Controale de baz n reeaua Internet
Cea mai bun politic pentru minimizarea consecinelor negative generate de conexiunea direct la
Internet conine urmtoarele aspecte:
Izolarea fizic a calculatorului de sistemul de calcul al entitii;
Desemnarea unui administrator cu experien i de ncredere pentru supravegherea

calculatoarelor cu acces la Internet;
Prevenirea accesului anonim sau, dac trebuie s fie permis, eliminarea efectelor negative ale
acestuia;
tergerea de pe calculatorul cu acces la Internet a tuturor datelor i programelor care nu sunt

necesare;
Monitorizarea atacurilor prin nregistrarea lor;
Transferul fiierelor din sistemul informatic al entitii pe calculatorul legat la Internet dup ce
acesta a fost verificat cu atenie i innd seama de faptul c fiierele pot fi transferate utiliznd
serviciul de e-mail;
Crearea unui numr ct mai mic posibil de conturi de utilizator pe calculatorul cu acces la
Internet i schimbarea regulat a parolelor.
Protecii "Firewall". Dac necesitile cer conectarea direct la Internet cu riscuri minime, se utilizeaz
includerea n configuraie a unei protecii de tip "firewall" pentru a facilita controlul traficului ntre reeaua
entitii i Internet i pentru a stopa penetrarea pachetelor externe neautorizate.
Acesta const ntr-o combinaie de calculatoare (router i gateway) care asigur i servicii adiionale
privind: autentificarea, ncriptarea i nregistrarea n jurnalul de operaii.
Politica privind parolele. O politic adecvat privind parolele poate avea o contribuie semnificativ
pentru securitatea calculatoarelor conectate la Internet. Politicile privind parolele aferente calculatoarelor
neconectate la Internet rmn valabile i pentru acest tip de acces.
Controlul accesului conine, n afara politicilor privind parolele aferente calculatoarelor neconectate la
Internet, proceduri specifice: utilizarea parolelor ascunse, utilizarea unui algoritm nestandard de ncriptare
a parolelor.
Pag. 175 din 214
Criptarea este o form de protecie asigurat prin codificarea informaiilor transmise n reeaua Internet.
Serviciile de pot electronic perfecionate sunt dezvoltate pentru a asigura confidenialitatea i
integritatea mesajelor transmise, prin ncriptare i prin semnare.
Instrumentele de evaluare a securitii sunt instrumente disponibile pe Internet utilizate pentru analiza
i evaluarea securitii reelelor, raportnd slbiciunile acestora n ceea ce privete controlul accesului
sau regulile pentru parole.
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este implementat o
politic pentru minimizarea consecinelor negative generate de conexiunea direct la Internet, care s
abordeze aspectele prezentate mai sus: protecie firewall, administrator cu experien i de ncredere
pentru supravegherea calculatoarelor cu acces la Internet, politica privind parolele, ncriptarea,
Instrumentele de evaluare a securitii utilizate, serviciile de pot electronic perfecionate, monitorizarea
atacurilor.
PROCEDURA B5 - Continuitatea sistemelor

Managementul continuitii sistemelor are ca obiectiv principal meninerea integritii datelor entitii prin
intermediul unor servicii operaionale i al unor faciliti de prelucrare i, dac este necesar, furnizarea
unor servicii temporare pn la reluarea serviciilor ntrerupte.
n scopul eliminrii riscului unor defeciuni majore generate de sistemul IT, trebuie implementate controale
adecvate, astfel nct entitatea s poat relua n mod eficient operaiunile, ntr-o perioad de timp
rezonabil, n cazul n care funciile de prelucrare nu mai sunt disponibile. Aceasta presupune, n
principal, ntreinerea i gestionarea copiilor de siguran ale datelor i sistemelor, implementarea unor
politici pentru managementul problemelor, planificarea continuitii, protecia mpotriva viruilor.
B.5.1 Meninerea copiilor de siguran (backup) ale datelor i sistemelor
Este o cerin esenial pentru asigurarea continuitii sistemelor informatice, ntruct deteriorarea
fondului de date sau a programelor ar compromite ntregul sistem i, implicit, activitile care se bazeaz
pe rezultatele furnizate de acesta. Pentru eliminarea acestui risc este necesar elaborarea i aplicarea
unei proceduri formale de salvare / restaurare, i de conservare a copiilor, care s precizeze: coninutul
copiei, tipul suportului, frecvena de actualizare, locul de stocare. De asemenea, se impune elaborarea
unor proceduri de testare a copiilor de rezerv i de recuperare a sistemului n caz de incident, precum i
evaluarea timpului necesar restaurrii datelor / sistemelor n caz de incident.
Auditorul va examina procedurile i modul de implementare a controalelor referitoare la urmtoarele
obiective de control:
Implementarea unei proceduri formale de salvare (back-up) care s specifice:

- tip de copie (automat/manual);
- frecvena copiilor de siguran;
- coninutul copiei (date, aplicaii, sisteme, complet/incremental);
- locul de stocare a copiei/copiilor;
- tipul de suport;
- alte comentarii.
Existena unei proceduri de testare a copiilor de siguran. Frecvena i modul de evideniere;
Implementarea unei proceduri de recuperare / restaurare;
Efectuarea de ctre entitate a unor analize cu privire la timpul necesar restaurrii datelor/aplicaiilor/sistemului.
Pag. 176 din 214
B.5.2 Managementul capacitii

Managementul capacitii se bazeaz pe analiza capacitii configuraiei disponibile de a face fa
cerinelor sistemelor sau aplicaiilor prin prisma unor criterii de performan stabilite. Concluziile formulate
constituie suport pentru decizii privind: msuri referitoare la eliminarea ngustrilor de trafic, optimizarea
configurrii reelelor i/sau sistemelor, reproiectri ale fluxurilor, elaborarea unor grafice de utilizare,
extinderea configuraiilor sau nlocuirea acestora.
Efectuarea de ctre entitate a unor analize privind capacitatea pentru hardware i pentru reea,
precum i periodicitatea acestor analize;
Efectuarea de ctre entitate a unor analize privind performana i capacitatea aplicaiilor IT i

indicatorii avui n vedere;
Efectuarea de ctre entitate a unor analize privind gtuirile de trafic. Detalierea problemelor.
B.5.3 Managementul problemelor

Managementul problemelor are ca scop depistarea i soluionarea problemelor aprute n funcionarea
sistemului informatic pe ntreaga durat de via a acestuia prin asigurarea unui cadru procedural care s
impun: (a) modul de detectare, semnalare, comunicare, nregistrare, rezolvare i urmrire a problemelor,
(b) analiza i verificarea modului de rezolvare, etapele care se parcurg, precum i (c) documentele
utilizate (registrul problemelor, lista problemelor rmase deschise sau care se repet frecvent).
Implementarea unui cadru procedural care s trateze urmtoarele aspecte:

Modul n care se semnaleaz compartimentului IT apariia problemelor;
Cum se ine evidena problemelor n cadrul compartimentului IT (registru al problemelor sau o
alt form de eviden);
- Implementarea funciei helpdesk;
- Etapele care trebuie urmate pentru rezolvarea problemelor;
- Verificarea i analiza listei de probleme de ctre conducere;
- Implementarea unei proceduri de urmrire a problemelor rmase deschise;
- Implementarea unei proceduri pentru situaia nerezolvrii problemei;
Responsabilitatea documentrii i aducerii la cunotina celor direct implicai a acestor proceduri.
-
B.5.4 Planificarea continuitii

Planificarea continuitii proceselor IT presupune existena unui plan documentat corespunztor de continuitate a afacerii i, n particular, a operaiunilor IT. Planul de continuitate a afacerii reprezint un control
corectiv semnificativ.
Pentru elaborarea unui plan extensiv, care s rspund gamei largi de probleme asociate continuitii
proceselor IT sunt necesare att aptitudini ct i disponibilitatea unei metodologii care s ofere cadrul
procedural pentru toat problematica abordat: definirea obiectivelor, agrearea bugetului, definirea
proceselor, alocarea resurselor, stabilirea termenelor i a responsabilitilor, aprobare.
Pag. 177 din 214
Elaborarea planului are la baz o analiz detaliat a impactului pe care l-ar genera lipsa sistemului IT
asupra afacerii, n scopul reducerii riscurilor. Sunt examinate, de asemenea, msurile de prevenire a
dezastrului pentru a opera perfecionarea acestor msuri. Pe baza analizelor i informaiilor preliminare,
se realizeaz dezvoltarea planului de continuitate, care va fi implementat, testat prin simulri periodice i
actualizat n funcie de schimbrile impuse de rezultatele simulrilor.
Planul de continuitate trebuie s fie fcut cunoscut personalului implicat n procesele IT.
Coninutul unui plan de continuitate poate varia n funcie de circumstane, dar, n general, include urmtoarele seciuni: seciunea administrativ, contracte suport, operarea calculatoarelor privind recuperarea
proceselor cheie IT, infrastructura IT necesar recuperrii i procedurile asociate, locaia de back-up,
identificarea locului unde sunt stocate arhivele cu supori tehnici care conin salvrile i procedura de
obinere a accesului la acestea, personalul implicat n procesul de recuperare n caz de dezastru
(personal propriu sau extern), stabilirea sediului provizoriu (pentru cazul n care dezastrul a fost extensiv
i a necesitat evacuri), revenirea la normal (lista detaliat a responsabilitilor echipelor implicate n
restabilirea condiiilor normale de activitate).
Auditorul va examina procedurile i controalele privind existena, implementarea, urmrirea i testarea cu
regularitate a planului privind asigurarea continuitii activitii entitii i, n particular, a operaiunilor IT.
B.5.5 Managementul operaiunilor IT
Managementul operaiunilor IT se realizeaz pe baza unor proceduri elaborate i documentate. n cadrul
misiunii de audit se verific existena controalelor privind implementarea acestor proceduri i atribuirea
responsabilitilor legate de aplicarea i actualizarea acestora.
Procedurile operaionale IT furnizeaz asigurarea c sistemele de aplicaii sunt disponibile la momentele
programate, opereaz n concordan cu cerinele, iar rezultatele prelucrrilor sunt produse la timp.
Controalele operaionale reduc riscurile adoptrii unor practici de lucru necorespunztoare ntr-un
departament IT. Practicile de lucru necorespunztoare pot afecta auditul financiar ntruct utilizarea calculatorului constituie baza pentru ntocmirea situaiilor financiare. Punctele slabe din mediul de operare ar
putea fi exploatate pentru a rula programe neautorizate i a efectua modificri ale datelor financiare.
Operarea pe calculator trebuie s asigure o procesare exact, corespunztoare a datelor financiare.
Controlul neadecvat asupra operatorilor la calculator crete riscul aciunilor neautorizate. Operatorii
nesupravegheai pot face uz de utilitile sistemului pentru a efectua modificri neautorizate ale datelor
financiare.
Experiena i pregtirea neadecvat a personalului mrete riscul comiterii de greeli n departamentul IT.
Greelile pot conduce la orice efect, de la cderea sistemului, pn la tergerea datelor unei perioade.
ntreinerea neadecvat a echipamentului informatic poate cauza probleme de disponibilitate a aplicaiilor,
iar disfunciile sistemului pot conduce la date eronate.
Registrele de procesare pot reduce riscurile unei activiti neautorizate. Pot fi utilizate de asemenea
pentru determinarea extensiei erorilor de procesare.
Documentaia slab sau lipsa acesteia pot cauza probleme cum ar fi: indisponibilitatea sistemului,
pierderea integritii datelor sau ntrzieri n recuperarea acestora dup eliminarea defectelor din sistem.
n general, sunt implementate urmtoarele tipuri de proceduri operaionale:
-
proceduri de recuperare sau de restartare;

proceduri pentru instalarea de software i hardware;
proceduri la nceput de zi/sfrit de zi, dac este cazul;
proceduri privind raportarea incidentelor;
proceduri privind rezolvarea problemelor.
Pag. 178 din 214
Auditorul va examina procedurile i modul de implementare a controalelor privind operaiunile IT:

existena unui manager de reea, existena unui acord privind nivelul de servicii ntre departamentul
informatic i restul organizaiei, respectiv cu utilizatorii sistemului (care s acopere disponibilitatea
serviciilor, standardele de servicii etc.), existena unor proceduri i msuri de supraveghere a personalului
de operare a calculatoarelor i care asigur suport tehnic, pregtirea i experiena personalului de
operare, modalitatea i calitatea ntreinerii calculatoarelor (ntreinere prin mijloace poprii sau de ctre
furnizori externi), existena, utilizarea i monitorizarea jurnalelor de operaii (pentru a detecta activiti
neuzuale sau neautorizate sau pentru a monitoriza utilizarea facilitilor sistemului de operare),
documentarea adecvat a procedurilor (proceduri de supraveghere, proceduri de procesare, proceduri de
operare, managementul incidentelor, managementul suporilor de memorare (benzi, discuri, CD, DVD).
Protecia mpotriva viruilor se asigur prin existena politicilor i procedurilor privind: soluia antivirus
folosit, configuraiile pe care se aplic, modul de actualizare a fiierului de definiii, permisiunea pentru
dezactivarea software-ului antivirus pe staiile proprii de lucru pentru utilizatori, opiuni privind scanarea
software-ului de ctre programul antivirus (toate fiierele, pe server i staiile de lucru, automat, periodic).
Auditorul va examina procedurile i controalele privind existena i implementarea procedurilor
operaionale IT i a proteciei antivirus:
Implementarea unui cadru procedural care s conin urmtoarele proceduri operaionale:
-
Proceduri la nceput de zi/sfrit de zi, dac este cazul;

Proceduri de recuperare sau restaurare;
Instalare de software i hardware;
Raportarea incidentelor;
Rezolvarea problemelor.
Stabilirea unui responsabil cu actualizarea procedurilor operaionale IT
Protecia mpotriva viruilor - Implementarea unei proceduri privind utilizarea unei soluii antivirus
care s ofere asigurarea privind:
o Aplicarea soluiei antivirus tuturor serverelor i staiilor de lucru;
o Actualizarea fiierului de definiii antivirus;
o Interdicia dezactivrii software-ul antivirus de ctre utilizatori la staia proprie de
lucru;
o Software-ul antivirus scaneaz toate fiierele (pe server i pe staiile de lucru)
automat, n mod periodic.
Managementul configuraiilor presupune asigurarea contextului hardware / software stabil care s

susin funcionalitatea continu a sistemului informatic i, implicit, activitile entitii auditate. Se verific
dac este prevzut i este operaional meninerea configuraiilor echipamentelor IT i ale aplicaiilor, n
mod formal, n alte locaii dect sediul sistemelor.
Auditorul va examina procedurile i controalele privind existena i implementarea procedurilor specifice
managementului configuraiilor:
Meninerea n mod formal a configuraiilor echipamentelor IT i ale aplicaiilor i n alte locaii
dect sediul sistemelor de producie; utilizarea unor msuri de protecie;
Implementarea unor proceduri care s ofere asigurarea c sunt ndeplinite urmtoarele condiii:
- Configuraiile sunt actualizate, comprehensive i complete;
- Manualele de instalare/utilizare sunt actualizate n concordan cu ultima versiune de
sistem;
Pag. 179 din 214
Se realizeaz o gestiune a versiunilor programelor i documentaiei, iar personalul

utilizator tie care sunt cele mai noi versiuni ale programelor i ale documentaiei.
PROCEDURA B6 - Externalizarea serviciilor IT

Avnd n vedere c activitatea IT nu este activitatea principal ntr-o entitate i c managementul se
concentreaz n primul rnd pe obiectivele afacerii, tendina principal privind asigurarea serviciilor IT
este de a utiliza furnizori externi de servicii IT, soluie care n majoritatea cazurilor contribuie i la
reducerea costurilor.
Necesitatea unor colaborri, a furnizrii unor servicii de tehnologia informaiei (Internet, instruire, asisten
tehnic, ntreinere etc.) determin externalizarea acestor activiti prin ncheierea de contracte semnate
cu furnizorii acestor servicii. Avnd n vedere c astfel de relaii contractuale sunt purttoare de riscuri
(att sub aspect valoric, ct i la nivelul funcionalitii i securitii sistemului), auditorul trebuie s
evalueze implicaiile ce decurg din clauzele contractuale privind confidenialitatea, formele de asigurare a
suportului i asistenei tehnice, valorile contractuale pentru asisten tehnic i ntreinere, dependena
fa de furnizor, innd seama de natura serviciilor.
Auditorul va examina n primul rnd politicile i procedurile care asigur securitatea datelor entitii.
Clauzele existente n contractele semnate cu furnizorii ofer o prim imagine privind eventualitatea
apariiei unor riscuri n cazul neincluderii unor controale adecvate.
De asemenea, auditorul va evalua modul n care organizaia monitorizeaz prestaia furnizorilor externi de
servicii, att n ceea ce privete aspectele legate de securitate, ct i cele legate de calitatea serviciilor.
Monitorizarea neadecvat mrete riscul ca procesarea inexact sau incomplet s rmn nedetectat.
Examinarea contractelor de prestri servicii va acoperi toate problemele importante: performana (SLAs),
securitatea, proprietatea asupra datelor, accesul la datele clientului, disponibilitatea serviciului,
planificarea pentru situaiile de urgen.
Auditorul trebuie s obin asigurarea c furnizorul extern de servicii IT a realizat o procesare exact i
complet. Auditorul va putea obine asigurarea prin inspecie personal sau prin obinerea asigurrii unei
tere pri independente.
PROCEDURA B7 - Managementul schimbrii i al dezvoltrii de sistem

Schimbarea sistemului pe durata ciclului su de via are un impact semnificativ asupra controalelor
existente i poate afecta fundamental funcionalitatea sistemului.
Controalele schimbrii sunt necesare pentru a asigura continuitatea sistemului n conformitate cu cerinele
impuse i pot varia considerabil de la un tip de sistem la altul.
Schimbrile se refer la hardware (calculatoare, periferice, reele), la software (sisteme de operare,
utilitare) i la aplicaiile individuale. Scara schimbrilor poate diferi considerabil: de la proceduri aferente
unor funcii dedicate, la instalarea unor versiuni noi de aplicaii sau sisteme de operare. Indiferent de
mrimea sau scara schimbrilor, efectele asupra operrii sistemului trebuie s fie minime pentru a nu
perturba activitatea curent a entitii.
Controalele managementului schimbrilor sunt implementate pentru a se asigura c modificrile aduse
unui sistem informatic sunt corespunztor autorizate, testate, acceptate i documentate. Controalele
slabe pot antrena din schimbri care pot conduce la modificri accidentale sau de rea credin aduse
programelor i datelor. Schimbrile de sistem insuficient pregtite pot altera informaiile financiare i pot
ntrerupe parcursul de audit.
Pag. 180 din 214
Schimbrile pot fi solicitate pentru urmtoarele motive:
Pentru mbuntirea funcionalitii sistemului n ceea ce privete timpul de rspuns,

existena unor discontinuiti n meniuri, prezena erorilor de program;
Pentru uurarea operrii sistemului: perfecionri privind administrarea bazei de date i a
reelei, asistena de tip helpdesk etc.;
Pentru perfecionri privind planificarea capacitii: resurse adiionale cerute de sistem,
componente de capacitate crescut;
Pentru corectarea erorilor semnalate: frecvena crescut a incidentelor helpdesk care au
asociate probleme de sistem;
Pentru perfecionarea securitii sistemului i a informaiilor: identificarea punctelor
slabe n sistemul de securitate i corectarea acestora;
Actualizri de rutin: impuse de dezvoltatorii de software la schimbarea versiunii
sistemului (clientul trebuie s instaleze n permanen versiunea curent);
Schimbri la nivelul cerinelor impuse sistemului generate de: schimbri de legislaie,
schimbri ale cerinelor sau orientrii afacerii.
Proceduri de control al schimbrii

Procedurile de control al schimbrii trebuie s includ:
Proceduri privind autorizarea de ctre management;
Testarea software-ului modificat nainte de a fi utilizat n mediul de producie;
Examinri din partea managementului ale efectelor schimbrilor;
ntreinerea unor evidene adecvate;
Pregtirea unui plan de recuperare (de revenire la situaia iniial), chiar dac sistemul
funcioneaz corect;
Elaborarea i implementarea procedurilor privind schimbrile n caz de urgen.

Elaborarea sistemului de proceduri de control al schimbrii trebuie pregtit prin colectarea, inventarierea
i clasificarea cerinelor privind schimbarea, urmat de acordarea unor prioriti care semnific urgena
care se impune pentru fiecare schimbare n parte. Prioritate schimbrii este determinat prin evaluarea
costurilor schimbrii i a impactului asupra afacerii i a resurselor aferente acesteia.
Categoriile tipice de schimbri sunt:
Schimbrile de urgen: se refer la cderea complet a sistemului, astfel nct trebuie
asigurate funciile critice (indisponibile) ale afacerii;
Schimbri cu impact potenial asupra tuturor utilizatorilor sistemului: pot fi generate de
nlocuirea sistemului sau de instalarea unei noi versiuni a sistemului de operare;
Schimbri cu impact potenial asupra tuturor utilizatorilor unui serviciu sau a unei aplicaii:
pot fi generate de instalarea unei noi versiuni a unei aplicaii;
Schimbri cu impact potenial asupra tuturor utilizatorilor unui serviciu: se refer la
reorganizarea unei baze de date sau corectarea unei erori;
Schimbri minore care necesit reiniializarea sistemului: sunt schimbri de configuraie
(adugare de noi componente n sistem), potrivirea ceasului electronic;
Schimbri minore: se refer, de exemplu, la schimbarea definiiilor reelei, la iniializarea unui
nou hard disk.
Pag. 181 din 214
Decizia privind operarea efectiv a schimbrilor trebuie s ia n considerare o serie de factori:
Impactul potenial asupra sistemelor IT i asupra serviciilor furnizate utilizatorilor:

capacitate, securitate, timpul de rspuns al sistemului, performan;
Efectul nonimplementrii schimbrii;
Resursele necesare pentru implementarea schimbrii (costuri, personal);
Cerine pentru resursele viitoare dac se va implementa schimbarea.
n urma aprobrii de ctre management, gestionarea schimbrii trebuie transferat ctre personalul tehnic
(programatori, operatori, tehnicieni pentru reele etc.) pentru a asigura implementarea acesteia.
n cazul schimbrilor aplicaiilor, programatorii vor face dezvoltrile ntr-un mediu de dezvoltare
controlat, la care are acces numai personalul autorizat pentru efectuarea schimbrii. Versiunea modificat
i documentat este transferat pentru validare n mediul de test. Transferul programelor actualizate n
mediul de producie este realizat de o alt echip, nu de ctre programatorii sau analitii care au participat
la dezvoltare sau testare.
Orice schimbare a sistemului software necesit actualizarea documentaiei n concordan cu schimbrile
operate.
Dup o perioad predefinit, schimbarea trebuie revizuit pentru a determina:
Dac schimbarea s-a finalizat cu rezultatele planificate;
Dac utilizatorii sunt mulumii n ceea ce privete modificarea produsului;
Dac au aprut probleme sau efecte neateptate;
Dac resursele cerute pentru implementarea i operarea sistemului actualizat au fost cele
planificate.
Schimbrile de urgen sunt schimbri care sunt necesare n anumite situaii neprevzute, nu pot
atepta parcurgerea fluxului normal al procedurilor de control al schimbrii i trebuie implementate cu o
ntrziere minim. Pentru acestea trebuie utilizate proceduri de control al schimbrilor de urgen.
Natura schimbrilor de urgen se reflect n timpul necesar efecturii i testrii schimbrii.
Auditorul va verifica dac aceste proceduri sunt rezonabile i includ forme de control suficiente i
adecvate.
Avnd n vedere c acest tip de schimbri se realizeaz sub presiune, trebuie avute n vedere riscurile
generate care sunt majore n astfel de cazuri.
Controlul versiunilor
Procedurile de control al versiunilor sunt foarte importante pentru a asigura utilizatorul c opereaz
asupra versiunii de program corecte. Creterea gradului de distribuire a sistemelor implic o dificultate
crescut a gestiunii versiunilor, ceea ce implic necesitatea implementrii unor proceduri de control al
versiunilor.
Pe baza acestor premise, managementul schimbrii i al dezvoltrii sistemului se poate sintetiza dup
cum se descrie n continuare:
Dezvoltatorii de software utilizeaz pe scar larg instrumente automate de control al versiunilor pentru a
nregistra schimbrile succesive efectuate asupra programelor surs.
Managementul schimbrii i al dezvoltrii sistemului are ca obiectiv important implementarea unor
politici, proceduri i controale n scopul asigurrii c sistemele sunt disponibile cnd sunt necesare,
funcioneaz conform cerinelor, sunt fiabile, controlabile i necostisitoare, au un control sigur al integritii
datelor i satisfac nevoile utilizatorilor.
Pag. 182 din 214
Politicile implementate privind schimbarea sau dezvoltarea sistemului se refer la urmtoarele aspecte:
Managementul schimbrii proceselor afacerii. Procedurile i controalele cele mai

relevante se refer la urmtoarele aspecte: iniierea modificrii sau dezvoltrii sistemului IT,
alocarea corect a investiiilor n hardware, software i servicii IT, asigurarea c se realizeaz
armonizarea necesitilor afacerii cu schimbrile IT, documentarea procedurilor i a
activitilor (formular pentru cereri, evidena modificrilor efectuate) i competenele de
aprobare.
Implementarea controalelor privind managementul schimbrilor tehnice se refer la modul
n care se gestioneaz schimbrile tehnice pariale sau integrale ale sistemului informatic:
integrarea de componente noi, nlocuirea unor componente, schimbarea versiunii sistemului
etc., precum i asupra procedurilor de implementare a schimbrilor tehnice n mediul de test,
de producie, de dezvoltare sau de implementare a modificrilor solicitate n regim de
urgen.
Metodologia de dezvoltare constituie un element esenial pentru succesul implementrii
schimbrilor tehnice ntruct ofer suportul procedural pentru procesele de dezvoltare a sistemului informatic i un cadru standardizat pentru implementarea componentelor informatice.
Procedurile trebuie s se aplice ntr-un mod consistent tuturor proiectelor de dezvoltare,
avnd ataate i cazuri predefinite de testare. Lipsa unei metodologii de dezvoltare a
proiectelor implic un risc ridicat asupra sistemului.
n ceea ce privete managementul proiectelor este necesar implementarea unor proceduri
i controale privind: metodologia de management al proiectelor utilizat, existena procedurilor specifice proiectelor IT, monitorizarea periodic a stadiului proiectelor IT. Lipsa
acestora genereaz riscuri pe toat durata de via a proiectului.
Implicarea utilizatorilor n etapele procesului de dezvoltare a proiectului, n funcie de
nivelul profesional al acestora, poate genera de asemenea riscuri privind: specificarea
cerinelor, testarea programelor, acceptarea sistemului, instruirea personalului, elaborarea
documentaiei etc..
Managementul calitii are un impact semnificativ asupra componentelor informatice
dezvoltate, asupra sistemului n general i, implicit, asupra activitii entitii.
Documentarea procedurilor i a funcionrii sistemului este esenial att pentru facilitatea
operrii de ctre utilizatori la nivel de aplicaie, ct i pentru asigurarea funcionalitii la nivel
de sistem. Existena manualelor de utilizare reprezint o cerin minimal.
Utilizarea unor proceduri inadecvate de control al modificrilor poate crete riscul ca sistemul s nu
proceseze corect tranzaciile financiare. Fr o testare adecvat, att conducerea entitii, ct i auditorii
au o asigurare slab c sistemul va efectua ceea ce s-a intenionat. Implicarea neadecvat a utilizatorilor
crete riscul ca informaiile rezultate din aplicaii s nu corespund cu realitatea. Documentaia
neadecvat face ca sistemul s fie dificil de ntreinut. Fr standarde adecvate, poate fi dificil s se
respecte documentaia.
O documentare bun a schimbrilor poate ajuta la identificarea erorilor sistemului. Utilizarea metodologiilor standard de proiectare reduce riscul ca un sistem nou s nu corespund cerinelor utilizatorului.
Modificrile de urgen care nu au fost aprobate pot cauza probleme neprevzute n alte zone ale
sistemului informatic.
Existena unor controale neadecvate poate conduce la utilizarea n mediul de producie a unor programe
neautorizate. Modificrile neautorizate n sistem pot fi utilizate pentru fraudarea clientului. Acestea pot de
asemenea s afecteze disponibilitatea sistemelor i pot deforma datele financiare. Utilizarea neautorizat
Pag. 183 din 214
a unor faciliti poate fi utilizat pentru a ocoli procedurile de management al modificrilor stabilite i
favorizeaz dezvoltarea de aplicaii neautorizate.
Auditorul va examina urmtoarele aspecte:
Politicile i procedurile de autorizare existente pentru modificarea aplicaiilor financiare: cine

autorizeaz modificrile, dac se folosesc studii de fezabilitate pentru a determina impactul
potenial al modificrilor, cum este monitorizat i analizat derularea proiectului de ctre
conducere, reaciile generate, metodologii i instrumente standard de dezvoltare adoptate,
documentaii referitoare la modificare, analiza post-modificare;
n ce msur sunt testate actualizrile sistemului i ale aplicaiei nainte de transferul n mediul
operaional (de producie);
Dac procedurile de testare sunt adecvate, independente i documentate;
Implicarea utilizatorilor n testarea dezvoltrii, achiziiei i recepiei sistemelor informatice;
Dac evidenele modificrilor sunt la zi, cuprinztoare i complete;
Dac manualele de utilizare sunt actualizate i este disponibil cea mai recent versiune a
documentaiei;
Efectuarea modificrilor de urgen;
Controale existente pentru a asigura c numai modificrile autorizate sunt transferate din mediul
de testare n mediul de producie;
Modul de tratare a deficienele de funcionare a software-ului i a problemelor utilizatorilor (funcie
help-desk, statistici help-desk disponibile, rezolvarea practic a incidentelor);
Controale pentru prevenirea accesului persoanelor neautorizate la programele din biblioteca
sursa de programe pentru a face modificri.
PROCEDURA B8 - Auditul intern IT

Responsabilitatea managementului privind implementarea sistemului de controale interne se reflect n
politicile i procedurile implementate. Asigurarea c sistemul de controale este implementat
corespunztor i reduce n mod rezonabil riscurile identificate este furnizat de auditorii interni care
examineaz politicile, procedurile i controalele implementate i efectele funcionrii acestora asupra
activitii entitii.
Auditorii externi privesc funcia de audit intern a entitii ca fiind o parte din structura general de control a
acesteia, o evalueaz i formuleaz o opinie privind ncrederea n activitatea auditului intern.
De asemenea, auditorii externi evalueaz dac personalul din structura de audit intern este capabil s
efectueze evaluri competente ale sistemului de calcul al entitii, dac utilizeaz metodologii sau
standarde de audit IT adecvate.
Structura mediului de control IT al unei entiti conine controale specifice IT care se refer la urmtoarele
categorii de elemente:
Mediul controalelor generale: include controalele asociate politicilor de nivel nalt, valorilor
etice, culturii afacerii i resurselor umane.
Evaluarea riscurilor: presupune evaluarea ameninrilor, vulnerabilitilor i a impactului
acestora asupra afacerii.
Informaie i comunicaii: constau n controale care permit personalului s primeasc i
s controleze informaiile legate de afacere.
Pag. 184 din 214
Activiti de control: asigur c afacerea continu s opereze n maniera ateptat de

managementul de vrf.
Monitorizare: asigur c politicile i procedurile continu s funcioneze i sunt adecvate.
Auditul intern trebuie s se concentreze asupra existenei i eficacitii controalelor specializate IT pentru
toate categoriile menionate mai sus, n concordan cu specificul activitii i n scopul evitrii expunerii
afacerii la riscuri nejustificate.
Specializarea unor auditori n domeniul auditului IT i utilizarea unor metodologii adecvate sau includerea
unor experi n domeniu n echipa de audit, n situaii n care se justific prezena acestora, reprezint o
cerin pentru evaluarea unor sisteme informatice complexe.
n funcie de stadiul n care acioneaz, exist trei categorii de controale:
Controale preventive proiectate pentru a preveni producerea de erori, omisiuni sau aciuni ru
intenionate. Un exemplu de control preventiv este utilizarea parolelor pentru accesul n sistem.
Controale de detectare proiectate pentru a detecta erori, omisiuni sau aciuni ru intenionate
care au loc i pentru a raporta apariia acestora. Un exemplu de control detectiv este meninerea
jurnalelor de operaii ale sistemului i ale aplicaiilor.
Controale corective proiectate pentru a reduce impactul sau pentru a corecta erorile odat ce
au fost detectate. Planul de continuitate a afacerii este considerat cel mai semnificativ control
corectiv.
4.4.3 Analiza controalelor aplicaiei i evaluarea riscurilor asociate

Seciunile urmtoare se refer la problematica specific aplicaiilor informatice financiar-contabile, din
perspectiva auditului.
Scop: S consolideze cunotinele privind sistemul informatic al clientului, obinute prin evaluarea
controalelor generale aferente mediului informatizat, s permit auditorului financiar s identifice, s
documenteze i s evalueze orice proceduri i controale care opereaz n cadrul fiecrei aplicaii
financiare, s permit auditorului s evalueze nivelul general al riscului de audit asociat fiecrei aplicaii i
s identifice riscurile specifice care pot influena realizarea conformitii i riscurile asociate programelor
informatice.
Cele mai importante obiective de control specifice aplicaiilor69 sunt:
1. Pregtirea i autorizarea surselor de date: asigur faptul c documentele surs sunt pregtite de
personal autorizat i calificat, folosind proceduri anterior stabilite, demonstrnd o separare adecvat a
ndatoririlor cu privire la generarea i aprobarea acestor documente. Erorile i omisiunile pot fi minimizate
printr-o bun proiectare a intrrilor. Detecteaz erorile i neregulile spre a fi raportate i corectate.
2. Colectarea surselor de date si introducerea n sistem: stabilete faptul c intrrile (datele de intrare) au
loc la timp, fiind fcute de ctre personal autorizat i calificat. Corectarea i retrimiterea datelor care au
intrat n sistem n mod eronat trebuie s aib loc fr a trece peste nivelurile iniiale de autorizare privind
tranzaciile (intrrile). Cnd este nevoie s se reconstituie intrarea, trebuie reinut sursa iniial pentru o
perioad suficient de timp.
3. Verificri privind: acurateea, completitudinea i autenticitatea: asigur faptul c tranzaciile sunt precise
(exacte), complete i valabile. Valideaz datele introduse i le editeaz sau le trimite napoi spre a fi
corectate ct mai aproape posibil de punctul de provenien.
69
Conform cadrului de lucru COBIT

Pag. 185 din 214
4. Integritatea i validitatea procesului: menine integritatea i validitatea datelor de-a lungul ciclului de
procesare. Detectarea tranzaciilor compromise din punct de vedere al erorilor nu ntrerupe procesarea
tranzaciilor valide.
5. Revizuirea rezultatelor, reconcilierea i tratarea erorilor: stabilete procedurile i responsabilitile
asociate pentru a asigura c rezultatul este utilizat ntr-o manier autorizat, distribuit destinatarului
potrivit i protejat n timpul transmiterii sale, precum i faptul c se produc: verificarea, detectarea i
corectarea exactitii rezultatului i c informaia oferit n rezultatul procesrii este utilizat.
6. Autentificarea i integritatea tranzaciilor: nainte de a transmite datele tranzaciei de la aplicaiile
interne ctre funciile operaionale ale afacerii (sau ctre exteriorul organizaiei), trebuie verificate: destinaia, autenticitatea sursei i integritatea coninutului. Menine autenticitatea i integritatea transmiterii sau
ale transportului.
Pentru evaluarea controalelor de aplicaie se utilizeaz Lista de verificare privind evaluarea controalelor
de aplicaie.
Aspectele teoretice referitoare la evaluarea riscurilor au fost tratate n detaliu n Capitolul 3. Pentru
evaluarea riscurilor se utilizeaz Lista de verificare privind evaluarea riscurilor.
PROCEDURA CA1 - nelegerea sistemului informatic financiar - contabil

Auditorul trebuie s neleag toate etapele pe care le parcurg tranzaciile, de la iniiere i pn la
reflectarea lor n situaiile financiare. n foarte multe cazuri, cnd activitatea este parial informatizat,
aplicaiile informatice reflect parial fluxul unei tranzacii, prelucrarea fiind completat prin proceduri
manuale. n acest context, auditorul este cel care trebuie s reconstituie parcursul tranzaciei, de la
iniiere pn la includerea n situaiile financiare.
n cadrul evalurii aplicaiilor, auditorul trebuie s identifice toate echipamentele informatice asociate
mediului IT implicate n introducerea, prelucrarea, stocarea sau producerea rezultatelor de ieire aferente
sistemului informatic financiar-contabil (SIFC). De asemenea, va identifica toate aplicaiile IT care
contribuie la obinerea situaiilor financiare.
Pentru fiecare aplicaie financiar auditorul trebuie s prezinte n documentele de lucru, sub forma de
schem logic sau descriptiv, urmtoarele elemente:
interfeele dintre operaiile manuale i operaiile informatizate;

echipamentele i aplicaiile informatice care contribuie la obinerea situaiilor financiare
verificate;
valoarea i volumul tranzaciilor procesate de fiecare aplicaie;
modulele de introducere, prelucrare, ieire i stocare ale aplicaiilor relevante;
fluxul tranzaciilor de la iniierea tranzaciei pn la reflectarea acestora n situaiile financiare.
Creterea gradului de complexitate a sistemelor informatice prin integrarea aplicaiilor la nivelul sistemului
informatic al entitii, permite procesarea mai multor tipuri de tranzacii, provenind din aplicaii diferite:
aplicaii care proceseaz tranzacii privind veniturile, tranzacii de cheltuieli, state de plat lunare, evidena
stocurilor, costul lucrrilor i activele fixe i altele. Este deci posibil ca o aplicaie s proceseze tranzacii
din zone contabile diferite.
La definirea zonelor contabile, auditorul va trebui s identifice fluxul principal de tranzacii din fiecare
aplicaie i s reconstituie parcursul prelucrrii n funcie de aplicaia analizat. De asemenea, trebuie s
detecteze i s reconstituie fluxurile care apar n situaia transferului de informaii ntre aplicaii.
Auditorul trebuie s evalueze riscul de audit n cadrul fiecrui proces, utiliznd urmtorii trei factori:
(a) ameninrile la adresa integritii i disponibilitii informaiilor financiare;
(b) vulnerabilitatea informaiilor financiare la ameninrile identificate;
Pag. 186 din 214
(c) impactul posibil n ceea ce privete obiectivele auditului.

Auditorul va colecta informaii referitoare la aplicaia financiar-contabil: descrierea aplicaiei, funciile pe
care le realizeaz aplicaia, arhitectura aplicaiei (platforma hardware / software, produsele software de tip
instrument, sistemul de gestiune a bazelor de date, sistemul de comunicaie), proprietarul aplicaiei,
administratorul aplicaiei, numrul utilizatorilor aplicaiei i cine sunt acetia, volumul i valoarea
tranzaciilor procesate lunar de aplicaia financiar-contabil, puncte slabe sau probleme cunoscute.
PROCEDURA CA2 - Posibilitatea de efectuare a auditului

Posibilitatea efecturii auditului pe baza sistemului informatic financiar-contabil depinde de posibilitatea
colectrii unor probe suficiente i competente, pentru efectuarea auditului.
n cazul n care situaiile financiare au fost produse de un sistem informatic, trebuie s fie ndeplinite
urmtoarele condiii:
evidenele tranzaciilor s fie stocate i s fie complete pentru ntreaga perioad de raportare;
evidenierea unei tranzacii s conin suficiente informaii pentru a stabili un parcurs de audit;
totalurile tranzaciilor s se regseasc n situaiile financiare.
Dac oricare din aceste criterii nu primete un rspuns afirmativ, auditorul trebuie s decid dac sistemul
informatic ofer ncredere n situaiile financiare generate de acest sistem. n condiiile n care concluzia
auditorului este c nu poate avea ncredere n sistemul informatic, auditorul trebuie s analizeze ce
msuri trebuie luate pentru a continua misiunea de audit financiar.
Auditorul trebuie s constate dac exist evidene contabile alternative manuale i dac este posibil s se
efectueze auditul pe baza acestora (pe lng sistemul informatic).
PROCEDURA CA3 - Utilizarea tehnicilor de audit asistat de calculator

(CAAT)
Utilizarea tehnicilor de auditare asistat de calculator, ca instrumente de auditare, acoper, n principal,
procesele i activitile prezentate n continuare:
a) Gestionarea documentelor de lucru electronice;
b) Regsirea i analiza informaiei;
c) Estimarea riscurilor generate de utilizarea tehnicilor de auditare asistat de calculator;
d) Detectarea fraudei;
e) Securitatea i performana reelei de calculatoare;
f) Securitatea n reeaua Internet;
g) Monitorizarea continu;
h) Raportarea auditului.
Tehnicile de auditare asistat de calculator utilizate cel mai frecvent n auditul financiar se mpart n dou
categorii:
(a) tehnici pentru regsirea datelor
prin interogarea fiierelor de date;
prin utilizarea unor module de audit incluse n sistemul informatic auditat.
(b) tehnici pentru verificarea controalelor sistemului
utilizarea datelor de test;
utilizarea facilitilor de testare integrate;
Pag. 187 din 214
simulare paralel;
compararea codului programului;
revizuirea codului programului.
n ambele cazuri se pun urmtoarele probleme: (1)- identificarea informaiilor care vor fi necesare pentru
prelucrare n scopul obinerii probelor de audit, (2)- obinerea datelor ntr-un format adecvat pentru a fi
prelucrate, (3)- stocarea datelor ntr-o structur care s permit prelucrrile impuse de necesitile
auditului.
Utilizarea tehnicilor de auditare asistat de calculator presupune:
cunoaterea scopului care trebuie atins;

nelegerea modului n care opereaz sistemul (identificarea fiierelor care conin datele de
interes i a structurii acestora);
cunoaterea structurii nregistrrilor, pentru a le putea descrie n programul de interogare;
formularea interogrilor asupra fiierelor / bazelor de date;
cunoaterea modului de operare a sistemului;
determinarea criteriilor de selecie a nregistrrilor n funcie de metoda de eantionare i de
tipurile de prelucrri;
interogarea sistemului i obinerea probelor de audit.
In permanen trebuie obinut asigurarea privind versiunea de programe utilizat i corectitudinea

surselor de date. De asemenea, trebuie adoptat cea mai adecvat form de prezentare a rezultatelor.
In scopul utilizrii adecvate a informaiilor supuse analizei de ctre programul de auditare asistat de
calculator selectat, al asigurrii accesibilitii pentru auditor i al asigurrii compatibilitii cu configuraia
hardware utilizat de auditor, este necesar specificarea formatelor fiierelor de date i a metodei
(structurii) de memorare.
Datele trebuie s fie furnizate ntr-o form care s permit utilizarea lor n mod direct de ctre programul
de auditare asistat de calculator sau ntr-un format standard compatibil cu versiunea sofware utilizat de
auditor (fiiere Windows, Lotus, Excel, Dbase, text cu separatori etc.);
Datele trebuie s fie furnizate n format electronic, pentru a permite importul direct n baza de date a
auditorului, pe suport magnetic, optic sau prin reea (Internet, intranet). In toate cazurile trebuie analizate
implicaiile infectrii cu virui.
Implementarea auditului bazat pe calculator sau asistat de calculator constituie o etap deosebit de
important, n care se pot automatiza integral sau parial o serie de activiti ntre care: managementul
proiectului, colectarea datelor, elaborarea de statistici, elaborarea de proceduri de eantionare, evaluare
i testare, elaborarea documentelor de lucru (machete, chestionare, liste de verificare), redactarea
raportului de audit, analiza.
Utilizarea programelor software pentru auditare proiectate special pentru acest scop permite
auditorilor s interogheze surse de date ale entitii auditate, s opereze prelucrri cu ajutorul
instrumentelor asociate i s prezinte rezultatele n formatele dorite de auditor.
In cazul auditului financiar, sunt oferite faciliti specifice pentru prelucrarea i analiza unor colecii mari de
date, prin efectuarea unor teste i utilizarea unor proceduri adecvate, cum ar fi:
Teste ale detaliilor tranzaciilor i soldurilor (recalcularea dobnzii, extragerea din nregistrrile
bazei de date a entitii a facturilor care depesc o anumit valoare sau dat calendaristic sau
care ndeplinesc alte condiii);
Pag. 188 din 214
Proceduri analitice (identificarea neconcordanelor sau a fluctuaiilor semnificative);

Teste ale controalelor generale (testarea setrii sau a configurrii sistemului de operare,
verificarea faptului c versiunea programului folosit este versiunea aprobat de conducere);
Programe de eantionare pentru extragerea datelor n vederea efecturii testelor de audit;
Teste ale controalelor aplicaiilor (testarea conformitii aplicaiei cu condiiile impuse de legislaia
n vigoare);
Refacerea calculelor efectuate de sistemele contabile ale entitii.
Pentru a obine probe de audit de calitate i pentru efectuarea unor prelucrri adiionale, auditorul poate
efectua investigaii privind informaiile generate de calculator, prin utilizarea tehnicilor de audit asistat de
calculator, n particular, utilizarea programului IDEA.
Acest mod de lucru contribuie la creterea performanei n efectuarea testelor de fond, prin aplicarea unor
proceduri analitice automatizate, precum i a performanei procedurilor de audit.
Tehnicile de testare a datelor sunt folosite uneori pe parcursul unui audit prin introducerea de date (de
exemplu, un eantion de tranzacii) ntr-un sistem informatic al unei entiti i compararea rezultatelor
obinute cu rezultatele predeterminate.
Un auditor poate folosi testarea datelor pentru:
verificarea controalelor specifice n sistemele informatice, cum ar fi controale de acces la date,
parole;
prelucrarea tranzaciilor selectate dintre cele prelucrate de sistemul informatic sau create de
auditor pentru a testa facilitile aplicaiilor informatice ale entitii, separat de datele procesate n
mod obinuit de entitate;
prelucrarea tranzaciilor de test n timpul execuiei normale a programului de prelucrare, de ctre
auditorul integrat n sistem ca fiind un utilizator fictiv. In acest caz, tranzaciile de test trebuie s
fie eliminate ulterior din nregistrrile contabile ale entitii.
PROCEDURA CA4 Determinarea rspunderii

Pentru a determina rspunderea utilizatorilor n ceea ce privete operaiile efectuate asupra tranzaciilor,
sistemele informatice trebuie s fie capabile s identifice ce utilizator a efectuat o anumit operaie i
cnd. Implementarea unor controale care identific i raporteaz aciunile utilizatorilor i nregistreaz
informaiile ntr-un registru de audit, fac ca astfel de utilizatori s fie mai reticeni n realizarea de operaii
neautorizate.
nregistrarea activitilor utilizatorilor n registrul de audit este, prin ea nsi, insuficient pentru a reduce
riscul realizrii de activiti neautorizate. Conducerea trebuie s examineze n mod regulat rapoartele de
excepii extrase din registrul de audit i s ia msuri de urmrire ori de cte ori sunt identificate
discrepane.
Registrele de audit sunt utile numai dac nu pot fi modificate. Trebuie s existe controale adecvate pentru
a asigura c personalul care introduce sau proceseaz tranzacii nu poate s modifice i nregistrrile
aferente activitilor lor. Integritatea registrelor de audit poate fi asigurat prin criptarea datelor sau prin
copierea registrului ntr-un director sau fiier protejat.
Auditorul va verifica dac exist controale adecvate pentru a asigura c personalul care introduce sau
proceseaz tranzacii nu poate s modifice i dac sunt nregistrate activitilor lor.
Pag. 189 din 214
PROCEDURA CA5 Evaluarea documentaiei aplicaiei

O bun documentaie a aplicaiei reduce riscul comiterii de greeli de ctre utilizatori sau al depirii
atribuiilor autorizate. Documentaia trebuie s fie cuprinztoare, actualizat la zi, pentru ca examinarea
acesteia s ajute auditorul s obin o nelegere a modului n care funcioneaz fiecare aplicaie i s
identifice riscurile particulare de audit. Documentaia trebuie s includ:
prezentarea general a sistemului;

specificaia cerinelor utilizatorului;
descrierea i listingul programului surs (dup caz);
descrierile intrrilor / ieirilor;
descrierea coninutului fiierelor;
manualul utilizatorului;
instruciuni de operare.
Auditorul va evalua dac documentaia aplicaiei este adecvat, este cuprinztoare i actualizat, dac
personalul ndreptit are copii ale documentaiei relevante sau acces la aceasta, dac exist instruciuni
de lucru pentru procedurile zilnice i pentru rezolvarea unor probleme frecvente, dac se pstreaz copii
de rezerv ale documentaiei aplicaiei n scopul recuperrii dup dezastru i al relurii rapide a
procesrii.
PROCEDURA CA6 Evaluarea securitii aplicaiei

Dup evaluarea controalelor generale IT, auditorul va trebui s obin o nelegere a controalelor asupra
accesului la calculatoarele pe care funcioneaz aplicaiile, n condiiile n care utilizatorii selecteaz o
aplicaie anume. O analiz a securitii aplicaiei ia n considerare controalele de acces ca fiind o faz
anterioar operrii aplicaiei i vizeaz modul n care sunt controlai utilizatorii cnd acceseaz o anumit
aplicaie. De exemplu, tot personalul din departamentul finane va avea acces, prin controalele sistemului,
la aplicaia financiar online. Pentru controlul accesului la diferite categorii de informaii (la registrul de
vnzri, la registrul de cumprri, la statele de plat etc.) se introduc controalele de aplicaie suplimentare
care reglementeaz drepturile de acces la fiecare categorie n parte.
Auditorul va evalua proteciile fizice n vigoare pentru a preveni accesul neautorizat la aplicaie sau la
anumite funcii ale acesteia, n funcie de atribuii, pentru punerea n aplicare a separrii sarcinilor i a
respectrii atribuiilor. De asemenea, va evalua controalele existente n cadrul aplicaiei pentru
identificarea aciunilor utilizatorilor individuali (utilizarea de identificri unice, jurnale de operaii, utilizarea
semnturii electronice).
Auditorul va testa controalele logice de acces utilizate pentru a restriciona accesul la aplicaie sau la
anumite funcii ale acesteia pentru punerea n aplicare a separrii sarcinilor i a respectrii atribuiilor,
precum i controalele logice existente pentru restricionarea activitii utilizatorilor dup ce a fost obinut
accesul la o aplicaie (de exemplu, meniuri restricionate).
PROCEDURA CA7 Evaluarea controalelor privind introducerea datelor

n vederea prelucrrii, datele pot fi introduse ntr-o varietate de formate. Pe lng informaiile introduse
direct de la tastatur, aplicaiile informatice accept pe scar din ce n ce mai larg documente electronice
provenind din prelucrri anterioare n alte sisteme sau create prin utilizarea dispozitivelor electronice de
recunoatere a caracterelor. Oricare form de introducere a datelor ar fi utilizat, obiectivele generale ale
controlului intrrii rmn aceleai. Acestea trebuie s asigure c:
Pag. 190 din 214
toate tranzaciile sunt introduse exact i complet;

toate tranzaciile sunt valabile;
toate tranzaciile sunt autorizate;
toate tranzaciile sunt nregistrate n perioada financiar corect.
Controalele fizice i logice de acces trebuie s ofere asigurarea c numai tranzaciile valabile sunt
acceptate pentru introducere.
Controalele fizice de acces includ mecanisme de acces protejate la uile ctre biroul financiar i
terminalele calculatorului (nchidere cu mecanisme de blocare sau cu cheia).
Controalele logice de acces se refer la capacitatea sistemelor informatice de a identifica utilizatorii
individuali i de a raporta identitatea lor fa de o list predeterminat de funcii pe care fiecare dintre
acetia este autorizat s le execute.
Dup identificare i autentificare, aplicaia poate fi n msur s controleze drepturile fiecrui utilizator.
Aceasta se realizeaz pe baza profilului i a drepturilor i privilegiilor de acces necesare pentru fiecare
utilizator individual sau grup de utilizatori. De exemplu, unui utilizator i se poate atribui profilul de operator
n registrul de vnzri i ca atare acestuia i va fi interzis s realizeze activiti n registrul de cumprri
sau n orice alt modul din cadrul aplicaiei.
O asigurare suplimentar poate fi obinut prin separarea sarcinilor impus prin calculator. Utilizatorii pot
avea un profil care s asigure c sistemul va procesa datele introduse numai dup ce au fost autorizate
de un alt membru nominalizat al personalului. Profilul utilizatorului trebuie s fie suficient de detaliat
pentru a asigura c un membru al personalului nu poate accesa sau procesa o tranzacie financiar de la
nceput la sfrit.
Asigurarea c introducerea datelor este complet poate fi obinut prin gruparea tranzaciilor pe loturi i
verificarea numrului i valorii tranzaciilor introduse cu totalurile calculate independent.
Dac aplicaiile nu utilizeaz controalele de lot pentru a introduce tranzacii, auditorul trebuie s caute alte
dovezi ale completitudinii. Se poate include o examinare a documentelor surs pentru a se confirma c
acestea au dat natere datelor de intrare.
Aplicaiile pot confirma validitatea intrrii prin compararea datelor introduse, cu informaii deja deinute in
sistem (de obicei din nomenclatoare sau cataloage). De exemplu, un sistem utilizat de validare a
adreselor dintr-un registru de vnzri sau cumprri implic introducerea numrului cldirii i a codului
potal. Calculatorul va cuta adresa n fiierele sale i apoi operatorul o compar cu adresa din
documentele de intrare.
Numerele de cont i alte cmpuri cheie pot ncorpora cifre de control. Cifrele de control sunt calculate prin
aplicarea unui algoritm la coninutul cmpului i pot fi utilizate pentru a verifica dac acel cmp a fost
introdus corect.
Cmpurile financiare pot face obiectul verificrii unui set de date pentru a evita introducerea de sume
neautorizate sau nerezonabile. Datele introduse care ncalc limitele prestabilite vor fi respinse i
evideniate ntr-un registru de audit.
Utilizarea numerelor de ordine ale tranzaciilor poate releva tranzaciile lips, ajut la evitarea tranzaciilor
duble sau neautorizate i asigur un parcurs de audit.
Controalele precizate mai sus nu sunt valide n condiiile n care este posibil ca acestea s fie ocolite prin
aciuni de introducere sau modificare a datelor, din afara aplicaiei.
Pag. 191 din 214
Auditorul trebuie s urmreasc existena unor verificri automate ale aplicaiei care s detecteze i s
raporteze orice modificri externe ale datelor, de exemplu modificri neautorizate efectuate de personalul
de operare al calculatorului, direct n baza de date aferent aplicaiei. Auditorul trebuie s examineze i
rezultatele analizelor efectuate de sistem, pentru a se asigura c utilizarea facilitilor de modificare ale
sistemului, precum editoarele, este controlat corespunztor.
Auditorul va evalua procedurile/controalele existente care s asigure c introducerea datelor este autorizat
i exact, precum i controalele care asigur c toate tranzaciile valabile au fost introduse (verificri de
completitudine i exactitate), c exist proceduri pentru tratarea tranzaciilor respinse sau eronate. Va
verifica aciunile care se ntreprind de ctre conducere pentru monitorizarea datelor de intrare.
PROCEDURA CA8 Evaluarea controalelor privind transmisia de date

Sistemele informatice sunt conectate fie la reeaua local, fie la alte reele externe (LAN sau WAN), care
le permit s primeasc i s transmit date de la calculatoare aflate la distan. Cele mai utilizate medii de
transmitere a datelor includ liniile telefonice, cablurile coaxiale, unde infraroii, fibre optice i unde radio.
Indiferent de mijloacele de transmisie utilizate, trebuie s existe controale adecvate care s asigure
integritatea datelor tranzaciei transmise.
Aplicaiile care transmit informaii prin reele pot fi supuse urmtoarelor riscuri:
datele pot fi interceptate i modificate fie n cursul transmisiei, fie n cursul stocrii n site-uri
intermediare;
n fluxul tranzaciei se pot introduce date neautorizate utiliznd conexiunile de comunicaii;
datele pot fi deformate n cursul transmisiei.

Auditorul trebuie s se asigure c exist controale care s previn i s detecteze introducerea de
tranzacii neautorizate. Aceasta se poate realiza, de exemplu, prin controlul asupra proiectrii i stabilirii
legturilor de comunicaii, sau prin ataarea semnturilor digitale la fiecare transmisie.
Integritatea datelor transmise poate fi compromis datorit defectelor de comunicaie. Auditorul trebuie s
se asigure c funcioneaz controale adecvate, fie n cadrul reelei, fie n aplicaiile financiare, pentru
detectarea datelor deformate. Este posibil ca protocolul de comunicaii al reelei, respectiv regulile
predeterminate care determin formatul i semnificaia datelor transmise, s ncorporeze faciliti
automate de detecie i corecie.
Avnd n vedere uurina interceptrii datelor transmise n reelele locale sau n alte reele externe,
protecia neadecvat a reelei mrete riscul modificrii, tergerii i dublrii neautorizate a datelor. Exist
un numr de controale care pot fi utilizate pentru a trata aceste probleme:
se pot utiliza semnturi digitale pentru a verifica dac tranzacia provine de la un utilizator
autorizat i coninutul tranzaciei este intact;
se pot utiliza tehnici de criptare a datelor pentru a preveni interpretarea i / sau modificarea
tranzaciilor interceptate;
secvenierea tranzaciilor poate ajuta la prevenirea i detectarea tranzaciilor dublate sau
terse i pot ajuta la identificarea tranzaciilor neautorizate.
Auditorul va evalua controalele implementate pentru asigurarea c transferul de date n reea este att
complet ct i exact (utilizarea semnturii digitale, criptarea datelor, secvenierea tranzaciilor), precum i
metodele de identificare i tratare a riscurilor asociate transferului de date n reea (adoptate de
organizaie).
Pag. 192 din 214
PROCEDURA CA9 Evaluarea controalelor prelucrrii

Implementarea controalelor prelucrrii trebuie s asigure c:
procesarea tranzaciilor este exact;
procesarea tranzaciilor este complet;
tranzaciile sunt unice (respectiv, nu sunt duplicate);
toate tranzaciile sunt valabile;
procesele din calculator sunt auditabile.

Controalele prelucrrii n cadrul unei aplicaii informatice trebuie s asigure c se utilizeaz numai date i
versiuni de program valabile, c procesarea este complet i exact i c datele prelucrate au fost
nscrise n fiierele corecte.
Asigurarea c prelucrarea a fost complet i exact poate fi obinut prin efectuarea unei comparaii a
totalurilor deduse din tranzaciile introduse cu totalurile din fiierele de date meninute de calculator.
Auditorul trebuie s se asigure c exist controale pentru detectarea procesrii incomplete sau inexacte a
datelor de intrare.
Procesele aplicaiei pot s efectueze i alte validri ale tranzaciei, prin verificarea datelor cu privire la
dublarea unor tranzacii i la concordana cu alte informaii deinute de alte componente ale sistemului.
Procesul poate s verifice integritatea datelor pe care le pstreaz prin utilizarea sumelor de verificare
deduse din date. Scopul acestor controale este de a detecta modificrile externe aduse datelor datorit
anomaliilor sistemului sau a utilizrii neautorizate a unor faciliti de modificare ale sistemului, precum
editoarele.
Sistemele informatice financiar-contabile trebuie s menin un registru al tranzaciilor procesate.
Registrul de tranzacii, care poate fi denumit fiierul parcursului de audit, trebuie s conin informaii
suficiente pentru a identifica sursa fiecrei tranzacii i fluxul de prelucrare al acesteia.
n mediile care se prelucreaz loturi de date, erorile detectate n cursul procesrii trebuie s fie aduse la
cunotina utilizatorilor. Loturile respinse trebuie nregistrate i napoiate expeditorului. Sistemele online
trebuie s ncorporeze controale de monitorizare i raportare a tranzaciilor neprocesate sau neclare
(precum facturi pltite parial). Trebuie s existe proceduri care s permit conducerii s identifice i s
examineze toate tranzaciile neclarificate peste un anumit termen.
Aplicaiile trebuie sa fie proiectate pentru a face fa perturbaiilor, precum cele cauzate de defecte de
alimentare cu curent electric sau de echipament (salvarea strii curente n caz de incident). Sistemul
trebuie sa fie capabil s identifice toate tranzaciile incomplete i s reia procesarea acestora de la
punctul de ntrerupere.
Auditorul va evalua controalele existente care s asigure c toate tranzaciile au fost procesate, pentru a
reduce riscul de procesare a unor tranzacii incomplete, eronate sau frauduloase, controalele existente
care s asigure c sunt procesate fiierele corecte (controalele pot fi de natur fizic sau logic i previn
riscul de procesare necorespunztoare a unor tranzacii), precum i existena controalelor care s
asigure exactitatea procesrii i a controalelor pentru detectarea / prevenirea procesrii duble.
Se va verifica, de asemenea, modul n care aplicaia i personalul trateaz erorile de procesare.
PROCEDURA CA10 Evaluarea controalelor privind datele de ieire

Implementarea controalelor datelor de ieire trebuie s asigure c rezultatele furnizate de sistemul
informatic ndeplinesc urmtoarele condiii:
Pag. 193 din 214
sunt complete;
sunt exacte;
au fost distribuite corect.
Pentru a obine o asigurare c avut loc o prelucrare complet i exact, se implementeaz un mecanism
de raportare a tuturor mesajelor de eroare detectate n cursul procesrii sau de furnizare a unor totaluri de
control care s se compare cu cele produse n cursul introducerii, pus la dispoziia persoanelor
responsabile cu introducerea i autorizarea datelor tranzaciei. Aceasta poate lua forma unui registru de
operaii.
Completitudinea i integritatea rapoartelor de ieire depinde de restricionarea capacitii de modificare a
ieirilor i de ncorporarea de verificri de completitudine, cum ar fi numerotarea paginilor, i de
prezentarea unor sume de verificare.
Fiierele de ieire trebuie s fie protejate pentru a reduce riscul modificrilor neautorizate. Motivaii
posibile pentru modificarea datelor de ieire includ acoperirea procesrii neautorizate sau manipularea
rezultatelor financiare nedorite. De exemplu, fiierele de ieire neprotejate n cadrul unui sistem de plat a
notelor de plat ar putea fi exploatate prin alterarea sumelor cecurilor sau a ordinelor de plat i a
detaliilor beneficiarului. O combinaie de controale fizice i logice poate fi utilizat pentru protejarea
integritii datelor de ieire.
Datele de ieire dintr-un sistem IT pot constitui date de intrare n alt sistem, nainte ca acestea s fie
reflectate n situaiile financiare; de exemplu, datele de ieire dintr-un sistem care transfer statele de
plat, ca date de intrare, n registrul general. Acolo unde se ntlnete acest caz, auditorul trebuie s
verifice existena controalelor care s asigure c datele de ieire sunt transferate exact de la o faz de
procesare la alta. Un alt exemplu ar fi n cazul n care datele de ieire dintr-o balan de verificare sunt
utilizate ca date de intrare ntr-un pachet de procesare de tabele care reformateaz datele pentru a
produce situaiile financiare.
Auditorul va verifica existena controalelor care s asigure c ieirile de la calculator sunt stocate corect
i, atunci cnd sunt transmise, acestea ajung la destinaie, va verifica existena controalelor
corespunztoare privind caracterul rezonabil, exactitatea i completitudinea ieirilor.
PROCEDURA CA11 Evaluarea controalelor privind fiierele de date

permanente
Implementarea controalelor privind fiierele de date permanente trebuie s ofere asigurarea c:
modificrile aduse datelor sunt autorizate;
utilizatorii sunt rspunztori de modificri;
integritatea este pstrat.
Controalele de acces, de identificare i autentificare puternice, pot sta la baza asigurrii c datele
permanente sunt create, modificate, recuperate sau terse numai de personal autorizat. Aceste controale
sunt foarte eficiente atunci cnd sunt implementate n sistemul de operare, deoarece vor prentmpina
utilizarea neautorizat a facilitilor sistemului pentru a modifica datele n afara mediului de control al
aplicaiei.
Fiierele de date permanente trebuie s fie protejate pentru a evita ca tranzacii valabile s fie procesate
incorect. De exemplu, modificarea unor detalii referitoare la furnizori poate conduce la situaia ca o plata
valabil s fie efectuat unui beneficiar neautorizat. Controalele de acces trebuie s asigure c exist o
separare a sarcinilor ntre cei care pstreaz datele permanente i cei care introduc tranzacii. Registrele
Pag. 194 din 214
de audit trebuie s nregistreze informaii, precum data i ora la care s-a fcut modificarea, identificarea
persoanei responsabile i cmpurile de date afectate. Fiierele importante de date permanente trebuie s
aib copii de rezerv ori de cte ori se fac modificri importante.
Aplicaiile care controleaz permisiunile de acces ale utilizatorului stocheaz detalii ale acestor permisiuni
n fiierele de date permanente. Aceste fiiere trebuie s fie protejate la modificri neautorizate.
Conducerea trebuie s probeze c se realizeaz verificri independente, care s asigure c
administratorul sistemului de control al accesului aplicaiei nu abuzeaz de privilegiile sale. Organizaiile
pot lista periodic coninutul fiierelor de date permanente (de exemplu profilele de securitate ale
utilizatorilor) pentru verificri operative.
Auditorul va verifica existena controalelor i va testa controalele privind autorizarea accesului i a
modificrilor datelor permanente.
PROCEDURA CA12 - Evaluarea conformitii aplicaiilor cu legislaia n

vigoare
asistarea deciziei, constituind sisteme IT utilizate pentru evidena, prelucrarea i obinerea de rezultate,
situaii operative i sintetice la toate nivelele de raportare.
Din acest motiv, o categorie special de controale IT se refer la conformitatea sistemului informatic cu
cerinele impuse de cadrul legislativ i de reglementare.
Cerinele legislative i de reglementare variaz de la o ar la alta. Acestea includ:

Respectarea reglementrilor n domeniu se refer la existena unor politici sau proceduri formale prin
care se atribuie responsabilitatea monitorizrii mediului legislativ care poate avea impact asupra
sistemelor informatice, precum i responsabilitatea asigurrii conformitii cu clauzele contractuale privind:
Responsabilitatea asigurrii c sistemul implementat este actualizat n conformitate cu

ultima versiune furnizat;
Respectarea termenelor privind distribuirea ultimelor versiuni de echipamente, software,
documentaie;
Livrarea i instalarea configuraiilor hardware / software pe baza unui grafic, conform
clauzelor contractuale, pe etape i la termenele stabilite;
Respectarea obligaiilor privind instruirea i suportul tehnic, stabilite prin contract;
Furnizarea pachetelor software conform clauzelor contractuale. Verificarea existenei i
valabilitii licenelor furnizate n cadrul contractului;
Asigurarea suportului tehnic (prin telefon, e-mail sau utiliznd un portal; portalul poate
avea seciuni distincte foarte utile pentru suport tehnic specializat pe categorii relevante
de probleme/anomalii sau pentru instruirea continu a utilizatorilor;
Existena unor proceduri scrise privind analiza i acceptarea produselor i serviciilor
furnizate n cadrul contractului, precum i recepia cantitativ i calitativ;
Furnizarea documentaiei tehnice conform contractului: coninutul (lista, numrul
manualelor, limba) i formatul (tiprit, n format electronic, on-line);
Pag. 195 din 214
Existena specificaiilor funcionale, a manualelor de utilizare i administrare pentru

proiectele de dezvoltare software;
Existena manualelor de utilizare pentru echipamentele livrate.
PROCEDURA CA13 - Efectuarea testelor de audit

n etapa de studiu preliminar, auditorul trebuie s obin o nelegere suficient a sistemului pentru a
determina dac sistemul de controale interne este de ncredere i furnizeaz informaii corecte despre
acurateea nregistrrilor. n cazul n care sistemul de controale interne nu pare a fi suficient de robust,
auditorul trebuie s testeze controalele pentru a evalua riscul asupra obiectivelor auditului.
n acest scop, auditorul poate utiliza tehnici i metode de testare variate. Acestea pot fi bazate pe
programe de test al conformitii care conin informaii privind: descrierea controlului care va fi testat,
proba de audit estimat pentru satisfacerea condiiilor, teste extinse (inclusiv bazate pe eantionare),
descrierea funcionrii eronate a controlului, cte eecuri pot fi tolerate. Probele de audit se colecteaz
prin combinarea unor tehnici tradiionale, cum ar fi observarea, interviul, examinarea i eantionarea, cu
tehnici de auditare asistat de calculator.
Problemele care pot aprea cu privire la ncrederea n controalele de aplicaie se pot sintetiza astfel:
(a) Controalele IT nu furnizeaz un istoric al operrii din cauza scufundrii lor n corpul aplicaiei i, n
consecin, nu furnizeaz probe de audit explicite.
(b) Perioada de timp n care acioneaz controalele de aplicaie IT este limitat, acestea acionnd, n
general, pe o durat foarte scurt a ciclului de via al tranzaciei (de exemplu, pe durata introducerii
datelor).
(c) Rezervele auditorilor fa de controalele de aplicaie IT datorate eventualitii alterrii acestora de
ctre persoane interesate n inducerea n eroare a auditorului.
(d) Rezervele auditorilor fa de controlul preventiv asigurat, decurgnd din natura controalelor IT, care nu
prezint garanii privind funcionarea corect.
Majoritatea ntreprinderilor folosesc produse informatice pentru gestiune i contabilitate. Ca urmare a
cerinelor impuse informaiei contabile de ctre utilizatorii acesteia, produsele informatice trebuie s
ndeplineasc, la rndul lor, o serie de cerine specifice. In Romnia exist o multitudine de dezvoltri ale
unor astfel de produse, care ar trebui s se raporteze la o serie de criterii i cerine minimale
reglementate, n principal, prin norme metodologice ale Ministerului Finanelor Publice. Aceste norme se
refer n principal la urmtoarele aspecte:
a) Pentru controlul intern
b)
c)
d)
e)
f)
Actualizrile sistemului informatic n concordan cu modificrile legislative;

Cunoaterea funcionrii sistemului informatic de ctre utilizatori (personalul de operare);
Accesul la date (confidenialitate, utilizare de parole de acces la date i la sistem);
Opiuni pentru alegerea tipului de suport magnetic pentru copiile de siguran;
Posibiliti de depistare i rezolvare a erorilor.
c) Pentru controlul extern

a) Posibiliti de verificare complet sau prin sondaj a procedurilor de prelucrare;
b) Posibiliti de verificare complet sau prin sondaj a operaiunilor nregistrate n contabilitate;
c) Posibiliti de verificare complet sau prin sondaj a fluxului de prelucrri prin teste de control.
Pag. 196 din 214
c) Criterii minimale pentru produsele informatice de gestiune i contabilitate

a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
k)
l)
m)
n)
o)
p)
q)
r)
s)
t)
u)
v)
w)
Concordana cu legislaia n vigoare;

Precizarea tipului de suport care s asigure prelucrarea n siguran a informaiilor;
Identificarea complet a fiecrei informaii nregistrate;
Respectarea criteriului cronologic n liste, cu imposibilitatea actualizrii ulterioare a listei;
Transferul automat al soldurilor precedente pentru perioada curent;
Conservarea datelor (arhivarea) conform Legii contabilitii nr. 82/1991;
Posibilitatea restaurrii datelor arhivate;
Imposibilitatea actualizrii datelor pentru perioadele de gestiune precedente;
Preluarea informaiilor eseniale pentru identificarea operaiunilor: dat, denumire jurnal, numr
pagin sau numr nregistrare, numr document;
Acces parolat;
Identificarea n liste a unitii patrimoniale, a paginrii cronologice, a tipului de document, a
perioadei de gestiune, a datei de listare i a versiunii de produs progam;
Listarea documentelor de sintez necesare conducerii ntreprinderii;
Respectarea coninutului informaional pentru formularele cu regim special;
Asigurarea concordanei ntre cartea mare a fiecrui cont i jurnalul de nregistrare;
S respecte cerinele de normalizare a bazelor de date cu privire la conturi i documente;
S existe posibilitatea actualizrii conturilor fr afectarea situaiilor patrimoniale i a celei de
gestiune;
S existe documentaie tehnic asociat caracteristicilor produselor program (mono / multi post,
mono / multi societate, portabilitatea fiierelor, arhitectura de reea, aplicaii) care s permit
utilizarea optim a produselor informatice n cauz;
Stabilirea tipului de organizare pentru culegerea datelor (pe loturi cu control ulterior, n timp real
cu control imediat, combinat);
S nu fie limitat volumul informaiilor contabile;
S asigure securitatea datelor i fiabilitatea;
S existe clauze de actualizare a procedurilor de prelucrare a informaiilor financiar-contabile;
S asigure continuitatea sistemului n cazul ncetrii activitii de dezvoltare software, inclusiv
arhivarea i restaurarea datelor;
S funcioneze gestiunea versiunilor.
Volumul de teste de control

n ceea ce privete determinarea volumului de teste necesare pentru obinerea asigurrii privind
funcionarea controalelor, auditorul i bazeaz decizia pe o combinaie ntre raionamentul profesional i
o modelare statistic pe care o poate efectua n acest scop. Dac auditorul i propune s planifice ca
testele de control s se efectueze pe un numr mare de tranzacii, atunci va aplica metoda eantionrii
datelor i va stabili dimensiunea eantionului.
Auditorul va efectua urmtoarele teste:
Va verifica criteriile i cerine minimale reglementate, n principal, prin normele metodologice ale
Ministerului Finanelor Publice;
Va verifica existena evidenelor complete ale tranzaciilor aferente aplicaiei;
Va evalua fezabilitatea colectrii probelor de audit relevante i suficiente;
Va evalua dac parcursul (pista) de audit se poate reconstitui din fluxul de prelucrare;
Pag. 197 din 214
Va evalua dac aplicaia este disponibil atunci cnd este nevoie, funcioneaz conform
cerinelor, este fiabil i are implementate controale sigure asupra integritii datelor;
Va detalia procedura de actualizare a aplicaiei n concordan cu modificrile legislative;
Va evalua aplicaia din punct de vedere al gestionrii resurselor informatice disponibile (date,
funcionalitate, tehnologii, faciliti, resurse umane etc.);
Va evalua cunoaterea funcionrii aplicaiei de ctre utilizatori;
Va efectua teste de verificare a parametrilor i funcionalitii aplicaiei din punct de vedere
operaional i al conformitii cu legislaia n vigoare;
Va efectua teste de verificare la nivel de funcie pentru procedurile critice din punctul de vedere al
performanei (lansarea, derularea i abandonarea procedurilor, accesul la informaii n funcie de
perioada de nregistrare / raportare, restaurarea bazei de date);
Se vor efectua teste privind corectitudinea ncrcrii / actualizrii informaiilor n baza de date. Se
vor meniona metodele de depistare i rezolvare a erorilor. Se vor testa funciile de regsire i
analiz a informaiei;
Va evalua interoperabilitatea aplicaiei cu celelalte aplicaii din sistemul informatic;
Va evalua sistemul de raportare propriu aplicaiei i sistemul de raportare global;
Se vor efectua teste privind modul de accesare a aplicaiei la nivel de reea, la nivelul staiei de
lucru i la nivel de aplicaie;
Se vor testa funciile de conectare ca utilizator final i de operare n timp real, pe tranzacii de
test;
Se va evalua funcionalitatea comunicrii cu nivelele superioare i inferioare;
Se va analiza soluia de gestionare a documentelor electronice;
Se va efectua verificarea prin teste a proteciilor aferente aplicaiei.
Aceast list nu este exhaustiv. n funcie de obiectivele auditului i de specificul sistemului / aplicaiei
auditate, auditorul poate decide efectuarea i a altor teste care pot furniza concluzii relevante pentru
formularea unei opinii corecte.
Pag. 198 din 214
Capitolul 5. Liste de verificare, machete i

chestionare
Pentru obinerea probelor de audit se vor utiliza liste de verificare, machete i, dup caz, chestionare i
se vor realiza interviuri cu: persoane din conducerea instituiei auditate, personalul de specialitate IT,
utilizatori ai sistemelor/aplicaiilor.
Machetele constituie suportul pentru colectarea informaiilor cantitative referitoare la infrastructura IT.
Acestea sunt transmise entitii auditate, spre completare.
n condiiile n care se colecteaz informaii care reflect performana sistemului, se utilizeaz chestionare
proiectate de auditor, pe baza crora, n urma centralizrii i prelucrrilor statistice vor rezulta informaii
legate de satisfacia utilizatorilor, modernizarea activitii, continuitatea serviciilor, creterea calitii
activitii ca urmare a informatizrii i altele.
Machetele i chestionarele completate vor fi semnate de conducerea entitii i predate echipei de audit.
Machetele utilizate pentru colectarea datelor referitoare la infrastructura IT i la personalul IT sunt
urmtoarele:
Macheta 1 - Bugetul privind investiiile IT;
Macheta 2 - Sisteme / aplicaii utilizate;
Macheta 3 - Evaluarea infrastructurilor hardware, software i de comunicaie;
Macheta 4 - Informaii privind personalul implicat n proiectele IT.
Listele de verificare constituie un suport valoros pentru realizarea interviurilor. Aceste documente de
lucru, respectiv listele de verificare, nu se pun la dispoziia entitii auditate. n timpul interviului, auditorul
consemneaz rspunsurile celui intervievat, precum i comentarii personale i alte constatri.
Cele mai importante liste de verificare specifice auditului IT / IS, sunt:
Lista de verificare pentru evaluarea controalelor generale IT
Lista de verificare pentru evaluarea riscurilor IT
Lista de verificare privind evaluarea controalelor de aplicaie (pentru sistemele informatice
financiar-contabile)
Lista de verificare pentru evaluarea site-urilor web
Aceste liste de verificare sunt aplicabile pentru auditul n medii informatizate, n cadrul misiunilor de audit
financiar sau de audit al performanei, pentru evaluarea controalelor generale IT i a riscurilor generate de
funcionarea sistemului informatic. n cazul misiunilor de audit financiar, care presupun evaluarea
sistemului informatic financiar-contabil, pentru a formula o opinie privind ncrederea n informaiile
furnizate de sistemul informatic auditorul public extern va utiliza lista de verificare pentru testarea
controalelor IT specifice aplicaiei financiar-contabile.
n cazul n care sistemul nu pare a fi suficient de robust, auditorul trebuie s evalueze riscul funcionrii
necorespunztoare a sistemului asupra obiectivelor misiunii de audit financiar.
asistarea deciziei, constituind sisteme IT/IS utilizate pentru evidena, prelucrarea i obinerea de rezultate,
situaii operative i sintetice la toate nivelele de raportare. Din acest motiv, o categorie special de
controale IT se refer la conformitatea sistemului informatic cu cerinele impuse de cadrul legislativ i de
reglementare.
Pag. 199 din 214
Cerinele legislative i de reglementare includ:

Legislaia din domeniul finanelor i contabilitii;
Legislaia cu privire la proprietatea intelectual.
n cazul sistemelor complexe sau desfurate la scar naional (de exemplu, Sistemul Electronic
Naional) se folosesc liste de verificare specializate elaborate n cadrul Curii de Conturi a Romniei:
- Lista de verificare pentru evaluarea guvernrii IT, personalizat pentru sistemele de tip
e-guvernare;
- Lista de verificare pentru evaluarea portalului web;
- Lista de evaluare a perimetrului de securitate;
- Liste de verificare pentru evaluarea serviciilor electronice;
- Liste de verificare pentru evaluarea cadrului de interoperabilitate,
precum i alte liste de verificare a cror necesitate decurge din obiectivele auditului.
Auditul performanei implementrii i utilizrii sistemelor informatice va lua n considerare urmtoarele
aspecte:
Modul n care funcionarea sistemului contribuie la modernizarea activitii entitii;
Modul n care managementul adecvat al configuraiilor IT contribuie la creterea valorii adugate

prin utilizarea sistemului informatic, reflectat n economii privind costurile de achiziie i creterea
calitii serviciilor;
Creterea semnificativ a productivitii unor activiti de rutin foarte mari consumatoare de timp
i resurse, care, transpuse n proceduri electronice (tehnoredactare, redactarea automat a
documentelor, cutri n arhive electronice, reutilizarea unor informaii, accesarea pachetelor
software legislative), se materializeaz n reduceri de costuri cu aceste activiti;
Scurtarea timpului de prelucrare prin reducerea numrului de erori i evitarea relurii unor
proceduri pentru remedierea acestora;
Eliminarea paralelismelor i integrarea proceselor care se reflect n eficientizarea activitii prin

eliminarea redundanelor;
Scderea costurilor serviciilor, creterea disponibilitii acestora i scderea timpului de rspuns;
Creterea gradului de instruire a personalului n utilizarea noilor tehnologii i dezvoltarea de noi

aptitudini;
Reducerea costurilor administrative.

Pentru evaluarea gradului n care implementarea i utilizarea sisemului informatic a produs efecte n
planul modernizrii activitii, n creterea calitii serviciilor publice i n ceea ce privete satisfacia
utilizatorilor se pot proiecta i utiliza chestionare prin intermediul crora se vor colecta informaii care s
reflecte reaciile actorilor implicai (management, funcionari publici, utilizatori, personal IT, ceteni).
Prezentarea coninutului machetelor i listelor de verificare pentru ntreg fluxul aferent misiunii de audit va
fi detaliat n ghidul asociat acestui manual.
Pag. 200 din 214
Glosar de termeni
Acceptarea riscului - Decizie luat de management de acceptare a unui risc.
Analiza riscului - Utilizarea sistematic a informaiei pentru a identifica ameninrile i pentru a estima
riscul.
Aria de aplicabilitate a unui audit Domeniul acoperit de procedurile de audit care, n baza
raionamentului auditorului i a Standardelor Internaionale de Audit, sunt considerate ca proceduri
adecvate n mprejurrile date pentru atingerea obiectivului unui audit.
Asigurare rezonabil (n contextul unei misiuni de audit) - Un nivel de asigurare adecvat, ridicat dar nu
absolut, reflectat n raportul auditorului ca fiind o asigurare rezonabil cu privire la faptul c informaiile
auditate nu conin greeli semnificative.
Audit extern Un audit efectuat de un auditor extern.
Autenticitate Proprietate care determin c iniiatorul unui mesaj, fiier etc. este n mod real cel care se
pretinde a fi.
Audit online - Auditare prin consultarea online a bazelor de date ale entitilor auditate, aflate la distan.
Audit continuu - Tip de auditare n care auditorul are acces permanent la sistemul informatic al entitii
auditate, diferena de timp ntre momentul producerii evenimentelor urmrite de auditor i obinerea
probelor de audit fiind foarte mic.
Autentificare Actul care determin c un mesaj nu a fost schimbat de la momentul emiterii din punctul
de origine. Un proces care verific identitatea pretins de un individ.
Autoritate de certificare O organizaie investit pentru a garanta autenticitatea unei chei publice (PKI).
Autoritatea de certificare cripteaz certificatul digital.
Backup O copie (de exemplu, a unui program software, a unui disc ntreg sau a unor date) efectuat fie
n scopuri de arhivare, fie pentru salvarea fiierelor valoroase pentru a evita pierderea, deteriorarea sau
distrugerea informaiilor. Este o copie de siguran.
Browser - Prescurtare pentru Web Browser, program care permite utilizatorilor s navigheze pe Web.
Cele mai populare browsere sunt Microsoft Internet Explorer, Opera, Mozilla.
BSI (British Standards Institution) Instituia care a publicat standardele naionale britanice care au
constituit baza evoluiei standardelor ISO 9001 (BS5750 sisteme de management al calitii) i ISO
17799 (BS 7799 managementul securitii informaiei).
CAAT - Computer Assisted Audit Techniques (Tehnici de audit asistat de calculator) - Software care
poate fi utilizat pentru interogarea, analiza i extragerea de fiiere de date i pentru producerea de probe
de tranzacii pentru testele de detaliu.
CISA (Certified Information Systems Auditor) - Auditor de Sisteme Informatice Certificat) - calificare
profesional oferit de Information Systems Audit and Control Association (ISACA) (Asociaia de Audit i
Control al Sistemelor Informatice).
Cloud Computing (configuraie de nori) - Stil de utilizare a calculatoarelor n care capabilitile IT se
ofer ca servicii distribuite i permit utilizatorului s acceseze servicii bazate pe noile tehnologii, prin
intermediul Internetului, fr a avea cunotine, expertiz sau control privind infrastructura tehnologic
suport a acestor servicii.
Confidenialitate Proprietate a informaiei care asigur c aceasta nu este fcut disponibil sau
dezvluit persoanelor, entitilor sau proceselor neautorizate.
Continuitatea afacerii - Un plan formal sau un set de planuri integrate, proiectate pentru a permite
proceselor cheie ale afacerii s continue operarea n urma unor cderi majore sau dezastre.
Controale generale n sistemele informaionale computerizate - Politici i proceduri care se refer la
sistemele informatice i care susin funcionarea eficient a controalelor aplicaiilor contribuind astfel la
asigurarea unei funcionri adecvate i continue a sistemelor informatice. Controalele informatice
Pag. 201 din 214
generale includ, n mod obinuit, controale asupra securitii accesului la date i reele, precum i asupra
achiziiei, ntreinerii i dezvoltrii sistemelor informatice.
Controlul accesului - Proceduri proiectate s restricioneze accesul la echipamente, programe i datele
asociate. Controlul accesului const n autentificarea utilizatorului i autorizarea utilizatorului.
Autentificarea utilizatorului se realizeaz, n general, prin intermediul unui nume de utilizator unic, al unei
parole, al unui card de acces, al datelor biometrice. Autorizarea utilizatorului se refer la regulile de acces
pentru a determina resursele informatice la care poate avea acces fiecare utilizator.
Control intern - Procesul proiectat i efectuat de cei care sunt nsrcinai cu guvernarea, de ctre
conducere i de alte categorii de personal, pentru a oferi o asigurare rezonabil n legtur cu atingerea
obiectivelor entitii cu privire la credibilitatea raportrii financiare, la eficacitatea i eficiena operaiilor i
la respectarea legilor i reglementrilor aplicabile. Controlul intern este compus din urmtoarele elemente:
(a) Mediul de control; (b) Procesul de evaluare a riscurilor entitii; (c) Sistemul informatic, inclusiv
procesele de afaceri aferente, relevante pentru raportarea financiar i comunicare; (d) Activitile de
control; i (e) Monitorizarea controalelor.
Controale de aplicaie n sistemele informatice - Proceduri manuale sau automate care opereaz de
obicei la nivelul proceselor ntreprinderii. Controalele de aplicaie pot fi de natur preventiv sau de
detectare i sunt proiectate s asigure integritatea informaiilor. n mare parte, controalele de aplicaie se
refer la procedurile folosite pentru a iniia, nregistra, procesa i raporta tranzaciile sau alte date
financiare.
Controlul dezvoltrii programelor - Proceduri menite s previn sau s detecteze modificrile
inadecvate aduse programelor informatice care sunt accesate cu ajutorul terminalelor conectate online.
Accesul poate fi restricionat prin controale cum ar fi folosirea unor programe operaionale separate sau a
unor pachete de programe specializate dezvoltate special pentru acest scop. Este important ca
modificrile efectuate online asupra programelor s fie documentate, controlate i monitorizate n mod
adecvat.
CRAMM (The CCTA Risk Analysis and Management Method) - Metod de management i analiz a
riscului - este o metod structurat pentru identificarea i justificarea msurilor de protecie care vizeaz
asigurarea unui nivel adecvat de securitate n cadrul sistemelor IT.
Criptare (criptografie) - Procesul de transformare a programelor i informaiilor ntr-o form care nu
poate fi neleas fr accesul la algoritmi specifici de decodificare (chei criptografice).
Certificat digital - Conine semnturi digitale i alte informaii care confirm identitatea prilor implicate
ntr-o tranzacie electronic, inclusiv cheia public.
Declaraie de aplicabilitate - Declaraie documentat care descrie obiectivele de control i msurile de
securitate care sunt relevante i aplicabile SMSI al organizaiei. Obiectivele de control i msurile sunt
bazate pe rezultatele i concluziile analizei de risc i pe procesele de tratare a riscului, cerine legale sau
de reglementare, obligaii contractuale i cerinele afacerii organizaiei pentru securitatea informaiei.
Determinarea riscului - Pprocesul global de analiz i evaluare a riscului
Disponibilitate Capacitatea de a accesa un sistem, o resurs sau un fiier atunci cnd este formulat o
cerere n acest scop. Proprietatea informaiei de a fi accesibil i utilizabil la cerere de ctre o entitate
autorizat
Documentarea misiunii de audit - nregistrarea procedurilor de audit aplicate, a probelor de audit
relevante, precum i a concluziilor la care a ajuns auditorul (termen cunoscut uneori i ca documente de
lucru sau foi de lucru). Documentaia unei misiuni specifice este colectat ntr-un dosar de audit.
Documentele de lucru - Materialele ntocmite de auditor i pentru uzul auditorului, sau obinute i
pstrate de acesta, n corelaie cu derularea auditului. Documentele de lucru pot fi pe suport de hrtie, pe
film, pe suport magnetic, electronic sau pe alte tipuri de suport pentru stocarea datelor.
e-audit - Tip de audit pentru care prezena fizic a auditorului nu este necesar la entitatea auditat,
acesta avnd la dispoziie toate informaiile oferite de o infrastructur ITC pentru audit.
EDI - Electronic Data Interchange este termenul generic pentru transmisia structurat a tranzaciilor sau
informaiilor comerciale de la un sistem la altul.
Pag. 202 din 214
e-guvernare - Schimbul online al informaiei autoritilor publice i a guvernului cu, i livrarea serviciilor
ctre: ceteni, mediul de afaceri i alte agenii guvernamentale.
Guvernarea electronic presupune furnizarea sau obinerea de informaii, servicii sau produse prin
mijloace electronice ctre i de la agenii guvernamentale, n orice moment i loc, oferind o valoare
adugat pentru prile participante.
e-sisteme - Sisteme bazate pe Internet i tehnologii asociate care ofer servicii electronice cetenilor,
mediului de afaceri i administraiei: e-government, e-health, e-commerce, e-learning etc.
EFT - Electronic Funds Transfer systems (sisteme electronice de transfer de fonduri) sunt utilizate pentru
a transfera fonduri dintr-un cont bancar n alt cont bancar utiliznd echipamente electronice n locul
mediilor pe hrtie. Sistemele uzuale EFT includ BACS (Bankers Automated Clearing Services) i CHAPS
(Clearing House Automated Payment System).
Eantionarea n audit - Aplicarea procedurilor de audit la mai puin de 100% din elementele din cadrul
soldului unui cont sau al unei clase de tranzacii, astfel nct toate unitile de eantionare s aib o ans
de selectare. Aceasta i va permite auditorului s obin i s evalueze probe de audit n legtur cu unele
caracteristici ale elementelor selectate pentru a formula o concluzie sau a ajuta la formularea unei
concluzii n legtur cu populaia din care este extras eantionul. Eantionarea n audit poate utiliza fie o
abordare statistic, fie una nonstatistic.
Evaluarea riscului - Proces de comparare a riscului estimat cu criteriile de risc agreate n vederea
stabilirii importanei riscului.
Eveniment de securitate a informaiilor - situaie identificat n legtur cu un sistem, un serviciu sau o
reea care indic o posibil nclcare a politicii de securitate a informaiilor, un eec al msurilor de
protecie sau o situaie ignorat anterior, dar relevant din punct de vedere al securitii.
Firewall - Combinaie de resurse informatice, echipamente sau programe care protejeaz o reea sau un
calculator personal de accesul neautorizat prin intermediul Internetului, precum i mpotriva introducerii
unor programe sau date sau a oricror alte programe de calculator neautorizate sau care produc daune.
Frequently Asked Questions (FAQ) - Un termen care se refer la o list de ntrebri i rspunsuri
furnizat de companii referitoare la produsele de software, web site etc.
Frauda - Act intenionat ntreprins de una sau mai multe persoane din cadrul conducerii, din partea celor
nsrcinai cu guvernarea, a angajailor sau a unor tere pri, care implic folosirea unor neltorii pentru
a obine un avantaj ilegal sau injust.
Gateway - Interconexiunea ntre dou reele cu protocoale de comunicare diferite.
Guvernare (guvernare corporativ) - Descrie rolul persoanelor crora le este ncredinat supervizarea,
controlul i conducerea unei entiti. Cei nsrcinai cu guvernarea sunt, n mod obinuit, rspunztori
pentru asigurarea ndeplinirii obiectivelor entitii, pentru raportarea financiar i raportarea ctre prile
interesate. n cadrul celor nsrcinai cu guvernarea se include conducerea executiv doar atunci cnd
aceasta ndeplinete astfel de funcii.
Guvernarea electronic - Schimbul online al informaiei guvernului cu, i livrarea serviciilor ctre: ceteni, mediul de afaceri i alte agenii guvernamentale (definiie INTOSAI).
HelpDesk - Punctul principal de contact sau interfaa dintre serviciile sistemului informatic i utilizatori.
Help desk este punctul unde se colecteaz i se rezolv problemele utilizatorului.
Home Page - Pagina prin care un utilizator intr n mod obinuit pe un web site. Aceasta conine i
legturile (linkurile) cele mai importante ctre alte pagini ale acestui site.
Hypertext - Un sistem de scriere i de afiare a textului care permite ca textul s fie accesat n moduri
multiple, s fie disponibil la mai multe nivele de detaliu i care conine legturi la documente aflate n
relaie cu acesta.
Hypertext Mark-Up Language (HTML) - Limbajul utilizat pentru generarea documentelor de tip hipertext
(inclusiv pentru scrierea paginilor pentru http://www). Acest limbaj permite textului sa includ coduri care
definesc font-ul, layout-ul, grafica inclus i link-urile de hypertext.
Internet - Un ansamblu de calculatoare conectate n reea (la scar mondial) care asigur servicii de
tiri, acces la fiiere, pota electronic i instrumente de cutare i vizualizare a resurselor de pe Internet.
Internet Service Provider (ISP) - Un furnizor comercial al unei conexiuni la Internet.
Pag. 203 din 214
Incident - Un eveniment operaional care nu face parte din funcionarea standard a sistemului.
Incident privind securitatea informaiei - un eveniment sau o serie de evenimente de securitate a
informaiei care au o probabilitate semnificativ de a compromite activitile organizaiei i de a aduce
ameninri la securitatea informaiei.
Integritate - Proprietatea de a pstra acurateea i deplintatea resurselor.
Instituia Suprem de Audit - Organismul public al unui stat care, indiferent de modul n care este
desemnat, constituit sau organizat n acest scop, exercit n virtutea legii cea mai nalt funcie de audit n
acel stat.
Intranet - Versiunea privat a Internetului, care permite persoanelor din cadrul unei organizaii s
efectueze schimburi de date, folosind instrumentele obinuite ale Internetului, cum sunt browserele.
Log (jurnal de operaii) - O eviden sau un jurnal al unei secvene de evenimente sau activiti.
Managementul configuraiei - Procesul de identificare i definire a componentelor de configuraie ntr-un
sistem, de nregistrare i raportare a strii componentelor din configuraie i a solicitrilor de modificare i
verificare a integritii i corectitudinii componentelor de configuraie.
Managementul riscului - Activiti coordonate pentru ndrumarea i controlul unei organizaii lund n
considerare riscurile.
Managementul schimbrilor - Procesul de control i gestionare a solicitrilor de modificare a oricrui
aspect al sistemului informatic (hardware, software, documentaie, comunicaii, fiiere de configurare a
sistemului). Procesul de management al schimbrilor va include msuri de control, gestionare i
implementare a modificrilor aprobate.
Mediu de control - Include funciile de guvernare i de conducere, precum i atitudinile, contientizarea
i aciunile celor nsrcinai cu guvernarea i conducerea entitii referitoare la controlul intern al entitii i
la importana acestuia n entitate. Mediul de control este o component a controlului intern.
Mediu informatizat - Politicile i procedurile pe care entitatea le implementeaz i infrastructura
informatic (echipamente, sisteme de operare etc.), precum i programele de aplicaie utilizate pentru
susinerea operaiunilor ntreprinderii i realizarea strategiilor de afaceri. Se consider c un astfel de
mediu exist n cazul n care n procesarea de ctre entitate a informaiilor financiare semnificative pentru
audit este implicat un calculator, de orice tip sau dimensiune, indiferent dac acest calculator este operat
de ctre entitate sau de o ter parte.
Metode biometrice - Metode automate de verificare sau de recunoatere a unei persoane bazate pe
caracteristici comportamentale sau fizice (de exemplu, amprente digitale, scrisul de mn i geometria
facial sau retina), utilizate n controlul accesului fizic.
Modem - O pies de echipament utilizat pentru convertirea unui semnal digital dintr-un calculator, n
semnal analog pentru transmiterea ntr-o reea analogic (precum sistemul public de telefoane). Un alt
modem aflat la captul de primire convertete semnalul analog n semnal digital.
Networks [reele] - Interconectarea prin faciliti de telecomunicaie a calculatoarelor i a altor
dispozitive.
Ofier de securitate - Persoana responsabil s asigure c regulile de securitate ale organizaiei sunt
implementate i funcioneaz.
Pista de audit Un set cronologic de nregistrri care furnizeaz n mod colectiv proba documentar a
prelucrrii, suficient pentru a permite reconstituirea, revizuirea i examinarea unei activiti.
Planificarea continuitii - Planificarea efectuat pentru a asigura continuitatea proceselor cheie ale
afacerii dup dezastre, cderi majore ale sistemelor sau n cazul imposibilitii procesrilor de rutin.
Politica de securitate - Setul de reguli i practici care reglementeaz modul n care o organizaie
gestioneaz, protejeaz i distribuie informaiile sensibile.
Probe de audit - Totalitatea informaiilor folosite de auditor pentru a ajunge la concluziile pe care se
bazeaz opinia de audit.
Protocol - Standarde i reguli care determina nelesul, formatul i tipurile de date care pot fi transferate
ntre calculatoarele din reea.
Resurse - Orice prezint valoare pentru organizaie.
Pag. 204 din 214
Risc rezidual - Riscul care rmne dup tratarea riscului.

Reea de arie larg (WAN) - O reea de comunicaii care transmite informaii pe o arie extins, cum ar fi
ntre locaii ale ntreprinderii, orae sau ri diferite. Reelele extinse permit, de asemenea, accesul online
la aplicaii, efectuat de la terminale situate la distan. Mai multe reele locale (LAN) pot fi interconectate
ntr-o reea WAN.
Reea local (LAN) - O reea de comunicaii care deservete utilizatorii dintr-o arie geografic bine delimitat. Reelele locale au fost dezvoltate pentru a facilita schimbul de informaii i utilizarea n comun a
resurselor din cadrul unei organizaii, inclusiv date, programe informatice, depozite de date, imprimante i
echipamente de telecomunicaii. Componentele de baz ale unei reele locale sunt mijloacele de transmisie i programele informatice, staiile de lucru pentru utilizatori i echipamentele periferice utilizate n
comun.
Router - Un dispozitiv de reea care asigur c datele care se transmit printr-o reea urmeaz ruta optim.
Sectorul public Guvernele naionale, guvernele regionale (spre exemplu, cele la nivel de stat, provincie
sau teritoriale), administraiile locale (spre exemplu, la nivel de ora, municipiu) i entitile
guvernamentale aferente (spre exemplu, agenii, consilii, comisii i ntreprinderi).
Secure Socket Layer (SSL) - O tehnologie bazat pe web care permite unui calculator s verifice
identitatea altui calculator i permite conexiunile securizate.
Securitatea informaiei - Pstrarea confidenialitii, integritii i a disponibilitii informaiei; n plus, alte
proprieti precum autenticitatea, responsabilitatea, non-repudierea i fiabilitatea pot fi de asemenea
implicate.
Server - O unitate de calcul plasat ntr-un nod al reelei care asigur servicii specifice utilizatorilor reelei
(de exemplu, un print server asigur faciliti de imprimare n reea, iar un file server stocheaz fiierele
utilizatorului).
Servere de tip blade (lam) Servere bazate pe o tehnologie de mare densitate i pe o soluie
constructiv de tip lam (construite pe o singur plac).
Service level agreements - Acorduri sau contracte scrise ntre utilizatori i prestatorii de servicii, care
documenteaz livrarea convenit a serviciilor IT. Acestea includ, de obicei, orele pentru prestarea
serviciului, disponibilitatea serviciului, produsul, timpii de rspuns, restricii i funcionalitate.
Sistem de management al securitii informaiei (SMSI) - Partea din ntreg sistemul de management,
bazat pe o abordare a riscului afacerii, folosit pentru a stabili, implementa, funciona, monitoriza,
revizui, menine i mbunti securitatea informaiei. Sistemul de management include structuri
organizaionale, politici, activiti de planificare, responsabiliti, practici, proceduri, procese i resurse.
Sisteme informaionale relevante pentru raportarea financiar O component a controlului intern
care include sistemul de raportare financiar i const din procedurile i nregistrrile stabilite pentru a
iniia, nregistra, procesa i raporta tranzaciile entitii (precum i evenimentele i condiiile) i pentru a
menine responsabilitatea pentru activele, datoriile i capitalurile proprii aferente.
Software social - Software de tip social (social networking, social collaboration, social media and social
validation) este avut n vedere de organizaii n procesul integrrii ntreprinderii.
t-guvernare - Utilizarea tehnologiei comunicrii informaiei pentru a asigura (a permite) transformarea
modului de lucru al guvernului, ntr-o manier centrat pe client.
Tehnologii informatice verzi (ecologice) Sunt asociate cu evoluia blade server, prin reorientarea
ctre produse din ce n ce mai eficiente care pot permite funcionarea n manier ecologic, avnd n
vedere impactul asupra reelei electrice i a emisiilor de carbon.
Test de parcurgere Un test de parcurgere implic urmrirea ctorva tranzacii pe parcursul ntregului
sistem de raportare.
TCP/IP - Transmission Control Protocol/Internet Protocol [Protocol de control al transmisiei / Protocol
Internet]: un standard utilizat pe larg pentru transferul de date ntre calculatoarele n reea, inclusiv cele
conectate la Internet.
Tratarea riscului - Proces de selecie i implementare a unor msuri n vederea reducerii riscului.
Pag. 205 din 214
Trojan horse (cal troian) - Program de calculator care realizeaz aparent o funcie util, dar realizeaz i
funcii ascunse neautorizate (de exemplu, un program neautorizat care este ascuns ntr-un program
autorizat i exploateaz privilegiile de acces ale acestuia).
User profile (profilul utilizatorului) - O list de drepturi de acces ale unui anumit utilizator al sistemului.
Virus - Sunt programe de calculator ru intenionate, autopropagabile care se ataeaz programelor
executabile gazd.
Worms (viermi) - Viermii sunt programe de calculator ru intenionate, care se pot replica fr ca
programul gazd s poarte infecia. Reelele sunt vulnerabile la atacurile viermilor, un vierme care intra n
nodul unei reele cauzeaz probleme locale n nod i trimite copii ale sale nodurilor vecine.
Pag. 206 din 214
Referine bibliografice
[1] European Commission, Directiva 1999/93/CE privind un cadru comunitar pentru
semntura electronic, http://www.eur-lex.europa.eu
[2] European Commission, Directiva 2000/31/CE privind aspecte juridice ale serviciilor
societii informaionale, n special ale comerului electronic, http://www.eur-lex.europa.eu
[3] European Commission, Directiva 2002/19/CE privind accesul la reele de comunicaii
electronice i la infrastructura asociat precum i interconectarea acestora,
http://www.eur-lex.europa.eu
[4] European Commission, Directiva 2002/58/CE privind prelucrarea datelor personale i
protejarea confidenialitii i comunicaiilor electronice, http://www.eur-lex.europa.eu
[5] European Commission, Directiva 460/2004/CE privind instituirea Ageniei Europene
pentru Securitatea reelelor informatice i a datelor, http://www.eur-lex.europa.eu
[6] European Commission, Directiva 854/2005/CE de instituire a unui program comunitar
multianual de promovare a utilizrii n condiii de mai mare siguran a Internet-ului i a
noilor tehnologii online, http://www.eur-lex.europa.eu
[7] European Commission, Directiva 2006/123/CE privind serviciile pe piaa intern
(Directiva Servicii), http://www.eur-lex.europa.eu
[8] European Commission, Regulamentul (CE) nr. 808/2004 al Consiliului European din 21
aprilie 2004, privind Statisticile Comunitare referitoare la Societatea Informaional,
[9] European Commission, Regulamentul (CE) nr. 1099/2005 al Comisiei din 13 iulie 2005
de punere n aplicare a Regulamentului (CE) nr. 808/2004 al Parlamentului European i al
Consiliului privind statisticile comunitare referitoare la Societatea Informaional,
[10] HG nr. 58/1998 pentru aprobarea Strategiei naionale de informatizare i implementare
n ritm accelerat a societii informationale i a Programului de aciuni privind utilizarea pe
scara larga i dezvoltarea sectorului tehnologiilor informatiei n Romnia
[11] HG nr. 271/ 2001 privind nfiinarea grupului de lucru "Grupul de Promovare a
Tehnologiei Informatiei n Romnia"
[12] HG nr. 1007/2001 pentru aprobarea Strategiei Guvernului privind informatizarea
administraiei publice
[13] Legea nr. 455/ 2001 privind semntura electronic
[14] HG nr. 1259/2001 privind aprobarea Normelor tehnice i metodologice pentru
aplicarea Legii nr. 455/2001 privind semnatura electronic
[15] Legea nr. 365/2002 republicat privind comerul electronic
[16] Legea nr. 677/ 2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu
caracter personal i libera circulaie a acestor date
[17] Legea nr. 544/2001 privind liberul acces la informaiile de interes public
[18] Legea nr. 161/ 2003 privind unele msuri pentru asigurarea transparenei n
exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i
sancionarea coruptiei - TITLUL II: Transparena n administrarea informaiilor i serviciilor
publice prin mijloace electronice
Pag. 207 din 214
[19] Legea nr. 161/ 2003 privind unele msuri pentru asigurarea transparenei n
exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i
sancionarea coruptiei - TITLUL III: Prevenirea i combaterea criminalitatii informatice.
[20] HG nr. 1085/ 2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind unele
msuri pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor
publice i n mediul de afaceri, prevenirea i sancionarea coruptiei, referitoare la
implementarea Sistemului Electronic Naional
[21] HG nr. 538/ 2004 privind modificarea i completarea Hotrrii Guvernului nr.
1.085/2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind unele msuri
pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor publice i n
mediul de afaceri, prevenirea i sancionarea coruptiei, referitoare la implementarea
Sistemului Electronic Naional
[22] HG nr.1362/2004 privind nfiinarea Centrului Informatic Naional al Ministerului
Administraiei i Internelor i operationalizarea Sistemului e-administraie
[23] Legea nr. 506/ 2004 privind prelucrarea datelor cu caracter personal i protectia vieii
private n sectorul comunicaiilor electronice
[24] HG nr. 1016/2004 privind msurile pentru organizarea i realizarea schimbului de
informaii n domeniul standardelor i reglementrilor tehnice, precum i al regulilor
referitoare la serviciile societii informaionale ntre Romnia i statele membre ale Uniunii
Europene,precum i Comisia European
[25] OMF nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele
de management/control intern la entitatile publice i pentru dezvoltarea sistemelor de
control managerial
[26] Legea 121/2006 pentru modificarea i completarea Legii nr. 365/2002 privind comerul
electronic
[27] OMF nr. 847/2009 pentru modificarea i completarea Ordinului ministrului economiei i
finanelor nr. 858/2008 privind depunerea declaraiilor fiscale prin mijloace electronice de
transmitere la distan
[28] OUG nr.49/2009 privind libertatea de stabilire a prestatorilor de servicii i libertatea de
a furniza servicii n Romnia
[29] HG nr. 444/ 2009 privind aprobarea Strategiei guvernamentale de dezvoltare a
comunicaiilor electronice n band larg n Romnia pentru perioada 2009-2015
[30] HG nr. 195 din 9 martie 2010 privind aprobarea Strategiei naionale "e-Romnia"
[31] Beate Schulte, Ulrike Peter, Jutta Croll, Iris Cornelssen, Methodologies to identify best
practice in barrier-free web design, European Journal of ePractice No. 3 May 2008,
ISSN: 1988-625X, www.e-practicejournal.eu
[32] Cristiano Codagno, Trond Arne Undheim, Benchmarking eGovernment: tools, theory,
and practice, European Journal of ePractice No. 4 August 2008, ISSN: 1988-625X,
www.e-practicejournal.eu
[33] Capgemini, The User Challenge Benchmarking The Supply Of Online Public Services
7th Measurement, 10 April 2008,
http://ec.europa.eu/information_society/eeurope/i2010/docs/benchmarking/egov_benchmar
k_2007.pdf
[34] European Commission, eGovernment progress in EU 27+: Reaping the benefits,
(2007), Brussels, August 2008,
http://ec.europa.eu/information_society/newsroom/cf/itemlongdetail.cfm?item_id=3635
[35] European Commission, i2010 eGovernment Action Plan: Accelerating eGovernment in
Europe for the Benefit of All, COM(2006), 173 final, Brussels
Pag. 208 din 214
[36] European Commission, Facing the Challenge: The Lisbon Strategy for Growth and
Employment, Report of the High Level Group, Brussels. Retrieved 15 August 2008,
http://ec.europa.eu/growthandjobs/pdf/kok_report_en.pdf
[37] European Commission, eEurope 2005, An information society for all: An Action Plan to
be presented in view of the Seville European Council, COM(2002) 263 final, Brussels.
[38] Robert Deller and Veronique Guilloux, Determining relevance of best practice based
on interoperability in European eGovernment initiatives, Journal of ePractice No. 4 August
2008, ISSN: 1988-625X, www.e-practicejournal.eu
[39] ENISA, Work programme 2005 Information sharing is protecting ENISA EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY, Brussels, 25
February 2005
[40] European Commission, eEurope 2005: An information society for all. An Action Plan
presented in view of the Sevilla European Council, 21/22 June 2002
[41] European Commission, Ministerial Conference - "ICT for an Inclusive Society,
Ministerial declaration, Riga, Latvia June 2006
[42] European Commission, IDABC Work Programme, Fourth revision (2007), SECTION I
Project of common interest. Horizontal measures
[43] European Commission, I2010 e-Government Action Plan, Analysis of European target
groups related to inclusive eGovernment, 2006
[44] OMB, Report to Congress on the benefits of the presidents e-government initiatives,
Fiscal Year 2007, OMB, USA
[45] Capgemini (2004) Online availability of public services: how is Europe progressing?
web based survey on electronic public services report of the 5th measurement - october
2004, For: European Commission Directorate General for Information Society and Media
3 march 2005
[46] Capgemini (2006), Online Availability of Public Services: How Is Europe Progressing?
- Web Based Survey on Electronic Public Services Report of the 6th Measurement - June
2006
[47] Cabinet Office (2002). Public Service Agreement Target Technical Note, Target 3,
(http://www.cabinetoffice.gov.uk/reports/service-delivery/sda4.asp#target3)
[48] Cabinet Office (2005). Transformational Government - Enabled by Technology
http://www.cio.gov.uk/
[49] CapGemini (2007), The User Challenge Benchmarking The Supply Of Online Public
Services; 7th Measurement (European Commission, Brussels)
http://ec.europa.eu/informationsociety/eeurope/i2010/docs/benchmarking/egov_benchmark
_2007.pdf
[50] Commission of the European Communities (2005). i2010 A European Information
Society for growth and employment SEC 717
[51] OECD (2003), The eGovernment imperative (OECD, Paris)
[52] European Commission, Benchmarking eInclusion-Bruxelles-21 June 2006-i2010
BENCHMARKING http://europa.eu.int/information_society/eeurope/i2010/benchmarking/index_en.htm
[53] Planul National de Dezvoltare, Guvernul Romniei, (National Strategic Reference
Framework 2007 2013 draft April 2006)
[54] Programul Complement ICT 2007-2013 www.mcti.ro
Pag. 209 din 214
[55] XXX, Programul Operaional Sectorial Creterea competitivitii economice (POS

CCE), Ministerul Economiei i Comerului,2006
[56] Carl Claunch and Dave Cearley, Top 10 Strategic Technology Areas for 2009, Gartner
Symposium/2008 ITxpo, Orlando, 2008
[57] Sam Lubbe, ISACA, Documentation Standards for E-commerce Organisations,
ISSN (1526-7407), INFORMATION SYSTEMS CONTROL JOURNAL, VOLUME 5, 2003,
[58] Sam Lubbe, Documentation Standards for E-commerce Organisations, p.24, ISACA,
INFORMATION SYSTEMS CONTROL JOURNAL, VOLUME 5, 2003, ISSN (1526-7407)
[159 Morten Fangel, Managing Director & Chief Consultant, Fangel Consultants Ltd,
Denmark, Systematic Planning and Evaluation of the Project Management Effort
[60] David Mc Namee, Business Risk Assesment, The Institute of Internal Auditors, USA,
1998, www.theiia.org
[61] Cristopher Fox, Paul Zonneveld, IT Control Objectives for Sarbanes Oxley: The Role
of IT in the Design and Implementation of Internal Control over Financial Reporting, ISACA
ITGI, 2006
[62] David Coderre, CAATs and other BEASTs for Auditors, 2005,
www.isaca.org/esentialsbooks
[63] The Institute of Internal Auditors, Applying COSOs Enterprise Risk Management Integrated Framework, Executive summary, September, 2004, www.theiia.org
[64] E-government in an audit perspective, Report final version, www.eurosai-it.org
[65] e-Procurement and its effect on future audit approach, EUROSAI - ITWG, 2004,
www.eurosai-it.org
[66] Perspectives on the information exchange, into IT, nr. 39, www.intosai.org
[67] Best practice Why IT Projects Fail, www.nao.gov.uk/intosai/edp
[68] Risk Management Principles for Electronic Banking, Basel Committee on Banking
Supervision, 2003, www.bis.org
[69] ECBS, Security Guidelines for e-Banking. Application of Basel Risk Management
Principles, European Committee for Banking Supervision, 2004, www.ecbs.org
[70] ITGI, Measuring and Demonstrating the Value of IT, IT Governance domain practices
and competencies, 2007, ITGI, ISBN 1-933284-12-9
[74] ITGI, Board Briefing on IT Governance, 2007, ITGI, ISBN 1-893209-64-4
[75] INTOSAI, INTOSAI GOV 9100 Guidelines for Internal Control Standards for the Public
Sector, 2004
[76] C.A.F.R., Audit financiar 2006 Standarde. Codul privind conduita etic i
profesional, 2006
[77] ISA, Declaraia internaional privind practica de audit 1008 - Evaluarea riscurilor i
controlul intern caracteristici i considerente privind CIS
[78] ISA, Declaraia internaional privind practica de audit 1009 - Tehnici de audit asistat
de calculator
[79] GAO, Government Auditing Standards, GAO, United States Government
Accountability Office, by the Comptroller General of the United States, July 2007 Revision,
[80] THE IIA, Systems Assurance and Control (SAC), The IIA Research Foundation,
http:/www.theiia.org/eSAC
[83] NIST, NIST 800-30 Risc Management Guide for Information Technology Systems,
http://www.csrc.nist.gov/publications
Pag. 210 din 214
[84] Dale Johnstore and Ellis Chung Yee Wong, Practicing Information Technology
Auditing for Fraud, INFORMATION SYSTEMS CONTROL JOURNAL, VOLUME 1, 2008,
ISSN (1526-7407)
Referine tehnice
[1] ISACA, IS Standards, Guidelines and Procedures for Auditing and Control
Professionals, ediia februarie 2010, www.isaca.org
[2] ITGI, COBIT Control Objectives, Ediia 4.0, www.isaca.org
[3] ITGI, IT Assurance Guide using COBIT, www.isaca.org
[4] ITGI, COBIT Mapping Papers, www.isaca.org
[5] ITGI, Aligning COBIT 4.1, ITIL V3, ISO/IEC 27001 for Business Benefit, www.isaca.org
[6] ITGI, Implementation Guide: Using COBIT and Val IT, 2nd Edition.
[7] ITGI, IT Assurance Guide: Using COBIT
[8] COBIT mappings, www.isaca.org :
COBIT Mapping: Mapping of CMMI for Development V1.2 With COBIT 4.1
COBIT Mapping: Mapping of COSO Enterprise Risk Management With COBIT 4.1
COBIT Mapping: Mapping of ISO/IEC 17799:2000 with COBIT, 2nd Edition
COBIT Mapping: Mapping of ISO/IEC 17799:2005 with COBIT 4.1
COBIT Mapping: Mapping of ITIL With COBIT 4.1
COBIT Mapping: Mapping of ITIL V3 With COBIT 4.1
COBIT Mapping: Mapping of PMBOK With COBIT 4.1
COBIT Mapping: Mapping of PRINCE2 With COBIT 4.1
COBIT Mapping: Mapping of SEIs CMM for Software With COBIT 4.1
COBIT Mapping: Mapping of TOGAF 8.1 With COBIT 4.1
COBIT Mapping: Overview of International IT Guidance, 2nd Edition
[9] ITGI, Val IT Framework 2.0, www.isaca.org
[10] ITGI, Value Management Guidance for Assurance Professionals, www.isaca.org
[11] ITGI, Using Val IT 2.0, www.isaca.org
[12] ITGI, Val IT Getting Started with Value Management, www.isaca.org
[13] ITGI, The Business Case Guide: Using Val IT 2.0, www.isaca.org
[14] ITGI, Optimising Value Creation From IT Investments, www.isaca.org
[15] The Institute of Internal Auditors, Applying COSOs Enterprise Risk Management Integrated Framework, Executive summary, September, 2004, www.theiia.org
[16] Best practice Why IT Projects Fail, www.nao.gov.uk/intosai/edp
Pag. 211 din 214
[17] ITGI, Measuring and Demonstrating the Value of IT, IT Governance domain practices
and competencies, 2007, ITGI, ISBN 1-933284-12-9
[18] ITGI, Board Briefing on IT Governance, 2007, ITGI, ISBN 1-893209-64-4
[19] INTOSAI, INTOSAI GOV 9100 Guidelines for Internal Control Standards for the Public
Sector, 2004
[20] ISA, Declaraia internaional privind practica de audit 1008 - Evaluarea riscurilor i
controlul intern caracteristici i considerente privind CIS
[21] ISA, Declaraia internaional privind practica de audit 1009 - Tehnici de audit asistat
de calculator
[22] GAO, Government Auditing Standards, GAO, United States Government
Accountability Office, by the Comptroller General of the United States, July 2007 Revision
[23] THE IIA, Systems Assurance and Control (SAC), The IIA Research Foundation,
http:/www.theiia.org/eSAC
[24] NIST, NIST 800-30 Risc Management Guide for Information Technology Systems,
http://www.csrc.nist.gov/publications
[25] www.isaca.org/cobit
[26] www.isaca.org/valit
[27] www.isaca.org/riskit
[28]www.itgi.org
Pag. 212 din 214
Anexa 1 - Legislaia pentru Societatea Informaional

Cadrul legislativ din Romnia
HG nr. 58/1998 pentru aprobarea Strategiei naionale de informatizare i implementare n ritm

accelerat a societii informationale i a Programului de aciuni privind utilizarea pe scara larg i
dezvoltarea sectorului tehnologiilor informaiei n Romnia
HG nr. 271/ 2001 privind nfiinarea grupului de lucru "Grupul de Promovare a Tehnologiei
Informaiei n Romnia"
HG nr. 1007/2001 pentru aprobarea Strategiei Guvernului privind informatizarea administraiei

publice
Legea nr. 455/ 2001 privind semntura electronic
HG nr. 1259/2001 privind aprobarea Normelor tehnice i metodologice pentru aplicarea Legii nr.
455/2001 privind semnatura electronic
Legea nr. 365/2002 republicat privind comerul electronic
Legea nr. 677/ 2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter
personal i libera circulaie a acestor date
Legea nr. 544/2001 privind liberul acces la informaiile de interes public
Legea nr. 161/ 2003 privind unele msuri pentru asigurarea transparenei n exercitarea
demnitilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea
coruptiei - TITLUL II: Transparena n administrarea informaiilor i serviciilor publice prin mijloace
electronice
Legea nr. 161/ 2003 privind unele msuri pentru asigurarea transparenei n exercitarea
demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea
coruptiei - TITLUL III: Prevenirea i combaterea criminalitatii informatice.
HG nr. 1085/ 2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind unele msuri
pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul
de afaceri, prevenirea i sancionarea coruptiei, referitoare la implementarea Sistemului
Electronic Naional
HG nr. 538/ 2004 privind modificarea i completarea Hotrrii Guvernului nr. 1.085/2003 pentru
aplicarea unor prevederi ale Legii nr. 161/2003 privind unele msuri pentru asigurarea
transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri,
prevenirea i sancionarea coruptiei, referitoare la implementarea Sistemului Electronic Naional
HG nr.1362/2004 privind nfiinarea Centrului Informatic Naional al Ministerului Administraiei i

Internelor i operationalizarea Sistemului e-administraie
Pag. 213 din 214
Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal i protectia vieii private n
sectorul comunicaiilor electronice
HG nr. 1016/2004 privind msurile pentru organizarea i realizarea schimbului de informaii n

domeniul standardelor i reglementrilor tehnice, precum i al regulilor referitoare la serviciile
societii informaionale ntre Romnia i statele membre ale Uniunii Europene,precum i Comisia
European
OMF nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele de
management/control intern la entitatile publice i pentru dezvoltarea sistemelor de control
managerial
Legea 121/2006 pentru modificarea i completarea Legii nr. 365/2002 privind comerul electronic
OMF nr. 847/2009 pentru modificarea i completarea Ordinului ministrului economiei i finanelor
nr. 858/2008 privind depunerea declaraiilor fiscale prin mijloace electronice de transmitere la
distan
OUG nr.49/2009 privind libertatea de stabilire a prestatorilor de servicii i libertatea de a furniza

servicii n Romnia
HG nr. 444/ 2009 privind aprobarea Strategiei guvernamentale de dezvoltare a comunicaiilor

electronice n band larg n Romnia pentru perioada 2009-2015
HG nr. 201/2010 privind organizarea i funcionarea Punctului de Contact Unic electronic (PCU
electronic),
HG nr. 195/ 2010 privind aprobarea Strategiei naionale "e-Romnia"
Directivele Parlamentului European
Directiva 1999/93/CE privind un cadru comunitar pentru semntura electronic;

Directiva 2000/31/CE privind aspecte juridice ale serviciilor societii informaionale, n special ale
comerului electronic;
Directiva 2002/19/CE privind accesul la reele de comunicaii electronice i la infrastructura
asociat, precum i interconectarea acestora;
Directiva 2002/58/CE privind prelucrarea datelor personale i protejarea confidenialitii i
comunicaiilor electronice;
Directiva 460/2004/CE privind instituirea Ageniei Europene pentru Securitatea reelelor
informatice i a datelor;
Directiva 854/2005/CE de instituire a unui program comunitar multianual de promovare a utilizrii
n condiii de mai mare siguran a Internet-ului i a noilor tehnologii online;
Directiva 2006/123/CE privind serviciile pe piaa intern (Directiva Servicii).
Pag. 214 din 214
ISSAI 5310
INTOSAI
Standardele Internaionale ale Instituiilor Supreme de Audit, ISSAI, sunt distribuite de ctre
Organizaia Internaional a Instituiilor Supreme de Audit, INTOSAI. Informaii pe site: www.issai.org
Metodologia
de revizuire
a Securitii
Sistemelor Informatice
IN TO S A I P ro f es si o n al St a n d a rd s C o mm i tt ee
PSCSecretariat
Rigsrevisionen Landgreven 4 P.O. Box 9009 1022 Copenhagen K Denmark

Tel.:+45 3392 8400 Fax:+45 3311 0415 E-mail: info@rigsrevisionen.dk
INTOSAI
EXPERIENTIA MUTUA
OMNIBUS PRODEST
INTOSAI General Secretariat RECHNUNGSHOF (Austrian Court of Audit)

DAMPFSCHIFFSTRASSE 2
A-1033
VIENNA
AUSTRIA
Tel.: ++43 (1) 711 71
Fax: ++43 (1) 718 09 69
E-MAIL: intosai@rechnungshof.gv.at;
WORLD WIDE WEB:
http://www.intosai.org
INTOSAI
Metodologie de revizuire a securitii sistemelor

informatice
Ghid pentru revizuirea securitii sistemelor informatice

n organizaiile guvernamentale
Emis de
Commitetul de Audit pentru Prelucrarea
Datelor Electronice
Organizaia International a Instituiilor
Supreme de Audit
Octombrie 1995
Cuprins
Volumul 1: Prezentare.............................................................................................................. 6
1.1
Prezentare ......................................................................................................... 7
1.2
Ce este securitatea Sistemului Informatic ............................................................. 7
1.3
Cadrul de lucru pentru securitatea informaiei ....................................................... 8
1.4
Abordare pe dou niveluri a revizuirii SSI ............................................................. 9
1.5
Abordarea top-down pentru revizuirea securitii informaiilor ............................... 10
1.6
Metoda detaliat privind securitatea sistemului informatic .................................... 11
1.7
Cum se utilizeaz abordarea pe dou niveluri pentru revizuirea
sistemului informatic .................................................................................................... 12

1.8
Cnd i cum se utilizeaz abordarea revizuirii top-down ...................................... 13
1.9
Cnd i cum se pot folosi metodele de securitate a informaiilor detaliate .............. 13
Volumul 2
O abordare top-down ..................................................................................... 15
2.1
Introducere ...................................................................................................... 16
2.2
Procesul de evaluare a securitii sistemelor informatice ..................................... 16
2.2.1
Evoluia managementului informaiei................................................................ 16
2.2.2
Managementul securitii ................................................................................. 17
2.2.3
Echipa de securitate ......................................................................................... 17
2.2.4
Procesul ........................................................................................................... 17
2.3
Completarea formularului Declaraie privind sensibilitatea informaiilor i
clasificarea securitii ................................................................................................. 18

2.4
Completarea formularului Evaluarea ameninrilor i a impactului
asupra afacerii ........................................................................................................... 19

4
2.4.1
Evaluarea ameninrilor i a riscurilor .............................................................. 19
2.4.2
Evaluarea impactului asupra afacerii................................................................ 20
2.4.3
Estimarea expunerii securitii ........................................................................ 20
2.5
Rezumatul evalurilor securitii ........................................................................ 21
2.6
Decizii privind securitatea i aciuni recomandate ................................................ 22
2.7
Etapele evalurii securitii sistemelor informatice .............................................. 22
ANEXA A Evoluia managementului informaiei ........................................................... 25

ANEXA B Procesul de evaluare a securitii sistemelor informatice............................... 26
ANEXA C - Declaraia privind sensibilitatea informaiilor i clasificarea securitii .............. 27
ANEXA F Diagrama ratei expunerii ............................................................................ 32
ANEXA H - Ameninri de baz i msuri de securitate .................................................. 33
ANEXA I - Cteva definiii ............................................................................................ 66
Volumul 3: O metod detaliat de securitate a sistemului informatic .............................. 70
3.1
Prezentare ....................................................................................................... 71
3.2
Infrastructura.................................................................................................... 72
3.3
Limite .............................................................................................................. 73
3.4
Echipa ............................................................................................................. 73
3.5
Ameninri / Vulnerabiliti ................................................................................. 74
3.6
Evaluare .......................................................................................................... 75
3.7
Cerina de securitate......................................................................................... 77
3.8
Contramsuri ................................................................................................... 77
3.9
Administrarea securitii .................................................................................... 78
Glosar succint .......................................................................................................................... 79
Metodologie de revizuire a securitii sistemelor informatice
Ghid pentru revizuirea securitii sistemelor

informatice n organizaiile guvernamentale
Volumul 1: Prezentare
1.1
Prezentare
Utilizatorii ar trebui s citeasc aceast prezentare nainte de a se referi la alte volume

referitoare la ghidul metodologic de revizuire a Sistemului de Securitate a Informaiei (SSI),
publicat de INTOSAI.
Scopul acestei prezentri de ansamblu este de a explica modul n care aceast metodologie
este organizat i n ce mprejurri poate fi folosit:
-
Ghidul metodologic de evaluare a SSI se aplic la orice mediu (mainframe,

microcalculator sau reeaua local de microcalculatoare).
Ghidul metodologic de revizuire a SSI este, de asemenea, aplicabil oricrui mediu
informatizat (calculator mare, microcalculator sau reea local de microcalculatoare).
Ghidul metodologic de revizuire a SSI propune o abordare pe dou niveluri.

Nivelul 1 furnizeaz Instituiilor Supreme de Audit (ISA), o metod de a face o revizuire
manual simpl a sistemului informatic, n special atunci cnd resursele sunt limitate sau
nevoile de raportare nu cer altceva (Volumul 2).
Nivelul 2 furnizeaz o metod mult mai sofisticat, bazat pe valoarea financiar a expunerilor
asociate cu securitatea informaiei (Volumul 3).
Obiectivul principal al acestui ghid este de a asista ISA care au un astfel de mandat pentru a
revizui programele implementate de diferite organizaii guvernamentale, sub aspectul
sistemului de securitate a informaiei. Acesta poate fi, de asemenea, utilizat de ctre ISA
pentru a stabili programe de securitate eficiente i cuprinztoare, care s acopere sistemele
informatice cheie n propria organizaie (ISA). Acesta nu este un ghid detaliat de audit de
securitate: este o descriere a unei abordri structurate pentru evaluarea i gestionarea
riscurilor n sistemele informatice.
1.2
Ce este securitatea Sistemului Informatic
Obiectivul unui program de securitate a sistemului informatic este acela de a proteja informaia
organizaiei, prin reducerea riscului de pierdere a confidenialitii, integritii i disponibilitii
informaiilor la un nivel acceptabil.
Un bun program de securitate a informaiilor implic dou elemente majore: analiza de risc i
managementul riscurilor.
n faza de analiz de risc, se realizeaz un inventar al tuturor sistemelor informatice. Pentru
fiecare sistem, se stabilete valoarea acestuia n cadrul organizaiei i se determin gradul n
care organizaia este expus riscului.
Managementul riscurilor, pe de alt parte, implic selectarea controalelor i msurilor de
securitate care reduc expunerea organizaiei la risc la un nivel acceptabil.
7
Pentru a fi eficace, eficient i pentru a reflecta acceptarea unor semnificaii comune,

managementul riscurilor trebuie s se fac ntr-un cadru de securitate, caz n care msurile de
securitate a informaiei sunt completate de msuri referitoare la calculatoare, personal,
activitatea administrativ, precum i msuri privind securitatea fizic (a se vedea Figura 1).
Managementul riscurilor devine o problem a conducerii de vrf. Trebuie asigurat un echilibru
ntre valoarea informaiei n cadrul organizaiei, pe de o parte, i costul msurilor de securitate
privind personalul, activitile administrative i tehnologice, pe de alt parte. Msurile de
securitate puse n aplicare trebuie s fie mai puin costisitoare dect daunele poteniale
cauzate de pierderea confidenialitii, integritii i disponibilitii informaiei.
Multe metodologii formale de analiz de risc existente pe pia necesit expertiz tehnic n
domeniul tehnologiei informaiei i al controalelor relevante, precum i n ceea ce privete
disponibilitatea spectrului de ameninri specifice, care ar putea fi dincolo de cunoaterea din
cadrul multor oficii de audit, cel puin la nceput. Obiectivul este de a constitui, de-a lungul
timpului, expertiza necesar i resursele.
Sisteme
informatice
Hardware / Software
Administrativ
Personal (Resurse umane)
Nivel fizic
Figura 1. Nivele complementare n securitatea informaiei
1.3
Cadrul de lucru pentru securitatea informaiei
Securitatea informaiei este un element al unei infrastructuri de securitate i, ca atare, nu

trebuie s fie examinat individual. Trebuie s existe un cadru de politici de securitate care se
ocup de toate aspectele legate de securitatea fizic, securitatea personalului i de securitatea
informaiilor. Trebuie s existe roluri i responsabiliti clare pentru utilizatori, ofieri de
8
securitate i Comitetul de direcie pentru sisteme informatice. Un program de securitate a

informaiilor ar trebui s includ toate aspectele legate de sensibilitatea informaiilor
organizaiei, inclusiv confidenialitatea, integritatea i disponibilitatea. Trebuie s existe un
program de contientizare privind securitatea, care s informeze ntreg personalul cu privire la
riscurile posibile i la expuneri, precum i la responsabilitile care i revin n calitate de
deintor al informaiilor organizaiei.
Referindu-ne la Figura 1, securitatea informaiilor este un set de msuri implementate la
urmtoarele niveluri: fizic, personal, administrativ, calculator (hardware i software) i la nivelul
sistemului informatic. Acestea trebuie s funcioneze n mod integrat. Securitatea informaiilor
presupune un bun control al managementului i al deficienelor la orice nivel pentru a preveni
ameninarea securitii la celelalte niveluri. n cazul n care politicile de securitate pentru
personal, de exemplu, nu sunt bine concepute i puse n aplicare, securitatea informaiilor ar
putea deveni foarte costisitoare sau aproape imposibil de susinut.
Pe de alt parte, msurile minime de la toate nivelurile ar trebui s asigure un nivel minim de
protecie a informaiilor, cu condiia ca riscul de securitate s fie rezonabil i acceptat de ctre
conducere. Exist, de asemenea, situaii n care msurile de securitate la un anumit nivel s
poat compensa deficiene de securitate din alt zon. Criptarea, de exemplu, adaug un strat
suplimentar de protecie pentru confidenialitatea datelor i integritate chiar i n cazurile n care
msurile de securitate fizic, de personal sau administrative pot fi slabe. Criptarea rmne una
dintre ultimele forme de aprare care poate ajuta la prevenirea breelor care afecteaz
confidenialitatea sau integritatea.
n planificarea securitii informaiilor, valoarea informaiei pentru management i volumul
acestor informaii relativ la alte tipuri de informaii trebuie s fie echilibrat n raport cu limitrile
securitii de baz ale mediului. n multe departamente guvernamentale, dac nu sunt cerine
extreme pentru manipularea de informaii cu caracter secret deosebit, pe un laptop protejat n
mod adecvat, informaiile ar trebui s fie pur i simplu create i transportate ntr-o alt manier.
Pentru acele departamente, costurile i constrngerile controalelor de securitate
corespunztoare i msurile nu pot fi acceptabile, avnd n vedere volumul mic de informaii
care are nevoie de o astfel de protecie.
1.4
Abordare pe dou niveluri a revizuirii SSI
Ghidul introduce o abordare pe dou niveluri a revizuirii sistemului de securitate a informaiei1.

Accentul se pune pe utilizarea simului comun pentru a echilibra continuu costul msurilor de
securitate care urmeaz s fie incluse n sistem cu valoarea informaiei manipulate n acest
sistem2.
Aceast abordare este rezultatul unui efort comun depus de NAO-UK (National Audit Office of the UK) i de Oficiul
Auditorului General al Canadei.
1
Securitatea este n mare msur de natur preventiv, cum ar fi asigurarea auto. Chiar dac cei mai muli oameni nu a fost
implicai niciodat ntr-un accident de masina grav, ei nc au asigurare auto. Beneficiile nu sunt niciodat pe deplin realizate
pn cnd nu are loc un accident. Securitatea "este o cheltuial legitim i necesar serviciilor de gestionare a informaiilor, i
guvernul ar trebui s ia n considerare att costul de punere n aplicare a controalelor ct i costul potenial de a nu face acest
lucru. Costurile de securitate ar trebui s fie proporionale cu necesitatea, i incluse n costurile ciclului de via al oricrui
sistem informatic". (Oficiul Auditorului General al Canadei, Raport anual, 1990, capitolul 9, auditul securitii informaiilor).
2
Avnd n vedere resursele limitate ale multor instituii supreme de audit, se propune ca ISA s
utilizeaz nti o viziune top-down manual de management al securitii informaiei. ISA
trebuie s treac la a doua faz, o analiz foarte detaliat care vizeaz o evaluare financiar a
expunerii la risc a informaiei, numai n cazul n care managementul are nevoie de precizie
financiar pentru a susine deciziile sale sau dac expunerile tehnice specifice sunt n curs de
examinare. Ambele metode de includ elemente de analiz a riscurilor i de gestionare a
riscurilor (a se vedea Figura 2).
Analiza riscurilor de securitate
Managementul riscurilor
Revizuire manual top-down
Nu
Recomandri de securitate generale
i msuri specifice
Costuri nete detaliate necesare?
Nu
Analiz suplimentar
necesar (cuantificat)?
Expertiz i resurse diponibile

Da
Faza de implementare
Analiz detaliat (expunere monetar

statistic)
Msuri detaliate (inclusiv costuri nete)
Figura 2. Abordare pe dou nivele pentru analiza i managementul riscurilor de securitate
Aceast abordare pe dou niveluri furnizeaz Instituiilor Supreme de Audit opiuni n alegerea
metodologiilor i o cale de migrare treptat de la o metodologie mai puin sofisticat la una
foarte formalizat i consumatoare de resurse.
1.5
Abordarea top-down pentru revizuirea securitii

informaiilor
Metoda top-down este simpl, dar complet i poate ajuta Instituiile Supreme de Audit s
ajung la concluzii cu privire la expunerile sistemului de securitate a informaiilor n curs de
revizuire. Este nevoie de o perspectiv de sus n jos, top-down, a securitii informaiilor
deoarece aceasta reflect: perspectiva conducerii de vrf asupra informaiei n ceea ce
privete valoarea acesteia pentru organizaie, riscurile i expunerile sistemului de securitate i
recomandrile care ar trebui s fie fcute. Aceast abordare permite auditorilor s-i
concentreze atenia asupra sistemelor informatice cheie, n special asupra celor care prezint
preocupri speciale de securitate.
Metoda top-down se bazeaz pe evaluri calitative de risc pentru ameninrile posibile i
pentru impactul acestora, n cazul n care s-au manifestat. Accentul este pus pe estimarea
valorii informaiei sau datelor manipulate de sistemul informatic pentru management, i nu att
10
de mult pe valoarea tehnologiei n sine3. Pentru fiecare sistem informatic, valoarea informaiilor
pentru organizaie, ameninrile i posibilele efecte sunt evaluate mai nti individual, apoi
global pentru a determina un grad global de expunere la risc. Aceste evaluri sunt subiective
i, de obicei, sunt exprimate n termeni de risc ridicat, mediu sau sczut, impact i expunere.
Pe baza acestor evaluri, se fac recomandri managementului, cu privire la aciunile care
trebuie ntreprinse sau cu privire la tipurile controalelor specifice i la msurile de securitate
care trebuie implementate. Aceste recomandri sunt o parte a managementului de risc. Metoda
top-down are mai multe avantaje. Este uor i ieftin de folosit. Aceasta este o metod manual
i poate fi utilizat n orice ISA de ctre personalul cu experien n materie de controale de
management i de informaii i sisteme informatice n general. Resursele interne de personal
pot fi suficiente, fr a fi nevoie de pachete software sofisticate pentru a colecta date cu privire
la sistemele informatice revizuite, pentru a obine statistici actualizate pertinente i pentru a
produce analize foarte sofisticate i rapoarte. De obicei, este suficient un pachet de prelucrare
a textelor. Foile de calcul tabelar pot ajuta n producerea de tabele de sintez. Cei mai avansai
pot dori s utilizeze pachete care exploateaz funcionalitatea bazei de date pentru a colecta
informaii i s produc, ulterior, rapoartele de analiz.
n abordarea pe dou niveluri propus, privind securitatea sistemului informatic, metoda topdown este vzut ca un punct de decizie n cadrul metodei de ansamblu. n funcie de
circumstanele revizuirii, SAI-urile pot fi satisfcute de rezultatele revizuirii sau pot decide s
continue revizuirea cu proceduri mult mai sofisticate, n domenii de interes special sau n cazul
n care msurile de securitate foarte tehnice sau foarte costisitoare ar putea s necesite
justificarea managementului.
1.6
Metoda detaliat
informatic
privind
securitatea
sistemului
Metodologiile detaliate utilizate n nivelul al doilea al abordrii propuse Instituiilor Supreme de

Audit, reprezint un tip bine cunoscut de analiz i management al riscurilor bazat pe o analiz
detaliat i cantitativ a activelor aferente sistemului informatic. Acestea ncearc s msoare
impactul financiar net al expunerilor de securitate i a contramsurilor puse n aplicare.
Furnizori din ntreaga lume vnd diferite pachete de analiz a securitii care permit o astfel de
abordare.
Metode cantitative de analiz a securitii sunt, de obicei, puse la dispoziie mpreun cu un
pachet software de care va beneficia auditorul la introducerea datelor, calcularea expunerilor
de securitate i raportarea cu privire la proiect. Aceste pachete de management al riscurilor
constituie un ajutor de specialitate din partea furnizorilor si un suport de instruire pentru
utilizatorii metodei.
Spre deosebire de metoda top-down, metodologiile detaliate, utilizate n al doilea nivel al abordrii propuse de acest ghid, cuantific ntr-o
manier foarte detaliat ameninrile la adresa platformei de calculatoare pe care se execut sistemele informatice.
3
11
Volumul 3 descrie o versiune manual a unei metode detaliate de securitate a informaiei 4.

Obiectivul este de a oferi SAI-urilor o imagine de ansamblu a unei metode care este cea mai
utilizat i are ca suport un pachet de programe software.
n contrast cu abordarea top-down, analiza cantitativ a securitii are ca scop evaluarea n
termeni financiari, ntr-un mod foarte detaliat i structurat, a tuturor activelor i a tuturor
ameninrilor posibile, precum i impactul acestora asupra sistemelor informatice implementate
de ctre o organizaie. Prin interviuri i chestionare, sunt evaluate de ctre utilizatori posibilele
efecte asupra informaiilor i clasificate pe o scal de la unu la zece, n funcie de gravitatea lor.
n continuare, ateptrile privind pierderile anuale sunt calculate prin combinarea costurilor de
nlocuire a activelor, a probabilitilor ameninrilor i a factorilor de ponderare a impactului.
Cele mai multe dintre metodele de pe pia sunt n natur pe dou niveluri i variaz de la
una la alta n concordan cu modul n care au fost obinute probabilitile, costurile i pierderile
anuale cumulate anticipate. Alte diferene pot fi uurina n utilizarea metodei i tipul de suport
oferit de ctre vnztor. Acestea sunt unele dintre problemele pe care aceast abordare pe
dou niveluri ncearc s le abordeze.
Utilizarea unor metode cantitative de analiz i de management ale riscurilor impune ca
tabelele statisticilor riscurilor i costurile activelor s fie modificate n acord cu circumstanele
specifice fiecrei ri.
1.7
Cum se utilizeaz abordarea pe dou niveluri pentru revizuirea

sistemului informatic
Planificare. Planificarea revizuirii securitii este cheia succesului aciunii. Aceasta ar trebui s
acopere urmtoarele elemente principale:
Cunoaterea clientului i a mediului informatizat;
Domeniul care face obiectul revizuirii: care sunt sistemele informatice, care sunt
limitele logice, fizice sau geografice;
Resurse disponibile: personal calificat sau consultani, bugete, termene;
Disponibilitatea unor statistici fiabile privind ameninrile i a unor date referitoare la
costuri, adecvate pentru condiiile locale; adaptarea valorilor implicite, dac este
necesar;
Cerinele de raportare: destinatarii raportului, contextul revizuirii (raportul anual,
rapoartele speciale de uz intern/ extern etc), tipul recomandrilor necesare;
Metoda de revizuire: abordarea top-down (de sus n jos), analize detaliate sau o
combinaie a celor dou.
Dezvoltat de the National Audit Office of the UK
12
1.8
Cnd i cum se utilizeaz abordarea revizuirii

top-down
Abordarea top-down este metoda preferat utilizat pentru revizuire, deoarece satisface
nevoile i capacitile multor instituii supreme de audit.
Volumul 2 conine o descriere a metodei, inclusiv finalizarea pas cu pas a revizuirii securitii. O
serie de formulare este prezentat n anexe. Formularele pot fi utilizate n form tiprit sau pe
un calculator5.
Cele mai importante formulare sunt Declaraia privind sensibilitatea informaiilor i clasificarea
securitii (Anexa C), precum i formularul Impactul asupra afacerii i evaluarea ameninrilor
(Anexa E).
n funcie de circumstanele de revizuire a securitii, versiunile pe suport de hrtie ale acestor
formulare pot fi completate de ctre proprietarii / utilizatorii de sisteme informatice n curs de
revizuire i semnate de un funcionar desemnat de conducere. Acestea se constituie n
documentaia permanent de evaluare a securitii pentru aceste sisteme. Disponibilitatea
formularelor electronice simplific i uureaz adaptarea acestora la nevoile locale.
Alte formulare, n cea mai mare parte foile de calcul, sunt folosite pentru a sintetiza rezultatele
pentru mai multe sisteme informatice, pe un format centralizator.
1.9
Cnd i cum se pot folosi metodele de securitate a

informaiilor detaliate
Exist circumstane n care se impun revizuiri ale securitii informaiei mult mai detaliate i mai
cuantificate. Acest lucru se va ntmpla n cazul n care instituiile supreme de audit dispun de
resursele bugetare, tehnice i de personal necesare pentru a desfura analize detaliate sau n
cazul n care cerinele de raportare dicteaz acest mod de abordare.
nainte de a ncerca utilizarea unei metode de securitate a informaiilor detaliate, se recomand
ca ISA s acorde o atenie deosebit urmtoarelor aspecte:
Disponibilitatea expertizei sau accesul uor la expertiza din domeniul tehnologiei

informaiei i al securitii informaiei;
Disponibilitatea unei metodologii adecvate;
Disponibilitatea unui pachet software suport bun: metodele de risc cantitative sunt
foarte cuprinztoare i implic metodologii detaliate, care impun utilizarea unui
calculator; pe de alt parte, pachetul software suport introduce, de obicei, complexitate
inerent, care transform revizuirea detaliat a securitii ntr-o sarcin extrem de
dificil;
Bugetele pentru adaptarea sau personalizarea pachetului pentru mediul supus

revizuirii: cteva luni de efort nu constituie o exagerare;
Bugetele pentru instruire, avnd n vedere curba de nvare care poate fi destul de
abrupt i costisitoare, mai ales n cazul n care trebuie s fie utilizai consultanii;
Resurse financiare i de timp: revizuirile de securitate detaliate sau de amploare tind

s fie de lung durat i consumatoare de resurse, i,
Nevoia pentru o astfel de revizuire detaliat: exist o argumentaie care s susin c

revizuirile detaliate, cantitative de securitate nu pot fi justificate pentru sistemele
Formularele sunt disponibile n format electronic i pot fi uor importate ntr-un mediu Windows.
13
informatice comerciale sau guvernamentale care nu sunt nici complexe, nici extrem de
sensibile.
Instituii supreme de audit, cum ar fi Oficiul Naional de Audit din Marea Britanie i Oficiul de
Audit din Noua Zeeland au deja o lung experien n dezvoltarea i utilizarea metodelor de
gestionare a riscurilor de securitate detaliate. Celelalte instituii supreme de audit pot dori s se
consulte cu acestea nainte de a merge n aceast direcie.
Pentru a utiliza aceste metode n mod eficient, instituiile supreme de audit trebuie s aib
acces la personal calificat sau consultani n domeniul tehnologiei informaiei i n conceptele
de securitate a informaiilor. La nivel mondial, sunt comercializate de ctre o serie de firme de
consultan, pachete comerciale de gestionare a riscurilor, mpreun cu instruirea aferent n
utilizarea metodologiei de baz.
Exist mai multe pachete bine cunoscute de management al riscurilor. CRAMM, de exemplu, a
fost dezvoltat pentru guvernul britanic, iar acum este comercializat ntreaga lume, prin diverse
firme de consultan. n S.U.A., RiskWatch este un pachet bine cunoscut care utilizeaz un
software de tip sistem expert pentru a efectua analiza i managementul riscurilor.
Departamentul de Energie al SUA a dezvoltat pachetul Los Alamos Vulnerability Assessment
(LAVA). Noua Zeeland are n curs de dezvoltare programul CATALYST, ntr-un mediu
Windows, pentru a rspunde propriilor nevoi de analiz a securitii. Selecia unui astfel de
pachet poate fi o chestiune de disponibilitate local, cost, suport tehnic dup cumprare,
resurse necesare pentru personalizare la condiiile locale.
Costul unuia dintre aceste pachete comerciale pentru o instituie suprem de audit este de
aproximativ 6000 sau 10.000 USD. Acesta poate include, de asemenea, instruirea pentru
una sau dou persoane.
n toate cazurile, instituia suprem de audit trebuie s se asigure c statisticile de baz
utilizate de ctre pachetul selectat sunt adecvate pentru condiiile locale. n alte cazuri,
rezultatele ar putea reflecta condiiile existente numai n Europa sau n America de Nord.
14

Volumul 2
O abordare top-down
Declaraia privind sensibilitatea
informaiilor i clasificarea securitii
pentru sistemele informatice
15
2.1
Introducere
Scopul acestui ghid este de a furniza o metodologie eficient pentru a asista n revizuirea sau
n stabilirea unor politici i msuri de securitate adecvate n cadrul unei organizaii.
Recunoscnd c cerinele de securitate trebuie s fie actualizate n mod regulat, ghidul
furnizeaz, de asemenea, o documentaie simpl privind actualizarea i de raportarea.
Ghidul descrie evaluarea securitii informatice din perspectiva managementului ntr-o
organizaie guvernamental6. Organizaiile pot utiliza acest ghid pentru a fi asistate la
elaborarea unui "inventar" de aplicaii informatice utilizate, la evaluarea sensibilitii i
clasificrii securitii informaiilor i la finalizarea evalurii impactului riscurilor ameninrilor
asupra afacerii. Persoana nsrcinat cu securitatea7 utilizeaza acest ghid ca o baz pentru
evaluarea general a politicii i msurilor de securitate i pentru a face recomandri.
Instituiile supreme de audit (ISA) pot utiliza ghidul n dou moduri: pentru scopuri interne, de a
crea un proces de evaluare a securitii n propria organizaie sau n scopuri externe, pentru a
ajuta la revizuirea procesului de evaluare a securitii n alte organizaii guvernamentale.
Acest ghid conine o abordare top-down la nivel nalt pentru securitatea informaiilor. Accentul
se pune pe informaia transmis de diverse dispozitive electronice. n conformitate cu aceast
abordare la nivel nalt, acest ghid calific ameninrile generate de cauze generale n locul
rezultatelor acestora, cum ar fi cutremurele n loc de distrugerea pe care o pot aduce. O
abordare bottom-up (de jos n sus) a securitii informaiilor, pe de alt parte, tinde s
examineze fiecare activ de tip calculator pentru a detecta slbiciunile care pot crea expuneri
avnd ca efect pierderile de informaii generate sau transportate de ctre aceste active.
Avantajul folosirii abordrii top-down este acela c ajut managementul s se focalizeze i s
se concentreze pe zonele cu probleme pentru aciunile viitoare. n unele cazuri, aceasta poate
indica nevoia de munc suplimentar pentru a construi un studiu de fezabilitate pentru msurile
de securitate extinse sau costisitoare.
Deoarece metoda are ntotdeauna o viziune corporativ sau de management al securitii
informaiilor, ea rmne flexibil i se poate ocupa att de probleme de politic, ct i de
msuri de securitate.
2.2
2.2.1
Procesul de evaluare a securitii sistemelor

informatice
Evoluia managementului informaiei
n managementul informaiilor i aplicaiilor, o organizaie parcurge patru etape distincte:

(a) managementul documentelor pe hrtie, (b) managementul tehnologiilor automatizate,
(c) managementul resurselor informaionale ale companiei i (d) managementul utilizrii
n acest document organizaie se refer la orice departament sau agenie guvernamental sau de stat. "Aplicaie
informatic" i "sistem informatic" sunt folosite alternativ.
6
A se vedea Anexa I pentru mai multe detalii privind infrastructura de securitate tipic pentru organizaiile guvernamentale.
16
strategice a informaiei (Anexa A). Provocrile induse de tehnologie i de securitate sunt

minimizarea timpului i efortului cheltuite n fiecare etap i trecerea prin etape, ct mai bine
posibil.
n etapa de management al tehnologiilor automatizate, utilizatorii nu au ncredere n mod
semnificativ n aplicaiile de pe calculator, dar ating o eficien notabil. La a treia etap,
managementul resurselor informaionale ale organizaiei, securitatea informaiei devine o
preocupare major din cauza dependenei semnificative de informaiile bazate pe calculator i
a expunerilor generate de concentrarea informaiilor ntr-un singur loc (pe calculator).
2.2.2
Managementul securitii
Una dintre resursele cheie ale organizaiei este informaia. Primul pas pentru a pstra resursele
de calcul n condiii de siguran este adoptarea unor politici i msuri de management al
informaiei i administrativ care cuprind principiile unui bun management securitate:
1. Protecia/asigurarea securitii ar trebui s fie conform cu valoarea informaiilor care
trebuie protejate;
2. Protecia securitii ar trebui s fie asigurat informaiilor ori de cte ori acestea sunt
transmise pe diverse canale sau prelucrate; i
3. Protecia securitii ar trebui s fie continu, n toate situaiile.
2.2.3
Echipa de securitate
Sub conducerea persoanei responsabile cu securitatea calculatoarelor, este selectat o echip

de securitate. Angajamentul deplin al conducerii este important n cazul n care echipa se
angajeaz n realizarea obiectivelor sale. Responsabilitatea echipei este de a pune n aplicare
politica de securitate stabilit de conducerea de nivel superior i de a identifica schimbrile
care sunt necesare datorit evoluiilor n sistemele informatice ale organizaiei sau
ameninrilor cu care se confrunt.
2.2.4
Procesul
Politicile de securitate sunt proiectate pentru a proteja informaiile n conformitate cu expunerile

informaiilor. Msurile de securitate (standarde, proceduri, i instrumente) sunt baraje pentru
protejarea informaiilor.
Pentru a determina care sunt msurile specifice necesare, se desfoar procesul de evaluare
a securitii sistemelor informatice (Anexa B), care implic:
Declaraia de sensibilitate
Evaluarea senzitivitii programului i aplicaiilor administrative (sisteme informatice)
utilizate i determinarea clasificrii securitii n cadrul organizaiei.
Confirmarea evalurii standardului organizaiei pentru aplicaii similare i, dup caz,
completarea sau actualizarea unui formular Declaraia privind sensibilitatea
informaiilor i clasificarea securitii (Anexa C).
n cazul n care se dorete, recuperarea situaiilor de sensibilitate individuale n
formularul Descriere sumar a sistemelor informatice (Anexa D).
17
Evaluarea impactului asupra afacerii

Determinarea impacturilor posibile ale afacerii asupra organizaiei n cazul n care au
fost dezvluite informaii, a fost compromis integritatea sau au fost perturbate servicii.
Evaluarea ameninrilor i a riscului

Determinarea riscului i a probabilitii cu care ameninrile identificate ar putea s
apar.
Clasificarea gradului de expunere a securitii

Evaluarea intercorelat a ameninrilor i a impactului asupra afacerii pentru a
determina expunerea global a organizaiei.
Confirmarea evalurii standardului de securitate al organizaiei pentru aplicaii similare
i, atunci cnd este cazul, confirmarea sau actualizarea formularului Evaluarea
ameninrilor i a impactului asupra afacerii (Anexa E).
Decizia privind securitatea i aciuni recomandate

Completarea sau actualizarea formularului Rezumatul evalurilor securitii (Anexa G).
Luarea deciziilor privind securitatea i formularea de recomandri pentru management,
pentru a minimiza expunerile identificate i sublinierea tuturor deficienelor grave
referitoare la politica de securitate.
2.3
Completarea formularului Declaraie privind sensibilitatea

Este important s se stabileasc un "inventar" complet al tuturor operaiunilor i aplicaiilor

administrative (grupate sau specifice), aflate n uz i s se stabileasc n mod clar limitele
sistemului/ sistemelor n curs de revizuire. Anexa I ofer o definiie a unei aplicaii. Din motive
de securitate, aplicaii similare pot fi grupate mpreun, cum ar fi: procesare de text pentru
scrisori, procesare de text pentru memorandum-uri de audit, foaie de calcul pentru analiza
financiar, foaie de lucru tabelar pentru planificare etc.
Aplicaiile sunt deinute de un grup sau de un individ. n cazul n care exist puine interaciuni
ntre aplicaii, utilizatorii ieirilor din sistem pot fi uor de identificat. n sistemele puternic
integrate, trebuie s fie convenit o grani artificial agreat de toate prile, inclusiv de
managementul de vrf.
Un grup poate solicita membrilor s completeze o Declaraie privind sensibilitatea informaiilor
i clasificarea securitii (Anexa C), n vederea stabilirii un "inventar" al aplicaiilor utilizate i
pentru a colecta datele necesare pentru consolidarea aplicaiilor similare. Este important ca
formularul s fie revizuit i aprobat de ctre un manager principal al grupului. Aceasta ofer
18
asigurarea c toate evalurile reflect valoarea real a sistemului informatic pentru organizaie,
ca ntreg.
Prin completarea formularului Declaraia privind sensibilitatea informaiilor i clasificarea
securitii (Anexa C), proprietarul evalueaz sensibilitatea informaii din punctul de vedere al
disponibilitii, integritii i confidenialitii, estimeaz costurile de nlocuire i oportunitatea
acestora, costurile directe i indirecte (ore, un curs mediu al dolarului i cheltuielile), i
stabilete clasificarea securitii cerut.
Formularul Declaraia privind sensibilitatea informaiilor i clasificarea securitii reprezint o
documentare formal a evalurii. Formularul este, de asemenea, util pentru a documenta
controalele specifice de integritate i procedurile (completitudinea, acurateea i autorizarea).
Acesta ar trebui s fie pstrat ca document permanent i actualizat, dup cum este necesar.
Acolo unde este cazul, i o dat finalizate, declaraiile individuale de sensibilitate sunt
recuperate de conducerea de la nivelul grupului sau de la nivelul organizaiei ntr-o Descriere
sumar a sistemelor informatice (Anexa D). Aceasta furnizeaz managementului o imagine de
ansamblu asupra sistemelor aflate n responsabilitatea sa i asupra valorii informaiilor pe care
acestea le vehiculeaz.
2.4
Completarea formularului Evaluarea ameninrilor i a impactului

asupra afacerii
Formularul Evaluarea ameninrilor i a impactului asupra afacerii (Anexa E) prevede o

evaluare structurat a expunerilor de securitate la nivelului organizaiei. Evaluarea are trei
componente distincte: riscul (probabilitatea) apariiei ameninrii, gradul de gravitate a
impactului asupra afacerii i o rat de evaluare a expunerii. Primele dou componente sunt
independente una de cealalt i pot fi evaluate n orice ordine. Impactul asupra afacerii i
ameninrile sunt apoi evaluate mpreun pentru a ajunge la un grad (rating) global de
expunere a securitii organizaiei.
2.4.1
Evaluarea ameninrilor i a riscurilor
Ameninri. Ce s-ar putea ntmpla. Ameninrile posibile sunt enumerate n Anexa E. O list
mai detaliat, mpreun cu sugestiile pentru msuri de contracarare, este, de asemenea,
disponibil n Anexa H. Anchetele privind securitatea raporteaz c peste 80% dintre
ameninrile experimentate pe informaiile din calculator provin din interiorul organizaiei,
defalcat dup cum urmeaz: 24% ca urmare a neateniei n aplicarea procedurilor, 26% din
cauza instruirii neadecvate, iar 30% din cauza angajailor necinstii.
Ar trebui s se acorde grij condiiilor locale, n cazul n care natura i importana ameninrii
pot diferi considerabil de la o ar la alta. n unele cazuri, acest lucru poate nsemna o
concentrare mai mare pe anumite tipuri de ameninri, definind n continuare unele dintre
ameninri i contramsurile de adaptare la condiiile locale.
Probabilitatea de apariie. anse ca ameninarea s se produc n viitor. Deoarece anumite
ameninri i riscuri pot fi comune n ntreaga organizaie, ar trebui efectuat o evaluare
general de ctre persoana responsabil cu securitatea sistemelor informatice i utilizat ca un
19
criteriu pentru evalurile individuale. Persoanele care efectueaz evaluri individuale trebuie s
se concentreze doar asupra riscurilor care sunt relevante sau care ar putea fi diferite din cauza
unor circumstane speciale. Pentru fiecare sistem informatic, ansa de apariie a ameninrilor
individuale este evaluat ca fiind mare (major), medie sau mic (sczut). Dup ce toate
ameninrile posibile asupra aplicaiei respective au fost identificate i evaluate, se face o
judecat de valoare asupra riscului global. Pentru un sistem informatic dat, riscul global nu este
rezultatul unei formule care amplific numrul ratelor de evaluri mari i sczute. O singur
rat major a evalurii ntr-un domeniu critic poate conduce la o rat ridicat de ansamblu. Pe
de alt parte, mai multe rate majore ale evalurii n zonele non-critice pot produce o rat
global mediu spre sczut.
2.4.2
Evaluarea impactului asupra afacerii
Deciziile de afaceri trebuie s fie fcute n raport cu valoarea informaiei. Pentru scopuri de
securitate, aceste valori ale afacerii sunt exprimate ca impact asupra organizaiei n cazul n
care informaiile au fost dezvluite, integritatea acestora a fost compromis sau a existat o
ntrerupere de servicii. Impacturile posibile asupra afacerii sunt enumerate n Anexa E. n
funcie de condiiile locale, pot fi determinate impacturi adiionale asupra afacerii. Pentru fiecare
impact asupra afacerii, se iau decizii presupunnd c, n cazul n care a avut loc, consecinele
ar fi foarte grave, grave sau mai puin grave. Sunt evaluate numai acele impacturi asupra
afacerii legate de informaii. Dup ce au fost evaluate toate impacturile posibile, se face o
evaluare global pentru aplicaii.
Fiecare dintre aceste evaluri reprezint o judecat de valoare subiectiv a severitii fiecrui
impact individual asupra organizaiei ca ntreg. n mod similar, dup evaluarea impacturilor
individuale asupra organizaiei n cazul n care informaiile au fost divulgate, compromise sau
devin indisponibile, se face evaluarea unui impact global de afaceri, dar nu pe baza unui cumul
exact al acestor impacturi individuale, ci pe baza unei judeci de valoare a efectului de
ansamblu asupra organizaiei. Aceste judeci de valoare sunt construite prin consens ntre
diferitele pri interesate cheie.
Pentru a fi acceptabile, este important ca evalurile de impact asupra afacerii i riscurile
asociate ameninrilor s fie revizuite periodic i aprobate de conducerea executiv a grupului
organizaional i de ctre persoana responsabil de securitatea calculatoarelor.
2.4.3
Estimarea expunerii securitii
O evaluare a expunerii securitii este rezultatul combinrii dintre estimarea riscului ameninrii
globale sau a probabilitii (mare, mediu, sczut), i estimarea impactului global asupra
afacerii (foarte grav, grav, sau mai puin grav). Diagrama ratei expunerii, Anexa F, este folosit
ca un ghid pentru clasificarea expunerilor ca mari medii, i sczute.
Primul pas este de a evalua expunerea total pentru aplicaii ca un ntreg, n formularul
Evaluarea ameninrilor i a impactului asupra afacerii (Anexa E).
n unele cazuri, pentru o evaluare general de ansamblu a riscurilor ameninrilor (coloana
vertical), dar cu un impact general redus asupra afacerii (linia orizontal), Diagrama ratei
20
expunerii ar trebui s ne determine mai nti, s selectm cifra "4" ca intersecie. Acest lucru
se traduce ntr-o rat medie de expunere. A se vedea legenda din Diagrama ratei expunerii
pentru a observa cum clasificarea expunerii poate fi regrupat n rate de expunere sczute,
medii sau ridicate.
Ca un al doilea pas i pentru a identifica pentru care riscuri ale ameninrilor i impacturi
asupra afacerii ar putea s fie direcionate aciunile managementului, se calculeaz o rat de
expunere pentru aceste impacturi de afaceri care au fost evaluate. Acest lucru se face prin
utilizarea Diagramei ratei expunerii, pentru a combina impactul individual al ratei de afaceri cu
riscul de ansamblu identificat al ameninrii. Numerele obinute din Diagrama ratei expunerii
sunt afiate pe liniile impactului relevant, n zona evalurii expunerii din Formularul E. Pentru
claritate, numerele sunt afiate n coloanele Max, Med sau Low (maxim, mediu, sczut)
corespunztoare. Ratele individuale de expunere la securitate medii sau ridicate ar putea
deveni obiectul recomandrilor ctre conducere cu privire la reevaluarea impactului asupra
afacerii sau la reducerea riscului de ameninare global, astfel nct s se reduc expunerea la
securitate a organizaiei. Aceast evaluare constituie legtura dintre expunerile la securitate i
deciziile i aciunile necesare privind securitatea.
2.5
Rezumatul evalurilor securitii
Formularul Rezumatul evalurilor securitii (Anexa G) consolideaz informaii colectate i

evaluate pe baza formularelor Declaraia privind sensibilitatea Informaiilor i clasificarea
securitii (Anexa C), precum i Evaluarea ameninrilor i a impactului asupra afacerii (Anexa
E). Se elaboreaz rezumate pe grupuri separate pentru operaiunile de livrare a programelor i
activitile administrative. Att formularele ct i rezumatele trebuie s fie pstrate ca
documente de lucru i actualizate n mod regulat. Acestea ar trebui s fie revizuite i aprobate
de ctre conducerea executiv adecvat.
Rezumatele ofer managementului securitii o imagine de ansamblu a aplicaiilor aflate n
utilizare. Pe baza acestor rezumate, mpreun cu evalurile aplicaiilor", persoana responsabil
de securitatea sistemelor informatice evalueaz expunerile la securitate a organizaiei i
recomand aciunile necesare pentru a minimiza expunerile identificate. Avnd n vedere
natura schimbtoare a tehnologiei, procesul de revizuire a riscurilor poate evidenia, de
asemenea, politici de securitate care nu mai sunt adecvate. Toate deficienele grave ale politicii
sunt aduse la cunotina managementului de vrf, n raportul final, mpreun cu alte
recomandri. n cazul n care, pentru un anumit program sau sistem informatic, rezultatele
indic necesitatea unor recomandri mai precise, poate fi propus o revizuire mai detaliat, cu
utilizarea unei analize cantitative mai profunde pentru a determina ce msuri de securitate sunt
necesare sau pentru a evalua alternativele posibile.
Pentru evaluarea securitii i n scopul planificrii prioritilor, evaluarea ameninrilor i
nivelurilor de risc, a impactului asupra afacerii dac ameninarea a avut loc, i n cele din urm,
evaluarea de ansamblu a expunerii organizaiei sunt foarte utile n stabilirea unor planuri de
securitate pe termen lung, acceptabile.
21
2.6
Decizii privind securitatea i aciuni recomandate
Pentru fiecare evaluare a expunerii (formularul Evaluarea ameninrilor i a impactului asupra

afacerii), se formuleaz o decizie de securitate i o recomandare de aciune pentru
management. Relaia dintre o expunere o decizie de securitate i o aciune recomandat este
descris n tabelul urmtor.
Nivel de
expunere
NALT
(9,8,7)
MEDIU (6,5,4)
SCZUT
(3,2,1)
Decizia de
securitate
Controlul riscului
Aciune
recomandat
Implementarea de politici i
msuri adiionale
(standarde, proceduri,
instrumente)
Controlul riscului
Implementarea de politici i
msuri adiionale
Prevenirea riscului
Schimbarea / mbuntirea
procedurilor operaionale
Prevenirea riscului
Schimbarea / mbuntirea
procedurilor operaionale
Limitarea riscului
Obinerea unei acoperiri

asiguratorii
Acceptarea riscului
Fr schimbri / continuarea
potrivit planificrii
n cazul n care trebuie s fie recomandate msuri specifice, Anexa H ofer o list
cuprinztoare de aciuni care ar putea fi ntreprinse. Utilizat mpreun cu raionamentul
profesional din punctul de vedere al costurilor, lista poate oferi baza pentru recomandarea
controalelor specifice i a msurilor de securitate.
Dup revizuirea de ctre persoana responsabil cu securitatea sistemelor informatice,
raportului de securitate i recomandrile sunt transmise conducerii superioare prin intermediul
comitetului director al sistemelor informatice pentru a ntreprinde aciuni.
2.7
Etapele evalurii securitii sistemelor informatice
Paii unei evaluri a securitii sistemelor informatice - sensibilitatea informaiilor i clasificarea

securitii, evaluarea impactului asupra afacerii, evaluarea riscurilor i a ameninrilor,
evaluarea expunerii securitii i decizia privind securitatea / aciunile recomandate - sunt
prezentai n Anexa B. Etapele sunt:
22
1. Pentru aplicaiile proprii, fiecare grup organizaional evalueaz informaiile sale

referitoare la sensibilitate i clasificarea securitii,
sau, alternativ,
confirm coninutul Declaraiei privind sensibilitatea informaiilor i clasificarea
securitii i, dac este cazul, actualizeaz formularul, incluznd aprobarea
corespunztoare.
Anexa C
Declaraia privind sensibilitatea Informaiilor i clasificarea

securitii Formular8
Anexa D
Descriere sumar a Sistemelor Informatice - Foaie de calcul
2. Pentru aplicatiile proprii, grupul organizaional evalueaz impactul asupra afacerii,

precum i ameninrile i riscurile,
sau, alternativ,
confirm coninutul formularului Evaluarea ameninrilor i a impactului asupra afacerii
i, dac este cazul, actualizeaz formularul, incluznd aprobarea corespunztoare..
Anexa E
Evaluarea ameninrilor i a impactului asupra afacerii - Foaie

de calcul
Anexa F
Diagrama ratei expunerii
3. Grupul organizaional pregtete un rezumat al evalurilor securitii aplicaiilor

utilizate, n formatul furnizat.
Anexa G
Rezumatul evalurilor securitii - Foaie de calcul
4. Grupul organizaional trimite persoanei responsabile cu securitatea sistemelor

informatice, pentru revizuire, o copie a rezumatului i cele dou formulare i, dac este
cazul, se ntlnete cu persoana responsabil cu securitatea sistemelor informatice
pentru a finaliza evaluarea securitii.
Anexa G
Anexa C
Declaraia privind sensibilitatea informaiilor i clasificarea

securitii Formular
Dei dezvoltate ca foi de calcul, aceste formulare pot fi uor utilizate pe suport de hrtie.
23
Anexa E
Evaluarea ameninrilor i a impactului asupra afacerii - Foaie

de calcul
5. Rezumatul este aprobat de ctre persoana responsabil cu securitatea calculatoarelor

i, dup caz, rezumatul este examinat i aprobat de ctre directorul de securitate.
Anexa G
6. Rezumatul final este examinat i aprobat de ctre responsabilul executiv principal al

grupului organizaional.
Anexa G
7. Persoana responsabil cu securitatea sistemelor informatice ia, dac este cazul,

deciziile de securitate i ntreprinde aciunile recomandate managementului pentru a
minimiza expunerea / expunerile identificat / identificate i raporteaz ofierului ef de
securitate.
24
ANEXA A Evoluia managementului informaiei
Anexa A - Evoluia managementului informaiei
Stadiul 4
Performana
global
a afacerii
Stadiul 3
Stadiul 2
Managementul Utilizrii strategice

a informaiei
Managementul resurselor de
informaie la nivel de corporaie
Managementul tehnologiilor automate

Stadiul 1
Managementul documentelor de lucru
Eficien
Funcia de
suport al
operaiilor
Funcia de
management
strategic
25
ANEXA B Procesul de evaluare a securitii

sistemelor informatice
Anexa B Procesul de evaluare a securitii sistemelor informatice
Declaraia de
senzitivitate
Evaluarea impactului
asupra afacerii
Evaluarea ameninrilor
i a riscurilor
Evaluarea expunerii
Decizia privind securitatea
(incluznd costurile
asociate oportunitilor
de nlocuire)
(foarte important;
important;
mai puin important)
(nivel ridicat (Hi);

mediu (Med);
cobort (Low)
(nivel ridicat (Hi);

mediu (Med);
cobort (Low)
Aciunea recomandat
Actualizare periodic
Fluxul procesului
26
ANEXA C - Declaraia privind sensibilitatea

Introducere
Acest document poate fi utilizat n form tiprit sau ca un document Word, n funcie de
circumstanele locale.
n revizuirea top-down a securitii sistemelor informatice, acest document este utilizat n faza
de analiz de risc, pentru a documenta sistemele informatice. Se completeaz un document
per sistem.
Aplicaie :_______________________________________________ Data: _____________

(gruparea de aplicaii similare este acceptabil)
Declaraie nou ___________________ Declaraie Modificat ____________________
Mediu informatizat:
Micro _________ Mini _________ Calculatoare mari _____ Birou de service ________
Software utilizat: __________________________________________________________
1. Numele filialei i, dac este cazul responsabilul Grupului pentru informaii (de
exemplu, proprietarul)
Filial: ________________________________________ Grup: ______________________
2. n cazul n care aplicaiile au fost grupate, se va sri peste ntrebarea "Nr. total de
tranzacii. n cazul n care este aplicabil, furnizai o descriere general a aplicaiei,
incluznd sursa informaiilor, volumul i complexitatea prelucrrilor.
27
Volum
% din totalul
informaiilor
organizaiei ________________
Surse volume de informaii

Clieni sau
beneficiari externi ________________
Program / Operaii ________________
Numr total. de
tranzacii
sau valoarea
financiar a
tranzaciilor _________________
Administrare ________________
Mrime fiier ________________

Numr de nregistrri ________________
Descrierea general a aplicaiei i complexitatea prelucrrii
3. Indicai scopul principal i orice alte scopuri secundare ale informaiei:

Servicii pentru public _____________________ Funcie administrativ ______________
Luarea deciziilor ________________________ Funcie financiar _________________
4. Indicai utilizatorii primari i secundari ai informaiilor:

Program _____ Administrator _____ Guvern _____ Public _____ Alii _____
5. Exist proceduri manuale i informatizate utilizate nainte, n timpul sau dup

prelucrare pentru a asigura exhaustivitatea i exactitatea informaiilor?
(INTEGRITATE)
28
Proceduri
Manuale
Da / Nu
Informatizate
Da / Nu
Comentarii
(Natura procedurilor
principale)
nainte de prelucrare
n timpul procesrii
dup prelucrare
6. Care ar fi consecinele n cazul n care informaiile au fost divulgate accidental sau n

mod deliberat?
(CONFIDENIALITATE)
Divulgare, pierdere sau deteriorare
1. Sentiment de culpabilitate fa de organizaie
Da / Nu
2. Pierderea credibilitii pentru organizaie

3. Compromiterea informaiilor confideniale ale
organizaiei
4. Compromiterea informaiilor clientului
sau ale unei tere pri
5. Compromiterea informaiilor personale
6. Compromiterea informaiilor de interes naional
7. Care ar fi consecinele n cazul n care informaiile au fost modificate i / sau

distruse accidental sau n mod deliberat?
(DISPONIBILITATE, INTEGRITATE)
Divulgare, pierdere sau

deteriorare
Divulgare / Integritatea
Informaiei
1. Sentiment de culpabilitate
fa de organizaie
2. Pierderea credibilitii
pentru organizaie
Da / Nu
Divulgare, pierdere sau

deteriorare
ntreruperea serviciilor
Da / Nu
1. Plata cu ntrziere a
facturilor / salariilor
2. Incapacitatea de a colecta
venituri
29
3. Compromiterea
informaiilor confideniale ale
organizaiei
3. Perturbarea serviciilor
ctre guvern
4. Compromiterea
informaiilor clientului
sau ale unei tere pri
ctre public
5. Compromiterea
informaiilor personale
interne
6. Compromiterea
informaiilor de interes
naional
7. Implicaii juridice /
rspunderea pentru daune
compensatorii i punitive
Exist proceduri de urgen pentru a asigura recuperarea informaiilor?

(DISPONIBILITATE, INTEGRITATE)
Proceduri de
recuperare
Back-up
Da / Nu
Necunoscut
Comentarii
Stocare n alt locaie

Alte metode
8. Care este perioada de recuperare maxim pe care organizaia o poate tolera pentru
indisponibilitatea aplicaiei sau a serviciului (n cazul n care este limitat pentru
anumite perioade, indicai)?
(DISPONIBILITATE)
Ore ______ Zile _______ Saptamni ________ Luni ________
Comentariu:
9. Indicai gradul de sensibilitate a informaiilor
(5: foarte critic; 4: critic; 3: sensibil; 2: oarecum sensibil; 1: non sensibil
Disponibilitate ____________ Integritate ___________ Confidenialitate __________
30
10. Estimai costurile de oportunitate a nlocuirii informaiilor, att directe, ct i

indirecte (ore, cheltuieli)
Costuri de nlocuire
Directe (timpul consumat cu
restaurarea / recuperarea
informaiilor, hardware i
software)
Indirecte (de exemplu,
ntrzierile cauzate de alte
sarcini, alte pri implicate n
procesul de recuperare,
oportuniti pierdute din
cauza pierderii informaiilor
etc.)
Ore
Cheltuieli
11. Indicai clasificarea / desemnarea securitii informaiei pentru pentru aceast

aplicaie / sistem informatic:
% informaii
_______________________Standarde de securitate de baz (neprecizate)
_______________________Protejate (desemnate)
_______________________Clasificate
100%
________________________________
Completat de: ____________________ Filiala / Grup: _________________

Informaii proprietar
(de exemplu, directorul executiv) aprobat de __________ Data: _________
Grup de securitate aprobat de _____________________ Data: _________
31
ANEXA F Diagrama ratei expunerii
Impact
Probabilitate
MARE (High)
Foarte grav
Grav
Mai puin grav
MEDIE (Med)
SCZUT (Low)
(Grafic dezvoltat de ctre Royal Canadian Mounted Police)
Rata expunerii:
Mare (9,8,7)
Medie (6,5,4)
Sczut (3,2,1)
32
ANEXA H - Ameninri de baz i msuri de securitate
Acest document ofer o list de ameninri i de contramsuri defalcate pe categorii de active.

Aa cum a fost prezentat n seciunile anterioare, aceste ameninri corespund de multe ori
unor vulnerabiliti. Contramsurile sunt controalele sau msurile de securitate care pot fi
folosite pentru a corecta sau a minimiza slbiciunile de securitate.
n text, menionarea aciunilor disciplinare ca o posibil contramsur de descurajare a aciunii
necorespunztoare a personalului ar trebui s fie vzut ntr-un context mai larg. Msurile
disciplinare ar trebui s fie avute n vedere sau utilizate numai atunci cnd alte msuri cum ar fi
cele de sensibilizare i de formare nu au reuit s previn aciuni inacceptabile sau
comportamentale. Soluii bune de securitate sunt cele pe care personalul le accept cu
uurin.
La sfritul listei a fost inclus un index pentru toate activele sau termenii pentru care au fost
prezentate ameninrile i contramsurile.
n text, pentru fiecare activ, au fost asignate urmtoarele semnificaii:
T = Amenintare
C = Contramsur (control sau msur de securitate)
33
Cuprins (ANEXA H)
Pagina
Hardware
37
Comunicaii
Linii telefonice
Porturi de intrare / ieire
Modemuri
Pot electronic
Buletin electronic informativ
Serviciul potal
Cablajul reelei
37
37
37
37
38
38
38
39
Calculatoare
Terminale
Microcalculatoare
Staii de lucru fr disc
Servere de fiiere
Minicalculatoare i calculatoare mari
39
39
40
41
41
41
Dispozitive de intrare
Scanere
42
42
Dispozitive de ieire
Generale
Burster
Enveloper
Imprimant cu laser
Imprimant de impact
Plotter
Cozi de ieire
Monitor pentru afiaj vizual
Fotocopiator
Main de scris
42
42
42
43
43
43
43
44
44
44
44
Medii de memorare
Fiiere de hrtie
Medii magnetice amovibile
Medii magnetice fixe
Medii optice amovibile
Medii optice fixe
Microfilm / microfi
44
44
44
45
46
46
47
34
Resurse umane
47
Personal propriu
General
Personal cheie
Personal pentru introducere date
Personal pentru interogri
Personal pentru manipularea ieirilor
Programatori
Analiti
Personal pentru asigurarea suportului tehnic
Programatori de sistem
Personal pentru controlul schimbrilor
Bibliotecar pentru mediile de stocare
Personal pentru controlul accesului logic
Personal pentru controlul accesului fizic
Auditori
Proprietarii datelor
Utilizatorii datelor
Custozi ai datelor
47
47
48
48
48
48
49
49
50
50
51
51
51
51
51
52
52
52
Personal contractual
Personal de ntreinere
Consultani
53
53
53
Persoane externe
Vizitatori
Intrui
53
53
54
Bunuri fizice
54
Cldiri
Locaia / Sediul
Camere cheie
Introducere date / actualizare
Prelucrare
Imprimare
Stocare
Interogare
54
54
55
55
55
56
56
56
Comunicaii
Operarea aplicaiilor sistemului n mediul de producie
Dezvoltarea aplicaiilor
Funcii de sistem
Instalaii
Papetrie
Gtitul i fumatul
Papetrie valoroas
57
57
58
58
58
58
59
59
Documentaie
Software
Hardware
Proceduri
59
59
59
60
35
Mediu
Planul de urgen
Planurile etajelor
Diagramele de cablare
Dicionarul de date
60
60
60
61
Aer condiionat
Putere electric
Ap
Iluminat
61
61
61
61
62
Hrtie
Suporturi magnetice de
Medii optice
Papetrie
62
62
62
62
62
Deeuri
INDEX ALFABETIC
63
36
Hardware
Comunicaii
Linii telefonice
T
C
Liniile telefonice pot fi tiate sau distruse.

Configurarea unor linii alternative pentru conexiunile cheie.
T
C
Liniile telefonice pot fi interceptate.

Folosii linii private atunci cnd este posibil.
Evitai rutarea liniilor cheie prin zone publice.
Luai n considerare conducte sigilate pentru cabluri.
Asigurai acele cablurile care ies din cladire prin subteran.
Evitati s facei vizibile cablurile de date prin rutare separat sau etichetare
Dac vei eticheta liniile telefonice, etichetai-le pe toate i nu doar liniile de comunicaii
cheie.
Luai n considerare criptarea pentru transmiterea informaiilor sensibile. Dac vei
utiliza criptarea, luai n considerare urmtoarele:
Criptai att cheile ct i datele.
Folosii un algoritm de criptare care respect standardele industriale.
Luai n considerare utilizarea cheilor de tip "o dat" pentru a limita posibilitatea
de a afla orice cheie.
Folosii chei avnd 6 caractere sau mai mult care s nu fie de tip cuvnt.

T
C
Controlul asupra funciilor este compromis prin schimbarea conexiunilor portului.

Pstrai dulapurile cu conexiune n zone sigure n cazul n care v bazai pe funcii de
restricionare pentru terminale conectate la anumite porturi.
Modemuri
T
C
Modemurile pot fi utilizate pentru a obine accesul neautorizat la sistem.

n general, nu ataai modemuri pentru a linii de tip dialin. Dac exist o nevoie de
facilitatea dialin, asigurai accesul numai la un site central care este protejat prin
firewall. Restricionai apelantul la aplicaiile foarte specifice, printr-un mediu de
protecie. Furnizai apelantului sesiuni "terminal" i nu sesiuni "gazd" sau sesiuni de
acces de la distan, deoarece acestea pot oferi accesul deschis la informaiile
sensibile din microcalculator sau din reea.
Luai n considerare utilizarea criptrii pentru transferul i stocarea datelor sensibile.
Caracteristicile call-back sunt de obicei prea restrictive pentru auditori care sunt n mod
constant n micare n mediu i pot provoca probleme administrative.
37
T
C
Modemurile pot fi utilizate pentru transferul neautorizat de informaii n afara

organizaiei.
Pstrai numrul de modem-uri la un nivel minim, monitorizai folosirea liniilor pentru
care modemurile sunt ataate, dezactivai liniile de modem n afara orelor de program.
Pota electronic
T
Pota electronic poate fi utilizat pentru transferul neautorizat de informaii n afara

organizaiei.
Pstrai copii ale tuturor mesajelor de pot electronic trimise i pstrai nregistrrile
aferente expeditorului i destinatarului.
Nu facei verificri la faa locului cu privire la coninutul mesajelor de pot electronic.
Folosii programe de cutare pentru a gsi cuvinte cheie n pota electronic
Facei verificri ncruciate privind expeditorii i destinatarii pentru a stabili orice model
suspect.
[Avertisment: n unele ri, cenzurarea potei electronice poate fi ilegal sau poate face
obiectul legislaiei speciale].

T
C
T
C
Buletinul electronic informativ poate fi utilizat ca un mijloc de a transmite informaii n

afara organizaiei.
Routai toate conexiunile la Buletinul electronic informativ printr-un punct central.
Utilizai cititoare off-line pentru a extrage mesajele i rspunsurile la acestea. Acest
lucru v va permite s monitorizai traficul la i de la Buletinul electronic informativ n
acelai mod ca n cazul potei electronice.
Software-ul ru intenionat coninnd virui sau troieni poate fi primit de la Buletinul
electronic informativ.
Toate cererile pentru descrcarea de fiiere de pe Buletinul electronic informativ ar
trebui s fie dirijate printr-o unitate central de specialitate. Fiierele descrcate ar
trebui s fie verificate cu atenie pentru detectarea viruilor etc
Serviciul Potal
T
C
Software ru intenionat a fost gsit pe discuri trimise prin pot.

Introducerea unei proceduri care s instituie o sanciune disciplinar pentru cei care
utilizeaz un disc nainte ca aceasta s fi fost testat de ctre personalul care asigur
suportul tehnic.
Serviciul potal poate fi folosit pentru a transmite informaii din organizaia

dumneavoastr.
nregistrai documentele i discurile care conin informaii sensibile i implementai
proceduri pentru a controla copierea acestora.
38
Cablajul reelei
T
C
T
C
Cablurile de reea pot fi exploatate pentru a fura informaii sau pentru a introduce
mesaje ilicite.
Nu dirijai traseul cablurilor de reea prin zonele accesibile publicului. Luai n
considerare utilizarea de conducte de cablu blocate. Examinai ntotdeauna lungimile
de cablu, care au fost meninute de ingineri. Luai n considerare utilizarea criptrii
pentru anumite pri din reea care transport informaii sensibile.
Reelele pot fi vulnerabile la eec n cazul n care o seciune a cablrii acestora este
rupt.
Proiectai reeaua pentru a minimiza impactul eecului oricrei lungimi de cablu. Luai
n considerare duplicarea cablrii pentru legturile cheie.
Calculatoare
Terminale
T
C
T
C
Accesul neautorizat la date poate fi obinut de la tastatura unui microcalculator sau de

la orice terminal dintr-o reea.
Sistemul de operare i software-ul de aplicaie ar trebui s utilizeze identificarea i
autentificarea pentru a se asigura c cererile de acces provin de la persoane fizice
autorizate. Toate aciunile care ar putea avea un efect semnificativ asupra afacerii ar
trebui s fac obiectul conectrii. Combinaia dintre identificare, autentificare i logare
constituie baza pentru stabilirea rspunderii.
n cazul n care parolele sunt utilizate pentru autentificare acestea ar trebui s aib o
lungime de 6 sau mai multe caractere i ar trebui s nu se reconstituie n cuvinte din
dicionar. Pentru a evita alegerea de parole triviale sau duplicat, este cel mai bine ca
parolele s fie generate de calculator. Dac vei utiliza parole generate de calculator,
este important ca acestea s fie pronunabile, astfel nct oamenii s i le poat aminti
fr a le scrie.
ncercai s utilizai o parol unic pentru fiecare individ n cazul n care este posibil.
Mai multe parole sunt mai greu de reinut i poate determina oamenii s le scrie, fapt
care constituie o bre a securitii.
Parolele ar trebui s fie schimbate n mod regulat. Cu ct funciile pentru care parolele
ofer acces sunt mai critice, cu att, parolele pentru acestea ar trebui s fie schimbate
mai des. Pentru tranzaciile cheie, ar putea fi justificat utilizarea parolelor numai o
dat. Motivul pentru schimbarea frecvent a parolelor / cheilor de criptare este acela
de a reduce daunele care ar putea fi cauzate de ctre o persoan neautorizat care a
gsit o parol.
Un terminal care este lsat conectat la un sistem este o invitaie pentru cineva de a se
substitui n operatorul care a fost conectat.
Procedurile ar trebui s considere ca fiind o abatere disciplinar prsirea un terminal
deblocat, conectat i nesupravegheat. Sistemul de operare / aplicaiile software ar
trebui s deconecteze terminalele dup o scurt perioad de inactivitate sau s le
blocheze automat, astfel nct orice activitate ulterioar s necesite reintrarea cu
identificare i detalii de autentificare.
39
T
C
Datele cu caracter critic pot fi modificate prin orice conexiune local sau prin modem la
sistemul informatic.
Controalele de identificare i de autentificare contribuie ntr-o oarecare msur la
reducerea riscului de modificri neautorizate ale datelor critice. Modificrile datelor
cheie ar trebui s fie supuse confirmrii unui supraveghetor, n plus fa de controalele
normale.
Microcalculatoare
T
C
Microcalculatoarele sunt uor de furat.

Marcai toate microcalculatoare i perifericele astfel nct codurile de identificare s nu
poat fi terse. Pstrai un inventar al tuturor microcalculatoarelor i verificai-l n mod
ciclic.
Cumprai microcalculatoare cu un dispozitiv de blocare care dezactiveaz tastatura i
previne violarea accesului.
Introducei un sistem de logare la calculatoare n interiorul i din exteriorul cldirii.
Agenii de paz trebuie s fie instruii s fac verificri la faa locului pentru a se
asigura c personalul nu transport calculatoare, periferice sau consumabile din incinta
organizaiei, fr autorizaie.
Poziionai microcalculatoarele astfel nct acestea s nu fie vizibile din zonele publice.
T
C
Microcalculatoarele pot deveni indisponibile din cauza pierderii cheilor acestora.

Pstrai una dintre cheile de la fiecare microcalculator intr-un cabinet ncuiat, n zona
de suport tehnic.
Microcalculatoarele sunt deosebit de sensibile la software ru intenionat, cum ar fi

virui i troieni, deoarece utilizatorul poate copia uor programele de pe calculator,
folosind dischete. Software-ul ru intenionat poate fi, de asemenea, introdus
accidental de pe dischete provenind din medii necontrolate, i de la medii de
distribuie, cum ar fi distribuitori de software nregistrat pe CD-ROM.
Implementai proceduri care s considere infraciune disciplinar folosirea oricrui
program de pe un calculator, nainte ca acesta s fi fost testat de ctre personalul care
asigur suport tehnic.
Efectuai salvarea frecvent a datelor critice i a software-ului esenial. Personalul care
asigur suport tehnic ar trebui s in evidena software-ului autorizat pentru utilizare
pe fiecare staie de lucru i s efectueze controale inopinate la faa locului pentru a se
asigura c personalul nu folosete software neautorizat.
Luai msuri de precauie speciale pentru CD-ROM, deoarece acestea pot fi infectate
de virus, la fel ca orice alte mijloace media, dar nu pot fi curate.
T
C
Microcalculatoarele nu sunt, n general, rezistente la cderi.

Elaborai i testai planuri de urgen pentru a face fa lipsei oricrui microcalculator
care susine funciile critice.
40
T
C
T
C
Microcalculatoarele sunt utilizate i ntreinute de ctre utilizatori, mai degrab dect de

personal de specialitate. Rezultatul este c nevoia de salvare i de securitate este
adesea trecut cu vederea.
Cumprai benzi de volum mare pentru calculatoarele utilizate, pentru a stoca volume
mari de informaii volatile.
Implementai proceduri de sensibilizare i organizai cursuri de formare pentru a
contientiza personalul n legtur cu necesitatea copiilor de siguran, cu manipularea
corect a echipamentelor i cu regulile privind securitatea.
Microcalculatoarele pot fi folosite pentru a introduce software ilicit n reea, deoarece
acestea au unitate de dischete.
Permitei transferul fiierelor n reea numai n cazul n care aceasta este esenial.
Facei imposibil transferul fiierelor "executabile".
Implementai proceduri care s considere infraciune disciplinar pentru utilizatori,
transferul de programe ctre sau din reea.
Utilizai staii de lucru fr uniti de dischete, cu excepia cazului n care dischetele
sunt eseniale.

T
C
Staiile de lucru pot fi mutate.

Dac sistemul dvs. de control al accesului se bazeaz pe restricionarea funciilor la
terminale particulare, atunci va trebui s implementai proceduri care s interzic
utilizatorilor s mute mainile din locurile unde au fost amplasate. Altfel, exist riscul ca
un terminal s fi mutat dintr-o zon de siguran ntr-o zon mai puin sigur.
Servere de fiiere
T
C
Calculatorul poate cdea, fcnd sistemul indisponibil.

Implementarea procedurilor de backup i a unei strategii de recuperare n
eventualitatea eecului unui server de fiiere. Trei exemplare ale copiei backup ar
trebui s fie pstrate n interiorul locaiei n care funcioneaz sistemul i un exemplar,
n afara locaiei. Natura i frecvena efecturii copiilor de backup va varia n funcie de
caracterul critic al aplicaiilor susinute de serverul de fiiere. n multe cazuri, norma
este de efectuare sptmnal a unui backup complet i de efectuare zilnic a backupurilor incrementale. Backup-uri automate se poate face n afara orelor de program,
efectuarea backup-urilor complete fiind la fel de uoar ca i a celor incrementale.
Dublarea memoriei de stocare i de prelucrare poate fi necesar pentru serverele de
fiiere care suporta aplicaii critice.

T
C
Cderea calculatoarelor poate afecta mai muli utilizatori.

Stabilirea i de testarea unei strategii de backup.
Luai n considerare dublarea capacitii de depozitare i prelucrare pentru aplicaii
cheie.
41
Scanere
T
C
Imaginile scanate ale documentelor sensibile pot rmne stocate n unitile de scaner
partajate.
Sfritul unei sesiuni de scanare prin scanarea unei pagini goale sau a unui document
care nu este sensibil. Utilizatorii ar trebui s fie familiarizai cu funciile software-ului de
scanare. tergerea fiierelor temporare create n timpul procesului de scanare, de
exemplu, fiierele de pe hard disk care au fost copiate pe o dischet.
Generale
T
C
T
C
Dispozitivele de ieire pot radia semnale electromagnetice care pot fi decodificate de la

distan.
Parcarea interzis a vehiculelor n zonele adiacente camerelor folosite pentru producia
de date sensibile.
Luai n considerare necesitatea unui echipament de tip "furtun fonic".
Luai n considerare instalarea de generatoare de zgomot alb pentru a masca
semnalele de la echipamentele folosite pentru producia de materiale sensibile.
Dac dispozitivele de ieire sunt vizibile dintr-o zona public, atunci informaiile pot fi
divulgate.
Evitati poziionarea dispozitivelor de ieire, astfel nct personalul neautorizat / din
exterior s nu poat citi ieirile.
Burster9
T
C
T
C
Papetria (hrtia) stricat poate fi utilizat pentru un ctig financiar sau ca mijloc de a
transmite informaii sensibile la exterior.
Introducei un sistem de eviden pentru papetria sensibil. Exemplarele deteriorate
ar trebui s fie semnate de ctre supervizor i trimise pentru distrugere / evacuare
securizat.
Bursterul conine multe piese n micare care sunt predispuse la deteriorare.
Asigurai-v c bursterele sunt ntreinute n mod regulat.
Stabilii proceduri alternative pentru aplicaiile critice care urmeaz s fie susinute ntrun alt mod dac un anumit burster nu mai funcioneaz.
Burster dispozitiv care rupe o hrtie continu de imprimant n pagini individuale (separator de hrtie continu
cu perforaii laterale)
42
Enveloper10
T
Enveloper-ul trebuie s fie setat la nceputul fiecrei execuii. Exist riscul ca papetria
deteriorat s poat fi folosit pentru ctiguri financiare sau pentru a transmite
informaii ctre exterior.
Introducei un sistem de eviden pentru papetria sensibil. Ieirile stricate ar trebui
s fi semnate de ctre un supervizor i mrunite. Cererile pentru duplicarea ieirilor
stricate ar trebui s fie semnate de ctre supervizor.
Imprimanta cu laser
T
Ieirea pe imprimanta cu laser poate fi deteriorat n cazul n care ansamblul nu

funcioneaz corect.
Introducerea de controale regulate de ieire pentru a se asigura c tonerul i hrtia
sunt disponibile.
C
T
Imprimantele laser pot fi setate pentru a imprima copii duplicat. Acest lucru poate fi
nedorit n cazul n care informaia de ieire este sensibil.
Asigurai-v c software-ul stabilete numrul de exemplare nainte de tiprirea fiecrei
pagini.
Imprimanta de impact
T
C
Riboanele (panglicile) pot pstra imaginea caracterelor care au fost tiparite.

Trimitei panglicile utilizate la aplicaii sensibile, la dispozitive de incinerare.
Plotter
T
C
Plotterele pot produce informaii care induc n eroare n cazul n care peniele sunt
uzate, lipsesc sau sunt ncrcate incorect.
Asigurai-v c este desemnat personalul responsabil pentru punerea n funciune i
meninerea plotterelor.
Personalul desemnat trebuie s fie responsabil pentru controlul calitii produciei.
Cozi de ieire
T
C
10
n reelele locale i n mediile cu minicalculatoare, procesul de imprimare a

documentelor sensibile poate rmne n cozile de ieire, dintr-o varietate de motive.
n cazul imprimrilor ntrerupte sau incomplete, asigurai-v c a fost tears coada de
imprimare.
Enveloper dispozitiv de pliere (mpachetare) a hrtiei continue cu perforaii laterale
43

T
C
Monitoarele nesupravegheate pot dezvlui informaii sensibile pentru personalul

neautorizat sau din exterior.
Introducerea procedurilor de albire a ecranelor atunci cnd acestea nu sunt n uz.
Personalul ar trebui, de asemenea, s blocheze tastatura atunci cnd se prsete
staia de lucru. Unele produse software combin funciile de albire a ecranelor i de
blocare a tastaturii.
Fotocopiator
T
C
Fotocopiatoarele constituie un mijloc simplu pentru personalul intern sau pentru cei
interesai din afar, s poat face copii neautorizate ale informaiilor sensibile.
Introducei proceduri care s considere drept o abatere disciplinar copierea fr
autorizare a ieirilor sensibile.
Limitai numrul i locaia copiatoarelor ocazionale, astfel nct s poat fi
monitorizat utilizarea. Ele nu ar trebui s fie situate n zonele n care sunt deinute
informaii sensibile. Acestea ar trebuie s fie plasate ntr-o zon unde orice persoan
care utilizeaz copiatorul s fie vizibil pentru restul personalului.
Main de scris
T
C
Panglicile pentru mainile de scris pot reine o imagine a ceea ce a fost scris.
Folosii numai maini de scris desemnate pentru materiale sensibile i trimitei
panglicile pentru incinerare.
Medii de memorare
Fiiere pe hrtie (dosare)
T
C
Dosarele pot fi arse sau distruse de ap.

Pstrai copii ale documentelor eseniale n dulapuri protejate de foc / ap i / sau n
afara locaiei.
T
C
Fiierele de hrtie pot fi utilizate pentru a sustrage informaii sensibile.

Dosarele care conin informaii sensibile trebuie s fie nregistrate. Fiierele sensibile
ar trebui s fie copiate numai de ctre personalul autorizat, ntr-o zon securizat.
Implementai proceduri care consider drept o abatere disciplinar copierea
neautorizat a fiierelor sensibile.

T
C
Suporturile magnetice pot fi folosite pentru a transfera volume mari de date n afara
organizaiei.
Utilizai suporturi magnetice care poart sigla companiei. Implementai proceduri
pentru toate mediile magnetice care urmeaz s fie introduse n /i /sau scoase n
afara locaiei. Manipularea si depozitarea benzilor, dischetelor i hard-discurilor trebuie
s fie supus unor proceduri similare cu cele referitoare la documentele pe hrtie.
44
Implementai proceduri care s considere infraciune disciplinar sustragerea de

suporturi magnetice din locaie sau introducerea de suporturi magnetice n locaie, fr
autorizaie.
T
C
T
C
Dischetele sunt unul dintre mediile principalele de transmitere a viruilor de la un

calculator la altul.
Verificai, toate mediile magnetice formatate, la intrarea n locaie, dac sunt virusate.
Verificai n mod deosebit discurile introduse n locaie de ingineri i studeni. Toate
discurile care sunt verificate ar trebui s aib o etichet ataat cu sigla companiei i
semntura celui care a efectuat testarea i data.
Implementai proceduri care s considere drept infraciune disciplinar pentru personal
utilizarea de dischete care nu au fost testate.
Discurile floppy utilizate pstreaz informaiile chiar i atunci cnd fiierele sunt terse
sau discurile reformatate.
Dac dischetele sau cartuele de band sunt folosite pentru a stoca informaii
sensibile, atunci ele ar trebui s fie marcate corespunztor i tratate ca un fiier
nregistrat pe hrtie. Mediile magnetice, care au fost folosite pentru a stoca informaii
sensibile ar trebui s fie "demagnetizate" / terse n condiii de securitate, nainte de a
fi folosite pentru alte lucrri. Dac mediile magnetice se deterioreaz n timp ce
depoziteaz date sensibile, atunci ele ar trebui s fie tratate ca deeuri confideniale i
mrunite sau arse.

T
C
Hard discurile pot conine cantiti foarte mari de informaii. Este uor s uitm c
exist printre acestea i fiiere sensibile.
Cnd un hard disk este folosit prima dat avnd destinaia de a conine informaii
sensibile, acesta ar trebui s fie nregistrat. Acesta nu ar trebui s fie scos din registrul
cu informaii sensibile pn cnd nu a fost inspectat de ctre un membru al
personalului care asigur suport tehnic. Toate fiierele coninnd informaii sensibile
trebuie s fie terse n condiii de securitate.
Controlul accesului la microcalculatoare este mult mai puin riguros dect pentru un
sistem n reea. Dac hard discurile microcalculatorului sunt folosite pentru a stoca
informaii sensibile, exist un risc considerabil de modificare sau dezvluire
neautorizat.
Blocai microcalculatoarele atunci cnd acestea nu sunt n uz. Meninei nivelul de
securitate al locaiei pentru a restriciona accesul la camerele n care sunt instalate
microcalculatoarele.
Luai n considerare instalarea pachetelor de control al accesului i al pachetelor de
criptare a datelor pe calculatoarele folosite pentru a stoca informaii deosebit de
sensibile.
Luai n considerare utilizarea discurilor schimbabile, care pot fi nchise atunci cnd
calculatorul nu este n uz.
Hard discurile defecte nu pot fi ntotdeauna terse n condiii de securitate.

45
Dac un hard disk care deine informaii sensibile se defecteaz, atunci ar trebui s fie
distrus, n cazul n care nu poate fi ters n condiii de securitate.
Discurile fixe se defecteaz. n cazul n care acestea stocheaz cantiti mari de date
volatile, pierderile pot fi foarte serioase.
Salvarea unui hard disk mare pe floppy disk-uri este att de consumatoare de timp,
nct este puin probabil care personalul s o fac n mod regulat. Banda de backup de
mare capacitate face copia rapid i uor. Instalai benzi de mare capacitate (tape
streamer) pe calculatoarele care conin un volum mare de informaii volatile pe hard
diskuri. Benzile de backup ar trebui s fie realizate n trei exemplare.
Cel puin o copie de rezerv ar trebui s fie pstrat n afara locaiei.
Aceasta ar trebui s fie rennoit ciclic.
Benzile de backup ar trebui s fie stocate n siguran i marcate ca necesitnd condiii
de securitate speciale, pentru a reflecta coninutul lor.

T
C
Discurile optice sunt uor de ascuns i pot deine cantiti foarte mari de informaii.
Discurile optice care dein informaii sensibile trebuie s fie numerotate n serie i
nregistrate. Singura modalitate sigur de a le distruge este incinerarea.
Pierderea parial sau total a datelor pe discuri optice poate aprea dac oricare
suprafa a discului este zgriat
Toate discurile optice ar trebui s fie manipulate cu grij extrem pentru a preveni
zgrieturile care pot afecta calitatea de reflexie a discului i pot "ascunde" o mare parte
a datelor. n cazul n care tabelul de alocare a fiierelor discului este afectat, discul
ntreg poate deveni imposibil de citit.
Medii optice fixe

T
C
Discurile optice conin un volum mare de informaii i de multe ori nu pot fi terse.
Dac un disc optic se deterioreaz, acesta ar trebui s fie distrus.
T
C
Volumele mari de date coninute pe discuri optice pot pune probleme pentru backup.
Cu excepia cazurilor n care discurile optice dein date critice care nu se mai regsesc
n alt parte, ele nu trebuie s fie duplicate sau salvate. Discurile optice dein, de
obicei, informaii statice, cum ar fi materiale de referin sau programe software care
sunt deja duplicate sau exist pe copiile de siguran. Dac nu acesta este cazul, iar
informaia este critic, pot fi obinute duplicate sau informaiile pot fi puse pe discuri
optice reinscriptibile. Copiile pot fi, de asemenea, fcute pe band, n mod obinuit.
Sistemele moderne de backup pe band pot oferi acum backup-uri de ncredere de
ordinul gigabyte. Strategiile normale de back-up se aplic pentru exemplarul stocat n
alt locaie.
46
Microfilm / microfi
T
C
Filmul i fia pot fi uor distruse de incendiu i pot fi pierdute sau furate.
Nu v bazai niciodat pe o singur copie de film / fi a datelor cheie. Pstrai copiile
arhivei ntr-o locaie la distan.
Tratai fia / filmul n acelai mod cu fiierele nregistrate. Pstrai-le stocate n
siguran i nregistrai data, ora i numele operatorului pentru cazul n care ar aprea
probleme.
Resurse umane
Personal propriu
General
T
C
Personalul poate fi necinstit sau poate fi supus antajului.

Cnd personal nou ader la organizaie, facei investigaii de rutin pentru a se asigura
c locurile anterioare de munc i istoria educaional pot fi verificate.
Personalul cu acces la informaii cheie ar trebui s fie investigat mai bine, pentru a
stabili orice antecedente penale sau sociale care ar putea favoriza situaiile n care o
anumit persoan ar putea s fie necinstit sau s constituie obiect de antaj. Acordai
o atenie deosebit istoricului financiar, implicrii n organizaii subversive,
circumstanelor familiale, istoriei psihologice, precum i oricror dovezi privind abuzul
de droguri / dependena.
Verificrile ar trebui s fie repetate la intervale regulate. Programele de sensibilizare n
domeniul securitii ar trebui s sublinieze necesitatea ca personalul s fie vigilent i s
pun accent pe avantajul solicitrii sprijinului pentru el nsui sau pentru alii.
Separarea inadecvat a responsabilitilor creeaz compromisul cu privire la orice

individ care poate deveni mai vulnerabil, poate ispiti personalul s devin necinstit i
poate duce la niveluri ridicate de eroare ale datelor de intrare / actualizare.
Asigurai-v c exist o separare adecvat a sarcinilor ntre personalul responsabil
pentru autorizare, introducere de date, chitane, facturi de plat, custodie a
instrumentelor financiare, personalul de audit, analiti de sistem, programatori,
personalul de control al schimbrii, personalul de control al accesului i bibliotecarii de
informaii.
T
C
T
C
Este mult mai probabil ca personalul s fac erori sau s-i depeasc limitele de
autoritate n cazul n care rspunderea este inadecvat.
Asigurai-v c sistemele dumneavoastr de informaii furnizeaz suficiente restricii
pentru identificare, autentificare i logare pentru a putea fi stabilit rspunderea.
Instruirea neadecvat n ceea ce privete procedurile operaionale i de urgen este o
surs important de erori i disfuncionaliti de sistem.
Asigurai-v c toate persoanele care se ocup cu sistemele informatice beneficiaz
de formare suficient n domeniul procedurilor operaionale i de urgen, pentru a
ndeplini cerinele impuse de responsabilitile i obligaiile care le revin.
47
T
C
Persoanele aflate n poziie de autoritate pot transfera subordonailor sarcinile

referitoare la autorizarea tranzaciilor n mediul informatizat, n condiiile n care
acestea nu ar putea face acest lucru ntr-un sistem manual.
Stabilirea schemelor adecvate de autorizare pentru documentele electronice.
mbuntirea mediului de controale generale cu programe de educaie i de
sensibilizare care mbuntesc contientizarea, implicarea managementului i
supervizarea.
Personal cheie
T
C
Personalul cheie, care joac un rol important datorit funciilor sau aptitudinilor
speciale pe care le deine, poate absenta pentru o perioad lung de timp.
Luai n considerare alocarea unui personal alternativ sau de rezerv pentru a nlocui
personalului cheie n caz de nevoie.

T
C
Datele pot fi terse, modificate sau create incorect.

Software-ul ar trebui s includ controale de validare pentru toate domeniile cheie,
verificri privind identificarea i autentificarea.
Luai n considerare introducerea autorizrii i verificarea pe loturi acolo unde este
posibil.

T
C
Orice persoan care a obinut drepturi de a efectua o interogare n cadrul sistemului ar

putea deveni o surs de dezvluire neautorizat a informaiilor.
Stabilirea rspunderii i supravegherea sunt principalele mijloace de aprare mpotriva
divulgrii neautorizate. Sistemul poate ajuta prin marcarea n mod clar a ieirilor
imprimate cu marcaje de confidenialitate corespunztoare i asigurarea faptului c
acestea sunt direcionate printr-o seciune de control al ieirii care poate conecta orice
ieire sensibil.
Persoanele fizice ar trebui s aib drepturi de acces minime, n conformitate cu locurile
proprii de munc.
Orice ncercri de acces euate ar trebui s fie nregistrate i investigate de auditul
intern. n cazul n care verificarea total (100%) este impracticabil, ar trebui s fie
selectat un eantion statistic pentru a garanta c testarea este distribuit uniform n
timp. Auditul intern sau echipa de audit al sistemului informatic ar trebui s efectueze
verificrile.

T
C
Exist riscul ca personalul care manipuleaz ieirile din calculator s copieze ieirea,,
s le piard sau s le dirijeze ctre personalul neautorizat / extern.
Toate ieirile sensibile ar trebui s fie dirijate prin seciuni independente de manipulare
a ieirilor, iar personalul implicat n manipularea ieirilor ar trebui s nu aib acces la
copiatoare i nici dreptul s iniieze ieiri. Rolul unic al acestora ar trebui s fie acela
de a nregistra producerea de ieiri sensibile i de a le dirija ctre destinatarul corect.
48
Programatori
T
C
T
C
T
C
T
C
T
C
Programatorii ar putea compromite controalele sistemelor informatice din mediul de

producie.
Programatorii nu ar trebui s aib acces la sistemele informatice din mediul de
producie. Personalului implicat n controlul schimbrilor ar trebui s fie responsabil
pentru copierea de software nou din mediul de dezvoltare n sistemele informatice din
mediul de producie.
Programatorii ar putea introduce funcii contrafcute n software-ul lor, cum ar fi alterri
ale timpului sau alterri logice.
Programarea trebuie s fie modularizat. Fiecare component ar trebui s fie supus
unei evaluri pentru a se asigura protecia mpotriva introducerii de funcii
neintenionate prin proiect.
Programele pot compromite integritatea sau disponibilitatea sistemelor informatice n
cazul n care nu sunt testate temeinic.
Toate programele trebuie s fie supuse verificrilor unitii de testare pentru a se
asigura c rezultatul ateptat la ieire provine din intrrile validate. Testarea ar trebui
s fie ntreprins de personal independent de programator i ar trebui s fie n mod
oficial documentat ca parte a procedurilor de control al calitii. Odat ce o
component a fost testat, programatorul ar trebui s nu mai aib acces la ea.
Programele prost documentate pot fi dificil de meninut, ceea ce poate compromite
integritatea sau disponibilitatea sistemelor informatice asociate.
Documentaia ar trebui s fie inclus n procedurile de control al calitii. Nici o
component n-ar trebui s fi treac controlul schimbrii pn cnd documentaia
aferent nu este complet.
Disponibilitatea sistemelor informatice ar putea fi compromis dac instruciunile de
utilizare nu sunt n pas cu programele instalate n mediul de producie.
Finalizarea modificrilor documentaiei de utilizare ar trebui s fie o condiie necesar
pentru copierea unei componente noi n mediul de producie.
Analiti
T
C
T
C
Disponibilitatea i integritatea pot fi compromise n cazul n care analitii fac erori de

proiectare.
Documentaia de proiectare ar trebui s includ specificaii care sunt inteligibile pentru
clieni. Clienii ar trebui s fie obligai s semneze fiecare etap n procesul de
proiectare. Prototipurile pot constitui un mijloc util de confirmare a cerinelor clientului,
nainte de trecerea la proiectarea funcional complet.
Analitii au o perspectiv mai larg privind interaciunea sistemelor informatice dect
programatorii. Exist riscul ca ei s exploateze nelegerea lor asupra sistemului i s
eludeze controalele.
Analistii nu ar trebui s aib acces la scrierea codului surs. Ei nu ar trebui s aib
acces la compilatoare sau asambloare care le-ar permite s dezvolte propriile aplicaii.
49
Analitii ar trebui s nu aib nici o autoritate de a iniia sau de a autoriza tranzaciile

sensibile.
T
C
Personalul care asigur suportul tehnic acioneaz n calitate de custozi ai informaiilor

care aparin altora. Exist un risc ca acesta s poat iniia schimbri ale informaiilor
sau ale programelor sau s produc ieiri neautorizate.
Personalul care asigur suportul tehnic nu ar trebui s aib acces la compilatoare sau
asambloare care le-ar permite s dezvolte propriile programe. Acetia ar trebui s nu
aib acces la codul surs al sistemelor informatice aflate n mediul de producie.
De multe ori, vnztorii de sisteme de operare furnizeaz faciliti puternice de
dezvoltare, pentru modificarea n mod direct a programelor sau a datelor. Cerei
informaii de la furnizori despre facilitile care pot fi utilizate pentru a eluda controalele
de sistem i stocai-le offline. Utilizarea acestor faciliti ale sistemului ar trebui s
solicite introducerea unei parole cunoscute numai de persoane autorizate. Bibliotecarul
pentru mediile de stocare ar trebui s ia not de ocaziile cnd sunt emise utilitile
restricionate. Toate utilizrile facilitilor restricionate ar trebui s fie nregistrate n
jurnalul de operaii al sistemului (log) i personalul de audit intern / al sistemului ar
trebui s revizuiasc jurnalele pstrate de supervizorul operaiilor i de bibliotecarul
pentru mediile de stocare.
Dac pachetul de control al accesului sistemului de operare este suficient de sofisticat
pentru a impune accesul, copierea i executarea controalelor asupra facilitilor
menionate, atunci acest mecanism poate fi preferat, mai degrab dect pstrarea
offline a facilitilor. n cazul n care aceast soluie este adoptat, personalul de audit
intern / de sisteme ar trebui s revizuiasc drepturile de acces la intervale regulate i
s insiste ca utilizatorii privilegiai s aib parole proprii i s le schimbe frecvent.
Parolele folosite pentru accesul la facilitile de modificare restricionate ar trebui s fie
schimbate permanent.
T
Programatorii de sistem sunt responsabili pentru meninerea mediului n care

funcioneaz sistemul de operare. Aceasta va include sistemul de operare i, adiional,
poate include software-ul de management de reea, sistemele de management al
bazelor de date, software-ul de procesare a tranzaciilor i software-ul de management
al stocrii. Activitatea programatorilor de sistem este de multe ori prost neleas, ceea
ce ar putea duce la un control slab asupra activitilor lor. Programatorii de sistem ar
putea distruge n mod deliberat sau accidental ntregul sistem.
Programatorii de sistem nu ar trebui s aib acces la codul surs sau la structurile de
date al sistemelor din mediul de producie. Ei nu ar trebui s aib acces la
compilatoare sau asambloare n mediul de producie.
Software-ul de control al accesului ar trebui s limiteze programatorii de sistem la
fiierele pentru care au un motiv legitim de a le schimba. Toate activitile
programatorilor de sistem ar trebui s fie nregistrate n jurnalul de operaii al sistemului
(log).
Programatorii de sistem nu ar trebui s aib acces la software-ul de control al
accesului sau la fiierele de date.
50
Toate modificrile la software-ul sistemului de operare ar trebui s fie ntreprinse

ntr-un mediu de dezvoltare i ar trebui s fie supuse unei revizuiri.
n cazuri rare, cnd schimbrile de urgen trebuie s fie fcute fr un control de
calitate formal, procesul de revizuire ar trebui s aib loc dup eveniment.
.

T
Personalul pentru controlul schimbrilor este responsabil pentru copierea programelor

i a datelor din mediul de dezvoltare n mediul de producie. Exist un risc c acesta ar
putea accesa abuziv mediul de producie, prin alterarea programelor sau a datelor din
sistem.
Personalul pentru controlul schimbrilor nu ar trebui s aib acces la instrumente de
dezvoltare a programelor care s le permit compilarea programelor proprii.
Activitile acestora ar trebui s fie atent monitorizate de ctre personalul de audit
intern / al sistemelor.

T
Bibliotecarii pentru mediile de stocare sunt responsabili pentru meninerea i emiterea

datelor i programelor offline. Dac ei au acces la sistem, exist riscul ca acetia s
modifice informaiile pe care le controleaz.
Bibliotecarii pentru mediile de stocare nu ar trebui s aib acces la orice software care
s le permit s manipuleze coninutul mediilor de stocare aflate n sarcina lor.

T
C
Personalul pentru controlul accesului logic este responsabil pentru meninerea

profilurilor de utilizator care determin cine are acces i la ce. Exist riscul ca acest
personal s i aloce drepturi care sunt incompatibile cu funciile lor.
Schimbrile pentru a accesa profilurile ar trebui s fie nregistrate n jurnalul de operaii
al sistemului i personalul pentru controlul accesului ar trebui s fie n imposibilitatea
de a comuta jurnalul pe log off sau s modifice coninutul acestuia.
Personalul de audit intern / al sistemelor ar trebui s revizuiasc profilele acces
acordnd o atenie deosebit drepturilor de acces ale utilizatorilor cu cunotine vaste
i ale utilizatorilor care au acces, n special, la programe / date sensibile.

T
C
Agenii de paz trebuie neaprat s aib acces la zonele sigure n afara orelor de
program. Exist riscul c vor abuza de acest privilegiu.
Personalul de securitate ar trebui s nu aib nici un drept de acces la sistemele
informatice.
Ieirile sensibile ar trebui s fie ncuiate departe n afara orelor de program i toate
terminalele deconectate i oprite.
51
Auditori
T
C
Auditorii cer s aib acces extins la sistemele informatice i la registrele de operaii ale
sistemului. Exist pericolul ca auditorii s compromit integritatea sistemului, n mod
intenionat sau accidental.
Auditorii nu ar trebui s aib acces la scriere n alte zone dect n cea alocat lor.
Acetia ar putea s aib acces n alte zone doar la citire, n funcie de nevoile de
cunoatere.
T
Proprietarii unui set de informaii sau de date ar trebui s fie personalul care este
responsabil pentru meninerea acestora. Proprietarii ar trebui s fie responsabili, n
primul rnd, pentru asigurarea securitii datelor acestora. Exist riscul ca proprietarii
s abuzeze de privilegiile lor.
Separarea atribuiilor pentru personalul care cuprinde proprietarii ar trebui s asigure
faptul c modificarea, distrugerea, crearea de ieiri sau de informaii sensibile necesit
o cooperare a mai multor persoane.
T
C
Utilizatorii datelor au drepturi de acces la informaii acordate de ctre proprietarii

datelor. Exist riscul c acetia vor depi autoritatea care le este conferit de ctre
proprietari.
Utilizatorilor de date ar trebui s li se acorde drepturile minime n conformitate cu
nevoia lor legitim de a avea acces la informaii. Accesul la informaiile sensibile ar
trebui s fie nregistrat n jurnalul de operaii al sistemului, i orice aciuni neobinuite
s fie investigate.
Custozi ai datelor
T
Custozii de date sunt cei responsabili pentru meninerea infrastructurii care susine
accesul la informaii i msurile de securitate prevzute de ctre proprietari. Exist
riscul ca acetia s-i depeasc autoritatea prin distrugerea accidental sau
deliberat, ca i prin dezvluire sau modificare a informaiilor aflate n grija lor.
Custozii ar trebui s aib drepturi minime de acces la informaiile aflate n grija lor.
Personalul de operare nu trebuie s fie capabil s citeasc sau s modifice informaii,
n scopul de a menine accesul la acestea. Ei au nevoie doar s tie c procesul X, are
nevoie de seturile de date A, B i C care sunt stocate pe dispozitivul Q. Nu este
necesar sau de dorit pentru ei ca s cunoasc detalii cu privire la funcia procesului pe
care acestea l susin. Clase speciale de custozi, cum ar fi programatorii de sistem,
administratorii de date i administratorii de reea ar putea avea nevoie de acces la
citire sau scriere pentru datele din mediul de producie. Informaiile deosebit de
sensibile ar trebui s fie criptate, astfel ca acestea s nu fie dezvluite personalului
care asigur suportul tehnic pe parcursul monitorizrii reelei sau al ntreinerii
sistemului.
Este recomandabil s se evite angajarea de personal n domeniul operrii care are
cunotine de programare de sistem sau de aplicaii. Persoanele cu cunotine de
52
programare n cod main sunt deosebit de periculoase, deoarece acestea ar putea

dezvolta programe mici, fr a utiliza un asamblor sau compilator.
n cazul n care este posibil, facei imposibil pentru personalul de operare crearea
unui fiier executabil. Aceasta este doar o opiune n cazul n care sistemul de operare
poate distinge executabilul de alte fiiere, iar sistemul de control al accesului poate
controla capacitatea utilizatorilor de a schimba statusul fiierelor pe care le creeaz
sau le modific.
T
C
T
C
Inginerii de ntreinere au adesea o cunoatere intim a sistemului de operare, precum

i a hardware-ului. Acest lucru le poate permite apoi s exploateze "uile ascunse"
pentru a compromite securitatea.
Inginerii de ntreinere nu ar trebui s fie lsai s lucreze nesupravegheai i nu ar
trebui s li se permit s scoat n afara locaiei fiiere care conin informaii sensibile.
Multe sisteme au "utilizatori de ntreinere", cu o parola implicit (default). Acest lucru
poate fi utilizat pentru a obine accesul neautorizat la sistem.
Cerei sfatul vnztorului cu privire la utilizatorii i parolele implicite i schimbai-le n
mod regulat i, n special, dup fiecare vizit a inginerului de ntreinere.
Consultani
T
C
Consultanii vor dobndi n mod inevitabil cunotine din interiorul organizaiei

dumneavoastr.
Consultanii trebuie s fie obligai s semneze un acord de nedivulgare. Dac ei au
nevoie s acceseze sisteme deosebit de sensibile, atunci trebuie s fie supus
procedurii de verificare(vetting).
Schimbai parolele / identificatorul utilizatorului care sunt cunoscute de ctre consultant
atunci cnd contractul nceteaz.
Persoane externe
Vizitatori
T
C
n cazul n care vizitatorii au permisiunea de a vedea domeniile n care exist informaii

sensibile sau are loc prelucrarea, acest lucru ar putea compromite securitatea.
Vizitatorii ar trebui s fie obligai s poarte ecusoane de identitate i personalul ar
trebui s fie instruit s-i semnaleze pe cei pe care nu-i recunosc sau care nu poart un
ecuson. n medii sigure, vizitatorii ar trebui s fie nsoii n permanen. inei vizitatorii
departe de zonele sensibile. n cazul n care acetia au nevoie s vad informaii
sensibile, cerei-le s semneze acorduri de non divulgare i asigurai-v c ei nu vd
mai mult dect este necesar.
53
Intrui
T
C
Intruii pot compromite confidenialitatea, integritatea i disponibilitatea sistemului

informatic.
Straturile multiple de securitate ofer cea mai bun protecie. Evitai publicitatea. Facei
dificil penetrarea perimetrului de securitate. Instalai echipamente de detectare a
intruilor.
Blocai camerele care ofer acces la instalaiile sensibile. Utilizai controlul accesului
pentru a face dificil utilizarea sistemelor informatice, chiar dac un intrus ctig
acces la un terminal.
Bunuri fizice
Cldiri
Locaia / Sediul
T
C
T
C
T
C
T
C
Exist riscul ca locaia/sediul s fie deteriorat/deteriorat fizic. Riscurile specifice care

afecteaz locaia vor depinde de circumstanele locale.
Planurile de urgen ar trebui s fie elaborate, acestea incluznd un plan pentru
continuarea funciilor critice n caz de deteriorare sau distrugere a locaiei. Planurile de
urgen ar trebui s fie testate anual.
Intruii pot penetra locaia i ar putea compromite disponibilitatea, integritatea sau
confidenialitatea sistemelor informatice.
Nivelul fizic de securitate al locaiei ar trebui s fie n concordan cu valoarea medie a
sistemelor informatice pe care le gzduiete. Aplicaiile deosebit de sensibile pot fi
asigurate prin furnizarea unor niveluri mai ridicate de securitate pentru locaiile care le
gzduiesc. Securitatea de baz a locaiei ar trebui s includ ageni de paz care
monitorizeaz oamenii care intr i ies din cldire. Ferestrele de la parter ar trebui s
fie ncuiate atunci cnd camerele nu sunt nesupravegheate i dotate cu sisteme de
alarm pentru intrui
Parcarea public nu ar trebui s fie permis n zonele adiacente instalaiilor critice.
Uile de incendiu trebuie s se deschid spre exterior i s fie dotate cu uruburi de
sticl i alarme legate la un panou de control central aflat n biroul poliitilor de
securitate
Locaiile care sunt folosite pentru a sprijini funciile critice, i care sunt bine
mediatizate sunt deosebit de vulnerabile.
Pstrai activele care susin funciile critice n locuri care nu atrag atenia. ncercai s
evitai publicitatea inutil.
n cazul n care detaliile din locaie devin cunoscute, sunt necesare msuri mai extinse
de securitate pentru a compensa riscurile sporite.
Locaiile din apropierea zonelor dens populate sunt mult mai susceptibile de a suferi de
pe urma efectelor perturbaiilori civile.
Locaia care gzduiete sistemul informatic cheie ar trebui s fie situat departe
aglomeraiile urbane, dac este posibil.
54
T
C
Locaiile educaionale sunt deosebit de vulnerabile la furt i la tentativa de penetrare a

sistemului.
Controalele fizice i logice de acces sunt adesea slabe n locaiile educaionale.
Asigurai-v c zonele care conin bunuri care sunt atractive i portabile sunt garantate
pentru un nivel mai ridicat dect nivelul de baz. Rspunderii privind controalele ar
trebui s i se acorde o prioritate nalt pentru sistemele cheie accesibile din locaiile
educaionale.
Camere cheie
T
C
Zonele n care informaiile sunt introduse sau meninute sunt puncte focale pentru
ameninrile la confidenialitatea i integritatea sistemelor informatice.
Zonele de introducere a datelor ar trebui, n cazul n care este posibil, s fie
inaccesibile personalului care nu are o nevoie legitim de a merge acolo.
Terminalele cu acces la facilitile restricionate referitoare la actualizarea informaiilor
critice, nu ar trebui s fie vizibile din zonele publice. Ele nu ar trebui s fie lsate
nesupravegheate i conectate.
Aplicaiile care actualizeaz informaii cheie ar trebui s nchid sesiunile n cazul n
care nu a existat nici o activitate la tastatur timp de cteva minute.
n cazul n care informaiile au implicaii pentru sistemele informatice cheie, aplicaia ar
trebui s repete la intervale regulate identificarea i s fac verificri de autentificare
iar toate modificrile care sunt fcute s fie nregistrate n jurnalul de operaii al
sistemului. Pentru informaii deosebit de sensibile, luai n considerare ca la instalarea
aplicaiei s se includ setri adecvate, astfel nct schimbrile s nu poat fi finalizate
fr confirmarea din partea unei persoane autorizate.
Prelucrare
T
C
T
Zonele n care informaiile sunt procesate pot oferi oportuniti extinse de a corupe,
perturba sau de obinere a accesului la sistemele informatice.
Restricionai accesul prin punerea n aplicare a procedurilor de separare a atribuiilor,
acolo unde este posibil.
Calculatoarele mari au de multe ori cele mai exigente cerine de mediu.
Acest lucru a dus la o izolare natural a echipamentelor cheie de personalul care nu
este implicat n exploatarea acestora. La fel, calculatoarele mici au devenit mai
puternice n momentul n care aplicaiile cheie au fost transferate pe ele. Calculatoarele
mici pot opera de obicei, ntr-un mediu de birou obinuit. Utilizarea prelucrrii
distribuite, n unele cazuri, a condus la dependena sistemelor informatice de un numr
mare de calculatoare mici, dispersate geografic. Reducerea dimensiunilor
calculatoarelor a condus la o neglijare a necesitii de a proteja echipamentele cheie,
fcndu-le vulnerabile la abuzul fizic i la deteriorarea mediului.
Calculatoarele care susin funcii cheie ar trebui s fie izolate fizic de mediul de birou.
Luai n considerare necesitatea de a proteja sursa de alimentare a oricrui calculator
care joac un rol esenial n sistemele informatice critice.
55
Imprimare
T
Ieirile sensibile ar trebui s fie dirijate prin zone sigure, astfel nct s poat fi
monitorizate i, eventual, nregistrate n jurnalul de operaii al sistemului. n cazul
materialelor financiare mobile, pierderea ar putea aprea de la furtul ieirii. n cazul n
care valoarea ieirii const n necesitatea confidenialitii, de pierderi poate s fie
responsabil cineva care a vzut pur i simplu ieirea, fr a o fi extras neaprat.
Accesul la camerele utilizate pentru producia de informaii valoroase sau sensibile ar
trebui s fie limitat la personalul care manipuleaz ieiri. Controlul accesului fizic i
logic ar trebui s pun n aplicare separarea sarcinilor ntre cei responsabili pentru
manipularea i nregistrarea ieirilor i cei responsabili pentru iniierea sau autorizarea
acestora.
Stocare
T
C
T
C
Zonele n care informaia este stocat pot prezenta o int atractiv pentru cineva care
ncearc s obin acces neautorizat, deoarece o mulime de informaii sunt colectate
mpreun.
Informaiile sensibile ar trebui s fie stocate n arhive securizate / biblioteci.
Accesul ar trebui s fie limitat la bibliotecari, care ar trebui s verifice autorizarea
personalului care solicit accesul, iar informaiile emise s fie nregistrate n jurnalul de
operaii al sistemului.
ncrederea n copiile informaiilor arhivate unic v face vulnerabili n faa pierderii
integritii i disponibilitii informaiilor.
Adoptarea unei politici de backup care s garanteze c cel puin dou exemplare ale
copiilor coninnd informaii cheie sunt deinute n locaii dispersate geografic.
Integritatea arhivelor care pot fi citite automat trebuie s fie verificat la intervale
regulate i orice arhiv pe mediu magnetic ar trebui s fie copiat (remprosptat) cel
puin o dat la trei ani.
Interogare
T
C
T
C
Camerele n care se opereaz interogri sunt deosebit de vulnerabile la ameninrile

care ar putea compromite disponibilitatea sau integritatea sistemelor informatice.
Luai n considerare planurile de urgen care ar permite personalului care se ocup cu
interogarea s continue satisfacerea cerinelor eseniale n cazul n care sistemele
informatice sau hardware-ul suport al acestora au devenit indisponibile.
Camerele care sunt utilizate ca centre de manipulare a interogrilor pot fi n mod
particular vulnerabile la ameninrile la adresa confidenialitii informaiilor.
Ar trebui stabilite proceduri care s precizeze condiiile pentru furnizarea fiecrei clase
de informaii i a oricror nevoi de a nregistra emiterea de informaii. Accesul n zonele
care se ocup cu interogrile sensibile ar trebui s fie restricionat.
Software-ul ar trebui s deconecteze automat personalul, n cazul n care nu exist nici
o activitate la tastatur ntr-un termen specificat.
56
Rspunderea este un aspect esenial al controlului interogrilor. Poate fi la fel de

important s se poat stabili ce au fcut indivizii i s se restricioneze activitile pe
care acetia le pot ntreprinde.
Aceasta poate reduce ameninrile la adresa confidenialitii n cazul n care facilitile
de interogare sunt dispersate fizic. De exemplu, stabilii un grup de personal
responsabil pentru a rspunde la toate interogrile referitoare la persoane fizice ale
cror nume de familie ncep cu litere ntre A i D i alte grupuri responsabile pentru
alte litere. Fragmentnd capacitatea de a accesa informaii i de a le aranja n ordine,
se poate reduce vulnerabilitatea la abuzuri.
Informaiile deosebit de sensibile, trebuie s solicite autorizarea de la un al doilea
operator / supervizor, nainte de a fi dezvluite. Terminalele de interogare trebuie s fie
situate astfel nct s nu poat fi privite din zonele publice i astfel nct operatorii s
nu poat citi ecranele unii altora.
Comunicaii
T
Camerele care gzduiesc cutiile cu conexiunile reelei, rafturile modemurilor, ramurile

centralei telefonice sau dulapuri cu patch-uri ofer o oportunitate pentru personalul
neautorizat pentru identificarea echipamentului asociat cu faciliti sensibile i
perturbarea serviciului sau interceptarea sa.
Cablurile i echipamentele de comunicaii ale sistemelor informatice nu ar trebui s fie
etichetate ntr-o form care poate fi citit i identificat de om. Sunt de preferat etichete
bazate pe un sistem de codificare a cablurilor. Cheia pentru sistemul de codificare ar
trebui s fie ncuiat n alt birou. n cazul n care cablurile sunt etichetate, acestea ar
trebui s fie toate etichetate pentru a face mai dificil de depistat traseul urmat de
conexiunile cheie.
Cutiile de jonciune, rafturile modemurilor i centralele telefonice ar trebui s fie
securizate. Accesul ar trebui s fie limitat la personalul de ntreinere i la
administratorii de reea.

T
C
Accesul la echipamente care ruleaz aplicaii n mediul de producie poate facilita

eludarea msurilor concepute pentru a menine integritatea, disponibilitatea i
confidenialitatea sistemelor.
Camerele care gzduiesc echipamente care sunt elemente cheie ale sistemelor
informatice din mediul de producie ar trebui s fie accesibile numai pentru personalul
de operare.
Separarea sarcinilor ar trebui s asigure c personalul de operare nu este n msur
s genereze tranzacii, s proiecteze sau s dezvolte programe, sau s acceseze sau
s genereze ieiri sensibile produse de sistemele pe care le opereaz. Aceasta din
urm este simplificat dac ieirea sigur este posibil doar la dispozitivele din afara
zonei de operare iar personalului de operare nu i este permis intrarea n zona unde
se afl dispozitivele de ieire.
57
T
C
Software-ul de aplicaie este potenial cel mai puternic mijloc de a compromite

integritatea sistemelor informatice. Programatori sau alte persoane cu acces la mediul
de dezvoltare pot introduce aciuni sub acoperire n sistem.
Programatorii ar trebui s fie alocai s lucreze pe o baz modular. Fiecare modul
trebuie s aib definite intrri i ieiri. Revizuirile proprii i de ctre unitatea de testare
ar trebui s asigure protecia mpotriva introducerii de funcionaliti sub acoperire.
Personalul de control al schimbrii trebuie s fie separat de programatorii de aplicaii
att fizic, ct i managerial.
Accesul la camerele care sunt utilizate pentru dezvoltarea de aplicaii ale unor sisteme
sigure ar trebui s fie limitat la programatori. Analitilor i personalului de control al
schimbrii nu ar trebui s li se permit accesul.
Controalele stricte privind rspunderea i un sistem de control al versiunilor puternic ar
trebui s garanteze c exist ntotdeauna o nregistrare despre cine a fcut, ce i cnd
s-a fcut.
Instrumentele de dezvoltare ar trebui s fie indisponibile n afara orelor de program.
Funcii de sistem
T
C
Sistemele de diagnosticare i instrumentele de gestionare pot fi folosite pentru a

intercepta traficul n reea i a eluda controalele.
Accesul ar trebui s se limiteze la terminalele desemnate i controalele privind
rspunderea s fie folosite pentru a monitoriza utilizarea n aceeai msur ca i
pentru programatorii de aplicaii. Accesul fizic la terminalele sistemului ar trebui s fie
limitat la personalul care asigur suportul tehnic i acesta ar trebui s lucreze de
preferin n perechi.
Instalaii
T
C
Alimentarea cu curent electric este o resurs cheie pentru sistemele informatice.

Perturbaiile sursei de energie ar putea distruge informaii i, n caz de supratensiune,
hardware-ul care suport sistemul.
Toate activele sistemului informatic ar trebui s aib surse de alimentare capabile s
elimine vrfurile de tensiune duntoare echipamentelor.
Echipamentele cheie, cum ar fi serverele de fiiere vor avea nevoie de o unitate de
alimentare neintreruptibil pentru a se asigura c acestea pot, cel puin s se opreasc
n siguran, n cazul unei ntreruperi a alimentrii.
Accesul la camerele cu instalaii ar trebui s fie limitat la personalul de ntreinere.
Papetrie
T
C
Formularele goale pot fi eseniale pentru operarea continu a unor sisteme. Licenele
i certificatele sunt dou exemple. Distrugerea stocurilor ar perturba serviciul.
Pstrarea copiilor backup ale formularelor eseniale ar trebui s se fac n orice locaie
de prelucrare aflat la distan i la o locaie alternativ n cadrul locaiei principale.
Stocurile ar trebui s fie inute la acelai nivel de securitate ca stocul principal i
depozitarul ar trebui s verifice periodic exhaustivitatea / gradul de utilizare pentru
stocurile de rezerv.
58
Gtitul i fumatul
T
C
Gtitul T i fumatul sunt principalele surse de indisponibilitate a sistemului informatic,

ca urmare a incendiilor pe care le pot provoca.
Att fumatul ct i gtitul trebuie s fie interzise n zonele adiacente activelor cheie.
Camerele n care sunt permise ar trebui s fie prevzute cu echipamente de stingere a
incendiilor. n special, scrumiere i pubele speciale ar trebui s fie utilizate n ncperile
n care fumatul este permis.
Papetrie valoroas
T
C
Papetria care poate fi utilizat pentru un ctig financiar sau ca baz pentru a obine
drepturi, cum ar fi permisele de trecere n alb, ordinele de plat sau cecurile, reprezint
o int atractiv pentru furt.
Papetria sensibil ar trebui s fie numerotat n serie i pstrat ntr-un depozit
ncuiat. Depozitarii ar trebui s rspund pentru orice probleme, inclusiv pierderi.
Depunei eforturi pentru a se asigura c poate fi ntreprins o reconciliere, care s
stabileasc rspunderea pentru toate utilizrile, n ceea ce privete emiterea autorizat
i alterarea.
Camerele de depozitare pentru papetria valoroas ar trebui s fie securizate i
accesibile numai personalului responsabil desemnat.
Documentaie
Software
T
Documentaia este esenial n cazul n care software-ul trebuie s fie meninut. Exist
riscul ca aceasta s fie pierdut, distrus sau furat. Ar putea fi o motivaie puternic
pentru furt n cazul n care software-ul efectueaz funcii care au o valoare comercial
sau pentru divulgarea informaiilor brevetate sau sensibile.
Documentaia ar trebui s fie examinat ca parte a procedurilor de control al calitii.
Odat ce a fost aprobat, copiile nregistrate ar trebui s fie ndosariate de ctre
personalul de control al schimbrii.
Copiile de siguran ale documentaiei sistemului din mediul de producie trebuie s fie
inute ntr-o locaie aflat la distan.
Documentaia sistemelor sensibile trebuie s fie tratat similar cu un fiier nregistrat.
Copiile ar trebui s fie numerotate, copierea interzis, iar emiterile s se fac n funcie
de nevoia de cunoatere. Copiile ar trebui s fie ncuiate atunci cnd nu sunt utilizate.
Hardware
T
C
Activele de tip sistem informatic sunt adesea atractive, portabile i uor de deteriorat.
Un inventar complet al tuturor activelor materiale ale sistemului informatic ar trebui s
fie pstrat, meninut i auditat.
59
T
C
Manuale pentru hardware sunt rar necesare, dar eseniale n ocaziile n care acestea
sunt necesare. Acestea sunt adesea dificil de nlocuit i pot conine informaii care ar fi
de folos unei persoane care intenioneaz s se infiltreze sistem.
Pstrai manualele hardware n biblioteci ncuiate sau n zone sigure. Problemele
legate de manuale ar trebui s fie nregistrate, n special n cazul n care se acord
aprobarea de a lua manualul n alt camer dect aceea care adpostete
echipamentul. Pstrai copii ale manualelor hardware eseniale ntr-o locaie la
distan.
Proceduri
T
C
Ghidurile de proceduri furnizeaz personalului informaii eseniale care pot fi furnizate

i altor persoane, oferind o imagine de ansamblu, care ar trebui protejat, n legtur
cu modul n care lucreaz sistemele.
Ghidurile de proceduri ar trebui s fie eliberate nominal persoanelor fizice, nregistrate
i pstrate n siguran. Toate manualele ar trebui s fie marcate pe fiecare pagin
pentru confidenialitate, iar manualele sensibile ar trebui s aib instruciuni pe fiecare
pagin, care s reflecte clar c nu este permis copierea.
Pstrai copii ale manualelor de proceduri n afara locaiei.
Planul de urgen
T
Prin natura lor, planurile de urgen sunt necesare rar i ntr-un moment cnd
organizaia este sub stres. Exist un risc ca acestea s devin perimate sau pot fi
indisponibile atunci cnd apare o situaie de urgen. n plus, acestea pot fi de folos
pentru cineva care intenioneaz s perturbe serviciile.
Planurile de urgen ar trebui s fie revizuite i testate la intervale regulate, n fiecare
an n cele mai multe situaii, dar mai frecvent n cazul n care disponibilitatea este
foarte critic. Copii ale seciunilor relevante ar trebui s fie inute n siguran n
locaiile de backup.
Planurile etajelor
T
C
Planurile etajelor sunt documente extrem de utile pentru un intrus potenial.

Pstrai desenele arhitecturale ncuiate. Acest lucru este deosebit de important n cazul
n care desenele au suprapuse informaii funcionale.
T
Diagramele de cablare sunt eseniale pentru meninerea sistemelor n reea. Pierderea

acestora ar putea compromite capacitatea de a menine sistemele informatice sau de a
diagnostica defectele de reea. Diagramele sunt, de asemenea, foarte utile pentru
oricine care are interes n infiltrare sau n ntreruperea serviciilor informatice furnizate
de reea.
Diagramele de reea trebuie s fie elaborate i actualizate ori de cte o nou rutare
sau conexiune este introdus.
Copii ale diagramelor de cablare trebuie s fie pstrate n locaiile de backup pentru a
facilita recuperarea n cazul n care locaia principal este deteriorat.
60
Accesul la diagramele de cablare ar trebui limitat la personalul cu un interes legitim n

managementul cablrii / administrarea reelei.
Dicionarul de date
T
Dicionarul de date ar trebui s ofere un index al structurii tuturor sistemelor informatice

permanente. Este un instrument esenial pentru dezvoltarea sistemelor informatice noi.
Acesta poate fi un ajutor de nepreuit pentru toi cei care doresc sa se infiltreze in
sistemele informatice.
Integrai ntreinerea dicionarului de date cu procedurile de control al schimbrii pentru
a se asigura c acesta reflect structura actual a datelor deinute de sistemele
informatice.
Pstrai copii n locaii aflate la distan.
Meninei un registru al copiilor documentelor care sunt derivate din dicionarul de date
i tratai extrasele sensibile n mod similar cu fiierele nregistrate.
Mediu
Aer condiionat
T
C
Calculatoarele mari i perifericele lor au adesea cele mai exigente cerine de mediu.
Lipsa asigurrii condiiilor de mediu specificate de productor poate duce la
indisponibilizarea calculatoarelor i la dispute legate de ntreinere.
Configurarea un program de ntreinere periodic a echipamentelor eseniale de aer
condiionat.
Luai n considerare necesitatea echipamentelor de aer condiionat de rezerv, pentru
cazul n care activele cheie ar putea fi afectate devenind indisponibile.
Putere electric
T
C
Sisteme informatice pot fi afectate negativ de reducerea sau creterea tensiunii sau a
frecvenei surselor de alimentare.
Toate calculatoarele trebuie s fie protejate prin prevenirea excesului de putere.
Activele cheie ar trebui s fie protejate prin surse nentreruptibile.
Ap
T
C
Unele calculatoare mari necesit rcire cu ap. ntreruperea alimentrii cu ap poate

duce la deteriorarea grav a calculatorului.
Asigurai-v c alimentarea continuarea cu ap se afl sub controlul personalului de
exploatare i nu al personalului de ntreinere a cldirii. Personalul de ntreinere nu
trebuie s comute din neatenie oprirea livrrilor de ap rece, n timpul perioadelor de
vacan / n afara orelor de program. Luai n considerare livrrile de rezerv de ap
rece sau oprirea automat a calculatoarelor dependente n cazul ntreruperii furnizrii.
61
Iluminat
T
C
ntunericul poate perturba grav planurile pentru situaiile de urgen.

Luai n considerare necesitatea unor surse de iluminat de rezerv.
Deeuri
Hrtie
T
C
Sistemele informatice produc de multe ori cantiti substaniale de deeuri de hrtie.

Acestea pot fi o surs de scurgere a informaiilor din organizaie.
Toate ieirile pe hrtie trebuie s fie marcate n condiii de securitate, dup caz. Luai
n considerare mrunirea materialelor de sensibilitate deosebit. Sacii cu "deeuri
confideniale" ar trebui s fie utilizai pentru materialul depozitat n vederea incinerrii.
Securitatea deeurilor este adesea trecut cu vederea. Un sac de deeuri care conine
materiale care au fost puse ntr-un dosar nregistrat trebuie s fie supus aceluiai nivel
de securitate care ar fi fost aplicat dosarului.
Suporturi magnetice
T
C
Suporturile magnetice pstreaz fragmente ale fiierelor care au fost copiate chiar i
dup ce fiierele au fost terse.
Deeurile de suporturi magnetice ar trebui s fie terse n condiii de securitate,
demagnetizate sau distruse.
Medii optice
T
C
Mediile optice nu pot fi terse, de obicei, definitiv.

Incinerarea este cel mai bun mod de a distruge deeurile dispozitivelor optice de
stocare.
Papetrie
T
C
Deeurile papetriei coninnd informaii financiare pot fi utilizate ilicit.

Documentele financiare pe hrtie nvechite ar trebui s fie n mod oficial anulate i
eliminate ca deeuri confideniale.
Asigurai-v c nregistrrile contabile in seama de eliminarea papetriei prenumerotate.
62
____________________
INDEX
Pagina
Aer condiionat
61
Analiti
49
Ap
61
Auditori
51
51
38
Bunuri fizice
54
Burster
42
Cablajul reelei
39
Calculatoare
39
Camere cheie
55
Cldiri
54
Comunicaii
37
Consultani
53
Cozi de ieire
43
Custozi ai datelor
52
Deeuri
62
58
60
Dicionarul de date
61
42
42
Documentaie
59
Documentaie hardware
59
Documentaie software
59
Enveloper
43
Fiiere de hrtie
44
Fotocopiator
44
63
Funcii de sistem
58
Gtitul i fumatul
59
Hrtie
62
Hardware
37
Iluminat
62
Imprimant cu laser
43
Imprimant de impact
43
Imprimare
56
Instalaii
58
Interogare
56
55
Intrui
54
Linii telefonice
37
Locaia / Sediul
54
Main de scris
44
Medii de memorare
44
44
45
Medii optice
62
46
Medii optice fixe
46
Mediu
61
Microcalculatoare
40
Microfilm / microfi
47
41
Modemuri
37
44
57
Papetrie deeuri
62
Papetrie
58
Papetrie valoroas
59
Persoane externe
53
Personal cheie
48
64
53
53
50
51
51
51
48
48
48
Personal propriu
47
Planul de urgen
60
Planurile etajelor
60
Plotter
43
37
Pot electronic
38
Prelucrare
55
Proceduri
60
Programatori
49
50
52
Putere electric
61
Resurse umane
47
Scanere
42
Servere de fiiere
41
Serviciul potal
38
Software documentaie
59
41
Stocare
56
Suporturi magnetice de
62
Terminale
39
52
Vizitatori
53
65
ANEXA I - Cteva definiii
Clasificarea informaiilor
Informaii nedesemnate: informaiile nedesemnate sau neclasificate n nici un mod, n
cazul n care garaniile privind practicile normale unui bun management sunt suficiente.
Informaii care sunt disponibile publicului. De exemplu: raportarea timpului,
programarea personalului, manuale i publicaii, administrarea general, capitole
lansate, poziii lansate, avize eliberate etc.
Informaii desemnate: informaii, alte dect cele referitoare la interesul naional, care
sunt desemnate ca avnd nevoie de protecie.
Informaiile clasificate: informaii referitoare la interesul naional.
Sistem informatic / Aplicaie
"Aplicaia aferent unui software specific care este destinat desfurrii unor lucrri specifice.
Orice set de pai urmat de desfurarea unor activiti financiare, administrative sau privind
programul." De exemplu, un sistem de conturi pentru pli.
ntr-un mediu cu microcalculatoare, aplicaiile pot fi foarte simple, cum ar fi un raport n
WordPerfect - tastare, stabilirea formatului i activiti de tiprire sau complexe, un program de
audit asistat de calculator (CAAT) - ncrcarea datelor clientului, extragerea eantioanelor,
analiza rezultatelor i mostre de imprimare a eantioanelor sau a rezultatelor.
Software-ul folosit, cum ar fi programele CAAT, Lotus, sau WordPerfect, nu ar trebui s fie
confundat cu aplicaiile software-ului eantionarea n audit.
Numele unei aplicaii este de obicei o combinatie a software-ului utilizat i a aplicaiei
dezvoltate, cum ar fi: CAAT pentru audit, analiza financiar Lotus etc.
n scopul evalurii securitii, aplicaii similare pot fi grupate mpreun.
Controlul accesului logic" i rspundere, ca parte a unui sistem de securitate
Controlul accesului logic, folosind ID-urile i parolele, impune accesul limitat la date pe
baza utilizatorului individual. Acest lucru este realizat printr-un sistem de securitate care
determin ceea ce utilizatorul poate accesa i poate face, meninnd rspunderea prin crearea
unei piste de audit care nregistreaz utilizarea calculatorului de ctre utilizator.
Controlul accesului, ca orice alt control, nu este considerat eficace i fiabil, cu excepia cazului
n care poate fi demonstrat c acesta funcioneaz n concordan cu scopul pentru care a fost
implementat i poate fi monitorizat. O pist de audit servete ca dovad c msurile de control
al accesului lucreaz aa cum s-a intenionat i ofer mijloacele de a investiga neregulile i de
a identifica domeniile n care controalele ar putea fi mbuntite. ntr-un sistem de securitate
66
informatic, pista de audit este un fiier istoric creat i protejat de sistemul auditat prin
controale bazate pe parol i criptare. Utilizarea unei piste de audit este transparent pentru
utilizator. n cadrul multor sisteme de securitate, administratorul de securitate are acces la
fiierele istorice coninnd pista de audit, ale tuturor utilizatorilor. Utilizatorii individuali au acces
n citire numai la fiierul propriu coninnd pista de audit.
Necesitatea de a cunoate principiul
Un principiu fundamental al politicii de securitate este de a restriciona accesul la date si la
active celor care au nevoie de un astfel de acces, ceea ce presupune definirea specificaiilor de
partajare a datelor i activelor. ntr-un mediu informatizat, aceasta implic controlul accesului
fizic i / sau logic (sistem de securitate) la date i active. De exemplu, ntr-un birou de audit,
utilizatorii protejeaz clientul, informaiile administrative i de audit pentru a preveni accesul
accidental la citire, modificare sau tergere a informaiilor.
Sensibilitatea informaiilor:
Disponibilitate: calitatea sau starea informaiilor, serviciilor, sistemelor i programelor
de a fi disponibile n timp util ("la nivelul organizaiei").
Confidenialitate: calitatea sau condiia de a fi sensibile ("se poate provoca un
prejudiciu n cazul n care informaiile sunt divulgate").
Integritate: calitatea sau condiia de a fi corecte i complete ("se poate provoca un
prejudiciu n cazul n care informaia este alterat, incorect sau incomplet")
Evaluarea expunerii securitii
O evaluare a expunerii securitii este rezultatul combinrii unui studiu de impact asupra
afacerii cu riscul unei ameninri / evaluarea probabilitii. O evaluare a expunerii securitii
este clasificat ca:
Major: impact considerabil, extrem - probabilitate rezonabil. Acele evenimente care
au probabilitate suficient de apariie i un impact puternic asupra afacerii astfel nct
este prudent s se ia msuri preventive i de recuperare. Ateptarea privind daunele
este suficient de mare nct nu este cazul s se insiste pe previziuni precise de
probabilitate.
Mediu: impact semnificativ - probabilitate necunoscut. Impactul asupra afacerii este
de aa natur nct ar trebui luate msuri. Este necesar o trecere n revist a
ameninrilor i a probabilitii acestora, pentru a reduce ameninrile la un nivel uor
de gestionat.
Min (Sczut): impact redus - orice probabilitate. Categoria i ce dac. Dac se
ntmpl, nu va cost att de mult. Dac v simii confortabil c potenialul pentru
prejudiciu este sczut, acestea sunt ameninri pe care le aceptai. Nu este nevoie s
se efectueze analize de probabilitate detaliate.
67
Infrastructura de securitate
De obicei, n multe organizaii guvernamentale, sub titluri similare sau diferite, administrarea
securitii este delegat n felul urmtor:
Ofier de securitate ef: un manager executiv care are responsabilitatea general

pentru securitate n cadrul organizaiei. El menine legtur cu toate celelalte entiti
guvernamentale i este pe deplin rspunztor pentru toate chestiunile de securitate din
cadrul organizaiei sale.
Director de securitate: unul dintre manageri cu autoritate delegat de director de

securitate, care are responsabilitatea administrrii tuturor chestiunilor de securitate
zilnice, din cadrul organizaiei.
Persoana responsabil de securitatea informatic: un manager principal, cu

autoritate delegat de la ofierul de securitate ef i de raportare ctre directorul de
securitate, care are responsabilitatea zilnic pentru administrarea securitii tehnologiei
informaiei n cadrul organizaiei.
Echipa de securitate: O echip format din persoane fizice construit, dac este
posibil, ca o seciune transversal a organizaiei. Echipa are nevoie de sprijinul deplin
i angajamentul conducerii superioare s efectueze examinarea securitii i s obin
acceptarea rezultatelor sale. De exemplu, este de preferat ca reprezentantul
utilizatorilor s fie un membru influent al comunitii utilizatorilor i s fie liderul echipei.
Este mult mai probabil ca utilizatorii i conducerea superioar s accepte
recomandrile privind securitate de la echip, ntruct acetia sunt de obicei suspicioi
n ceea ce privete rapoartele elaborate de "specialiti tehnici".
O politic de securitate a companiei, aprobat de conducere, este pus n aplicare pentru a

sprijini strategia sistemului informatic care, n sine, se bazeaz pe misiunea i obiectivele
identificate n declaraia de politic a corporaiei.
De obicei, de asemenea, un Comitet director pentru sisteme informatice, prezidat de un
director executiv, joac un rol important n a se asigura c toate sistemele informatice din
cadrul organizaiei sunt elaborate i utilizate n conformitate cu obiectivele i strategiile
corporative. Comitetul director pentru sisteme informatice supravegheaz implementarea
politicii privind sistemele informatice i a politicii de securitate.
Principii de management al securitii
1. Protecia securitii trebuie s fie n concordan cu sensibilitatea datelor care trebuie
protejate;
2. Protecia securitii ar trebui s nsoeasc datele ori de cte ori acesta sunt
transferate sau prelucrate; i
3. Protecia securitii trebuie s fie continu, n toate situaiile.
68
Aceste principii sunt implementate prin determinarea sensibilitii datelor din punctul de vedere
al integritii, confidenialitii i disponibilitii i prin aplicarea unor elemente specifice unei
scheme de securitate, care include persoane, dispozitive fizice, practici i proceduri, hardware,
software, aplicaii, i elemente de protecie de tip back-up.
69

Volumul 3: O metod detaliat de

securitate a sistemului informatic
70
3.1
Prezentare
3.1.1
Obiectivul unui program de securitate a sistemului informatic este de a reduce riscul de

pierdere a confidenialitii, integritii i disponibilitii informaiilor la un nivel
acceptabil.
3.1.2
Scopul unei metode de securitate a sistemului informatic este de a facilita stabilirea

unui program de securitate cuprinztor i eficient, care s acopere toate sistemele
informatice cheie. Metoda ar trebui s ajute utilizatorii s stabileasc un nivel de
securitate proporional cu cerinele lor.
Gsirea unui nivel adecvat de securitate implic analiza de risc i managementul
riscurilor11.
3.1.3
Analiza de risc este utilizat pentru a stabili gradul n care sistemele informatice sunt
expuse la riscuri. Aceasta presupune examinarea ameninrilor cu care se confrunt
sistemele informatice, estimarea frecvenei cu care acestea sunt de ateptat s apar
i apoi evaluarea impactului pe care organizaia l-ar suferi dac ameninrile ar aprea.
"Expunerea" este calculat prin combinarea evalurii a impactului i a frecvenei
estimate a ameninrii.
3.1.4
Managementul riscului implic alegerea celei mai ieftine contramsuri care reduce
expunerea organizaiei la risc la un nivel acceptabil. Contramsurile sunt msurile luate
de ctre organizaie pentru a reduce frecvena unei ameninri sau pentru a reduce
impactul ameninrilor atunci cnd apar.
3.1.5
Evaluarea este cheia pentru stabilirea unui nivel corespunztor de securitate, iar
utilizatorii sunt eseniali pentru evaluare. Rezult c grupurile de utilizatori trebuie s fie
stabilite ntr-un stadiu incipient. Fiecare sistem poate fi evaluat fcnd referire la
utilizatorii si. Un sistem cu nici un utilizator sau unul n care utilizatorii nu acord nici o
valoare informaiilor primite, nu are nici o valoare i nu merit s fie meninut, cu att
mai puin securizat.
3.1.6
n cazul n care sistemele nu se confrunt cu ameninri, atunci nu sunt necesare

msuri de securitate. Metoda ar trebui s ajute la identificarea ameninrilor la adresa
11
Adaptat dup o metodologie elaborat de Oficiul Naional de Audit, Marea Britanie, acest document are ca scop numai de a
oferi o descriere general a unei metode cantitative detaliate de analiz a riscurilor care este utilizat n diverse moduri de cele
mai multe pachete de analiz de risc comerciale. Este recomandat folosirea unui pachet software mpreun cu aceast
metod de analiz detaliat a riscului.
71
confidenialitii, integritii sau disponibilitii sistemelor informatice. Acest lucru

implic identificarea tuturor componentelor care trebuie s fie n funciune, n cazul n
care utilizatorii trebuie s continue s primeasc un serviciu de ncredere i apoi caut
evenimentele care ar putea afecta n mod negativ fiecare component. Aceasta
implic, de asemenea, identificarea modalitilor de scurgere a informaiilor din fiecare
component a sistemului informatic.
3.1.7
Odat ce valoarea unui sistem i ameninrile cu care acesta se confrunt au fost

stabilite poate fi formulat o cerin de securitate. Aceasta va lua forma unei liste de
msuri care sunt necesare pentru a reduce riscurile cu care se confrunt utilizatorii, la
un nivel acceptabil. Punerea n aplicare a acestor msuri i meninerea lor este sarcina
personalului care alctuiete infrastructura de securitate.
3.1.8
Stadiile unei metode de securitate a sistemului informatic sunt:

(1)
Stabilirea unei politici de securitate
(2)
Construirea infrastructurii de securitate
(3)
Identificarea sistemelor informatice
(4)
Identificarea ameninrilor / punctelor slabe
(5)
Evaluarea sistemelor
(6)
Evaluarea cerinelor de securitate pentru fiecare sistem informatic
(7)
Implementarea i meninerea unui program de securitate i a unor proceduri
coerente cu politica de securitate
3.2
Infrastructura
3.2.1
Politica de securitate ar trebui s reflecte strategia legat de sistemul informatic, care

ar trebui s se bazeze pe misiunea i obiectivele identificate n declaraia de politic
corporativ. Nu este oportun s se nceap proiectarea unei strategii de securitate a
sistem informatic naintea strategiei corporative sau a celei a sistemelor informatice.
Consiliul de conducere ar trebui s elaboreze o politic de securitate. Politica ar trebui
s fie aprobat de ctre eful organizaiei. Un ofier de securitate (CIO) ar trebui s fie
numit pentru a supraveghea implementarea politicii de securitate.
3.2.2
Dac avei, sau planificai a avea, sisteme informatice extinse ar trebui s se nfiineze
un Comitet director pentru sisteme informatice. Un membru al consiliului de conducere
ar trebui s prezideze acest comitet. Rolul comitetului director pentru sisteme
informatice este de a asigura c strategia sistemului informatic se dezvolt n
conformitate cu obiectivele corporative i faptul c strategia de securitate trebuie
meninut actualizat. Ar trebui s fie desemnat un ofier de securitate al sistemului
informatic i s se ia n considerare instituirea unui Grup de securitate a sistemului
informatic. Securitatea sistemului informatic este o specialitate. Rolul grupului de
securitate este de a aciona ca un punct central pentru activitatea de dezvoltare a
sistemului de securitate.
3.2.3
Declaraia privind politica de securitate ar trebui s ofere un cadru pentru programele

de securitate cu care se confrunt fiecare sistem informatic important.
72
Organizaiile mari produc adesea linii directoare de securitate, care stabilesc n detaliu
standardele de securitate. Liniile directoare sunt menite s ajute personalul s traduc
cerinele politicii de securitate ntr-un program de securitate pentru sistemele proprii.
3.2.4
Procedurile de operare pentru securitate (POS) iau forma unor manuale care ofer
detalii cu privire la procedurile necesare pentru a sprijini programul de securitate. POS
sunt deosebit de importante, ntruct multe msuri de securitate sunt ineficiente, cu
excepia cazului n care personalul nelege i respect procedurile suport.
3.2.5
Instruirea personalului i programele de contientizare sunt o parte esenial a

infrastructurii de securitate. Organizaia ar trebui s includ instruiri pentru
contientizarea n domeniul securitii, ca parte a iniierii personalului, i continuarea
acestora cu cursuri de perfecionare la intervale regulate. Folosirea de afie, brouri i
manuale poate consolida n continuare principalele elemente ale programului de
securitate.
3.3
Limite
3.3.1
Prima etap n orice revizuire de securitate a sistemului informatic este de a stabili

limitele sistemului supus revizuirii. Acest lucru poate fi realizat prin identificarea unei
comuniti de utilizatori.
3.3.2
n cazul n care exist o interaciune redus ntre sistemele informatice, este destul de
uor ca utilizatorii ieirilor din sistem s poat fi identificai. n sistemele puternic
integrate trebuie agreat o grani artificial, n scopul meninerii revizuirii la o scar
rezonabil.
3.3.3
Este important s se obin angajamentul managementului de vrf pentru revizuire i,

n special, pentru a se asigura c acesta este de acord cu limitele propuse.
3.3.4
n mod ideal, ar trebui s se nceap cu un model complet al informaiei din organizaie

pe baza cruia s aib loc revizuirea. Acest model ar trebui s prezinte fluxul de
informaii att n cadrul organizaiei ct i ntre organizaie i cei din afar. Acest model
poate aciona ca baz pentru un program de securitate a sistemului informatic, care va
acoperi toate sistemele cheie atunci cnd se va finaliza.
3.4
3.4.1
Echipa
Prima manifestare a angajamentului conducerii superioare privind sistemul de
securitate a informaiilor ar trebui s fie instituirea unui Grup de securitate a sistemului
informatic. Grupul de securitate trebuie s fie responsabil pentru implementarea politicii
de securitate stabilite de ctre conducere i pentru identificarea modificrilor necesare,
n contextul evoluiei sistemelor informatice ale organizaiei sau ameninrilor cu care
se confrunt.
73
3.4.2
n cazul n care constatrile unei revizuiri trebuie s fie acceptate n ntreaga

organizaie, este important s se asigure c echipa de securitate este construit, pe
ct posibil, ca o seciune extins, transversal a organizaiei. Acest lucru este deosebit
de important dac efectuai revizuirea din poziia unui consultant extern.
3.4.3
Echipa de audit intern ar trebui s aib o nelegere profund asupra sistemelor

informatice din cadrul organizaiei i va avea un rol important n garantarea faptului c
recomandrile de securitate sunt implementate n mod eficient. Echipa de securitate
poate fi capabil s foloseasc dosarele de lucru de audit intern pentru a nelege
sistemele informatice din cadrul organizaiei, dar este puin probabil c membrii
structurii de audit intern vor dori s joace un rol activ ntruct acest lucru ar compromite
independena lor n etapa de revizuire.
3.4.4
Utilizatorii unui sistem informatic au un rol cheie n explicarea modului n care sistemul
funcioneaz i n valorificarea informaiilor obinute de la acesta.
Cooperarea utilizatorilor este esenial pentru ca programul de securitate a informaiilor
s fie implementat cu succes. Este mult mai probabil ca utilizatorii s accepte
recomandrile privind securitatea, n cazul n care un membru influent al comunitii
utilizatorilor este un membru al echipei. Reprezentantul utilizatorilor este, de multe ori,
un ef de echip bun, pentru a da asigurri att conducerii, ct i utilizatorilor care sunt
adesea profund suspicioi fa de rapoartele elaborate de "specialiti tehnici".
3.4.5
n cazul n care sistemul informatic este puternic, atunci ar trebui s fie inclus n echip
un analist de sistem, pentru a ajuta la explicarea modului n care funcioneaz sistemul
informatic i pentru a consilia cu privire la o metod clar i consecvent de
documentare a fluxurilor de informaii.
3.4.6
Specialitii n securitatea calculatoarelor nu pot fi solicitai n cazul n care sistemul

este simplu, dar pentru sisteme informatice complexe va fi nevoie de ajutorul lor, att
n evaluarea ameninrilor la adresa sistemului, ct i n formularea contramsurilor.
3.5
Ameninri / Vulnerabiliti
3.5.1
Prima etap n evaluarea ameninrilor cu care se confrunt un sistem este de a stabili

lanul de active care sunt implicate n furnizarea informaiilor, pentru fiecare utilizator
major. Amintii-v obiectivele de securitate a informaiilor (de confidenialitate,
integritate i disponibilitate) i gndii-v la toate punctele din sistem n care oricare
dintre aceste obiective ar putea fi compromise.
Lista activelor va fi mai lung pentru o aplicaie n reea dect pentru un calculator
neconectat. Un procesor de texte funcional pe un calculator neconectat va fi vulnerabil
prin ecran, imprimant, tastatur i prin orice dispozitiv de stocare, cum ar fi floppy
discuri, benzi sau hrtie. Un sistem n reea ar putea fi vulnerabil n multe alte puncte,
inclusiv terminale, imprimante, echipamente de telecomunicaii legate la reea, cablajul
reelei, discurile centrale i locale.
3.5.2
Creai un formular pentru fiecare activ sau grup de active pe care le identificai i apoi
ntocmii o list a tuturor evenimentelor care ar putea compromite integritatea,
74
disponibilitatea sau confidenialitatea sistemelor informatice care sunt conectate la

activ. Pentru fiecare eveniment va trebui s facei o estimare a probabilitii
evenimentului care ar putea avea loc. Acest lucru poate fi foarte dificil, dac nu au
existat evenimente n istoria sistemelor informatice ale organizaiei. Statistici
actuariale12 din companiile de asigurri v pot ajuta s facei o estimare realist a
frecvenei evenimentelor neobinuite. Indiferent de abordarea adoptat, va exista un
element de incertitudine. nregistrrile din experiena trecut se refer numai la
evenimentele detectate, privind securitatea sistemului; securitatea sistemului ar fi putut
fi compromis, fr a fi fost detectate evenimente. n plus, nu exist nici o garanie c
evenimentele vor avea loc cu aceeai frecven pe care au avut-o n trecut.
3.5.3
3.5.4
3.6
Raionamentul privind frecvena preconizat a evenimentelor care ar putea compromite

securitatea sistemelor informatice joac un rol important n justificarea costurilor
msurilor necesare pentru a proteja sistemul. Dac nu obinei angajamentul
conducerii superioare privind strategia pe care o adoptai pentru evaluarea frecvenei
evenimentelor, este puin probabil s obinei angajamentul acesteia cu privire la
recomandrile formulate.
Dac exist deja msuri puse n aplicare pentru a reduce probabilitatea ca sistemul
informatic s fie compromis, ar trebui s luai not de ele i s facei o evaluare a
costurilor anuale de meninere a acestora, precum i a efectelor pe care considerai c
le vor avea asupra frecvenei evenimentelor care ar putea afecta n mod negativ
sistemele informatice. Aceste informaii pot fi folosite mai trziu pentru a decide dac
msurile existente ar trebui nlocuite cu altele mai eficiente.
Evaluare
3.6.1
Analiza ameninrilor i vulnerabilitilor sistemului se finalizeaz cu o list de

evenimente care ar putea afecta negativ sistemul informatic. Ar fi trebuit s convenii o
frecven ateptat pentru fiecare eveniment. Urmtoarea etap este discutarea
impactul fiecrui eveniment cu utilizatorii.
3.6.2
Valorile pe care utilizatorii le identific pentru impactul fiecrei ameninri vor fi utilizate
ca parte a justificrii costurilor msurilor de securitate. Este important ca efectele s
poat fi exprimate n termeni financiari i s fie evaluate pe o baz consistent. Multe
efecte care pot rezulta din compromiterea unui sistem informatic nu au un impact
financiar direct. n aceste cazuri este necesar s se construiasc scale care pot fi
folosite pentru a traduce impactul non-financiar n termeni financiari.
3.6.3
Distribuiile pe o scal cheie a pierderilor financiare ar putea arta ca mai jos:
12
Referitoare la prime de asigurri, dividende i riscuri
75
Pierdere13
Puncte
10m+ (14
4m-10m
2m-4m
1m-2m
500,000-1m
250,000-500,000
100,000-250,000
50,000-100,000
10,000-50,000
1,000-10,000
10
9
8
7
6
5
4
3
2
1
3.6.4 O alt scal aplicabil s-ar putea referi la siguran personal:

Rezultat
Puncte
Pierderi de mai mult de 100 de viei

Pierderi de mai mult de 10 viei
Pierderi de mai mult de 5 viei
Pierderi ntre 1-5 viei
Pierderea unei viei
Pierderea vederii sau a mai mult de 2 membre
Pierderea unui membru sau a auzului
Prejudicii minore
10
9
8
7
6
5
4
3
2
1
3.6.5
Scalele de mai sus sunt cu titlu de exemplu. Ar putea fi construite mai mule, cum ar fi:
rspunderea juridic, disconfort politic i ntreruperi organizaionale. Scalele pe care le
construii ar trebui s fie n concordan unele cu altele i ar trebui s le acopere pe
toate cele cu impact semnificativ care ar putea rezulta din pierderi ale sistemelor
informatice ale organizaiei.
3.6.6
Dup ce scalele au fost convenite cu managementul de vrf, putei trece la

intervievarea utilizatorilor sistemelor informatice. Ar trebui s le cerei s ia n
considerare impactul fiecruia dintre evenimentele identificate n timpul analizei
ameninrilor / vulnerabilitilor. Ei pot fi capabili s identifice impactul pentru mai multe
scale. Fii ateni pentru a evita dublarea calculului.
Dac distrugerea de informaii ar putea duce la pierderea unei viei i acest lucru ar
putea conduce la un caz n instan cu daune de 100.000 care trebuie acordate, dar
13
n acest document, simbolul lira sterlin poate fi substituit cu orice unitate monetar naional. Domeniile de scar se pot
adapta la moneda fiecrei ri iar nivelele de semnificaie pot fi convenite.
14
mai mult de 10 milioane
76
numai 5.000 alte cheltuieli, atunci ar trebui s nscriei 4 pe scara de siguran

personal, care ar fi echivalat cu o valoare de 175,000 pe scara pierderilor
financiare. Adugarea de alte cheltuieli de 5000 la aceste valori, va conduce la o
pierdere total, n termeni financiari de 180,000 , echivalent cu un scor total de 4 pe
scara pierderilor financiare.
3.6.7
3.7
Cnd ai intervievat utilizatorili cheie ai sistemului, ai avut o serie de scoruri. Scorurile

ar putea avea nevoie s fie ajustate de ctre managementul de vrf, n cazul n care
impacturile identificate de ctre utilizatori sunt considerate nerezonabile. Scorul pentru
un eveniment poate fi apoi stabilit prin compilarea unei liste a tuturor impacturilor
identificate de ctre utilizatori pentru fiecare eveniment.
Cerina de securitate
3.7.1
Cerina de securitate este o declaraie care exprim ct de mare este valoarea

cheltuielilor pentru protecia fiecrui activ n sistem. Acest lucru este derivat din
evaluarea i frecvena evalurilor pentru fiecare eveniment advers. Evalurile
utilizatorului ar trebui s fie transformate n valori financiare, prin utilizarea punctului de
median al scalei financiare. Frecvenele ar trebui s fie exprimate n termenii numrului
de ori n care evenimentul este de ateptat s apar n fiecare an. Acesta va fi mai mic
dect unu, n cazul n care un eveniment este rar. Colectai toate efectele identificate
de ctre utilizatori pentru fiecare eveniment i excludei dublurile. Dac adugai apoi
valorile financiare ale impacturilor i nmulii cu frecvena evenimentului vei obine
ateptarea privind pierderile anuale (APA), pentru un eveniment particular, care
afecteaz un activ particular.
3.7.2
Calculul APA trebuie s fie repetat pentru fiecare eveniment care ar putea afecta
negativ, n mod semnificativ, fiecare activ care este conectat la oricare dintre sistemele
informatice n curs de revizuire. Atunci cnd acest proces a fost finalizat, activele pot fi
sortate dup APA. Lista sortat ar trebui s constituie baza pentru un plan de aciune
pentru dezvoltarea programului de securitate.
3.8
Contramsuri
3.8.1
Cerina de securitate va evidenia activele care reprezint un risc semnificativ pentru

confidenialitatea, integritatea sau disponibilitatea sistemelor informatice n curs de
revizuire. Contramsurile sunt msurile luate pentru a reduce frecvena ameninrilor
asupra activelor sistemului informatic sau a impactului, atunci cnd apar ameninri.
3.8.2
Ar trebui s ncepei prin instalarea contramsurilor pentru a proteja activele cu cea

mai mare APA. Luai n considerare msurile care ar putea fi aplicate pentru a reduce
frecvena sau impactul evenimentelor cu potenial de a avea cel mai mare impact.
Detectai costurile acestora, inclusiv cele cu formarea, ntreinerea i perturbaiile pe
care le-ar putea cauza. Dup ce ai evaluat msurile care pot fi introduse, evaluai
reducerea APA care ar fi de ateptat s fie atins.
77
3.8.3
O singur contramsur, cum ar fi introducerea unui agent de paz la intrarea n

locaie, poate reduce APA asociat cu multe evenimente care ar afecta un numr mare
de active. Va trebui s v asigurai c toate beneficiile asociate msurii sunt reflectate
n cazul introducerii fiecrei msuri. Pentru fiecare contramsur pstrai o list a
impactului evenimentelor/activelor ale cror APA sunt afectate i amploarea
schimbrilor preconizate.
3.8.4
Odat ce ai identificat contramsurile care ar reduce cel mai mare APA la nivelul
urmtorului APA, ar trebui s comutai atenia la urmtorul eveniment / activ din list.
3.8.5
De fiecare dat cnd selectai o contramsur, va trebui s adaptai indicatorii APA la

orice alte evenimente / active, care sunt afectate de contramsur. Pe msur ce v
deplasai n jos n list, valorile APA rmase vor fi tot mai mici. Ar trebui s v oprii
atunci cnd APA rmase sunt sub pragul pe care credei c l va accepta
managementul.
3.8.6
Recomandrile pentru management ar trebui s evidenieze acele contramsuri care

dau cea mai mare reducere APA la cel mai mic cost. Managementul poate decide s
accepte riscul oricrui eveniment care afecteaz orice activ din sistemul informatic, dar
ar trebui s fac acest lucru n mod explicit, prin prisma analizei APA, astfel nct s fie
contient de amploarea riscurilor pe care le accept. Dac managementul decide s
nu implementai o contramsur, atunci va trebui s reajustai lista APA, utiliznd lista
de impact pentru contramsur.
3.9
Administrarea securitii
3.9.1
Odat ce o list de msuri de contracarare a fost agreat, acestea vor trebui s fie
transferate n programele de securitate i procedurile de securitate operaionale.
Grupul de securitate a sistemului informatic ar trebui s fie responsabil pentru
implementarea contramsurilor selectate.
3.9.2
Auditul intern ar trebui s revizuiasc documentele de lucru privind evaluarea i

gestionarea riscurilor i s monitorizeze implementarea i eficacitatea contramsurilor
selectate.
3.9.3
Programul i procedurile de securitate vor trebui s fie actualizate pentru a ine seama
de schimbrile intervenite n mediul de securitate i al sistemelor informatice. Grupul
de securitate a sistemului informatic ar trebui s se informeze cu privire la evoluiile din
domeniul securitii sistemul informatic i s fie informat cu privire la toate evoluiile
semnificative n sistemele informatice ale organizaiei. Acesta ar trebui s monitorizeze
n permanen necesitatea actualizrii programului de securitate.
78
Glosar succint
Terminologie referitoare la riscul privind securitatea15
Contramsur (C): Un control care este conceput pentru a spori securitatea sau
pentru reducerea ameninrii, reducerea impactului, detectarea unei bree de
securitate sau recuperarea dup un incident de securitate.
Sinonime: msur de protecie, msur de securitate.
Impact: Efectul advers sau consecina unei ameninri care apare.
Probabilitate: probabilitatea unei ameninri particulare care apare.
Risc / Expunere: O msur a probabilitii i a magnitudinii impactului unei ameninri

particulare asupra unui sistem informatic. Este o funcie care depinde de o ameninare
care apare i posibila pierdere care ar putea rezulta.
Evaluarea riscurilor: un proces formal pentru a evalua ansa de a exploata

vulnerabilitile, bazat pe eficacitatea unor protecii de securitate existente sau
propuse.
Ameninare (T): Orice eveniment sau act potenial nedorit i care poate avea un
impact asupra unui sistem informatic, cum ar fi un incendiu, catastrofe naturale, acces
neautorizat etc.
Vulnerabilitatea: O msur a probabilitii ca un activ s fie distrus sau s fie atacat

de o ameninare deosebit.
Terminologia referitoare la riscul privind securitatea poate varia foarte mult n funcie de diferite coli de gndire. n mod
similar, n funcie de metodologia utilizat, impactul i vulnerabilitile pot fi evaluate n prezena unor protecii existente sau n
absena oricror protecii.
15
79

Manual Audit It PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Manual Audit It PDF

Încărcat de

Drepturi de autor:

Formate disponibile

2012

AUDITUL SISTEMELOR INFORMATICE

Standarde de audit IT ................................................................................... 28

2.1 Instituii, standarde i linii directoare ............................................................................................. 28

Orientarea spre evaluare (msurtori)............................................................................. 47

2.9 Cadrul de lucru Val IT .............................................................................................................................. 60

3.1 Componentele eseniale ale domeniului guvernare de risc ..................................................... 80

Securitatea informaiei ............................................................................................................98

3.6 Riscuri asociate furnizrii serviciilor IT ....................................................................................... 104

Proceduri de audit IT ................................................................................. 126

4.1 Auditul sistemelor informatice ......................................................................................................... 126

PROCEDURA B5 - Continuitatea sistemelor ................................................................................ 176

Liste de verificare, machete i chestionare ........................................199

Glosar de termeni ...........................................................................................................................201

Auditul IT / IS - auditul arhitecturilor i infrastructurilor IT / auditul sistemelor, aplicaiilor i serviciilor informatice

International Organization of Supreme Audit Institutions

actualizarea cadrului legislativ,

IIA - The Institute of Internal Auditors

n Capitolul 3 este prezentat problematica asociat riscurilor generate de implementarea i utilizarea

Capitolul 1. Contextul de desfurare a auditului IT

Contextul socio-economic. Strategii i politici pentru

1.1.1 Situaia n cadrul Uniunii Europene

politica n domeniul telecomunicaiilor,

sprijinul pentru dezvoltarea tehnologiilor informaiei i comunicaiilor,

contribuia la crearea condiiilor necesare asigurrii competitivitii industriei comunitare,

dezvoltarea reelelor transeuropene (TEN) n sectoarele: transport, energie i telecomunicaii.

ISACA, COBIT, ITWGI etc.

1.1.2 Stadiul Societii Informaionale n Romnia

Comisia European privind participarea Romniei la programul comunitar pentru asigurarea

Creterea competitivitii economice i dezvoltarea economiei bazate pe cunoatere i, pe de alt parte,

Susinerea utilizrii tehnologiei informaiei

Cadrul legislativ i de reglementare n domeniul IT

economic sau administraie, oportunitatea de a profita de beneficiile societii informaionale la nivel

Stadiul actual privind cadrul de auditare a sistemelor

Abordarea auditului sistemelor informatice este analizat din trei perspective:

1.4.1 Cadrul de auditare INTOSAI

ISACA Information Systems Audit and Control Association

nivelul operaional: derularea proiectelor

3. Perspectiva temporal. n concordan cu practicile internaionale acceptate la nivelul instituiilor de

pre-implementare: controlul pe perioada procesului de luare a deciziilor privind politica, privind

calitatea sistemelor financiar-contabile ale organizaiilor care sunt responsabile cu organizarea i

Standardul ISO/IEC 15288

1.4.2 Liniile de aciune ale EUROSAI IT Working Group

EUROSAI-IT WG este accesibil la adresa www.eurosai-it.org

IT Control Objectives for Sarbanes-Oxley (Background document, IT Governance Institute)

1.4.3 Abordarea auditului sistemelor informatice n cadrul Curii de

A. Armonizarea obiectivelor strategice ale CCR cu direciile strategice promovate n

B. Desfurarea misiunilor de audit al sistemelor informatice n cadrul CCR

Evaluarea sistemelor informatice n scopul furnizrii unei asigurri rezonabile privind

Evaluarea performanei implementrii i utilizrii programelor, proiectelor, sistemelor i

Auditul sistemelor e-guvernare i e-administraie i al serviciilor electronice asociate

Auditul unor soluii informatice care contribuie la prevenirea i combaterea corupiei i

Abordarea general a auditului se bazeaz pe evaluarea riscurilor i pe rezultate. Auditul se poate

Capitolul 2. Standarde de audit IT

Instituii, standarde i linii directoare

Misiunile de audit IT desfurate de CCR au urmrit asigurarea compatibilitii cu cerinele standardelor

Cadrul de auditare INTOSAI

2.2.1 StandardeIe ISSAI i INTOSAI GOV 9100

Professional Standards Commitee

2.2.2 ISSAI 3000 - Anexa 5 Auditul Performanei i Tehnologia

Performance Audit and Information Technology

S obin o nelegere a sistemelor IT auditate i s determine semnificaia acestora pentru

Un audit al performanei ntr-un mediu IT ar trebui s se orienteze pe urmtoarele activiti: