Documente Academic
Documente Profesional
Documente Cultură
Manual Audit It PDF
Manual Audit It PDF
Pag. 1 / 214
Pag. 2 / 214
CUPRINS
Introducere............................................................................................................................................ 7
Capitolul 1.
Contextul de desfurare a auditului IT pe plan intern i
internaional .................................................................................................................................... 12
1.1 Contextul socio-economic. Strategii i politici pentru societatea informaional ........ 12
1.1.1 Situaia n cadrul Uniunii Europene ...................................................................................13
1.1.2 Stadiul Societii Informaionale n Romnia .................................................................15
1.2 Guvernarea IT ............................................................................................................................................. 16
1.3 Cadrul legislativ i de reglementare n domeniul IT .................................................................. 17
1.4 Stadiul actual privind cadrul de auditare a sistemelor informatice pe plan
internaional i intern ....................................................................................................................................... 18
1.4.1 Cadrul de auditare INTOSAI...................................................................................................19
1.4.2 Liniile de aciune ale EUROSAI IT Working Group ....................................................23
1.4.3 Abordarea auditului sistemelor informatice n cadrul Curii de Conturi a
Romniei ......................................................................................................................................................24
Capitolul 2.
2.8.14
2.8.15
2.8.16
2.8.17
2.8.18
Riscuri IT ........................................................................................................... 80
3.5.7
3.5.8
3.5.9
3.5.10
Pag. 6 / 214
Introducere
Evoluia societii informaionale ctre societatea bazat pe cunoatere, proces care presupune
transformarea progresiv a ntregii economii ntr-o economie digital, implic schimbri majore i n
abordarea auditului extern, cu un dublu impact: att n ceea ce privete managementul auditului i rolul
auditorului, ct i n ceea ce privete planul arhitectural, metodologic i procedural asociat.
Aceste schimbri, care determin o nou tratare a auditului, pun n eviden necesitatea crerii unui nou
cadru de lucru pentru ciclul de via al procesului de auditare, apt s rspund la noile cerine calitative
ale domeniilor i ale obiectivelor auditrii: auditarea se va focaliza preponderent pe managementul i
livrarea serviciilor informatice, care presupun prezena dominant a fluxurilor de documente electronice,
precum i asupra procedurilor de tratare asociate specifice. Din acest motiv, cea mai mare parte a
procedurilor clasice de auditare vor fi nlocuite cu proceduri capabile s asigure auditarea n contextul
digital care se extinde rapid n prezent.
n scopul adecvrii la noul context, modificrile de coninut ale ciclului de via al auditului impun
reingineria arhitecturilor de auditare i a cadrului metodologic i procedural clasic conducnd la crearea
unui nou model al auditului. Auditul clasic i va schimba abordarea i coninutul i se va baza pe
tehnologiile informaiei i comunicaiilor prin adoptarea unor concepte i metode avansate: audit online,
audit continuu, e-audit.
Noul model al auditului se va focaliza ctre soluii integrate ale diferitelor tipuri de audit: auditul financiar,
auditul performanei, auditul IT / IS1, auditul organizaional i auditul de conformitate, astfel de audituri
urmnd a se desfura n cadrul aceleiai misiuni, n diverse combinaii, n funcie de obiectivele i
complexitatea misiunii.
n ceea ce privete maniera i modalitile de lucru, auditorul va trebui s fie pregtit pentru lucrul n
colaborare, precum i pentru adoptarea unor noi stiluri de munc: auditare la distan, orientarea pe
auditarea documentelor electronice, utilizarea unui suport instrumental bazat pe sau asistat de calculator.
Factorii care influeneaz n mod deosebit noul model al auditului sunt o consecin a ansamblului de
schimbri radicale pe care trecerea la economia digital le va antrena, i chiar le antreneaz deja, n ceea
ce privete securitatea informaiei i a sistemelor, protecia datelor cu caracter personal, accesul la baze
de date cu coninut informaional sensibil, expuse atacurilor externe prin reeaua Internet. De asemenea,
cerinele privind asigurarea continuitii sistemelor, precum i a managementului schimbrii i al
dezvoltrii impun elaborarea unui cadru metodologic i procedural de auditare adecvat.
Manualul de fa ofer, ntr-o abordare nou, din perspectiva direciilor de dezvoltare incluse n Planul de
lucru pentru perioada 2011-2014 al Grupului de lucru EUROSAI ITWG2, un set de bune practici cu o
utilitate deosebit pentru auditorii publici externi din cadrul Curii de Conturi a Romniei (CCR) care
desfoar misiuni / aciuni de audit / control la instituii publice, avnd n vedere extinderea problematicii
acoperite de sistemele informatice financiar-contabile i de gestiune ale organizaiilor. Din aceast
perspectiv, prezentarea este orientat, pe de o parte, pe descrierea celor mai noi concepte, metode,
tehnici i proceduri aferente contextului general al auditului sistemelor informatice, precum i, pe de alt
parte, pe problematica auditului sistemelor informatice financiar-contabile.
1
2
Obiectivul principal al manualului este de a furniza auditorilor publici externi informaii consistente despre
controalele aferente mediului informatizat i despre probleme specifice i cerine asociate, pentru a facilita
planificarea i efectuarea auditului, precum i integrarea procedurilor proprii ale auditului IT n contextul
misiunilor de audit n care auditorii publici externi sunt implicai.
Intruct manualul s-a concentrat preponderent pe aspectele strict necesare nelegerii conceptelor,
standardelor, metodologiilor i procedurilor asociate auditului IT fr de care un auditor nu poate aborda
corect acest domeniu i care au ocupat un spaiu relativ mare de expunere, implementarea practic a
metodologiei de audit n medii informatizate va fi detaliat ntr-un ghid asociat acestui manual i va
descrie concret, n succesiune logic, etapele, activitile, procesele, tehnicile i documentele specifice
acestui tip de audit, pentru ntreg fluxul aferent misiunii de audit, astfel nct cele dou documente s
constituie un suport util pentru auditorii publici externi implicai n misiuni de audit IT, inclusiv pentru
aciunile de control / audit financiar sau de audit al performanei.
Manualul prezint n detaliu controalele specifice mediului informatizat pe care auditorii trebuie s le ia n
considerare atunci cnd evalueaz integritatea, confidenialitatea i disponibilitatea informaiilor care
provin din sistemul informatic financiar-contabil i prezint cadrul metodologic i procedural specific
domeniului auditului IT / IS aplicabil inclusiv la nivelul CCR.
Manualul prezint tehnicile specifice de evaluare a controalelor IT i procedurile de audit asociate.
Procedurile de audit prezentate presupun pentru auditor un nivel de experien adecvat pentru a fi
aplicate la un grad ridicat de performan. Evaluarea trebuie s aib un caracter critic, s fie bazat pe
experiena profesional, iar activitile s se desfoare cu un anumit nivel de scepticism, gndire critic
i creativitate.
Prezentarea are n vedere armonizarea metodologiilor i procedurilor de audit proprii Curii de Conturi a
Romniei cu standardele de auditare i bunele practici n domeniu (INTOSAI3, ISA4, ISACA5, COBIT6,
ISO270007). De asemenea, i propune extinderea experienei i armonizarea rezultatelor cooperrii
internaionale cu specificul Curii de Conturi a Romniei, prin participarea la activitile desfurate n
cadrul grupurilor de cercetare care funcioneaz la nivel EUROSAI.
Manualul are la baz cerinele Regulamentului privind organizarea i desfurarea activitilor specifice
Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti. Abordarea problematicii
este n concordan cu direciile de dezvoltare incluse n Planul de lucru pentru perioada 2011-2014 al
Grupului de lucru EUROSAI IT-WG i n conformitate cu abordarea care caracterizeaz cadrul de auditare
INTOSAI. De asemenea, abordarea se aliniaz cu obiectivele strategice ale CCR.
n ceea ce privete tipul i coninutul aciunilor de verificare desfurate de CCR (aciuni de control,
misiuni de audit financiar i misiuni de audit al performanei), n condiiile extinderii accentuate a
informatizrii instituiilor publice, auditul IT / IS poate i trebuie s constituie o component a misiunilor de
audit ale CCR sau se poate desfura de sine stttor, de regul prin misiuni de audit al performanei
programelor, proiectelor sau aplicaiilor referitoare la sistemele informatice.
Avnd n vedere dinamica specific rapid a tehnologiilor informaiei i comunicaiilor (TIC), care
antreneaz evoluii semnificative n abordarea auditului extern, n realizarea manualului s-a pornit de la
evaluarea stadiului actual al cunoaterii n domeniu i valorificarea experienelor capitalizate la nivelul
instituiilor supreme de audit. Acest demers s-a concretizat n urmtoarele:
Pag. 8 / 214
1. Realizarea unei documentri exhaustive privind problematica specific a domeniului auditului IT / IS,
focalizate pe studii i analize comparative conforme cu metodologiile orientate pe ciclul de via al
sistemelor. Analiza tehnicilor i metodelor de auditare specifice sistemelor informatice, prin prisma
standardelor i bunelor practici existente pe plan internaional.
2. Includerea n cadrul documentrii a unor studii i analize privind cadrul conceptual, arhitecturile de
referin, metodele i tehnicile specifice, precum i a particularitilor care induc schimbri radicale n
desfurarea misiunilor de audit n condiiile unui mediu informatizat.
3. Includerea n manual a aspectelor i cerinelor principale care decurg din documentele celei de a 7-a
ntlniri a EUROSAI IT Working Group, care a avut loc la Istanbul, n perioada 2122 februarie 2011,
la care a participat i Curtea de Conturi a Romniei. Concluzia principal pus n eviden de lucrrile
ntlnirii se refer la noile abordri din domeniul auditului IT / IS privind revizuirea standardelor de
audit IT din perspectiva evoluiilor n domeniul standardelor i liniilor directoare de audit, confirmate
de abordrile i reglementrile instituiilor supreme de audit. In acest cadru, INTOSAI a ntreprins
aciuni orientate pe asigurarea convergenei standardelor de audit proprii cu standardele
internaionale de referin IFAC, IIA8, ISACA.
Cadrul de lucru COBIT a fost asimilat la nivel INTOSAI / EUROSAI drept cadru de referin pentru
auditurile desfurate de SAI-uri. Asociaia profesional The IIA i Comitetul de Standarde
Profesionale al INTOSAI au agreat, n luna decembrie 2010, un Memorandum de nelegere (MOU),
care documenteaz alinierea obiectivelor strategice ale organizaiei, recunoate standardele globale
ale fiecrei pri i definete un proces de colaborare i cooperare continu ntre pri. Un element de
importan major al MOU citat este acordul reciproc c standardele specifice fiecrei organizaii
(seturile de standarde ISSAI i, respectiv, IIA) sunt recunoscute la nivel global.
4. Examinarea impactului pe care generalizarea utilizrii serviciilor informatice l are n plan practic;
analiza rezultatelor i abordrilor raportate pe plan intern i internaional de ctre instituii supreme de
audit (ECA, GAO SUA, NAO UK, CNAO China9, The Office of Auditor General of Canada,
Accounts Chamber of the Russian Federation, The Nederlands Court of Audit Olanda, Tribunal de
Cuentas Spania, Bundesrechnungshof Germania), precum i de ctre instituiile supreme de audit
din Australia, Japonia, Brazilia, India, Norvegia, Suedia, Ungaria10, Polonia, Estonia sau de ctre
instituii cu tradiie n auditul extern (e.g., KPMG, Gartner Group).
5. Examinarea unor aspecte care comport riscuri majore pentru desfurarea i implementarea
auditului ntr-un mediu informatizat:
9In
Pag. 9 / 214
Au fost luate n considerare, de asemenea, elemente de interes primordial privind atribuiile CCR, ca
premise pentru orientarea studiului: n mod natural, obiectivele strategiilor, politicilor i programelor privind
Societatea Informaional se transpun n cerine i obiective de urmrit n cadrul auditrii sistemelor n
cauz: sisteme informatice sau servicii electronice publice, dezvoltate i implementate la nivel de
organizaie sau n cadrul sistemului e-guvernare.
Modelul de audit n medii informatizate trebuie s ia n considerare, de asemenea, urmtoarele aspecte:
- aplicarea metodelor, tehnicilor i instrumentelor de auditare bazate pe / asistate de calculator;
- managementul auditului pe durata ciclului de via al auditului;
- proiectarea fluxurilor i a procedurilor de auditare specifice pentru ntregul ciclu de via al
auditului;
- proiectarea i standardizarea documentelor de lucru: machete, chestionare, liste de verificare;
- elaborarea instruciunilor metodologice i a ghidurilor tematice de bun practic pentru misiunile
de audit IT.
Structura documentului
Documentul este structurat dup cum urmeaz: un capitol introductiv, cinci capitole de fond, un glosar de
termeni, o list de referine bibliografice semnificative (care au constituit sursa principal de documentare)
i anexe.
n Capitolul 1 este prezentat contextul actual de desfurare a auditului IT, pe plan intern i internaional,
cu referire la mediul socio-economic i la guvernarea IT. Pentru conturarea contextului internaional i
intern, se face o trecere n revist a strategiilor i programelor privind Societatea Informaional i este
prezentat o descriere de ansamblu, sintetic a problemelor specifice asociate.
Acest capitol conine, de asemenea, o evaluare a cadrului legislativ i de reglementare n domeniul
Tehnologiilor Informaiei i Comunicaiilor (TIC) pe plan intern i internaional, precum i o evaluare a
stadiului actual privind cadrul legislativ i de reglementare referitor la auditul sistemelor informatice pe
plan intern i internaional. Sunt prezentate, ca abordri de referin, cadrul de auditare INTOSAI i liniile
de aciune ale EUROSAI-ITWG.
n raport cu constatrile acestor evaluri, sunt prezentate abordarea auditului IT n cadrul CCR i cadrul
de implementare specific.
Capitolul 2 este dedicat standardelor de audit IT / IS. Sunt prezentate aspectele principale privind
standardele de audit IT, din perspectiva evoluiilor n domeniul standardelor i liniilor directoare de audit,
confirmate de abordrile i reglementrile instituiilor supreme de audit i puse n eviden de
lucrrile celei de a 7-a ntlniri a EUROSAI IT Working Group (ITWG), care a avut loc la Istanbul, n
perioada 2122 februarie 2011.
Tot n Capitolul 2, sunt prezentate cele mai relevante instituii, reglementri i standarde n domeniul
auditului IT, sunt prezentate standardele INTOSAI care fac referire expres la auditul n medii
informatizate: Standardul INTOSAI GOV 9100 - Guidelines for Internal Control Standards for the Public
Sector, ISSAI 3000 - Implementarea liniilor directoare pentru auditul performanei - Anexa 5 (Auditul
Performanei i Tehnologia Informaiei) i liniile directoare ISSAI 5310 - Metodologia de revizuire a
sistemului de securitate a Informaiilor. n acest context, se face i o trecere n revist a componentelor
cadrului de lucru COBIT 5, care integreaz cadrul de lucru COBIT, cadrul de lucru Val IT i cadrul de
lucru Risk IT, din perspectiva schimbrii de abordare recomandat la ntlnirea de la Istanbul a grupului
de lucru EUROSAI ITWG. Pentru completitudine, n ceea ce privete auditul securitii sistemelor
informatice n manual a fost inclus o prezentare a standardului internaional ISO/CEI 27001, care
constituie un referenial pentru evaluarea tehnicilor de securitate implementate n sistemele de
management al securitii informaiei i este, de asemenea, agreat de INTOSAI.
Pag. 10 / 214
Pag. 11 / 214
1.1
Tehnologiile informaiei i comunicaiilor (ICT11) constituie i vor continua s reprezinte un factor motor
major al modernizrii n economie i n societate. Conform unui raport al Uniunii Europene 12, la nivelul
anului 2010, sectorul afacerilor din cadrul UE aloca mai mult de 20% din volumul investiiilor pentru
domeniul ICT, un volum de 60% din serviciile publice de baz sunt actualmente disponibile n manier
complet online, iar mai mult de jumtate dintre cetenii UE folosesc Internetul n mod constant.
Cadrul strategic european, respectiv Iniiativa i201013, a avut un numr de trei obiective majore:
(1) stabilirea unui spaiu al informaiei european, respectiv a unei piee unice reale pentru
economia digital, care s permit exploatarea deplin a potenialului economiilor anterioare
diverse i distincte, cu factori de scal neuniformi caracteristice pieei de consum europene de
cca 500 milioane de consumatori;
(2) intensificarea inovrii i investiiilor n cercetarea din domeniul ICT, impus de faptul c ICT
constituie motorul principal al economiei, i
(3) promovarea incluziunii sociale, a serviciilor publice i a calitii vieii, respectiv extinderea
valorilor europene de incluziune social i calitate a vieii ctre societatea informaional.
Potrivit evalurilor din raportul citat, Europa se situeaz printre lideri n ceea ce privete dezvoltarea
economiei digitale. Piaa (segmentul tehnologic) de band larg european, dispunnd de 90 milioane de
linii, are mai muli abonai dect oricare alt regiune economic, iar jumtate dintre cetenii europeni
utilizeaz Internetul n mod regulat. Cu toate acestea, trebuie avut n vedere c, pe de o parte, diferenele
dintre statele membre sunt semnificative, iar, pe de alt parte, instituiile europene au nivele de investiii
sub cele ale altor regiuni industrializate, fiind confruntate i cu o competiie accentuat din partea Chinei i
Indiei. Din aceste motive, cadrul de politici furnizat de programul i2010 a fost necesar i i-a dovedit
utilitatea mai mult dect oricnd, n aceast perioad.
Dezvoltarea accentuat a ICT i exploatarea coninutului digital n domeniile de interes public cum ar fi
sntatea, incluziunea, motenirea cultural, sectorul de informaii publice, nvmntul, administraia
public sau eficiena energetic presupun i reclam politici mult mai proactive. Obstacolele majore
Acronimul folosit n lucrare este cel uzual din literatura de specialitate internaional (ICT - Information and Communication
Technologies)
12 The Information and Communications Technologies (ICT) Policy Support Programme (ICT PSP), http://ec.europa.eu/ict-psp
13 Vezi http://ec.europa.eu/information_society/eeurope/i2010
11
Pag. 12 / 214
pentru o utilizare mai bun i pe o scar mai larg a ICT n astfel de domenii includ, ntre altele, lipsa
(indisponibilitatea) serviciilor bazate pe ICT, lipsa de interoperabilitate a soluiilor pe ansamblul statelor
membre, precum i fragmentarea de pia a spaiului de informaie i a soluiilor bazate pe ICT.
Din acest motiv, pe lng strategia general, UE a pus n oper i o serie de programe dedicate (cum ar fi
programul ICT PSP) care susin depirea obstacolelor menionate i concur la realizarea unei societi
informaionale pentru toi, i, implicit, la realizarea obiectivelor strategiei i2010. O direcie de aciune
important n acest sens o reprezint dezvoltarea de piee pentru soluii inovative bazate pe ICT i pentru
coninut digital, n principal n domenii de interes public.
Contextul european nou creat, bazat pe ICT, trebuie s constituie un mediu sigur de lucru pentru
administraia public european i din statele membre, precum i pentru informarea cetenilor i a
mediului de afaceri. Din acest motiv, o cerin de o importan vital pentru Romnia este aceea de a
asigura auditarea sistemelor informatice ale tuturor instituiilor publice, care vor furniza informaii
pentru platforma european e-guvernare n concordan cu obiectivele, standardele de jure sau de facto
i cu bunele practici ale instituiilor supreme de audit i ale instituiilor profesionale recunoscute14, pentru a
asigura punerea la dispoziie a unor informaii de ncredere, n timp real, conforme cu criteriile impuse
informaiei.
2. Dezvoltat n paralel cu programul IDA, programul eTEN, finalizat la sfritul anului 2006, a avut ca
obiectiv principal dezvoltarea de servicii electronice la dimensiune trans-European: eGovernment,
eHealth, eInclusion, eLearning, servicii pentru ntreprinderi mici i mijlocii, servicii pentru asigurarea
securitii i ncrederii n reelele i sistemele informatice.
3. Programul IDABC (Interoperable Delivery of European eGovernment Services to public Administration,
Business and Citizens), stabilit prin Decizia nr. 2004/387/CE a Parlamentului European i a Consiliului din
21 aprilie 2004, a fost iniiat pentru a exploata avantajele oferite de ITC n ceea ce privete livrarea
serviciilor publice transfrontaliere pentru ceteni i mediul de afaceri pe teritoriul Europei, pentru a crete
eficiena i colaborarea ntre administraiile publice europene. Pe baza celor mai avansate tehnologii ale
informaiei i comunicaiilor, au fost dezvoltate soluii i servicii comune i a fost creat o platform pentru
schimbul de bune practici ntre administraiile europene n scopul modernizrii sectorului public european.
Interoperabilitatea n cadrul platformei pan-europene eGovernment este conceput pe baza colaborrii
administraiilor publice din cele 27 de state membre i instituiile UE, ceea ce implic existena unui cadru
de lucru bazat pe principii i reguli comune, precum i agrearea unor interfee i standarde deschise
pentru interoperabilitate ntre sisteme, aplicaii, procese de afaceri i actorii care produc sau utilizeaz
servicii eGovernment. Aceast abordare, orientat pe reea, implic un efort mare pentru definirea
regulilor colaborrii, coordonrii proceselor, formatelor i specificaiilor, precum i a instanelor care
acioneaz ca intermediari ntre sisteme. Activitile din cadrul programului IDABC nu se limiteaz numai
la a produce linii directoare, ele acioneaz n sensul planificrii i implementrii infrastructurilor care
susin interoperabilitatea, n condiiile n care administraiile europene funcioneaz n mod diferit, iar
existena unor proceduri administrative diferite genereaz obstacole reale. Soluia degajat, respectiv
crearea unui portal european contribuie la nlturarea barierelor prin utilizarea unui singur punct de intrare
a informaiilor i prin utilizarea serviciilor online indiferent de loc sau or.
4. Cadrul politic strategic al Comisiei Europene pentru Societatea Informaional pn n anul 2010 a fost
trasat prin programul i2010. n cadrul Conferinei eGovernment "Transforming Public Services", care a
avut loc la Manchester n luna noiembrie 2005, a fost aprobat o declaraie care fixeaz repere i
obiective pentru serviciile publice electronice.
Astfel, n perioada 2006-2010 statele membre i-au concentrat eforturile pe crearea condiiilor optime
privind livrarea serviciilor electronice cu un impact mare asupra utilizatorilor, una dintre inte constituind-o
serviciile de achiziii publice.
5. Comisia European a lansat, n luna martie 2010, Strategia European pn n anul 2020 pentru
ieirea din criz i pregtirea economiei UE pentru provocrile noii decade. Una dintre cele apte iniiative
incluse n aceast strategie, The Digital Agenda for Europe, stabilete rolul cheie pe care l va juca ICT n
Europa pentru atingerea obiectivelor generale propuse pentru anul 2020. Sectorul ICT este direct
responsabil pentru asigurarea a 5% din produsul brut european, cu o pia de 660 miliarde EURO anual,
dar contribuia sa la creterea productivitii (20% direct din sectorul ICT i 30% din investiiile ICT), prin
marele su potenial, este major.
Ca stat membru, Romnia trebuie s devin un participant activ la aciunile i programele europene. n
aceste condiii, Curtea de Conturi a Romniei trebuie s devin un factor de impulsionare prin auditurile
desfurate n domeniul IT pentru administraia public, att prin recomandrile formulate ct i prin
ndeplinirea rolului metodologic al auditului.
Pag. 14 / 214
n acest context, prin Legea nr. 436 / 2006 a fost ratificat Memorandumul de nelegere ntre Romnia i
Titlul II din Legea nr. 161 din 19 aprilie 2003 privind transparena n administrarea informaiilor i serviciilor publice prin
mijloace electronice
16 The fourth European Ministerial e-Government Conference in Lisbon, 20 September 2007
15
Pag. 15 / 214
Corelnd domeniile Societii Informaionale din Uniunea European cu cele existente n Romnia, au
fost identificate urmtoarele arii de interes: eGovernment (e-guvernare); Internet&Broadband (Internet i
Band larg); Telecommunications&IT Security (Telecomunicaii i Securitate IT); eEducation
(e-educaie); eInclusion (e-incluziune social); eCommerce (Comer electronic); eHealth (e-sntate);
e-Business (servicii electronice pentru afaceri); Work, Employment&Skills (Fora de munc).
Ca membru al UE, dezvoltarea Romniei urmrete convergena cu politicile comunitare, att n termeni
reali ct i ca valori absolute.
1.2
Guvernarea IT
Liniile definitorii ale celei de-a doua perspective de analiz, anume elementele de natur tehnic i
practic de importan esenial, pornesc de la premisa c investiiile n domeniul IT, n medii aflate ntr-o
schimbare extrem de rapid, nu se mai rezum exclusiv la implementarea tehnologiei ca atare, obiectivul
unor astfel de investiii fiind acela de a asigura obinerea de valoare din schimbrile induse n activitatea
propriu-zis (afacerea) i din schimbrile de natur organizaional facilitate de IT. n acest sens, se
constat c exist o nelegere din ce n ce mai larg acceptat a faptului c informaia constituie un bun
strategic al afacerii iar IT a devenit un factor cu o contribuie important la succesul acesteia.
O definiie bazat pe bune practici a guvernrii IT, ca parte a guvernrii corporaiei (ntreprinderii) se
poate formula astfel: guvernarea IT este responsabilitatea managementului executiv i a comitetelor de
direcie i const n actul de asumare a conducerii, precum i n procese i structuri organizaionale care
asigur c funcia IT a entitii susine i extinde strategiile i obiectivele acesteia18.
n mod concret, definiia prezentat situeaz guvernarea IT ca o component integral a guvernrii
ntreprinderii (afacerii) i nu ca pe o disciplin izolat.
n ceea ce privete livrabilele n plan practic, guvernarea IT urmrete dou categorii de rezultate:
livrarea de valoare pentru afacere i atenuarea (anihilarea) riscurilor IT. n acest sens, guvernarea IT se
focalizeaz pe cinci zone principale: alinierea strategic, livrarea de valoare, managementul riscurilor,
managementul resurselor, msurarea performanei.
Guvernarea IT funcioneaz ca un proces continuu, ca o parte integrant a guvernrii ntreprinderii i se
focalizeaz pe obiectivele strategice.
Cadrul de lucru COBIT19, pentru guvernare IT, constituie un cadru de lucru cu potenial ridicat de auditare
intern i extern, larg acceptat pe plan internaional, inclusiv de INTOSAI i de organismele UE i are
deopotriv valene de suport pentru managementul entitii i de cadru de auditare a guvernrii IT.
POS CCE - unul dintre cele apte programe operaionale sectoriale care constituie instrumente pentru realizarea prioritilor
trasate prin Cadrul Strategic Naional de Referin (CSNR) i prin Planul Naional de Dezvoltare (PND) pentru perioada 2007
2013
18 Unlocking Value. An executive Primer on the Critical Role of IT Governance, 2008, www.itgi.org
19 Vezi www.itgi.org
17
Pag. 16 / 214
1.3
Cadrul legislativ i de reglementare n domeniul IT la nivel internaional prescrie msuri care nu sunt
ntotdeauna similare i difer n funcie de regiunea socio-cultural, sociologic, precum i de factorii
tehnici i tehnologici care stau la baza problemelor pe care le trateaz. Dei aceste reglementri joac un
rol important n modernizarea sistemului de conformitate IT / IS20, ele devin dificil de generalizat n
contextul globalizrii. Globalizarea aduce noi provocri pentru informaie, care este expus unor cerine
multiple de reglementare generate de diversitatea situaiilor i a surselor din care provine aceast
informaie. Unele dintre ele decurg din contextul istoric, altele din dinamica schimbrii pieei, tehnologiei
sau legislaiei, iar magnitudinea riscurilor nu poate fi anticipat pentru fiecare caz n parte.
Legislaia care reglementeaz domeniul ICT pe plan internaional, prezint o serie de trsturi comune,
referitoare la problematica general, cadrul legislativ incluznd o serie de acte normative privind:
securitatea reelelor, semntura electronic, comerul electronic, achiziiile publice prin licitaii electronice,
ncasarea prin mijloace electronice a impozitelor i taxelor locale, avizarea instrumentelor de plat cu
acces la distan (de tipul aplicaiilor Internet-banking, home-banking sau mobile-banking), protecia
persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date.
Aceste acte normative sau reglementri, dup caz, constituie refereniale n auditul IT, n ceea ce privete
conformitatea cu legislaia, avnd n vedere c domeniul auditului este, n acest caz, domeniul IT.
In ceea ce privete legislaia din Romnia, aceasta este armonizat cu legislaia european, ca efect al
calitii de stat membru, desfurnd aciuni de anvergur impuse prin, i convergente cu directivele
Parlamentului European21 referitoare la stabilirea unui cadru comunitar privind aspectele eseniale ale
serviciilor societii informaionale.
Dezvoltarea portalului e-guvernare n cadrul Sistemului Electronic National (SEN), conceput ca punct de
acces unic la serviciile i informaiile instituiilor administraiei centrale i locale, a oferit suportul pentru
lansarea i extinderea livrrii de servicii electronice ctre administraie, mediul de afaceri i ceteni i
asigur c toate procedurile i formalitile cu privire la accesul la o activitate de servicii vor putea fi
ndeplinite cu uurin, de la distan, i prin mijloace electronice, indiferent de statul membru de origine al
furnizorului de servicii.
Operaionalizarea punctului de contact unic (PCU) electronic n cadrul portalului e-guvernare impune
obligativitatea auditrii tuturor serviciilor electronice care vor fi furnizate prin intermediul procedurilor
electronice, pentru a oferi asigurarea cu privire la performana acestor servicii n contextul operrii pe
platforma pan-european.
Realizarea unui cadru de lucru pentru interoperabilitatea administraiilor din statele membre reprezint un
demers dificil, condiionat i generat de diversitatea tipurilor de organizare a administraiilor publice, de
numrul mare al prilor implicate, de varietatea cadrului legislativ, de condiiile economice diferite, de
nivelul tehnologic diferit.
Romnia s-a aliniat n anul 1995 la primul program comunitar, IDA (Interchange of Data between
Administrations) prin care s-au creat premisele dezvoltrii unei infrastructuri comune care s constituie
suportul pentru un cadru de interoperabilitate european.
Programul comunitar eTEN, la care Romnia de asemenea a participat, a fost lansat n scopul extinderii
serviciilor electronice (e-services) la dimensiune trans-european i a avut ca obiectiv prioritar
promovarea serviciilor de interes public pe o platform comun care s creeze oricrui cetean, agent
20
21
IS Information Systems
Anexa 1
Pag. 17 / 214
1.4
http://europa.eu.int/idabc
Pag. 18 / 214
necesitatea unui salt natural, calitativ superior ctre abordrile dirijate de infrastructurile specifice
tehnologiilor informaiei i comunicaiilor (ITC) i de aplicaiile i sistemele aferente.
De un real interes sunt i notele caracteristice ale acestei evoluii:
- focalizarea pe impactul de transformare pe care ICT l are asupra auditului extern;
- extinderea conceptului de audit al guvernrii tehnologiei informaiei ctre conceptul de audit al
sistemelor de tip e-guvernare, dictat de generalizarea guvernrii electronice.
Eforturile de armonizare n cadrul evoluiilor actuale se concentreaz cu precdere la nivelul unor
organizaii internaionale care au un rol deosebit de important n unificarea abordrilor, prin
standardizarea soluiilor, promovarea celor mai bune practici, politici, coduri de conduit i norme.
Cele mai importante instituii internaionale, care au rol determinant n reglementarea domeniului auditului
n general i al auditului IT n particular, sunt: INTOSAI (International Organization of Supreme Audit
Institutions), Consiliul pentru Standarde Internaionale de Audit i Asigurare IAASB (International Audit
and Assurance Standard Board)23 din cadrul Federaiei Internaionale a Contabililor IFAC (International
Federation of Accountants)24, Institutul Auditorilor Interni (The Institute of Internal Auditors - IIA), COSO
(Committee of Sponsoring Organizations of the Treadway Commission), ISACA (Information Systems
Audit and Control Association).
Instituiile supreme de audit (SAI) sunt afiliate la organizaia profesional INTOSAI i, implicit, la grupurile
regionale ale acesteia. Cadrul de reglementare al SAI se armonizeaz cu prevederile cadrului INTOSAI
dar conine i prevederi specifice, potrivit principiului independenei promovat de INTOSAI.
O constatare important n ceea ce privete legislaia care reglementeaz activitatea instituiilor supreme
de audit, rezultat n urma investigrii site-urilor web publicate de aceste instituii pe Internet, este faptul
c aceasta nu conine prevederi explicite privind auditul IT.
Cu toate acestea, majoritatea SAI (cu excepia celor din ri mai puin avansate n domeniu), desfoar
misiuni de audit IT n cadrul unor structuri specializate. Aceast constatare a rezultat dintr-o analiz
statistic asupra informaiilor furnizate de 45 de SAI selectate pe baza criteriului grad de maturitate a
auditului IT reflectat n prezentarea domeniului auditului IT. Cadrul de reglementare este armonizat cu
cadrul INTOSAI.
Pag. 19 / 214
antrennd deopotriv elemente specifice auditului financiar, auditului organizaional, auditului tehnologiei
informaiei i comunicaiilor, auditului performanei i auditului conformitii.
Aceste faete ale procesului trebuie s coexiste ntr-o arhitectur coerent, bazat pe sinergie, modelul de
auditare fiind diferit de cel clasic, ntruct fiecare tip de audit nu se desfoar independent, ci se reflect
sub forma unor secvene de proceduri, combinate n cadrul unor fluxuri eterogene, orientate ctre
obiectivul general al auditului i nu ctre obiectivul individual al fiecrui tip de audit. Cu att mai mult,
modelul devine mai complicat n condiiile unor sisteme interoperabile.
n plan practic, aceast abordarea constituie o abordare sistemic integrat i propune un model nou de
auditare bazat pe evaluarea riscurilor i un cadru metodologic i procedural asociat pentru audit extern.
Subliniem c, pe plan internaional exist un interes crescut pentru inventarierea bunelor practici n
domeniu i asigurarea convergenei acestora nr-o manier standardizat.
n acest sens, la nivelul INTOSAI este adoptat ca reprezentativ arhitectura de auditare ISACA25 i
recomandat n consecin. Aceasta se constituie ca un ansamblu ierarhizat de elemente de ghidare care
include urmtoarele niveluri i componente: standarde, ghiduri de aplicare, proceduri i resursele COBIT,
care sunt considerate ca fiind "cele mai bune practici" n materie. Ansamblul acestor componente este
bazat pe un model general de controale i tehnici de control destinat unui mediu informatizat.
Standardul INTOSAI GOV 9100 - Guidelines for Internal Control Standards for the Public Sector (pag 35)
face trimitere expres la cadrul de lucru i la documentaiile pentru audit IT / IS furnizate de ISACA, ITGI
(COBIT) i INTOSAI IT Audit Committee.
Pe ansamblu, se poate aprecia c se nregistreaz schimbri semnificative n coninutul i stilul activitii
de auditare a instituiilor publice, ca rezultat al impactului i efectelor pe care tehnologia informaiei le
genereaz att n ceea ce privete restructurarea domeniului auditat (reingineria sistemelor informaionale
i/sau a sistemelor informatice), ct i n ceea ce privete abordarea propriu-zis a auditului (reingineria
arhitecturilor de auditare, a cadrului metodologic i procedural, schimbarea stilului de auditare).
n contextul actual, implementarea arhitecturilor de auditare bazate pe IT / IS reprezint un proiect
complex, care genereaz i o serie de efecte secundare favorabile, importante chiar, n contextul
extinderii utilizrii IT n domeniul administraiei publice. Evoluia ctre e-guvernare va crea premisele
evoluiei ctre implementarea arhitecturilor de audit online, obiectiv important n abordarea sistemic a
domeniului auditului.
Implementarea arhitecturilor de auditare bazate pe IT are un impact deosebit att asupra organizrii i
monitorizrii activitii de audit, ct i asupra entitilor auditate, cele mai semnificative efecte fiind: (a)
furnizarea informaiei n timp real; (b) depistarea la timp a erorilor prin posibilitatea corelrii rapide a
informaiilor; (c) obinerea unor informaii mai bogate i mai relevante, prin investigaii automatizate,
precum i (d) optimizarea procedurilor de audit.
n vederea creterii capacitii instituionale, un accent deosebit se pune pe evaluarea permanent a activitilor specifice din cadrul SAI-urilor pe baza unei metodologii unitare. n acest sens, au fost dezvoltate
dou proiecte foarte utile: ITSA (IT SelfAssessment) i ITASA (IT Audit SelfAssessment)26.
Se remarc n mod deosebit preocuparea pentru instruirea continu a auditorilor n contextul noilor
evoluii, n cadrul unor programe internaionale iniiate i coordonate de INTOSAI (INTOSAI Development
Initiative - IDI)) i puse n aplicare la nivelul grupurilor regionale.
Prin perfecionarea metodelor de comunicare cu instituiile i autoritile publice, precum i prin asigurarea
flexibilitii accesului la informaii i servicii electronice, devin oportune proiectarea i implementarea unei
arhitecturi de audit concepute n perspectiva integrrii n sisteme e-guvernare. n acest context, la nivelul
25
26
grupului regional EUROSAI-ITWG este n curs de consolidare un cadru de auditare pentru sisteme
e-guvernare elaborat prin proiectul Auditing e-Government27, iniiat de INTOSAI -WGITA28, proiect
coordonat de ctre Office of the Auditor General din Norvegia i avnd ca membri instituii supreme de
audit din Anglia, SUA, Canada, India i Suedia. La acest proiect au fost luate n considerare experienele
tuturor instituiilor supreme de audit care au desfurat audituri n domeniul e-guvernare. Constatrile
respective au fost colectate ntr-o baz de date pe website-ul INTOSAI i au constituit sugestii pentru
realizarea proiectului. CCR a participat la colectarea i capitalizarea experienelor valoroase obinute la
nivelul instituiilor supreme de audit, pe site-ul web www.intosaiit.org fiind incluse rezultatele unor misiuni
de audit IT desfurate de Serviciul auditul sistemelor informatice din cadrul Curii de Conturi a Romniei:
1) Performance audit of the services of accessing and processing the online administrative forms,
available in the National Electronic System of Romania. Infrastructures and IT Services, (2006),
www.intosaiit.org
2) The information system of Ministry of Public Finances for economic agents reports regarding
their budgetary obligations, management of reimbursements and payment facilities grants.
(2006), www.intosaiit.org
3) The performance audit of the implementation and usage of the Computer Assisted Education
System (CAES, 2004), www.intosaiit.org
In viziunea INTOSAI29, cadrul conceptual de auditare are trei dimensiuni: obiectul auditului, tipurile
generale de audit i perspectiva temporal.
1. Obiectul auditului. Auditarea se poate focaliza pe unul sau pe mai multe dintre cele patru tipuri de
obiecte generice: program (colecie de proiecte), proiect, sistem informatic sau resurse informatice. Cele
trei nivele de controale asociate obiectelor generice sunt:
nivelul strategic: eficiena cu care este organizat, planificat, condus i controlat desfurarea
programelor;
nivelul aplicaiilor: utilizarea unor sisteme informatice sau a unor resurse informatice existente sau
nou create.
2. Tipuri de audit. Clasificrile standard recunosc urmtoarele tipuri generale de audit:
audit financiar
o auditarea investiiilor i a cheltuielilor, a contabilitii fondurilor, a organizrii controlului
intern i a raportrii eficienei cheltuielilor;
audit IT
o auditarea guvernrii IT
auditul performanei
o evaluarea sistemelor de control al calitii, evaluarea eficienei i eficacitii, a eficienei
procesului decizional, a calitii serviciilor, a politicilor de personal, a aptitudinilor i
cunotinelor personalului.
Pag. 21 / 214
concurent: controlul aspectelor adiionale privind execuia bugetar care pot s apar pe
parcursul realizrii programelor i proiectelor;
post-implementare: aprobarea rapoartelor privind execuia bugetar i privind efectele
(rezultatele) programelor i proiectelor.
Viziunea tridimensional permite definirea unui spaiu de control n care fiecrui obiect de control i
corespunde un tip de audit i o perspectiv temporal, rezultnd o varietate de combinaii care genereaz
seturi de metode de audit asociate.
Metodele de audit pentru nivelele strategic, operaional i de aplicaie se pot mapa (suprapune) pe cadrul
de lucru COBIT.
Clasificarea tipurilor de audit n categorii separate are rolul de a contribui la o clarificare conceptual. n
practic, auditul programelor i proiectelor combin n mod tipic abordri ale auditului financiar, auditului
IT/IS i auditului performanei.
Aceast tendin de evoluie, confirmat i de experiena altor instituii supreme de audit, a fost
promovat n cadrul misiunilor de audit ale Curii de Conturi a Romniei desfurate n domeniul
sistemelor e-guvernare i al serviciilor electronice asociate.
Auditul tuturor aspectelor relevante ale programelor i proiectelor nu este posibil prin aplicarea metodelor
clasice. Sunt necesare noi metode, iar noile metode trebuie s acopere subiecte, cum ar fi:
n raport cu stadiul actual, CCR trebuie s aib n vedere impactul pe care l va avea trecerea la
economia bazat pe cunoatere asupra auditului extern i modificrile calitative de substan n
abordarea auditului extern pe care aceast tranziie le antreneaz, prin generalizarea implementrii i
utilizrii serviciilor electronice pentru ntreaga administraie public.
n consecin, aa cum s-a menionat, aceste cerine i linii de dezvoltare vor genera cerine i obiective
corespunztoare i pentru auditul sistemelor IT i, n mod deosebit, pentru auditul sistemelor, serviciilor i
aplicaiilor informatice care urmeaz a face obiectul misiunilor de audit ale CCR pe termen lung.
n aceeai ordine de idei, se va nregistra un efect practic important i n ceea ce privete auditul
financiar: pentru a putea evalua procedurile financiar-contabile care vor fi informatizate pe scar larg,
auditorul financiar trebuie s aib, la rndul su, cunotine de tehnologia informaiei i va desfura,
implicit, pn la un anumit nivel, i auditarea de sisteme informatice. Acest lucru este confirmat i prin
experiena celor mai avansate instituii supreme de audit din lume, din care rezult implicarea pe scar
larg a auditorilor financiari n testarea procedurilor informatice financiar-contabile. n funcie de nivelul de
pregtire al auditorilor financiari, se pot utiliza experi IT numai pentru auditarea unor aspecte strict specializate i care necesit cunotine care depesc nivelul stabilit n cadrul instituiei. Instituia Suprem
de Audit Extern din Marea Britanie - UK National Audit Office (NAO - UK) constituie un exemplu de
referin. Curtea de Conturi a Romniei a colaborat cu experii NAO n cadrul Conveniei de Twinning i a
organizat misiuni de audit pilot.
30
31
Cobit, 4th Edition: Control Objectives, Management Guidelines, Maturity Models (2005)
Security Baseline (Background document, IT Governance Institute)
The Val IT Framework
Extras din Strategia dezvoltrii instituionale a Curii de Conturi a Romniei pentru perioada 2010-2014
Pag. 24 / 214
Acest model se va baza, n mod inerent, pe tehnici avansate de audit i presupune automatizarea
procedurilor i utilizarea de documente electronice, evoluii care n prezent se extind considerabil.
3. Creterea calitii misiunilor de control i audit public extern, n vederea obinerii i furnizrii de
informaii reale i obiective privind legalitatea, eficiena i transparena utilizrii fondurilor publice i a celor
reprezentnd finanri externe, prin urmrirea respectrii disciplinei financiare, potrivit principiilor bunei
gestiuni financiare i prin eliminarea erorilor i neregularitilor i perfecionarea gestionrii banului public.
4. Desfurarea activitii de control i audit public extern n mod autonom, prin proceduri de control
financiar ulterior i audit public extern prevzute n Regulamentul privind organizarea i desfurarea
activitilor specifice ale Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti, pe
baza standardelor proprii de audit elaborate n conformitate cu standardele de audit internaionale.
5. Creterea responsabilitii entitilor verificate n utilizarea i administrarea fondurilor publice, inclusiv a
fondurilor alocate Romniei de Uniunea European i de ctre alte instituii financiare internaionale va fi
determinat de asemenea ca urmare a aciunilor de control i audit desfurate de CCR.
6. Extinderea utilizrii tehnologiilor moderne de audit n scopul susinerii eficiente a rolului Curii de
Conturi a Romniei n detectarea fraudelor i prevenirea corupiei: audit online, audit continuu, e-audit,
audit asistat de calculator.
Menionm c utilizarea tehnologiilor moderne antreneaz, de asemenea, o serie de efecte colaterale
favorabile n ceea ce privete economisirea resurselor (de timp, spaiu, cheltuieli materiale cu logistica) i
n prevenirea risipei de resurse aferente verificrilor, prin utilizarea unui personal cu competene de specialitate de nivel nalt, precum i prin standardizarea i automatizarea procedurilor bazate pe utilizarea
documentelor de lucru electronice.
7. Extinderea cooperrii n cadrul EUROSAI i exploatarea beneficiilor care decurg din aceast
cooperare.
Pentru nscrierea auditului public extern din Romnia pe linia bunelor practici europene i internaionale i
pentru consolidarea capacitii profesionale, considerm c ar fi oportun un schimb permanent de
experien cu instituii supreme de audit similare.
8. Extinderea activitii i amplificarea contribuiilor CCR n cadrul grupurilor de lucru ale EUROSAI, din
perspectiva noilor sale orientri strategice, care s reflecte afirmarea independenei, integritii, profesionalismului i a unei conduceri puternice i competente.
Se are n vedere implicare CCR n audituri din domeniul de specialitate al Grupurilor de lucru internaionale la ale cror lucrri Curtea de Conturi a Romniei particip, n calitate de membru. Curtea de
Conturi a Romniei face parte n prezent din dou grupuri de lucru din cadrul EUROSAI i particip la
aciunile organizate n acest context: grupul de lucru privind Tehnologia Informaiei (EUROSAI-IT Working
Group) i grupul de lucru privind auditul mediului (WGEA - Working Group of Environment Audit).
9. mbuntirea imaginii instituionale a Curii de Conturi, accentuarea percepiei publice pozitive.
Promovarea unei imagini moderne a Curii de Conturi, prin participarea cu contribuii la conferine,
seminarii, sesiuni de comunicri, simpozioane interne i internaionale i prezentarea unor rezultate de
vrf pe subiecte de mare actualitate referitoare la abordarea auditului n cadrul Curii de Conturi a
Romniei. Participarea activ la astfel de evenimente are ca rezultat subsidiar transmiterea unor idei i
experiene valoroase care contribuie la contientizarea publicului, la asigurarea unei mai bune nelegeri a
activitii i evoluiilor prezente i viitoare ale Curii de Conturi i la garantarea transparenei.
Considerm c formularea unei arhitecturi de auditare, precum i elaborarea unui model de management
al riscurilor generate de prezena i extinderea serviciilor electronice, adaptate la contextul Romniei, prin
maparea standardului COBIT pe standarde de audit financiar i de securitatea informaiei (IAS, COSO,
Pag. 25 / 214
Sarbanes Oxley, Basel II, ISO seria 27000) reprezint un demers necesar, chiar imperativ, n condiiile
impuse de contextul internaional. Aceast evoluie implic reingineria arhitecturilor de auditare, a cadrului
metodologic i procedural de auditare, schimbarea stilului de auditare prin alinierea la standardele
internaionale n domeniu.
n perspectiv, misiuni de audit mixte, soluii integrate ale celor trei tipuri de audit
(auditul financiar, auditul performanei i auditul IT/IS), acestea urmnd a se desfura n
cadrul unor misiuni comune, n funcie de obiectivele stabilite. Apreciem c astfel de misiuni
ar fi deosebit de utile pentru programe sau proiecte de valori extrem de mari, foarte
complexe, desfurate la nivel naional i cu impact foarte mare n plan economic i social,
cum ar fi Strategia eRomania.
Pag. 27 / 214
Cele mai importante instituii internaionale, care au rol determinant n reglementarea domeniului auditului
n general i al auditului IT n particular, sunt: INTOSAI (International Organization of Supreme Audit
Institutions), Consiliul pentru Standarde Internaionale de Audit i Asigurare IAASB (International Audit
and Assurance Standard Board)33 din cadrul Federaiei Internaionale a Contabililor IFAC (International
Federation of Accountants)34, Institutul Auditorilor Interni (The Institute of Internal Auditors - IIA), COSO
(Committee of Sponsoring Organizations of the Treadway Commission , ISACA (Information Systems
Audit and Control).
Instituiile supreme de audit (SAI) sunt afiliate la organizaia profesional INTOSAI i, implicit, la grupurile
regionale ale acesteia. Cadrul de reglementare al SAI se armonizeaz cu prevederile cadrului INTOSAI
dar conine i prevederi specifice, potrivit principiului independenei promovat de INTOSAI.
Profesia de auditor este reglementat de mai multe surse: legislaia naional, reglementrile i
standardele stabilite la nivel naional, standardele stabilite la nivel internaional, organisme profesionale,
precum ACCA35. Prin legislaie se stabilesc, de regul, drepturile i ndatoririle auditorilor, precum i
condiiile de eligibilitatea pentru profesia de auditor.
Misiunea Federaiei Internaionale a Contabililor (IFAC), aa cum este stabilit prin statutul su, este
dezvoltarea i mbuntirea la nivel mondial a profesiei contabile pe baz de standarde armonizate,
capabil s ofere servicii uniforme de o calitate ridicat n interesul public. Pentru realizarea misiunii sale,
Consiliul IFAC a nfiinat Comitetul pentru Etic al IFAC, pentru a elabora i publica, sub autoritatea sa,
standarde de o nalt calitate i alte materiale n sprijinul profesionitilor contabili din ntreaga lume.
Acionnd n interes public, un profesionist contabil ar trebui s respecte i s se conformeze prevederilor
Codului Etic. Unele jurisdicii pot avea cerine i ndrumri care difer de acest Cod. Profesionitii contabili
trebuie s cunoasc aceste diferene i s respecte cerinele i ndrumrile mai exigente, cu excepia
cazului n care acestea sunt interzise n baza unei legi sau a unei reglementri.
Msurile de protecie care pot elimina sau reduce la un nivel acceptabil acest gen de riscuri se mpart n
dou mari categorii: msuri de protecie create de profesie, legislaie sau de reglementare i msuri de
protecie aferente mediului de activitate.
Msurile de protecie create de profesie, legislaie sau reglementare includ, dar nu sunt limitate la:
cerine educaionale, de pregtire profesional i experien pentru accesul la profesie;
cerine de dezvoltare profesional continu;
reglementri de guvernare corporativ;
standarde profesionale;
proceduri disciplinare i de monitorizare profesional sau de reglementare;
revizuirea extern a rapoartelor, evalurilor, comunicatelor sau informaiilor ntocmite de un
profesionist contabil de ctre o ter parte mputernicit prin lege.
IAASB a fost nfiinat pentru a dezvolta i emite standarde i declaraii privind auditul, asigurarea i serviciile conexe n
numele Consiliului IFAC
34 IFAC a fost nfiinat ca urmare a iniiativelor formulate n 1973 i aprobate n mod formal n cadrul Congresului internaional
al contabililor, de la Munchen din 1977.
35 ACCA - Association of Chartered Certified Accountants
Pag. 28 din 214
33
2.2
n Planului Strategic 2005-2010, INTOSAI i-a propus s furnizeze un cadru de nivel nalt constituit din
standarde profesionale relevante, pentru nevoile membrilor si. n acest sens, Comitetul pentru Standarde
Profesionale (PSC36) a decis s integreze standardele existente i noile orientri ale INTOSAI ntr-un
cadru consistent i coerent. Scopul general al cadrului este de a oferi membrilor INTOSAI i altor pri
interesate o imagine de ansamblu i o nelegere comun a standardelor i a liniilor directoare de audit
INTOSAI.
Marea majoritate a liniilor directoare i a standardelor profesionale INTOSAI sunt disponibile n cinci limbi
oficiale.
36
37
38
Abordarea auditului performanei ntr-un mediu IT ar trebui s implice urmtoarele procese interdependente:
Anexa 5 a Standardului ISSAI 3000 detaliaz modul n care se vor desfura aceste activiti pentru
ntreg ciclul de via al auditului.
2.3
Standardele Internaionale de Audit ISA sunt elaborate, aprobate i emise de IAASB. Experii INTOSAI
particip n prezent la dezvoltarea standardelor ISA, care, n conformitate cu abordarea dual a INTOSAI,
sunt o parte integrat a liniilor directoare de audit financiar INTOSAI.
Subcomisia de audit financiar din cadrul PSC elaboreaz Notele Practice, cu scopul de a oferi orientri
relevante cu privire la aplicarea standardului ISA n auditul situaiilor financiare ale entitilor din sectorul
public, n plus fa de ceea ce este prevzut n prezent n ISA. Standardul ISA i notele practice aferente
constituie mpreun o linie directoare pentru audit financiar.
Acest lucru a fost aprobat de ctre INCOSAI n 2007, cnd Congresul a aprobat documentul cadru n
cazul n care se prevede c: "O linie directoare INTOSAI privind auditul financiar va consta ntr-un
standard ISA emis de IAASB, mpreun cu o not practic elaborat de INTOSAI subliniind, de
asemenea, modificrile, care trebuie s fie luate n considerare de auditul public.
In ceea ce privete standardele internaionale de audit ISA i declaraiile de practic IASP, aplicarea
acestora poate fi exemplificat prin utilizarea sau evaluarea urmtoarelor componente:
2.4
Ca reacie la eecurile cu efecte ulterioare considerabile ale unor misiuni de audit, precum acela din cazul
ENRON, profesia de auditor a devenit foarte bine reglementat.
Cazul ENRON a antrenat, pe lng falimentul companiei de audit Arthur Andersen, i aprobarea de ctre
Congresul american a legii U.S. Sarbanes-Oxley (SOX) Act. In seciunea 404 a acestui Act, se cere
managementului extinderea sistemului de control intern cu implementarea unor proceduri de validare i
de evaluare a controalelor privind procesele de raportare financiar, inclusiv n ceea ce privete
controalele IT.
Schimbrile necontrolate n mediul de producie pot conduce la deficiene serioase i la slbiciuni
semnificative. De aceea, o atenie deosebit trebuie acordat procesului de implementare a schimbrii
sistemului informatic care susine procesul de raportare pentru a asigura conformitatea cu SOX.
Pag. 32 din 214
Un proces eficace de management al schimbrii trebuie s fie documentat pentru a reduce efortul
continuu necesar pentru maparea, validarea i certificarea schimbrilor n procesul de raportare financiar
pentru a asigura conformitatea cu SOX.
2.5
Standardele IIA
Fondat n anul 1941, The IIA este o asociaie profesional, avnd un numr de peste 100.000 de
membri i reprezentane n mai mult de 100 de ri. Aceasta este o autoritate recunoscut ca principal
formator, leader n certificare, instruire, cercetare tiinific i ghidare tehnologic pentru profesia de
auditor pe plan mondial. n domeniul auditului IT, The IIA promoveaz cunotine specializate i suport
modern, n concordan cu tendinele i evoluiile pe plan mondial, contribuind la accelerarea extinderii i
adaptrii misiunilor de audit la cerinele impuse de existena unui mediu de audit informatizat pe scar
larg. Adaptarea auditurilor IT la cerinele de conformitate cu Sarbanes-Oxley (SOX) Act constituie un
exemplu relevant.
The IIA furnizeaz nu numai standarde, ci i numeroase resurse suplimentare pentru a asista auditorii:
ghiduri de implementare a celor mai bune practici, studii de caz i alte instrumente integrate n cadrul de
lucru IPPF (International Professional Practices Framework39) disponibil pe website.
n domeniul auditului IT/ IS, liniile directoare de audit GTAG (Global Technology Audit Guidelines)
abordeaz probleme legate de managementul tehnologiei informaiei, control i securitatea informaiei.
Seria GTAG constituie o resurs pentru auditori, trateaz riscurile asociate diferitelor tehnologii i
recomand practicile pentru reducerea impactului acestora.
Liniile directoare sunt structurate pe urmtoarele categorii de probleme:
2.6
COSO
In ceea ce privete abordarea auditului bazat pe risc, un model general acceptat i preferat pentru evaluarea controalelor interne este Internal Control Integrated Framework, elaborat de Comittee of Sponsoring Organizations of the Treadway Commission (COSO) n anul 1992. n anul 2004 acest model a
fost perfecionat pentru a oferi un cadru de management al riscurilor acceptat pe scar larg, care include
principii cheie, concepte, un limbaj comun privind riscurile i ghiduri clare pentru implementare. Aceast
direcie nou, numit Enterprise Risk Management Integrated Framework, furnizeaz patru categorii de
obiective organizaionale i opt componente interrelaionate ale managementului eficace al riscului.
2.7
In ceea ce privete stadiul actual al colaborrii ntre ITWG i WGITA 41 n domeniul standardelor, ca surse
de cunoatere i facilitatori de schimb de informaii, sunt disponibile diverse canale, cum ar fi: publicaii,
rapoarte, ghiduri, standarde i baze de date. n plus, Liniile directoare ale INTOSAI referitoare la
Comunicare i Orientare sunt acum disponibile (versiunea iulie 2010, n limbile englez i german). Se
preconizeaz ca instrumentele de comunicare s fie utilizate i consultate.
Se ateapt mbuntiri i cu privire la instrumentul de colaborare INTOSAI Colaboratin Tool (cu 67 de
grupuri de lucru i 630 de utilizatori), care este n prezent neutilizat.
Aa cum am menionat, liniile directoare INTOSAI, ISSAI 5310 "Metodologia de revizuire a Sistemului de
securitate a Informaiilor", versiunea Octombrie 1995, trebuie s fie actualizate.
IIA / Standardele IIA
ncepnd cu anul 2009, IIA a operat modificri asupra setului de standarde IIA, respectiv:
De remarcat c, trecerea de la forma opional (ar trebui) la forma imperativ (trebuie) genereaz cerine
pentru aciuni care trebuie realizate. Ca impact practic, pentru unele compartimente de audit intern
aceasta poate antrena numai schimbri minore, dar pentru altele pot fi necesare (multiple) activiti
adiionale, unele de substan, pentru a se conforma cu standardele revizuite.
Ca prevederi noi, de interes i pentru activitatea Curii de Conturi a Romniei, se pot reine cel puin
urmtoarele dou:
41
Pentru o list complet i actualizat de linii directoare se poate consulta pagina web www.isaca.org.
n ceea ce privete cadrele de lucru proprii (frameworks), ISACA a anunat, pentru anul 2011,
diseminarea versiunii COBIT 5, care aduce ca trstur esenial integrarea COBIT cu celelalte cadre de
lucru disponibile: Val IT i Risk IT.
O reprezentare grafic a acestei scheme de integrare este redat n Fig. 1. Aceast schem a fost
prezentat i recomandat SAI-urilor ca referin la cea de-a 7-a ntlnire a EUROSAI IT Working Group,
care a avut loc la Istanbul, n perioada 2122 Februarie 2011.
Cadrul de lucru COBIT a fost asimilat la nivel INTOSAI / EUROSAI drept cadru de referin pentru
auditurile desfurate de SAI-uri.
Relativ la COBIT, n cadrul EUROSAI ITWG, pn n prezent, au avut loc trei evenimente de formare
COBIT: la Lisabona (2004), Tallinn (2008) i Anvers (2009). CCR a participat la seminarul internaional de
la Tallinn.
Republica Slovac a organizat un seminar internaional intitulat Auditul Sistemelor Informatice i
aplicarea standardelor de audit INTOSAI, n octombrie 2009. Pentru ITSA42 dou seminarii privind leciile
nvate au avut loc, la Berna (2006) i la Luxemburg (2007). Acestea au fost organizate cu scopul de a
mprti experienele prezentri ale SAI-urilor pentru SAI-uri, fr moderare extern. La Berna, n
2009, s-a decis s se organizeze un alt eveniment de genul Leciile nvate, cu condiia ca 12 SAI-uri s
fie dispuse s participe.
Sugestii privind reacia la schimbri
Pentru SAI-uri, reacia la schimbrile evideniate mai sus, se poate materializa n cteva orientri de
natur practic a activitii, ntre care:
O problem important este modul n care SAI-urile se ocup de aceste schimbri i evoluii. Este
recomandat s urmeze ndeaproape evoluia standardelor de audit i a liniilor directoare, pentru a le folosi
i a le distribui i pentru a mbunti fluxul de informaii.
42
IT Self Assessment
Pag. 36 din 214
Avnd n vedere dinamica domeniului tehnologiei informaiei, s-a ajuns la concluzia necesitii revizuirii
standardelor de audit IT utilizate pn n prezent i a actualizrii n consecin. Punctul de vedere privind
noua abordare bazat pe CobiT 5 care integreaz standardele specifice de audit IT (CobiT43, Val IT44 i
Risk IT45) a fost susinut de Elveia.
COBIT a fost aliniat i armonizat cu standarde detaliate i bune practici IT: COSO 46, ISO 2700047, ITIL48,
Sarbanes-Oxley Act, BASEL II i acioneaz ca un integrator al acestor standarde, sintetiznd obiectivele
principale sub un singur cadru de referin general acceptat.
n condiiile trecerii la cadul de lucru COBIT 5, se va extinde referenialul pentru auditare i la standardele
enumerate mai sus, noua arhitectur asigurnd convergena cu acestea.
Control Objectives for Information and related Technologies
Value IT
45 Risk IT
46 COSO - Committee of Sponsoring Organizations of the Treadway Commission
47 ISO 27000 - Set de standarde privind securitatea informaiilor
48 ITIL - IT Infrastructure Library
43
44
2.8
Evoluia n domeniul auditului IT confirm cristalizarea unor arhitecturi de auditare generale, un promotor
reprezentativ n acest sens fiind ISACA (Information Systems Audit and Control Association).
Arhitectura de auditare ISACA se constituie ca un ansamblu ierarhizat de elemente de ghidare care
include urmtoarele niveluri i componente: standarde, ghiduri de aplicare, proceduri i resursele COBIT.
Resursele COBIT sunt apreciate ca fiind "cele mai bune practici" n materie i reprezint o structur
bazat pe un model general, detaliat, de controale i tehnici de control destinat unui mediu informatizat.
Componentele arhitecturii de auditare ISACA sunt:
Standarde - Definesc cerinele obligatorii pentru auditarea i raportarea auditrii sistemelor
informatice.
Ghiduri de aplicare - Furnizeaz ghiduri practice pentru aplicarea standardelor de auditare a
sistemelor informatice.
Proceduri - Furnizeaz exemple de proceduri pe care un auditor de sisteme informatice ar trebui
s le urmeze (le-ar putea utiliza) n cadrul unui angajament de audit.
Cel de-al patrulea element al ansamblului menionat, resursele COBIT, funcioneaz ca o surs de
ghidare pentru "cele mai bune practici" n materie.
Unul dintre obiectivele asociaiei ISACA este acela de a avansa (de a dezvolta i disemina) standarde
global aplicabile pentru atingerea viziunii proprii n materie de auditare IT/IS.
COBIT este un cadru de lucru dezvoltat iniial de ctre Information Systems Audit and Control Foundation
(ISACF) i publicat n anul 1996. Aceast prim versiune a fost urmat de o a doua ediie, extins la
nivelul documentelor surs i al componentelor, inclusiv prin adugarea unui set de instrumente de
implementare, care a fost publicat n anul 1998.
Obiectivele de control elaborate de ctre ISACF (ISACA) au fost proiectate ca un instrument pentru
auditori, n timp ce cadrul de lucru COBIT este un rezultat al evoluiei ctre un instrument pentru
management i guvernare IT. Din acest motiv, COBIT a fost suplimentat cu o serie de elemente care
permit decizii de implementare i mbuntire a proceselor IT: indicatori cheie de scop, indicatori cheie
de performan, factori de succes critici, modele de maturitate.
Necesitatea de a avea asigurri cu privire la valoarea tehnologiei informaiei, managementul riscurilor
asociate acestor tehnologii, precum i cerinele sporite pentru controlul asupra informaiilor sunt considerate ca un element-cheie al guvernrii organizaiilor i companiilor. Managementul valorii, managementul riscurilor i controlul constituie nucleul guvernrii IT.
COBIT (acronim de la Control Objectives for Information and related Technology) ofer un set de bune
practici prin intermediul unui cadru de referin bazat pe domenii i procese, prezentnd activitile de o
manier logic, uor de gestionat. Setul de bune practici prezente n COBIT se concentreaz n special
pe controlul proceselor din cadrul organizaiei, oferind bune practici care vor ajuta la optimizarea investiiilor IT, vor asigura livrarea serviciilor i vor furniza un referenial pe baza cruia se va judeca atunci
cnd lucrurile nu merg bine. n acest context, COBIT constituie un instrument deosebit de util i pentru
auditori.
Misiunea COBIT const n cercetarea, dezvoltarea, publicarea i promovarea unui cadru de referin
pentru guvernarea IT, autorizat, actualizat, acceptat la nivel internaional pentru a fi adoptat de ctre
Pag. 38 din 214
2.8.8 Resursele IT
Funcia IT i atinge scopurile printr-o serie bine definit de procese care implic aptitudinile personalului
i infrastructura tehnologic pentru a executa aplicaii automatizate ce deservesc derularea afacerii,
folosind prghii informaionale specifice afacerii.
Resursele IT identificate n COBIT pot fi definite dup cum urmeaz:
Infrastructura: este format din tehnica i tehnologiile care permit procesarea i rularea
aplicaiilor (de exemplu: echipamente, hardware, sisteme de operare, sisteme de management al
bazelor de date, reele, multimedia i ntreg mediul de tip suport n care se gsesc).
Resursele umane: reprezint ntreg personalul necesar pentru a planifica, organiza, achiziiona,
implementa, furniza, susine, monitoriza i evalua sistemele informaionale i serviciile. Acetia
pot fi angajai permaneni ai firmei, angajai temporar pe baz de contract sau funciile lor pot fi
nchiriate de pe piaa serviciilor externalizate, dup cerine.
Dac exist perspective ca noile proiecte s ofere soluii care s rspund nevoilor afacerii;
Dac noile proiecte au anse s fie duse la bun sfrit, n timpul i cu bugetul prevzute;
Dac noile sisteme vor funciona dup implementare;
Dac este posibil ca schimbrile s aib loc fr a perturba activitile curente ale
afacerii/organizaiei.
n cadrul celor patru domenii, COBIT conine 34 de procese IT a cror utilizare este general. Pentru a
verifica completitudinea activitilor i a responsabilitilor, COBIT pune la dispoziie o list complet a
proceselor. n funcie de tipul organizaiei, ele pot fi aplicate integral, partial, sau pot fi combinate dup
necesiti. Pentru fiecare din aceste 34 de procese se face o trimitere ctre obiectivele afacerii si obiectivele IT pe care le susin. De asemenea, sunt oferite informaii despre modul n care pot fi msurate,
despre activitile cheie i principalele rezultat i n responsabilitatea cui cade asigurarea lor.
COBIT definete att obiectivele de control pentru toate cele 34 de procese, ct i controale specifice
aferente aplicaiilor.
Afirmaii declarative ale managementului privind creterea valorii sau reducerea riscului;
Politici, proceduri, practici i structuri organizaionale;
Sunt concepute spre a asigura in mod acceptabil faptul c obiectivele afacerii vor fi atinse i
evenimentele nedorite vor fi prevenite sau detectate i corectate;
Managementul organizaiei trebuie s fac unele alegeri privind obiectivele de control: selectarea
obiectivelor care sunt aplicabile, decizia privind controalele care vor fi puse n practic.
Alegerea modului de a implementa controalele (frecven, durat, grad de automatizare etc.).
Acceptarea riscului neimplementrii controalelor aplicabile.
ntruct obiectivele de control IT ale COBIT sunt ataate proceselor IT, cadrul de referin COBIT ofer
corespondenele ntre cerinele guvernrii IT, procesele IT i controalele IT.
Fiecare dintre procesele IT definite in COBIT are o descriere a procesului i un numr de obiective legate
de controlul aferent. Vzute ca un ntreg, ele sunt caracteristicile unor procese bine gestionate.
Obiectivele de control sunt identificate prin dou caractere (abrevierea domeniului din care fac parte: PO,
AI, DS i ME), un numr al procesului i un numr al obiectivului controlului.
Implementarea unor controale eficace reduce riscul, crete probabilitatea obinerii de valoare i
mbuntete eficiena prin diminuarea numrului de erori i printr-o abordare managerial consistent.
Pregtirea i autorizarea surselor de date: Asigur faptul c documentele surs sunt pregtite de
personal autorizat i calificat, folosind proceduri anterior stabilite, demonstrnd o separare adecvat a ndatoririlor cu privire la generarea i aprobarea acestor documente. Erorile i omisiunile
pot fi minimizate printr-o bun proiectare a intrrilor. Detecteaz erorile i neregulile spre a fi
raportate i corectate.
Colectarea surselor de date si introducerea n sistem: Stabilete faptul c intrrile (datele de
intrare) au loc la timp, fiind fcute de ctre personal autorizat i calificat. Corectarea i retrimiterea
datelor care au intrat n sistem n mod eronat trebuie s aib loc fr a compromite nivelurile
iniiale de autorizare privind tranzaciile (intrrile). Cnd este nevoie s se reconstituie intrarea,
trebuie reinut sursa iniial pentru o perioad suficient de timp.
Verificri privind: acurateea, completitudinea i autenticitatea: Asigur faptul c tranzaciile sunt
precise (exacte), complete i valide. Valideaz datele introduse i le editeaz sau le trimite napoi
spre a fi corectate ct mai aproape posibil de punctul de provenien.
Integritatea i validitatea procesului: Menine integritatea i validitatea datelor de-a lungul ciclului
de procesare. Detectarea tranzaciilor compromise din punct de vedere al erorilor nu ntrerupe
procesarea celor valide.
Revizuirea rezultatelor, reconcilierea i tratarea erorilor: Stabilete procedurile i responsabilitile
asociate pentru a asigura c rezultatul este utilizat ntr-o manier autorizat, distribuit destinatarului potrivit i protejat n timpul transmiterii sale, c se efectueaz: verificarea, detectarea i
corectarea exactitii rezultatului i c informaia oferit n rezultatul procesrii este utilizat.
Autentificarea i integritatea tranzaciilor: nainte de a transmite datele tranzaciei de la aplicaiile
interne ctre funciile operaionale ale afacerii (sau ctre exteriorul ntreprinderii), trebuie
verificate: destinaia, autenticitatea sursei i integritatea coninutului. Menine autenticitatea i
integritatea transmiterii sau ale transportului.
capabile sunt, depinde n principal de obiectivele IT i de nevoile afacerii, pe care procesele le susin. Ct
de bine este desfurat capabilitatea depinde foarte mult de ceea ce ateapt organizaia s obin de la
respectiva investiie.
Modelele de maturitate sunt construite pornind de la modelul general al calitii la care sunt adugate
principii provenind din urmtoarele atribute, ntr-o manier ascendent pe niveluri:
Contientizare i comunicare
Politici, planuri i proceduri
Instrumente i automatisme
Abiliti i expertiz
Sarcini i responsabiliti
Stabilirea obiectivelor i a indicatorilor de evaluare
control eficiente. Prin urmare, acioneaz ca un integrator de practici de guvernare IT i face apel la
conducerea executiv, la conducerea operaional i la managementul IT, la profesioniti din domeniul
securitii, precum i la profesioniti din domeniul auditului i controlului. Este proiectat pentru a fi
complementar cu, i utilizat mpreun cu alte standarde i bune practici.
COBIT are relevan pentru urmtorii utilizatori:
Managementul executiv - pentru a obine valoare din investiiile n IT, a echilibra riscul i
controlul investiiilor ntr-un mediu IT care de cele mai multe ori nu e predictibil.
Managementul afacerii - pentru a avea asigurarea asupra managementului i controlului
serviciilor IT furnizate intern sau de pri tere.
Managementul IT - pentru a oferi acele servicii IT de care afacerea are nevoie pentru a susine
strategia de afaceri de o manier controlabil i organizat.
Auditori - pentru a da substan opiniilor proprii i / sau a oferi recomandri managementului n
legtur cu controalele interne.
Obiective de control
PO2.1 Modelul arhitecturii informaionale a ntreprinderii
PO2.2 Dicionarul de date al ntreprinderii i regulile de sintax a datelor
PO2.3 Schema de clasificare a datelor
PO2.4 Managementul integritii
Obiective de control
DS9.1 Baza de date a configuraiei i liniile de baz
DS9.2 Identificarea i ntreinerea articolelor de configurat
DS9.3 Revizia integritii configuraiei
2.9
Cadrul de lucru COBIT stabilete cele mai bune practici referitoare la mijloacele care contribuie la procesul de creare a valorii adugate.
Val IT vine s adauge cele mai bune practici pentru final, oferind mijloacelor un instrumentar de msurare
fr ambiguiti, cu ajutorul cruia se monitorizeaz i se optimizeaz realizarea de valoare adugat
pentru afacere55, prin investiii n IT. Val IT complementeaz COBIT din perspectiva afacerii i din perspectiva financiar i contribuie la obinerea unei creteri de valoare prin utilizarea tehnologiei informaiei.
Val IT este un cadru de administrare care const dintr-un set de principii directoare i o serie de procese
conforme cu aceste principii, care sunt definite ca un set de practici cheie de conducere.
Cadrul Val IT aliniaz terminologia sa cu terminologia COBIT i adaug o seciune de linii directoare
(similar cu COBIT), care ofer un nivel mai mare de detaliu proceselor cheie Val IT i practicilor de
management. Conine, de asemenea, modele de maturitate pentru fiecare domeniu al cadrului Val IT.
Necesitatea unei guvernri puternice a investiiilor IT este evident, avnd n vedere c mai mult de 2 din
10 proiecte IT din cadrul unei organizaii eueaz dintr-un numr de motive, printre cele mai comune fiind:
Proiectele sunt adesea ntrziate, depesc bugetul i/sau nu produc beneficiile necesare;
Organizaia are nevoie de resurse pentru a asigura conformitatea cu reglementrile industriei sau
guvernamentale.
Referinele la afacere n acest standard internaional trebuie interpretate n sens larg pentru a se referi la acele activiti
care sunt eseniale scopului pentru care este nfiinat organizaia.
Pag. 60 din 214
55
Scopul investiiilor IT este de a permite schimbarea afacerii. Pentru a gestiona schimbarea afacerii bazate
pe IT, investiiile IT trebuie s fie reglementate.
Cu ajutorul cadrului Val IT promovat de ISACA, pot fi luate decizii mai bune privind modul n care s se
investeasc n IT pentru a permite schimbarea afacerii, creterea rentabilitii investiiilor i pentru a
genera valoare adugat, afacerii.
Val IT este un cadru care se concentreaz pe livrare de valoare, unul dintre cele cinci domenii principale
ale guvernrii IT, i ofer asigurarea c investiiile IT sunt gestionate pe ciclul complet al vieii economice.
Prin aplicarea principiilor de management al portofoliului se pot evalua i monitoriza direct, investiiile n IT
pe ntreg ciclul de via economic al acestora.
56
Definiie: Cadrul de lucru Val IT este un cadru global i pragmatic de organizare care permite crearea de
valoare n cadrul organizaiei pe baza investiiilor n tehnologia informaiei. Conceput pentru a se alinia la
cadrul COBITi pentru a-l completa, Val IT integreaza un set de principii de guvernare practice i
verificate, procese, practici i linii directoare care susin aceast platform, ofer suport managementului
executiv i altor lideri pentru a optimiza obinerea de valoare din investiiile IT.
Folosite cu succes considerabil de muli ani de conducerea organizaiilor, procesele i practicile incluse n
Val IT sunt prezentate, pentru prima dat, ca un cadru unic de guvernan integrat care ofer factorilor
de decizie o abordare cuprinztoare, consecvent, coerent i contribuie la crearea de valoare prin efecte
concrete i msurabile.
Cu sprijinul unui grup de experi n domeniul guvernrii informaiei, n control, securitate i audit,
recunoscui pe plan internaional, ITGI57 a acordat o mare atenie proiectrii acestui cadru pentru a se
asigura c integrarea Val IT cu COBIT va oferi un cadru cuprinztor pentru crearea i livrarea de valoare
de nalt calitate a serviciilor bazate pe IT. Pe de o parte, cadrul de lucru Val IT completeaz cadrul de
lucru COBIT, iar pe de alt parte este susinut de acesta.
nelegerea relaiei dintre aceste dou cadre este vital. Val IT are n vedere guvernarea ntreprinderii. Ca
un cadru cuprinztor pentru proiectarea si livrarea serviciilor bazate pe IT de nalt calitate, COBIT
stabilete seturi de bune practici pentru funcia IT, care contribuie la procesul de creare de valoare. Val IT
furnizeaz seturi de bune practici referitoare la rezultatele obinute pe baza investiiilor IT, permind astfel
ntreprinderilor msurarea, monitorizarea i optimizarea valorii, att financiare, ct i non-financiare.
Coerena ntre metodele i terminologia utilizate n cadrele de lucru Val IT i COBIT mbuntete comunicaia i interaciunile dintre factorii de decizie, funcia de IT i funciile de afaceri responsabile pentru
livrarea valorii planificate.
Cu toate acestea, n multe cazuri, valoarea nu constituie rezultatul unei msurri cantitative. Valoarea
este complex, dependent de contextul specific i dinamic. Valoarea este, n foarte multe cazuri, "n
ochii privitorului. Natura valorii este diferit pentru diferite tipuri de organizaii. n timp ce zona comercial
din organizaie se concentreaz, mult mai mult dect o fceau n trecut, pe valoarea de natur nonfinanciar, directorii au, n continuare, tendina de a vizualiza valoarea n primul rnd din punct de vedere
financiar, de multe ori pur i simplu ca pe o cretere a profitului ntreprinderii care rezult din investiii.
Pentru sectorul public, sau pentru ntreprinderile non-profit, valoarea este mult mai complex, i adesea,
dei nu ntotdeauna, de natur non-financiar. Aceasta poate include obinerea unor rezultate privind
politicile publice, mbuntirea cantitii i calitii serviciilor oferite (de exemplu, cetenilor pentru
sectorul public) i/sau creterea net a veniturilor oferite celor pentru care aceste servicii care rezult din
investiii sunt disponibile.
Conceptul de valoare se bazeaz pe relaia dintre ndeplinirea ateptrilor prilor interesate i resursele
folosite pentru a atinge obiectivele.
Prile interesate pot avea opinii diferite despre ceea ce reprezint o valoare. Scopul managementului
valorii este de a optimiza valoarea prin reconcilierea acestor diferene, de a permite organizaiei s
defineasc clar i s comunice punctul su de vedere privind semnificaia valorii, s selecteze i s
execute investiii, s gestioneze patrimoniul su i s optimizeze valoarea printr-o utilizare a resurselor la
preuri accesibile i un nivel acceptabil de risc.
ITGI privete furnizarea valorii ca fiind unul dintre cele cinci domenii prioritare ale guvernrii IT. n afar de
valoarea livrat, celelalte patru domenii includ: alinierea strategic, managementul riscurilor, managementul resurselor i msurarea performanelor. Valoarea livrat depinde de focalizarea pe zonele n
care aceasta necesit aliniere strategic, este permis prin gestionarea riscurilor i gestionarea resurselor
i, mpreun cu alte zone, este monitorizat prin msurarea performanei.
limitate la, modificri de natur ale afacerii, ale proceselor de afaceri, ale activitii desfurate, precum i
ale competenelor necesare pentru a efectua lucrrile, care s permit tehnologia i structura organizatoric. Programul de investiii este unitatea primar de investiii din Val IT.
Portofoliu - Grupri de "obiecte de interes" (programe de investiii, servicii IT, proiecte IT, alte bunuri IT
sau alte resurse) gestionate i monitorizate pentru a optimiza valoarea afacerii. Portofoliul de investiii
este de interes primar pentru Val IT. Serviciile IT, proiectele, activele sau alte portofolii de resurse sunt de
interes primar pentru COBIT.
Cadrul Val IT susine obiectivul organizaiei de a crea valoare optim din investiiile IT prin achiziii la un
cost accesibil, cu un nivel acceptabil de risc, fiind ghidat de un set de principii aplicate n procesele de
gestionare a valorii, care sunt permise prin practici cheie de management i sunt msurate prin
performana n raport cu obiectivele i indicatorii stabilii.
Principiile cadrului de lucru Val IT sunt:
Investiiile IT vor fi gestionate ca un portofoliu de investiii. Optimizarea investiiilor necesit
abilitatea de a evalua i de a compara investiii, fiind selectate n mod obiectiv cele cu potenialul cel
mai mare de a crea valoare, i de a le gestiona pentru a maximiza valoarea.
Investiiile IT vor include ntreaga sfer de activiti necesare pentru a atinge valoarea afacerii.
Realizarea valorii din investiii IT necesit mai mult dect livrarea de soluii i servicii IT aceasta
necesit, de asemenea, schimbri, cum ar fi: natura activitii n sine; procesele de afaceri, abiliti i
competene, precum i organizarea, toate acestea trebuind s fie incluse n documentaia de fundamentare i de realizare privind investiiile (Business Case - BC).
Investiiile IT vor fi gestionate pe ntreg ciclul de via economic. BC trebuie s fie pstrat activ
de la iniierea unei de investiii pn la finalizarea tuturor serviciiilor aferente investiiei. Acest principiu
recunoate c va exista ntotdeauna un anumit grad de incertitudine i c variaia n timp a costurilor,
riscurilor, beneficiilor, strategiei, i a schimbrilor organizaionale i externe trebuie s fie luat n
considerare cnd se stabilete dac finanarea ar trebui s fie continuat, majorat, diminuat sau
oprit.
Practicile de livrare a valorii vor recunoate c exist diferite categorii de investiii care vor fi
evaluate i gestionate n mod diferit. Astfel de categorii s-ar putea baza pe preferina managementului, pe magnitudinea costurilor, pe tipurile de riscuri, pe importana beneficiilor (de exemplu,
obinerea conformitii cu un cadru de reglementare), precum i pe tipurile i gradul de schimbare a
afacerii.
Practicile de livrare a valorii vor defini i vor monitoriza indicatorii cheie i vor reaciona rapid
la orice modificri sau abateri. Trebuie s fie stabilii i monitorizai cu regularitate indicatori de
performana pentru: (1) portofoliul global, (2) investiiile individuale, incluznd indicatori intermediari i
indicatori finali, (3) serviciile IT, (4), bunurile IT i (5) alte resurse care rezult dintr-o investiie, pentru
a se asigura c valoarea este creat i continu s fie creat pe parcursul ntregului ciclu de via al
investiiei.
Practicile de livrare a valorii vor angaja toate prile interesate i vor atribui responsabiliti
adecvate pentru livrarea facililitilor, precum i pentru realizarea beneficiilor afacerii. Att
funcia IT, ct i alte funcii ale afacerii trebuie s fie angajate i responsabile - funcia IT pentru
faciliti IT i funciile de afaceri pentru facilitile de afaceri necesare pentru a realiza valoare.
Practicile de livrare a valorii vor fi monitorizate, evaluate i mbuntite continuu. Pe msur
ce organizaia ctig experien privind practicile Val IT, aceste practici pot fi aplicate, astfel nct
selectarea investiiilor i gestionarea acestora s se mbunteasc n fiecare an.
de risc, principiile cadrului Val IT trebuie s fie aplicate n trei domenii: guvernarea valorii, managementul
portofoliului, managementul investiiilor.
Fiecare domeniu cuprinde o serie de procese i practici cheie de management. Aceste procese i practici
cheie de management au fost distilate din experiena colectiv a echipei care a creat cadrul de lucru
Val IT i a unei echipe de consilieri recunoscui la nivel mondial i extrase din practicile, metodologiile i
cercetrile existente i emergente.
a) Guvernarea Valorii
Scopul guvernrii valorii (Value Governance - VG) este de a asigura c practicile de management al
valorii sunt ncorporate n organizaie i permit obinerea unei valori optime din investiiile IT pe parcursul
ntregului lor ciclu de via economic. Angajamentul conducerii n ceea ce privete guvernarea valorii
contribuie la:
Stabilirea cadrului de guvernare pentru managementul valorii ntr-o manier complet integrat cu
guvernarea de ansamblu a ntreprinderii;
Asigurarea direciei strategice pentru deciziile privind investiiile;
Definirea caracteristicilor portofoliilor necesare pentru a sprijini noi investiii i serviciile IT
rezultate, activele i alte resurse;
mbuntirea gestionrii valorii pe o baz continu, n concordan cu practicile nvate.
Cadrul Val IT definete procesele legate de investiiile IT, practicile i activitile cheie de management
care trebuie s apar n contextul guvernrii globale a ntreprinderii. Cadrul definete n mod special
relaia dintre funcia de IT i celelalte pri ale afacerii, i ntre funcia IT i celelalte structuri cu atribuii de
guvernare din cadrul ntreprinderii (biroul financiar, conducerea executiv). Activitile aferente funciei IT
sunt acoperite de cadrul de lucru COBIT.
b) Managementul Portofoliului
Scopul managementului portofoliului (Portfolio Management - PM), n contextul cadrului Val IT este de a
garanta c o ntreprindere asigur valoarea optim a portofoliului su privind investiiile IT. Angajamentul
conducerii n ceea ce privete managementul portofoliului, contribuie la:
Stabilirea i gestionarea profilurilor resurselor;
Definirea pragurilor de investiii;
Evaluarea, prioritizarea i selectarea, amnarea sau respingerea unor noi investiii;
Gestionarea i optimizarea portofoliului global de investiii;
Monitorizarea i raportarea privind performana portofoliului.
Programele de afaceri privind investiiile IT trebuie s fie gestionate ca parte a portofoliului total al
investiiilor, astfel nct toate investiiile ntreprinderii s fie selectate i gestionate pe o baz comun.
Programele din portofoliu trebuie s fie clar definite, evaluate, prioritizate, selectate i gestionate n mod
activ pe ntreg ciclul lor via economic, pentru a optimiza att valoarea programelor individuale ct i a
portofoliului global. Aceasta include optimizarea alocrii resurselor limitate pentru investiii pe care
organizaia le are la dispoziie, managementul de risc, identificarea i corectarea la timp a problemelor
(inclusiv anularea programului, dac este cazul) i supervizarea investiiilor la nivelul conducerii.
Managementul portofoliului recunoate cerina pentru un portofoliu de a fi echilibrat. Recunoate, de
asemenea, c exist diferite categorii de investiii cu niveluri diferite de complexitate i de grade de
libertate n alocarea fondurilor. Exemplele privind aceste categorii ar putea include, dar nu sunt limitate la,
inovare, reforme cu grad ridicat de risc, extinderea afacerii, mbuntirea operaional, ntreinerea
operaional i investiiile obligatorii. Pentru fiecare categorie din portofoliul de investiii ar trebui s fie
stabilite criterii de evaluare cu ponderi adecvate. Decizia de a include un program n portofoliu nu este un
angajament de moment. Portofoliul format din investiii poteniale i aprobate ar trebui s fie gestionat n
mod activ, pe o baz continu i nu doar atunci cnd se solicit aprobarea. n funcie de performanele
relative ale programelor active i de oportunitatea oferit de programele poteniale din cadrul portofoliului,
precum i de schimbrile aduse mediului de afaceri intern i extern, portofoliul poate fi ajustat de ctre
conducere.
c) Managementul Investiiilor
Scopul managementului investiiilor (Investment Management - IM) este de a asigura faptul c investiiile
IT individuale ale ntreprinderii contribuie la obinerea valorii optime.
Cnd liderii organizaiei se angajeaz n gestionarea investiiilor ei contribuie la:
Identificarea cerinelor afacerii;
Dezvoltarea unei nelegeri clare a programelor de investiii candidate;
Analiza unor abordri alternative la punerea n aplicare a programelor;
Definirea fiecrui program, precum i documentarea i meninerea unui BC (Business Case)
detaliat pentru acesta, incluznd detalii privind beneficiile pe ntreg ciclul de via economic al
investiiei;
Asignarea unei responsabiliti clare i a unui proprietar, inclusiv n ceea ce privete realizarea
beneficiilor;
Gestionarea fiecrui program pe ntreg ciclul de via economic, inclusiv finalizarea sau stoparea
acestuia;
Monitorizarea i raportarea privind performana fiecrui program.
Componentele cheie ale managementului investiiilor
Exist trei componente-cheie de gestionare a investiiilor: Prima este Business Case (BC), care este
esenial pentru selectarea corect a programelor de investiii i administrarea acestora pe parcursul
executrii lor. A doua este managementul programului, care reglementeaz toate procesele care susin
executarea programelor. A treia este realizarea beneficiilor - un set de sarcini necesare pentru a gestiona
n mod activ realizarea beneficiilor programului.
Sursa: ITGI
Pag. 66 din 214
Fiecare dintre aceste fluxuri de lucru trebuie s fie documentat cu date care s susin decizia de investiii
i procesele de management de portofoliu: iniiative, costuri, riscuri, ipoteze, rezultate i indicatori.
BC ar trebui s includ cel puin urmtoarele elemente:
Beneficiile estimate ale afacerii, alinierea lor cu strategia de afaceri i care dintre funciile afacerii
va fi responsabil pentru asigurarea lor;
Schimbrile de afaceri necesare pentru a crea valoare adugat;
Investiiile necesare pentru a face schimbri ale afacerii;
Investiiile necesare pentru a schimba sau aduga noi servicii IT i elemente de infrastructur;
Funionarea continu a sistemului IT i costurile de afaceri relative la funcionarea n contextul
schimbat;
Riscurile inerente referitoare la elementele prezentate mai sus, inclusiv orice constrngeri sau
dependene;
Cine va fi responsabil pentru crearea cu succes a valorii optime;
Cum vor fi monitorizate investiiile i crearea de valoare pe parcursul ciclului de via economic,
precum i indicatorii care urmeaz s fie utilizai.
BC ar trebui s fie dezvoltat dintr-o perspectiv strategic, de tip top-down (de sus n jos), ncepnd cu
o nelegere clar a rezultatelor dorite privind afacerea i progresnd pn la o descriere detaliat a
sarcinilor critice i reperelor, precum i a rolurilor i responsabilitilor cheie.
BC nu este un document static de folosin unic, ci constituie un instrument dinamic operaional, care
trebuie s fie actualizat continuu pentru a reflecta punctul de vedere actual asupra viitorului programului,
astfel nct viabilitatea acestuia s poat fi meninut.
BC trebuie s includ rspunsuri la patru ntrebri, rspunsuri bazate pe informaii relevante focalizate pe
afacere, despre programele poteniale:
Dac facem ceea ce trebuie Ce s-a propus, pentru ce rezultat al afacerii i cu ce contribuie
proiectele n cadrul unui program?
Dac suntem pe calea cea bun - Cum se va desfura i ce trebuie fcut pentru a ne asigura
c programul se va potrivi cu alte faciliti curente sau viitoare?
Dac ceea ce facem este bine Care este planul pentru ndeplinirea lucrrilor i ce resurse i
fonduri sunt disponibile?
Dac aducem beneficii Cum vor fi furnizate beneficiile? Care este valoarea programului?
Structura BC
Situaiile afacerii pentru investiiile IT iau n considerare urmtoarele relaii cauzale:
- Resursele sunt necesare pentru dezvoltare
- Tehnologia / serviciile IT support
- Capabilitatea operaional pe care o va permite
- Capabilitatea afacerii care va fi creat
- Valoarea pentru prile interesate
Aceste relaii implic existena a trei fluxuri de activiti interrelaionate care creeaz capabiliti tehnice,
operaionale i de afacere.
Fiecare dintre cele trei fluxuri de activitate are un numr de componente care sunt eseniale pentru a
evalua complet BC. Aceste componente, mpreun, formeaz baza pentru un model analitic i sunt definite dup cum urmeaz:
Rezultate - rezultate clare i msurabile vizate, inclusiv rezultate intermediare; aceste rezultate
sunt necesare dar nu suficiente pentru a atinge beneficiile finale. Aceste beneficii pot fi financiare
sau non-financiare.
Pag. 67 din 214
atinge rezultatele, riscurile implicate i impactul asupra tuturor aspectelor afacerii (ntreprinderii).
Identificarea i evaluarea unor cursuri alternative de aciune pentru a atinge rezultatele dorite ale afacerii.
IM3 - Elaborarea planului de program - Definirea i documentarea tuturor proiectelor necesare pentru
realizarea programului pentru a obine rezultatele ateptate ale afacerii. Precizarea cerinelor de resurse
i a metodei de obinere asociate. Prezentarea unui grafic de timp care s in seama de interdependenele dintre mai multe proiecte.
IM4 - Dezvoltarea costurilor complete aferente ciclului de via i beneficiilor - Pregtirea unui
program de buget bazat pe costurile pe ntreg ciclul de via economic. nscrierea tuturor beneficiilor
intermediare i de afaceri ntr-un registru, precum i planificarea modului n care acestea vor fi realizate.
Identificarea i documentarea obiectivelor pentru rezultatele cheie care urmeaz s fie realizate, inclusiv
n ceea ce privete metoda de msurare i abordarea pentru atenuarea insucceselor. Prezentarea
bugetelor, costurilor, beneficiilor i planurilor aferente pentru revizuire, rafinare i aprobare.
IM5 - Dezvoltarea BC detaliat pentru programul candidat - Elaborarea unui BC complet i cuprinztor
pentru programul candidat, care acoper scopul, obiectivele, domeniul de aplicare i abordarea,
dependenele, riscurile, reperele, precum i impactul schimbrii organizaionale. Includerea unei aprecieri
a valorii, bazate pe costurile economice aferente ntregului ciclu de via, i a beneficiilor, a ratei
preconizate de randament, a alinierii strategice i ipotezelor cheie. De asemenea, furnizarea unui plan al
programului care s acopere planurile componentei proiectului, planul de realizare a beneficiilor, modul de
abordare a managementului riscului i al schimbrii, precum i a structurii programului. Atribuirea clar a
responsabilitilor, autoritii i dreptului de proprietate pentru realizarea beneficiilor, controlului costurilor,
gestionarea riscurilor i coordonarea activitilor i interdependenelor proiectelor multiple. Obinerea
acceptrii cu privire la responsabiliti i rspundere.
IM6 - Lansarea i managementul programului - Planificarea, resurselor necesare proiectelor, pentru a
obine rezultatele programului. Planificarea resurselor pentru perioade ulterioare, dar finanarea acestora
numai pn la urmtoarea revizuire. Administrarea performanei programului pe baza unor criterii cheie,
pentru a identifica abaterile de la plan i a ntreprinde n timp util aciuni de remediere. Monitorizarea
beneficiilor pe tot parcursul programului, a realizrii reale i poteniale i raportarea privind progresele.
Iniierea de aciuni n timp util pentru abateri semnificative de la plan, precum i pentru problemele
aprute.
IM7 - Actualizarea portofoliilor IT operaionale Reflectarea schimbrilor care rezult din programul de
investiii pentru servicii IT relevante, a activelor i a portofoliilor de resurse.
IM8 - Actualizarea BC Actualizarea BC al programului, pentru a reflecta starea curent, ori de cte ori
exist schimbri care afecteaz costurile preconizate, beneficiile, oportunitile sau riscurile.
IM9 - Monitorizarea i raportarea cu privire la program - Monitorizarea performanelor programului
general i a tuturor proiectele sale, precum i un raport ctre conducere, complet i exact, privind livrarea
de capaciti tehnice i de afaceri, aspectele operaionale referitoare la livrarea de servicii, impactul
asupra resurselor i realizarea de beneficii. Raportarea poate include performana n raport cu planul
programului n ceea ce privete calendarul i bugetul, exhaustivitatea i calitatea funcionalitii, calitatea
controlului intern i diminuarea riscurilor, precum i acceptarea continu a responsabilitii pentru
asigurarea unor beneficii intermediare ale afacerii.
IM10 - Scoaterea din funciune a programului - Aducerea programului la o nchidere ordonat i
scoaterea acestuia din portofoliul de investiii active atunci cnd exist un acord c valoarea dorit de
afacere a fost realizat sau atunci cnd este clar c obiectivul nu va fi atins n cadrul criteriilor valorice
stabilite pentru program.
2.10
Risk IT este un set de principii i un cadru de lucru care ajut organizaia s identifice, s guverneze i s
gestioneze riscurile IT n mod eficient.
Riscurile joac un rol critic pentru succesul unei afaceri, procesul decizional presupunnd gestionarea
eficient, pe o baz continu, a acestora.
Destul de des, riscurile IT (riscurile legate de implementarea i utilizarea sistemelor IT) sunt neglijate, spre
deosebire de alte categorii de riscuri (riscul de pia, riscul de creditare i riscul operaional) care sunt
incorporate n procesul de luare a deciziei. Riscurile IT trebuie s fie transferate specialitilor tehnicieni i
trebuie s fie incluse n categoria riscurilor care au impact asupra obiectivelor strategice.
Cadrul de lucru Risk IT este un cadru bazat pe un set de principii directoare pentru gestionarea eficient a
riscurilor IT care completeaz cadrul de lucru COBIT, un cadru cuprinztor pentru guvernare i controlul
afacerii bazate pe soluii i servicii IT. n timp ce COBIT ofer un set de controale pentru a atenua riscul
IT, Risk IT ofer un cadru pentru organizaii (pentru a identifica, guverna i gestiona riscurile IT) i pentru
auditorii care l utilizeaz ca referenial n cadrul misiunilor de audit. n timp ce COBIT ofer mijloacele de
management al riscurilor, Risk IT ofer, n plus, un cadru mbuntirea a gestionrii riscului.
Cadrul de lucru Risk IT este o parte din portofoliul de produse ISACA privind guvernarea IT, fiind bazat pe
un set de principii directoare pentru managementul eficient al riscurilor IT.
59
Pentru prioritizarea i gestionarea riscurilor IT, conducerea are nevoie de un cadru de referin i de o
nelegere clar a funciei IT i a riscurilor IT. Cu toate acestea, prile interesate care ar trebui s
rspund pentru gestionarea riscurilor din cadrul organizaiei de multe ori nu au o nelegere deplin n
legtur cu acestea. Managerii IT sunt responsabili pentru gestionarea riscurilor associate i trebuie s
determine ce trebuie fcut pentru a sprijini activitatea.
Cadrul de lucru explic riscurile IT i permite conducerii organizaiei s ia deciziile cele mai adecvate, care
vor permite utilizatorilor s contientizeze importana i s contribuie la minimizarea acestora. n acest
context vor ntreprinde o serie de aciuni:
Integrarea gestionrii riscurilor IT n gestionarea general a riscurilor organizaiei;
Asigurarea unor decizii bine informate cu privire la gradul de risc, la apetitului pentru risc i la
tolerana la risc a ntreprinderii;
nelegerea modului de a rspunde la risc.
Cadrul RISK IT acoper decalajul existent ntre cadrele generice de gestionare a riscurilor cum ar fi
COSO ERM i AS/NZS 4360 (care n curnd vor fi nlocuite cu standardul ISO 31000) i echivalentul su
britanic ARMS6 i cadrele de gestionare a riscurilor IT (n primul rnd cele legate de securitate) detaliate.
O list generic de scenarii de risc comune, potenial adverse, legate de IT, care ar putea
avea un impact important n realizarea obiectivelor afacerii;
Instrumente i tehnici pentru a nelege riscurile concrete ale operaiunilor de afaceri, cum ar
fi liste de verificare generice i cerine de conformitate.
Cadrul de lucru prevede un model de proces global pentru risc IT care se refer la activitile cheie din
cadrul fiecrui proces, responsabilitile pentru fiecare proces, fluxurile de informaii ntre procese i de
management al performanei fiecrui proces. Modelul este mprit n trei domenii, fiecare coninnd, la
rndul su trei procese:
Documentaia The Risk IT Practitioner Guide este un document de sprijin pentru cadrul de lucru Risk IT
care ofer exemple de tehnici posibile pentru a aborda problemele legate de riscul IT, precum i ndrumri
detaliate cu privire la modul de abordare a conceptelor cuprinse n modelul procesului.
Conceptele i tehnicile explorate n detaliu includ:
Construirea unei hri a riscurilor, folosind tehnici pentru a descrie impactul i frecvena scenariilor;
Utilizarea COBIT i Val IT pentru a atenua riscul; legtura ntre Risk IT i obiectivele de contol i
practicile de management cheie din COBIT i Val IT.
Aplicarea bunelor practici de management al riscurilor IT aa cum este descris n Risks IT va oferi
beneficii tangibile pentru afacere, de exemplu, mai puine incidente operaionale i eecuri, creterea
calitii informaiilor, o mai mare ncredere a prilor interesate i reducerea numrului de probleme
referitoare la cadrul de reglementare i de inovare, sprijinirea iniiativelor de noi afaceri.
Dei documentaia referitoare la Risk IT ofer un cadru complet i autonom, ea include referiri la COBIT i
Val IT. The Risk IT Practitioner Guide face referiri extinse la COBIT i Val IT, i recomand ca managerii
i practicienii s se familiarizeze cu principalele principii i cu coninutul acestor dou cadre. Ca i COBIT
i Val IT, Risk IT nu este un standard propriu-zis, ci un cadru flexibil bazat pe cele mai bune practici n
domeniu. Acest lucru nseamn c organizaiile pot i ar trebui s personalizeze componentele din cadrul
entitii lor pentru a se potrivi cu specificul organizaiei.
Prin analogie, auditorii vor personaliza documentele de lucru (liste de verificare, machete, chestionare)
pe baza crora vor efectua evalurile, n funcie de specificul entitii auditate.
ISACA se preocup n continuare de actualizarea i dezvoltarea continu a cadrelor de lucru COBIT, Val
IT i Risk IT, precum i de cadrul de asigurare ITAF (The IT Assurance Framework60) i de securitate a
informaiei BMIS (Business Model for Information Security61).
60
61
Cadrul de asigurare IT
Modelul de afacere al securitii informaiei
Pag. 73 din 214
Monitorizarea riscurilor i a factorilor de risc trebuie s fie revizuit, pentru a face fa mediului n
schimbare. De asemenea, procesele i activitile trebuie s fie actualizate. Trebuie s fie meninut o
privire de ansamblu care s ofere o imagine complet a riscurilor.
2.11
Standardul ISO/CEI 27001 - Sisteme de management al
securitii informaiei
Standardul internaional ISO/CEI 27001 constituie un referenial pentru evaluarea tehnicilor de securitate
implementate n sistemele de management al securitii informaiei.
Acest standard a fost elaborat pentru a furniza un model pentru stabilirea, implementarea, funcionarea,
monitorizarea, revizuirea, ntreinerea i mbuntirea unui Sistem de Management pentru Securitatea
Informaiei (SMSI) i se aplic n toate tipurile de organizaii (de exemplu: societi comerciale, agenii
guvernamentale, organizaii non-profit).
Standardul specific cerinele pentru implementarea msurilor de securitate adaptate la nevoile
individuale ale organizaiei sau ale unor pri din aceasta, astfel nct sistemul de management al securitii informaiei s asigure selectarea adecvat a msurilor de securitate care protejeaz resursele
informatice i s asigure ncrederea prilor implicate.
ISO (Organizaia Internaional de Standardizare) i CEI (Comisia Electrotehnic Internaional) reprezint sistemul internaional specializat pentru standardizare. Comitetele tehnice ISO i CEI colaboreaz n
domenii de interes reciproc.
Standardele internaionale ISO/IEC din seria 27000 au fost elaborate de Comitetul tehnic comun ISO/CEI
JTC 1, Information technology, Subcomitetul SC 27, IT Security techniques. Acestea includ:
ISO/IEC 27000:2009 Information Technology Security Techniques Information Security
Management Systems Overview and Vocabulary
ISO/IEC 27001:2005 Information Technology Security Techniques Information Security
Management Systems Requirements
ISO/IEC 27002:2008 Information Technology Security Techniques Information Security
Management Systems Code of Practice for Information Security
ISO/IEC 27003:2010 Information Technology Security Techniques Information Security
Management Systems Information Security Management System Implementation Guidance
ISO/IEC 27004:2009 Information Technology Security Techniques Information Security
Management Systems Measurement
ISO/IEC 27005:2008 Information Technology Security Techniques Information Security
Management Systems Information Security Risk Management
Pag. 75 din 214
Adoptarea SMSI trebuie s fie o decizie strategica pentru o organizaie. Proiectarea i implementarea
unui SMSI ntr-o organizaie este influenat de nevoile i obiectivele acesteia, de cerinele de securitate,
de procesele existente i de mrimea i structura organizaiei.
Standardul internaional ISO/IEC 27001:2005 poate fi folosit pentru evaluarea conformitii de ctre
prile interesate: management, auditori interni, auditori externi i ali factori externi.
ISACA ITGI a asigurat convergena cu standardul ISO/IEC 27001:2005 prin maparea acestui standard
peste procesele COBIT. Prin trecerea la noua arhitectur COBIT 5, propus de ITWG, noul cadru de lucru
va asigura i conformitatea cu aceste standarde de securitate.
Adoptarea modelului PDCA trebuie s reflecte, de asemenea, principiile care guverneaz securitatea
sistemelor informaionale i a reelelor aa cum sunt ele exprimate n Liniile Generale ale OECD 63
Standardul internaional ISO/CEI 27001 asigura un model pentru implementarea principiilor care
guverneaz analiza riscului, planificarea i implementarea securitii, managementul securitii i
revizuirea.
Acest standard internaional acoper toate tipurile de organizaii, specific cerinele pentru stabilirea,
implementarea, funcionarea, monitorizarea, revizuirea, meninerea i mbuntirea unui SMSI
documentat n contextul general al riscurilor de afaceri ale organizaiei, precum i cerinele pentru
implementarea msurilor de securitate adaptate la nevoile individuale ale organizaiei sau ale unor pri
din aceasta.
Standardul furnizeaz, de asemenea, ndrumri pentru implementare, care pot fi folosite atunci cnd sunt
proiectate msurile de securitate.
63
Capitolul 3. Riscuri IT
Riscul IT este o component a universului general al riscurilor ntreprinderii. Alte categorii de riscuri cu
care se confrunt o ntreprindere includ: riscul strategic, riscul de mediu, riscul de pia, riscul de credit,
riscul operaional i riscul de conformitate. n multe ntreprinderi, riscul legat de IT este considerat a fi o
component a riscului operaional, de exemplu, n cadrul Basel II pentru zona financiar. Cu toate
acestea, chiar i riscul strategic poate avea o component IT, n special n cazul n care IT este element
cheie al iniiativelor de afaceri noi.
Riscul IT este un risc specific al afacerii, asociat cu utilizarea, proprietatea, operarea, implicarea, influena
i adoptarea de IT n cadrul unei ntreprinderi. Se compune din evenimente legate de IT i din condiii
care ar putea avea impact potential asupra afacerii. Acesta poate aprea cu frecven i amploare
incerte, i poate s creeze probleme n atingerea obiectivelor strategice i a obiectivelor.
Riscurile IT pot fi clasificate n diferite moduri:
Riscuri privind livrarea programelor i proiectelor IT: calitatea proiectului, relevana proiectului,
perturbri n derularea proiectului.
Apetitul pentru risc este valoarea de risc, n sens larg, pe care o societate sau alt entitate este
dispus s o accepte, n exercitarea misiunii sale (sau viziunii).
Atunci cnd se analizeaz nivelurile apetitului de risc pentru ntreprindere, sunt importani doi factori
majori:
a) Capacitatea ntreprinderii n raport cu obiectivul de a absorbi pierderile (de exemplu, pierderile
financiare, afectarea reputaiei)
b) Cultura managementului sau predispoziia fa de risc: prudent sau agresiv. Aceasta se
poate transpune n valoarea pierderilor pe care organizaia vrea s o accepte la un momnent dat,
n perspectiva unei redresri.
Apetitul pentru risc poate fi definit n practic n termenii combinaiilor frecvenei i magnitudinii unui risc.
Apetitul pentru risc este diferit n rndul organizaiilor, neexistnd absolut nici o norm sau standard
privind ceea ce constituie un risc acceptabil i inacceptabil. Fiecare ntreprindere trebuie s defineasc
nivelurile sale de risc propriu n ceea ce privete apetitul pentru risc i s opereze revizuirea acestora n
mod regulat. Aceast definiie ar trebui s fie n concordan cu cultura global a riscurilor pe care ntreprinderea dorete s o exprime, de exemplu, variind de la aversiunea fa de risc, la asumarea
riscului/cutarea oportunitilor. Nu exist nici un cuantificator universal pentru bun sau ru, dar
riscurile trebuie s fie definite, bine nelese i comunicate. Apetitului pentru risc i tolerana la risc ar
trebui s fie aplicate nu numai n evalurile de risc, dar i, n procesul de luare a deciziilor privind toate
riscurile IT.
Tolerana riscului este variaia acceptabil n raport cu realizarea unui obiectiv, cu alte cuvinte, este
abaterea tolerabil fa de nivelul stabilit de ctre apetitul pentru risc i de obiectivele afacerii (de
exemplu, standardele care impun proiecte care urmeaz s fie finalizate la termen, cu bugetele financiare
i de timp estimate, dar admind depiri de 10% din buget sau 20% din timp).
3.2
64
n funcie de problematica referit, n cadrul prezentului document se folosesc i variantele distincte audit IT/audit IS, cu
semnificaia corespunztoare, respectiv auditul arhitecturilor i infrastructurilor IT (hardware, software, comunicaii i alte
faciliti utilizate pentru introducerea, memorarea, prelucrarea, transmiterea i ieirea datelor, n orice form), precum i auditul
sistemelor, aplicaiilor i serviciilor informatice.
Pag. 83 din 214
Complexitatea sistemului informatic este conferit de o serie de caracteristici relative la: volumul
tranzaciilor, procedurile de validare a datelor sau a transferurilor de date ntre aplicaii, generarea automat a tranzaciilor, comunicaia cu alte aplicaii sau sisteme informatice, complexitatea algoritmilor de
calcul, utilizarea unor informaii provenite din surse de date externe (existente la alte entiti) fr
validarea acestora.
Un mediu informatizat poate oferi auditorilor posibilitatea unor prelucrri adiionale, prin furnizarea
informaiilor solicitate n formate cerute de auditor, n scopul interpretrii sau al utilizrii ca date de intrare
pentru programe specializate de audit asistat de calculator. Acest mod de lucru contribuie la creterea
performanei n efectuarea testelor de fond, prin aplicarea unor proceduri analitice automatizate, precum
i a performanei procedurilor de audit, prin utilizarea tehnicilor de audit asistat de calculator.
Sistemele informatice au unele caracteristici inerente care pot afecta att abordarea auditului, ct i
evaluarea efectuat de auditor cu privire la riscul de audit. Unele caracteristici ale sistemului informatic
sporesc acest risc i reclam o atenie special din partea auditorului. n seciunile care urmeaz prezint
scurte rezumate ale acestor caracteristici, accentul fiind pus pe aspectele eseniale care trebuie avute n
vedere: responsabilitatea, vulnerabilitatea la modificri, uurina copierii, riscurile accesului de la distan,
procesare invizibil, existena unui parcurs al auditului, distribuirea datelor, ncrederea n prestatorii de
servicii IT i utilizarea nregistrrilor furnizate de calculator ca prob de audit.
3.2.1 Responsabilitatea
Utilizatorii calculatorului sunt implicit anonimi. Sistemele care nu pot identifica i nregistra aciunile
utilizatorilor individuali nu pot s-i fac ulterior rspunztori de aciunile lor. Utilizatorii sunt mult mai
nclinai s efectueze activiti informatice neautorizate dac nu pot fi identificai i trai la rspundere.
Riscul procesrii de tranzacii neautorizate poate fi redus prin prezena unor controale care identific
precis utilizatorii individuali i nregistreaz aciunile acestora. Deintorii de sisteme IT / IS pot reduce
riscul asociat cu utilizatorii anonimi, n primul rnd, prin atribuirea de coduri unice de identificare
utilizatorilor i, n al doilea rnd, prin obligaia de a-i autentifica identitatea atunci cnd intr n sistem.
Parola este cea mai utilizat metod de autentificare a identitii utilizatorului.
Pentru a crete gradul de rspundere se pot aduga tranzaciilor controale suplimentare, sub form de
semnturi electronice.
considerare o expertiz cu privire la eficiena mediului de control IT, nainte de a evalua fiabilitatea datelor
informatice.
Auditorul va avea n vedere faptul c tranzaciile sau imaginile de documente provenind de la calculator
pot s nu fie admise ca probe n justiie dac nu se poate arta c exist controale destul de puternice
pentru a nltura dubiul rezonabil privind autenticitatea i integritatea datelor coninute n sistem.
3.3
n cazul informatizrii unei pri semnificative a activitii entitii, se impune evaluarea influenei
utilizrii sistemului informatic asupra riscurilor auditului (inerent i de control), avnd n vedere aspectele
legate de relevana i credibilitatea probelor de audit. Vom prezenta n continuare o serie de probleme
tipice cu impact semnificativ asupra riscului de audit.
(a) Complexitatea fluxurilor de prelucrare poate genera lipsa formelor intermediare pe care le
parcurge tranzacia, generndu-se n cele mai multe cazuri numai o form final i uneori numai
n format electronic sau disponibil numai pentru o perioad scurt de timp. n lipsa unor
proceduri de validare adecvate, erorile pot fi dificil de detectat prin proceduri manuale, proba de
audit fiind neconcludent.
(b) Alterarea probelor de audit poate fi cauzat de existena unor anomalii sau erori sistematice ale
funcionrii programelor, care afecteaz prelucrarea ntregului fond de date i duc la obinerea
unor rezultate eronate, greu de corectat prin proceduri manuale, avnd n vedere volumul mare
al tranzaciilor i complexitatea algoritmilor de prelucrare.
(c) Concentrarea operrii unor proceduri cu funcionalitate incompatibil la nivelul aceluiai individ,
proceduri care, potrivit legislaiei sau reglementrilor interne privind separarea atribuiilor, ar
trebui operate de ctre persoane diferite, genereaz executarea unor funcii incompatibile i
posibilitatea accesului i alterrii coninutului informaional n funcie de interese personale. O
cerin important legat de operarea sistemului informatic este distribuirea aplicaiilor n cadrul
entitii i alocarea drepturilor de utilizare n conformitate cu necesitatea separrii atribuiilor,
impus de legislaie.
(d) Datorit interveniei umane, care nu are ntotdeauna asociate protecii stricte privind autorizarea
accesului i intervenia asupra fondului de date, n dezvoltarea, ntreinerea i operarea
sistemului informatic, exist un potenial foarte mare de alterare a fondului de date fr o dovad
explicit.
(e) Ca urmare a gestionrii automate a unui volum mare de date, fr implicare uman, exist riscul
nedetectrii pentru o perioad lung de timp a unor erori datorate unor anomalii de proiectare
sau de actualizare a unor componente software.
(f) n cazul unor proceduri sau tranzacii executate n mod automat, autorizarea acestora de ctre
management poate fi implicit prin modul n care a fost proiectat i dezvoltat sistemul informatic
i pentru modificrile ulterioare, ceea ce presupune lipsa unei autorizri similare celei din
sistemul manual, asupra procedurilor i tranzaciilor.
(g) Eficacitatea procedurilor manuale de control este afectat de eficacitatea controalelor IT n situaia n care procedurile manuale se bazeaz pe documente i rapoarte produse n mod
automat de sistemul informatic.
Pag. 87 din 214
(h) Extinderea structurii de control intern cu controale specializate, bazate pe utilizarea tehnologiei
informaiei, are efecte n planul monitorizrii activitii entitii prin utilizarea unor instrumente
analitice oferite de sistemul informatic.
(i) Efectuarea testelor de control asupra unui volum mare de date, prin utilizarea tehnicilor i
instrumentelor asistate de calculator, este facilitat de existena unor proceduri de prelucrare i
analiz oferite de sistemul informatic.
(j) Evaluarea riscurilor n cazul misiunilor de audit n mediu informatizat trebuie s aib n vedere
probabilitatea obinerii unor informaii eronate cu impact semnificativ asupra auditului ca rezultat
al unor deficiene n funcionarea sistemului informatic,. Aceste deficiene pot fi legate att de
calitatea infrastructurii hardware i/sau software, de dezvoltarea i ntreinerea aplicaiilor, de
operarea sistemului, de securitatea sistemului i a informaiilor, de calitatea personalului implicat
n funcionarea sistemului, de calitatea documentaiei tehnice, ct i de interveniile neautorizate
asupra aplicaiilor, bazelor de date sau condiiilor procedurale impuse n cadrul sistemului.
Evaluarea riscurilor are n vedere urmtoarele tipuri de analize:
a) Dac utilizarea sistemului se realizeaz n cadrul unei structuri clar definite, conducerea este
informat despre activitatea IT i este receptiv la schimbare, gestionarea resurselor umane se face
eficient, monitorizarea cadrului legislativ i a contractelor cu principalii furnizori se desfoar corespunztor, are loc revizuirea funcionalitii, operrii i dezvoltrilor de componente, astfel nct
acestea s fie n concordan cu necesitile activitii entitii i s nu expun entitatea la riscuri
nejustificate;
b) Dac accesul neautorizat la datele sau programele critice este prevenit i controlat, mediul n care
opereaz sistemele este sigur din punct de vedere al confidenialitii, integritii i credibilitii;
c) Dac aplicaiile sunt disponibile atunci cnd este nevoie, funcioneaz conform cerinelor, sunt fiabile
i au implementate controale sigure asupra integritii datelor;
d) Dac sunt luate msurile necesare pentru diminuarea riscului deteriorrii (accidentale sau deliberate)
sau a furtului echipamentelor IT, se acioneaz corespunztor pentru reducerea probabilitii apariiei
unor defeciuni majore i sunt stabilite msurile necesare pentru ca, n cazul indisponibilizrii facilitilor de procesare, entitatea s i reia n mod eficient activitatea, ntr-o perioad de timp rezonabil;
e) Dac personalul este pregtit i are capabilitile necesare pentru operarea i ntreinerea sistemului;
f) Dac sistemul informatic este conform cu cerinele proiectului i cu reglementrile aplicabile n
vigoare.
n proiectarea procedurilor de audit, se vor lua n considerare restriciile impuse de mediul informatic i se
vor alege soluii care s reduc riscul de audit: proceduri manuale de audit, tehnici de audit asistat de
calculator, o soluie mixt, n scopul obinerii unor probe de audit de ncredere.
3.4
Argumentul fundamental al auditrii bazate pe risc este acela c livrarea serviciilor informatice joac un
rol semnificativ n toate aspectele activitilor unei organizaii. Impactul asupra unei afaceri, n condiiile n
care anumite pri ale livrrii serviciilor IT eueaz, este adesea critic, motivul fiind, n cele mai multe
cazuri, lipsa informrii privind riscurile poteniale.
Din acest motiv, n manual este prezentat un model care descrie serviciile informatice specifice
administraiei publice i riscurile asociate care apar cel mai frecvent.
Ceea ce este indispensabil n tratarea riscurilor, pe lng identificarea, evaluarea i analiza acestora,
este dezvoltarea unei strategii pentru managementul riscurilor. Pentru completitudine, pe lng evaluarea
Pag. 88 din 214
riscurilor, n lucrare sunt descrise att impactul pe care acestea l au asupra organizaiei ct i strategiile
tipice de management al riscurilor recomandate.
Sunt necesare informaii pentru a cunoate ce aciuni ar putea evolua ntr-o direcie greit, care sunt
cauzele i probabilitatea unui impact posibil, care este probabilitatea ca un risc identificat s apar, ce
trebuie fcut pentru a preveni apariia unui risc, ce ar trebui tiut dac acest risc apare, ce ar trebui fcut
pentru a diminua impactul riscului, precum i dac aciunile alternative ar putea produce alte riscuri i
dac acestea pot fi mai severe.
Realizarea efectiv a managementului riscurilor se asigur printr-o secven complex de aciuni care
include:
a) Stabilirea obiectivelor i contextului (mediul riscurilor)
b) Identificarea riscurilor
c) Analiza riscurilor identificate
d) Evaluarea riscurilor
e) Tratarea sau managementul riscurilor
f) Monitorizarea i revizuirea cu regularitate a riscurilor i a mediului acestora
g) Raportarea riscurilor
Acestea sunt trecute n revist pe scurt, urmnd a fi tratate n detaliu n coninutul manualului.
a) Stabilirea obiectivelor i contextului (mediul riscurilor)
Scopul acestei etape a planificrii este nelegerea mediului n care opereaz afacerea, att mediul de
operare extern, ct i cultura intern a organizaiei.
Analiza are n vedere stabilirea contextului strategic, organizaional i de management al riscurilor afacerii
i identificarea constrngerilor i a oportunitilor mediului de operare. n urma analizei efectuate rezult
punctele slabe, oportunitile i prioritile afacerii. De asemenea, se stabilete obiectivul afacerii fa de
care se efectueaz evaluarea riscurilor.
Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt:
analiza unor documentaii relevante ale organizaiei,
examinarea obiectivelor afacerii,
analiza planurilor de afaceri,
analiza managementului riscurilor,
identificarea vulnerabilitilor cu privire la inteniile conducerii n legtur cu atingerea
obiectivelor, analize SWOT65 i PEST66.
b) Identificarea riscurilor
Prin utilizarea informaiilor colectate n legtur cu contextul, se identific riscurile care vor afecta cu cea
mai mare probabililtate ndeplinirea obiectivelor afacerii.
Intrebrile cheie care trebuie formulate pentru a identifica riscurile sunt:
cnd, unde, de ce i cum este probabil apariia riscurilor?
care sunt riscurile asociate cu rezultatele fiecreia dintre prioritile organizaiei?
care sunt riscurile de a nu atinge aceste prioriti?
cine ar putea fi implicat n apariia unor riscuri?
Paii care se parcurg n etapa de identificare a riscurilor sunt: inventarierea riscurilor, identificarea
surselor de risc, identificarea impactului riscului.
Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt:
generarea de scenarii privind posibilele surse de risc
liste de verificare ale posibilelor riscuri ale afacerii sau ale posibilelor riscuri de fraud
65
66
c) Analiza riscurilor
In etapa de identificare a controalelor asociate riscurilor i a eficacitii acestora asupra riscurilor
respective, pentru fiecare risc se stabilesc controale adecvate i eficace pentru prevenirea sau pentru
minimizarea impactului acestuia. Eficacitatea controlului se apreciaz prin unul dintre calificativele:
neadecvat, moderat, adecvat. Aceste controale se iau n considerare n strategia de tratare a riscului.
Pentru fiecare risc trebuie definit profilul prin definirea probabilitii i a unor criterii privind consecinele.
Intrebrile cheie care trebuie formulate pentru definirea probabilitii i a unor criterii privind consecinele
apariiei riscurilor sunt:
Ct de serioase sunt consecinele dac riscul apare?
Care este probabilitatea ca riscul s apar?
Care este nivelul de risc acceptat?
Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt:
identificarea controalelor asociate riscurilor i a eficaciti acestora
definirea probabilitii i a consecinelor (matricea riscurilor).
d) Evaluarea riscurilor
In procesul de evaluare a riscului este necesar stabilirea nivelului de risc ca fiind acceptabil sau
inacceptabil.
Riscul acceptabil va fi stabilit de raportul dintre importana informaiei i sursele de finanare existente
pentru obinerea i gestionarea acesteia.
Dac riscul este acceptabil nu sunt necesare tratri suplimentare pe lng controalele curente. Riscurile
acceptabile trebuie s fie monitorizate i revizuite periodic pentru a avea asigurarea c rmn
acceptabile.
Dac riscul este inacceptabil este necesar tratarea corespunztoare a acestuia.
Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt:
analize comparative
analize de costuri
modul de percepere a ameninrii
analiza efectelor poteniale.
e) Tratarea sau managementul riscurilor
Obiectivul acestei etape a procesului de evaluare a riscului este de a gsi opiuni cu costuri mici pentru
tratarea riscului. Metodele de tratare sunt: prevenirea riscului, reducerea riscului, transferarea riscului
ctre alt zon i tratarea propriu-zis a riscului. Pentru fiecare risc se determin opiunile de tratare care
vor fi implementate, se determin nivelul de risc, se aloc responsabilitile i se elaboreaz graficul de
implementare.
Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt:
alocarea responsabilitilor
elaborarea graficului de implementare.
f) Monitorizarea riscurilor
Riscurile i prioritile asociate nu rmn constante, fiind necesar o monitorizare continu a riscurilor
identificate i a riscurilor noi.
Pentru monitorizarea riscurilor trebuie stabilite: modul de msurare a prelucrrilor, termene, analize comparative, cine are responsabilitatea revizuirii, stadiul tratrii riscurilor, frecvena revizuirilor.
Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt:
elaborarea i ndeplinirea planurilor de aciuni,
analize comparative
raportarea riscurilor
g) Raportarea riscurilor
Este necesar implementarea unui cadru de lucru care s permit persoanelor responsabile s prezinte
rapoarte privind: riscurile cheie, modul de gestionare a riscurilor, eficacitatea strategiei de tratare, identificarea unor riscuri noi cu implicaii pentru afacere.
Riscurile neacceptabile i strategiile de tratare a acestora trebuie incluse n planurile de afaceri ale organizaiei.
3.5
3.5.1 Dependena de IT
Dependena de tehnologiile informaiei este un factor cheie n condiiile n care tendina actual este de a
se generaliza utilizarea calculatoarelor n toate domeniile economice i sociale.
n scopul evalurii dependenei conducerii de tehnologiile informaiei, auditorul va examina urmtoarele
aspecte relevante: gradul de automatizare al entitii, complexitatea sistemelor informatice utilizate i
timpul de supravieuire al entitii n lipsa sistemului IT.
Factori de risc
(a) Gradul de automatizare se determin prin inventarierea echipamentelor i tehnologiilor software
existente, aprecierea numrului i importanei sistemelor informatice sau aplicaiilor care funcioneaz i
sunt utilizate n cadrul entitii pentru conducerea proceselor, evaluarea ponderii activitilor informatizate
n totalul activitilor entitii, precum i a gradului de acoperire a necesitilor n compartimentele funcionale i la nivelul conducerii.
Pag. 91 din 214
(b) Complexitatea sistemelor IT este determinat de complexitatea i specificul activitii (economic, industrial, social, cultural, de nvmnt, cercetare etc.) i poate fi caracterizat de volumul tranzaciilor
gestionate de sistemele informatice, de forma de prezentare (alfanumeric, multimedia, analogic), de
tehnologia folosit, de modul de operare (n timp real sau n loturi), de volumul tranzaciilor generate
automat de ctre aplicaii.
(c) Timpul de supravieuire fr IT poate fi un factor de risc major n cazul sistemelor pentru care timpul
de rspuns este critic (mai ales pentru sistemele cu funcionare n timp real), al sistemelor care prelucreaz un volum mare de tranzacii, al sistemelor care au la baz algoritmi i modele complexe a cror
rezolvare nu se poate efectua manual, precum i n entitile care au ntreaga activitate informatizat iar
substituirea procedurilor automate prin proceduri manuale este foarte costisitoare sau imposibil. n unele
cazuri, ntrzierile datorate nefuncionrii sistemului informatic se transfer n costuri semnificative
suportate de ctre entitate, cu impact major asupra afacerii.
descrierea posturilor;
planificarea personalului;
contracte speciale;
rotaia personalului;
concediile personalului.
Factori de risc
(a) Aptitudinile curente se constituie n cadrul structurii profesionale a angajailor IT prin aciuni care
influeneaz nivelul de pregtire al angajailor IT n raport cu necesitile entitii. Se determin prin
evaluarea personalului IT i prin analiza diseminrii cunotinelor la nivelul ntregului personal. Este de
dorit ca aceste cunotine s nu fie concentrate la nivelul unui numr restrns de personal.
(b) Resursele comparate cu volumul de munc indic gradul de ncrcare a personalului i acoperirea n
raport cu cerinele activitii entitii. Este un factor de risc important ntruct repartizarea dezechilibrat a
sarcinilor poate genera suprasolicitare i, implicit, insatisfacia personalului.
(c) Structura conducerii departamentului IT este determinant n ceea ce privete coordonarea proiectelor
informatice i valorificarea rezultatelor implementrii i utilizrii acestora pentru asigurarea succesului
afacerii.
(d) Fluctuaia personalului se refer la o perioad de un an i este determinat n principal de satisfacia
profesional i material i de moralul personalului IT.
Pag. 92 din 214
3.5.3 ncrederea n IT
ncrederea actorilor implicai n utilizarea sistemelor informatice sau n valorificarea rezultatelor furnizate
de acestea n cadrul unei entiti (management, utilizatori, auditori) este determinat att de calitatea
informaiilor obinute, ct i gradul n care se asigur utilizarea tehnologiilor informatice ca instrumente
accesibile i prietenoase n activitatea curent.
Factori de risc
(a) Complexitatea sistemului i documentaia disponibil. Sunt apreciate prin percepia privind
complexitatea calculelor i a proceselor controlate de ctre sistemele IT, prin amploarea automatizrii
activitilor desfurate n cadrul entitii, prin calitatea i varietatea interfeelor, prin informaiile documentare aferente utilizrii aplicaiilor i sistemului. De asemenea, este relevant opinia utilizatorilor despre
dificultatea operrii.
Riscurile asociate unor politici neadecvate n ceea ce privete existena i calitatea documentaiei sunt
generate de practici de lucru neautorizate adoptate de personalul IT, de creterea numrului de erori produse din aceast cauz de personalul IT, la care se adaug i dificultatea ntreinerii sistemului, precum i
dificultatea diagnosticrii erorilor.
Politica privind documentarea impune n primul rnd pstrarea i utilizarea documentaiei actualizate la
ultima versiune i pstrarea unei copii a documentaiei ntr-un loc sigur n afara sediului entitii.
(b) Integrarea/fragmentarea aplicaiilor. Opinia privind gradul de integrare a aplicaiilor n sistem decurge
din analiza arhitecturii acestuia. n cele mai multe cazuri entitatea nu deine o soluie integrat a sistemului informatic, acesta fiind constituit din implementri de aplicaii insularizate, dedicate unor probleme
punctuale (aplicaia financiar-contabil, aplicaii dedicate activitii de baz a entitii etc.). Acest tip de
arhitectur prezint dezavantaje la nivelul utilizrii, precum i o serie de impedimente cum ar fi: dificultatea (sau chiar imposibilitatea) de a asigura interoperabilitatea aplicaiilor i a evita multiplicarea
informaiilor. Tranzaciile sunt procesate n cadrul unor aplicaii informatice distincte, informaiile introduse
n sistem sunt validate ntr-o manier eterogen, respectiv prin proceduri automate combinate cu proceduri manuale, pentru a se asigura detectarea i corectarea erorilor de intrare, precum i detectarea
inconsistenei sau redundanei datelor. Lipsa unei soluii integrate se reflect de asemenea n existena
unor baze de date diverse, unele instalate pe platforme hardware/software nvechite, existena unor
interfee utilizator diferite i uneori neadecvate, a unor faciliti de comunicaie reduse i a unor probleme
de securitate cu riscuri asociate.
(c) Erori sistematice/intervenii manuale. Pentru a evalua sigurana n funcionare i pentru a detecta
cauzele tipice n situaia fiabilitii sczute a sistemului informatic, este necesar efectuarea unei examinri privind erorile raportate n cadrul utilizrii sistemului i n ce msur este asigurat suportul tehnic
pentru analiza i corectarea acestora n mediul de producie, n ce msur datele generate de sistem
sufer prelucrri manuale adiionale din partea utilizatorilor, precum i problemele de reconciliere ntre
diverse sisteme informatice sau din cadrul sistemului (dac exist). Dup cum am menionat n paragraful anterior, gradul ridicat de fragmentare al sistemului informatic implic aciuni frecvente ale utilizatorului n procesul de prelucrare i influene n ceea ce privete respectarea fluxului documentelor, ceea
ce crete foarte mult riscul de eroare.
(d) Scalabilitatea sistemului. n funcie de soluia arhitectural implementat i de estimrile iniiale privind
dimensiunea bazei de date i complexitatea prelucrrilor, un sistem poate "rezista" sau nu la creteri semnificative ale volumului de tranzacii generate de schimbri majore n activitatea entitii. Estimarea
riscului ca, n viitorul apropiat, sistemul informatic s nu poat suporta creterea volumului de tranzacii
implic decizii importante la nivelul managementului, n sensul reproiectrii acestuia, i, implicit, privind
alocarea unui buget corespunztor.
Pag. 93 din 214
(e) Sisteme depite. Evoluiile remarcate n activitatea organizaiilor, ct i dinamica crescut n evoluia
tehnologiilor informaiei se reflect frecvent n dificultatea sau imposibilitatea adecvrii ritmului schimbrilor sistemelor informatice cu nivelul tehnologic. Succesul afacerii va avea de suferit n lipsa unui
management al schimbrii platformelor hardware/software corespunztor, prin adoptarea unor politici de
nlocuire a sistemelor depite i de cretere continu a nivelului tehnologic.
Care sunt nivelul i natura activitii departamentului IT i dac sunt n desfurare proiecte
semnificative.
Dac achiziia i/sau dezvoltarea de programe s-au realizat pe baza cerinelor afacerii.
Care este reputaia furnizorilor externi IT i a sistemelor folosite n cazul achiziiei de
software, precum i metodologia de dezvoltare intern a aplicaiilor.
Dac noua platform hardware/software are n vedere tehnologii de ultim generaie.
n ce msur se vor impune n viitorul apropiat modificri n sistemele IT generate de modificri structurale ale proceselor afacerii.
Pag. 94 din 214
costurile: furnizorii de servicii IT ofer servicii mai ieftine dect soluia in-house, prin exploatarea extensiv a configuraiilor proprii;
responsabilitate: furnizorul este responsabil pentru rezolvarea problemelor care fac obiectul
contractului, pentru livrarea serviciilor la standardele i preurile stabilite;
Opiunea privind externalizarea serviciilor IT trebuie s se bazeze pe o bun cunoatere a pieei n scopul
alegerii celei mai adecvate soluii privind: reputaia furnizorilor, costurile corelate cu calitatea serviciilor.
Factori de risc
Evaluarea riscurilor achiziionrii serviciilor IT de la un furnizor de servicii se face n funcie de poziia
entitii auditate n acest proces: entitatea auditat este furnizorul serviciilor IT sau entitatea auditat
achiziioneaz serviciile IT. Examinarea este diferit pentru fiecare caz n parte. Auditorul va revizui
controalele specifice n funcie de unghiul de vedere al auditului: controale de acces logice i fizice,
controale privind managementul schimbrii etc.
(a) Drepturi de acces n auditul extern. Auditorul extern poate avea nevoie s acceseze sistemele
furnizorului de servicii pentru a verifica acurateea prelucrrilor informaiilor entitii auditate i c nu sunt
factori semnificativi care ar putea s afecteze evaluarea auditorului referitoare la fraud sau erori
materiale. Pentru serviciile furnizate intern, evaluarea se va baza pe revizuirea sistemelor de control
Pag. 95 din 214
interne ale entitii auditate. Indiferent de modul de furnizare a serviciilor, auditorul trebuie s neleag
sistemele de control intern i fluxul tranzaciilor n sistem. Dac auditorul extern decide c este necesar
accesul direct la furnizorul de servicii, n contractul semnat cu furnizorul trebuie s existe o clauz n acest
sens.
(b) Prelucrarea erorilor. Pentru asigurarea c prelucrrile efectuate de furnizor sunt corecte i complete,
clientul poate avea nevoie de proceduri de reconciliere a datelor trimise furnizorului cu datele primite dup
ce prelucrarea s-a finalizat. Este necesar stabilirea unei proceduri privind reconcilierea, pentru cazul
cnd sunt depistate erori de prelucrare.
(c) Controlul privind securitatea sistemului. Furnizorul de servicii IT este obligat s menin un nivel de
securitate corespunztor n ceea ce privete informaiile clientului. Exist riscul ca standardele i
procedurile de securitate implementate de furnizor s fie sub nivelul adoptat de client. Pentru a reduce
acest risc n contract trebuie incluse clauze care s stipuleze responsabilitatea furnizorului de a asigura
securitatea datelor clientului n concordan cu un standard specific.
(d) Dependena de furnizorul de servicii IT. Odat cu contractarea furnizrii serviciilor IT, pentru client
exist riscul de a deveni dependent de un anumit furnizor de servicii cel puin pe perioada contractului,
majoritatea expertizei IT interne transferndu-se n serviciile furnizorului. Devine dificil renunarea la
furnizorul de servicii sau trecerea la un alt furnizor n condiii limit (probleme legale, faliment, lichidare).
Pentru a reduce riscul care decurge din dependena de serviciile existente, contractul trebuie s conin
clauze care s protejeze clientul, privind predarea lucrrilor dup rezilierea contractului, pentru a uura
trecerea la alt furnizor i a permite clientului s continue prelucrarea ntr-o manier satisfctoare.
(e) Pierderea flexibilitii. In procesul de contractare, clientul agreeaz cu furnizorul natura serviciilor ce
vor fi furnizate. n cazul schimbrilor survenite n activitatea organizaiei beneficiare, furnizorul nu este
obligat s admit executarea noilor activiti care, de fapt, nu fac obiectul contractului. Acest aspect se
regsete n special n sectorul public unde dinamica schimbrilor este mare, acestea fiind determinate
de schimbri de guvern sau de politic. Pentru reducerea riscului, clientul trebuie s includ n contract
clauze privind schimbarea sistemului n condiiile schimbrii obiectivelor afacerii.
(f) Costul schimbrilor. Dac furnizorul de servicii IT nu are obligaii contractuale n ceea ce privete
schimbarea sistemului n concordan cu noile cerine este necesar ncheierea unui act adiional care n
multe cazuri conine o valoare mare. Clientul trebuie s-i ia msuri pentru a reduce riscul de a fi forat s
plteasc sume mari, ori de cte ori sunt necesare schimbri prin includerea n contract a unor clauze
care s specifice costurile adiionale pentru schimbri ale sistemelor, ale coninutului serviciilor sau pentru
schimbri n ceea ce privete volumul tranzaciilor prelucrate.
(g) Pierderea specialitilor interni proprii i a expertizei n domeniu. Prin contractarea serviciilor IT cu o
ter parte, clientul nu mai are nevoie de specialiti IT la care renun, ceea ce i reduce capacitatea de a
gestiona problemele tehnice i de a le discuta cu furnizorul de servicii. Pierderea expertizei tehnice
determin necesitatea de a reface echipa proprie, ceea ce poate fi dificil de realizat. Acest risc este
asumat din momentul lurii deciziei de externalizare a serviciilor.
(h) Rezistena personalului. n cazul variantei de externalizare pe criterii de performan, exist riscul
reaciilor adverse din partea personalului care este n pericol s-i piard locul de munc. Schimbrile se
reflect n: numrul de ore de munc, condiiile de munc, ealonarea plilor, senzaia de frustrare a
salariailor, i pot conduce la resentimente ale personalului, la scderea productivitii i a performanelor.
Auditorul trebuie s ia n considerare aceste aspecte n evaluarea riscului unor comportamente care s
conduc la activiti neautorizate, fraud sau sabotaj.
Contractul
Reducerea riscurilor n cazul externalizrii serviciilor IT este asigurat de clauzele contractuale care
protejeaz ambele pri de efecte nerezonabile. Contractele cu furnizorii de servicii includ clauze
referitoare la: durata contractului, condiiile de reziliere, accesul pentru audit, definirea obligaiilor, penaliti, drepturile de proprietate intelectual, proprietatea asupra datelor, condiiile de predare la sfritul/ntreruperea contractului, standarde de securitate, natura i nivelul serviciilor, costuri adiionale/ comisioane, controlul schimbrii.
Contractele specific detalii privind serviciile furnizate i trebuie examinate de ctre auditor. Pentru
asigurarea c serviciile sunt livrate n mod satisfctor, clientul trebuie s stabileasc proceduri de
monitorizare care s includ ntlniri periodice i la cerere ntre reprezentanii managementului furnizorului i ai clientului pentru a discuta asupra serviciilor livrate i pentru rezolvarea problemelor aprute.
n ceea ce privete dezvoltarea de sisteme informatice de ctre utilizatori, auditorul va evalua
riscurile care decurg din dezvoltarea intern a sistemelor informatice (resurse de dezvoltare/implementare/colarizare etc.). Se vor trata difereniat cazurile n care entitatea are un departament IT care are ca
atribuii dezvoltarea de sisteme i aplicaii, fa de situaiile n care dezvoltrile se fac ad-hoc, fr
utilizarea unui suport metodologic adecvat i fr participarea unor specialiti cu atribuii definite n acest
domeniu.
Strategia IT trebuie s fie o parte a strategiei entitii i s contribuie prin suportul oferit la
atingerea obiectivelor acesteia. Sistemele IT vor fi instalate i utilizate ntruct sunt
necesare, nu n funcie de dorina personalului;
Investiiile IT trebuie s constituie cheltuieli care trebuie justificate prin efectele pe care le au
asupra afacerii;
Strategia IT se refer n general la o perioad de trei ani, fiind dificil de estimat dinamica
schimbrilor tehnologice n domeniu;
Personalul trebuie s fie informat asupra principalelor aspecte incluse n strategia IT;
Pag. 97 din 214
Factorii de risc privind focalizarea strategiei IT pe obiectivele afacerii se pot sintetiza astfel:
(a) Corelaia ntre strategia IT i strategia ntregii afaceri. Se examineaz dac obiectivele departamentului IT sunt consistente cu obiectivele ntregii afaceri, dac planificarea anual a departamentului IT
este realizat pe baza prevederilor strategiei.
(b) Contientizarea conducerii fa de riscurile IT. Se analizeaz n ce msur conducerea este
contient de importana sistemelor IT i de riscurile asociate acestora.
(c) Necesiti curente raportate la funcionalitatea IT. Se evalueaz flexibilitatea i adaptabilitatea sistemelor IT i modul n care sistemele informatice acoper necesitile curente ale afacerii.
(b) Senzitivitatea datelor. Avnd n vedere c tentativele de fraud asupra datelor din sistemul informatic
sunt stimulate de interesul manifestat pentru informaiile confideniale, se apreciaz ct de confideniale
sunt datele gestionate de ctre sistemele IT, pentru a evalua probabilitatea de atac asupra acestora i
pentru a stabili dac controalele implicate de politica de securitate sunt suficient de riguroase.
(c) Legislaie i regulamente. Se evalueaz modul de aliniere a entitii la contextul legislativ i de
reglementare, prin prisma caracterului informaiilor gestionate de sistemele IT (de exemplu, privind
protecia datelor cu caracter personal).
Riscurile asociate cu controale ale accesului logic neadecvate
Cele mai importante riscuri care pot decurge din lipsa controalelor accesului logic sunt:
Modificri neautorizate;
Dac sistemul este conectat ntr-o reea de arie larg, cum ar fi reeaua Internet, riscurile sunt cu mult mai
mari, iar controalele accesului logic cu mult mai importante pentru a asigura integritatea, disponibilitatea i
confidenialitatea sistemului. Atacatorii pot fi hackeri, funcionari, foti funcionari, competitori, spioni,
vnztori i consultani.
Consecinele violrii securitii accesului logic se pot reflecta ntr-o gam de efecte care pot afecta att
afacerea, ct i opinia de audit. Acestea pot fi:
a) Pierderi financiare: pot fi directe, decurgnd dintr-o fraud sau indirecte, decurgnd din costurile
modificrilor i corectrii datelor i programelor.
b) Obligaii legale: entitatea poate avea obligaii legale privind stocarea i dezvluirea datelor. De
exemplu, informaiile dezvluite pot intra sub incidena legii proteciei datelor cu caracter personal, sau,
pierderea integritii ntr-un mediu bancar poate produce nclcarea regulilor bancare i aciuni
disciplinare pentru aceasta.
c) Pierderi ale aciunilor pe pia i/sau a credibilitii: sunt foarte grave n special n sectorul serviciilor
financiare (bnci, fonduri de investiii) unde pot conduce la pierderea afacerii.
d) Distrugerea activitilor afacerii: de exemplu, dac un hacker ptrunde n sistemul de fabricaie asistat
de calculator al unei organizaii i schimb toate dimensiunile produselor.
e) Calificarea opiniei de audit: intereseaz cel mai mult pe auditorul extern, avnd n vedere c datele din
sistemul informatic nu pot fi auditate, ntruct nu ofer probe de ncredere, i pot conine erori materiale
datorate alterrii lor.
Riscuri asociate reelelor i conexiunilor la Internet
Prin conectarea sistemelor entitii n reea apare potenialul unor riscuri majore generate de accesul unor
utilizatori anonimi externi sau al unor funcionari neautorizai care conduce la:
Infectarea cu virui i viermi. Infeciile cu viermi sunt proiectate special pentru a fi rspndite n reele. Infeciile cu virui sunt cu mult mai posibile ntruct msurile tradiionale
de protecie (scanarea) sunt mai puin eficace.
Implicaiile privind securitatea i controlul, care decurg din conectarea la Internet a unei organizaii au la
origine o serie de caracteristici ale comunicaiei n reeaua Internet care pot genera riscuri majore pentru
securitatea sistemului entitii. Cele mai importante sunt:
caracterul anonim al unor utilizatori care vor s contravin principiilor accesului n Internet;
vulnerabilitatea confidenialitii prin interceptarea parolei cu ajutorul unor programe specializate
n cursul nregistrrii pe anumite site-uri;
aciunile hackerilor, pirateria i pornografia;
aciunea unui software ru intenionat (virui, programe de tip "cal troian").
Protecia securitii are aspecte specifice acestui tip de comunicaie: educarea utilizatorilor proprii privind
consecinele unui comportament neadecvat sau ale neglijrii unor precauii legate de utilizarea reelei
Internet, utilizarea serviciilor unui provider n locul conexiunii fizice la Internet, n scopul evitrii expunerii
directe a sistemului de calcul propriu la atacuri din reeaua Internet.
Furtul calculatoarelor sau al componentelor, care este n continu cretere avnd n vedere
tentaia indus de valoarea mare a acestora i gabaritul mic;
Vrfurile sau cderile de tensiune care pot produce deteriorarea componentelor i pierderea
sau alterarea informaiilor;
Trecerea peste controalele accesului logic (parole de acces), avnd acces fizic la fileserver;
Cderi ale sistemului datorate creterilor sau scderilor de temperatur sau de umiditate
peste/sub limitele normale admise;
(c) Personalul IT nu tie s gestioneze rezolvarea problemelor sau raportarea erorilor: ncercarea de a
le rezolva singuri poate provoca pierderi i mai mari;
(d) ntrzieri i ntreruperi n prelucrare: sunt alocate prioriti greite n programarea unor sarcini date;
(e) Lipsa salvrilor i a planificrii incidentelor probabile: crete riscul incapacitii de a continua
prelucrarea n urma unui dezastru.
(f) Lipsa capacitii (resurselor) sistemului: sistemul poate fi incapabil de a prelucra tranzaciile
deoarece este suprancrcat.
(g) Timpul mare al cderilor de sistem pn la remedierea erorii: cnd sistemele sunt indisponibile se
poate construi un jurnal provizoriu care s conin tranzaciile netransmise.
(h) Probleme ale utilizatorilor nerezolvate datorit funcionrii defectuoase a facilitii Helpdesk.
Sisteme care nu includ controale privind: integritatea datelor, intrrile, prelucrrile sau
ieirile;
(b) Duplicarea efortului rezult din efectuarea unor sarcini care se execut i n departamentul de
informatic pentru rezolvarea aceleiai probleme, n lipsa unei coordonri unitare. Din acest punct apar
probleme adiionale privind renunarea la una dintre variante, dublarea efortului de ntreinere i
documentare, sau, n unele cazuri, obinerea de rezultate diferite n urma prelucrrii datelor.
(c) Inconsistena datelor provine din utilizarea sistemului distribuit care prelucreaz date inconsistente din
departamente diferite (tarife de plat pentru colaboratori, uniti de msur, costuri unitare, regii) care, n
lipsa unificrii la nivelul departamentului IT, sunt preluate n prelucrri ca atare.
Alte costuri adiionale ascunse (aferente timpului suplimentar pe care utilizatorul l folosete
pentru rezolvarea problemelor, comparativ cu specialitii IT),
Lipsa controalelor privind protecia informaiilor creeaz condiii pentru fraud n mediul
informatizat creat de utilizator.
(h) Virusarea calculatoarelor. Calculatoarele personale ale utilizatorilor pot infecta programele de pe
servere i celelalte calculatoare din reeaua entitii, fiind o surs potenial de virui preluai de pe supori
tehnici de arhivare a datelor, neprotejai de un program antivirus (floppy disk, CD ROM etc.) sau din
reeaua Internet.
(i) Securitatea accesului logic sau fizic. Majoritatea calculatoarelor personale utilizeaz sisteme de
operare proiectate pentru utilizatori individuali, i, n consecin, cu restricii limitate privind controalele
accesului logic, cunoscute, n cele mai multe cazuri de ctre utilizator i posibil de depit de utilizatori
neautorizai, cu cunotine n domeniul IT. Accesul fizic la calculatoarele personale, este mai puin
controlat. Sistemul informatic al entitii (servere i minicalculatoare) funcioneaz, de regul, ntr-un
mediu controlat, cu acces restricionat prin chei, carduri de acces etc., ceea ce nu se ntmpl n cazul
calculatoarelor personale. Datele sunt n general memorate pe dischete sau pe CD ROM, putnd fi uor
copiate, editate sau terse de utilizatori neautorizai.
3.6
n luna octombrie 1999, cu ocazia celei de-a opta ntlniri, INTOSAI Standing Committee on IT Audit a
iniiat proiectul The IT Infrastructure Management Project, care a pornit de la necesitatea elaborrii unui
instrument de audit orientat pe managementul infrastructurii IT n administraiile publice. Proiectul a fost
coordonat de Oficiul Auditorului General al Norvegiei i a avut ca membri SAI-uri din Anglia, Suedia,
Japonia, Canada i Rusia.
Obiectivul principal al proiectului a fost de a furniza un model de audit pentru managementul
infrastructurilor IT, care s poat fi utilizat pentru diferite niveluri ale infrastructurilor IT. Pentru a asigura
conformitatea cu aceste obiective, grupul de lucru al proiectului a elaborat liniile directoare pentru un
model generic de audit al managementului serviciilor, care include managementul infrastructurii IT. Acesta
reprezint un instrument pentru asistarea auditurilor managementului serviciilor IT n administraia
public, bazate pe evaluarea riscurilor i pe principiile de management al riscurilor. Premisa a fost
constatarea c un numr important de audituri au atribuit ca motiv principal de eec al serviciilor IT lipsa
de contientizare n ceea ce privete riscurile. n acest cadru, a fost realizat un portofoliu al riscurilor IT,
obinut n urma unei vaste cercetri desfurate pe acest subiect, prin colectarea i capitalizarea
informaiilor relevante privind riscurile, furnizate de SAI-uri din ntreaga lume.
Managementul serviciilor IT. Infrastructura IT este destinat furnizrii serviciilor IT care s satisfac
diferite cerine legate de necesitile afacerii. Aceste servicii pot varia de la aplicaii simple, pn la
sisteme complexe, cum ar fi automatizarea ntreprinderii. Serviciile pot fi distribuite pe un numr mare de
sisteme hardware, software i de comunicaii i pot fi furnizate intern, de ctre organizaii externe, prin
externalizare, precum i ntr-o manier eterogen.
Modelul de management al riscurilor prezentat n acest capitol ia n considerare opt arii de risc,
corespunztoare arhitecturii de referin privind furnizarea serviciilor IT, elaborate de INTOSAI Standing
Committee on IT Audit:
1 Managementul de vrf
2 Strategii i politici
3 Operare
4 Externalizarea serviciilor
5 Servicii suport
6 Cerine externe, constrngeri i reglementri formale
7 Interaciunea utilizatorilor cu serviciile electronice
8 Consecinele furnizrii serviciilor IT asupra instituiilor publice, mediului de afaceri i cetenilor
Tabelul 1
Risc
Impact
b. Oportuniti pierdute
Organizare
Obiectiv: Managementul de vrf trebuie s asigure organizarea eficient i eficace a serviciilor IT pentru a
permite ndeplinirea obiectivelor organizaionale stabilite.
Tabelul 2
Risc
Impact
Conducere
Obiectiv: Managementul de vrf trebuie s asigure direcionarea dezvoltrii serviciilor IT necesare pentru
crearea unui mediu adecvat, capabil s susin prosperitatea, performana i creterea.
Tabelul 3
Risc
1. Motivaie slab a personalului n ceea ce privete
receptivitatea fa de serviciile IT
Impact
a. Obiective conflictuale ale managementului conduc la
performana sczut a salariailor
b. Reducerea capacitii de a ndeplini obiectivele cheie
Control i monitorizare
Obiectiv: Managementul de vrf trebuie s stabileasc proceduri pentru controlul i monitorizarea
activitilor de furnizare a serviciilor IT.
Tabelul 4
Risc
Impact
a. Motivare sczut
2.
3.
4.
Impact
a. Eec n ndeplinirea obligaiilor statutare sau
contractuale
b. Pierderea unor oportuniti de afaceri
c. Eec n aplicarea la timp a politicii guvernamentale
3.6.3 Operare
Asigurarea dezvoltrii sistemului
Obiectiv: Asigurarea c procesele de dezvoltare a sistemului sunt proiectate pentru a susine obiectivele
asumate de organizaii.
Tabelul 6
Risc
1. Un proiect IT/proiectele IT nu este/nu sunt n
concordan cu planurile organizaiei sau cu
strategia IT
Impact
a. Sistemul IT nu suport obiectivele afacerii
b. Ineficacitatea utilizrii resurselor
c. Livrarea proiectului nu este acceptat de utilizatori
Tabelul 7
Risc
Impact
a. Pierderea datelor
b. Organizaia nu poate livra serviciile la timp
c. Procedurile backup/recovery trebuie s fie consistente
cu nevoile organizaiei (de exemplu, utilizarea rezervei
calde cnd nu este necesar)
d. Procedurile nu sunt eficiente
a. Pierderea datelor
b. Date incorecte
c. Cderea programului
Impact
Impact
a. Sarcinile nu pot fi aduse la ndeplinire
b. Pierderea datelor datorit utilizatorilor fr experien
a. Pierderea credibilitii
b. Eec n satisfacerea cerinelor utilizatorilor
c. Schimbrile n sistem vor fi fcute de salariai
inteligeni datorit lipsei de responsabilizare
Pag. 113 din 214
Impact
a. Probleme n livrarea la timp a seviciilor
b. Calitate sczut
c. Asupra sistemelor IT relevante
d. Rata de nlocuire a personalului
e. Personal lipsit de experien
f. Nencredere n personalul cheie
b. Pierderea competitivitii
4. Utilizarea neeficace a resurselor datorit lipsei
abilitilor utilizatorilor
Finanare
Obiectiv: Organizaia trebuie s primeasc fonduri suficiente pentru a permite dezvoltarea infrastructurii
IT, astfel nct s se ating obiectivele organizaionale.
Tabelul 11
Risc
1. Infrastructura IT nu este actualizat
Impact
a. Organizaia poate s nu ating obiectivele stabilite
b. Infrastructura nu contribuie la progresul
organizaional i/sau la schimbrile sociale
c. Infrastructura IT este dificil i costisitor de ntreinut
d. Probleme cu recrutarea personalului calificat care s
neleag tehnologia nvechit
e. Probleme cu recrutarea personalului necesar, att
pentru departamentele sau funciile tehnice ct i pentru
cele de afaceri
f. Costuri mari de operare pentru exploatarea i
ntreinerea sistemelor perimate
Impact
a. Eficacitatea i eficiena infrastructurii IT nu vor fi
optimizate
b. Obstrucionarea introducerii guvernrii electronice
c. Costuri excesive datorate meninerii sistemelor
ineficiente i neeconomice bazate pe hrtie sau
perimate
Impact
Impact
n particular:
1) serviciul nu reuete s ating funcionalitatea
cerut;
2) serviciul nu este disponibil pentru a fi utilizat la
momentul potrivit;
3) nu sunt furnizate mijloacele preferate de acces;
4) serviciul nu este accesibil pe o arie geografic
suficient de mare;
5) serviciul este scump de accesat;
6) serviciul este neprietenos i dificil de utilizat;
7) serviciul nu poate fi utilizat de vorbitori de limbi
strine;
8) nu este oferit nici o posibilitate de contact direct
(fa n fa) cu utilizatorii finali
3. Livrarea serviciilor electronice nu reuete s ofere
creteri semnificative ale calitii
a. Investiii pierdute
b. Insatisfacia publicului i publicitate advers
c. Utilizarea serviciilor ineficient, sub-utilizarea
serviciilor
b. Publicitate negativ
c. Necesitatea de ntoarcere la sisteme ineficiente,
perimate sau de perpetuare a unor astfel de sisteme
d. Impact negativ asupra moralului personalului.
e. Dificulti datorate incapacitii de a respecta
condiiile legislative i politice
Impact
a. Productivitate sczut / standard sczut al serviciului
b. Utilizatorii evit s utilizeze serviciul, rezultnd
pierderi ale investiiei
c. Performan sczut n atingerea obiectivelor
organizaiei
d. Dificulti politice
Impact
Impact
a. Lucrul interoperabil nu poate fi exploatat datorit:
1) ignoranei despre:
unde i cnd au fost obinute
datele care trebuie schimbate ntre servicii;
ce reprezint datele;
cine poate accesa datele n mod legal i le poate utiliza pe cele
puse la dispoziie;
2) formate de date incompatible.
b. Pierderea rspunderii prin:
incapacitatea de a reconstitui, recupera sau de a citi nregistrrile
Pag. 120 din 214
Managementul schimbrii
Obiectiv: Asigurarea c schimbrile asupra serviciului electronic sunt implementate ntr-o manier care s
nu genereze probleme.
Schimbarea gestionat defectuos poate induce probleme n ceea ce privete funcionalitatea i n modul
n care rspunde serviciul electronic, probleme care se manifest prin rate ridicate de eroare i de cdere.
Tabelul 18
Risc
1. Managementul schimbrii este ineficace.
Impact
a. Schimbarea gestionat defectuos poate induce
probleme n ceea ce privete funcionalitatea i n
modul n care rspunde serviciul electronic, care se
manifest prin rate ridicate de eroare i de cdere.
Acestea antreneaz:
1) pierderi ale investiiei prin eec n satisfacerea
cerinelor utilizatorului;
2) pierderea unor oportuniti ale afacerii prin
inabilitatea de a rspunde rapid i eficace la
schimbrile necesitilor i obiectivelor afacerii
3) costuri mari de operare (datorate necesitii de a
recupera sistemul, de reluare a unor operaii) i
pierderi n producie;
4) insatisfacie n rndul personalului din cauza lipsei
de fiabilitate a sistemelor;
5) insatisfacia publicului i neplceri politice rezultnd
din disfuncionaliti ale serviciului i/sau eec n
furnizarea unui nivel adecvat al serviciului.
Tabelul 19
Risc
1. Securitate a informaiei ineficace
Impact
a. O securitate a informaiei ineficace poate avea impact
dramatic asupra operaiilor afacerii.
Poate avea, de asemenea, un impact semnificativ
asupra percepiei publicului n ceea ce privete serviciile
electronice (n mod particular, cnd implic fraud),
rezultnd ntr-o pierdere general a ncrederii.
Impactul specific include:
1) dezvluirea neautorizat a informaiei sensibile
despre afacere i/sau personale, care ar putea
avea ca rezultat impactul distrugtor ulterior asupra
afacerii i asupra indivizilor);
2) manipularea neautorizat a informaiei, care poate
avea impact i poate avea ca rezultat frauda i
corupia datelor personale (ex. datorate erorilor
software sau atacurilor viruilor);
3) pierderea disponibilitii serviciului, de exemplu,
datorit unei capaciti neadecvate de reluare a
funcionrii n urma cderilor sau din lipsa unui plan
al continuitii eficace, n eventualitatea unei cderi
prelungite;
4)
Tabelul 20
Risc
1. Eec n gestionarea mediului de lucru
sntate i siguran
Impact
a. Absene pe caz de boal
b. Cereri pentru compensaii
c. Urmrire pentru nclcarea reglementrilor
d. Productivitate sczut
e. Moral sczut
3. Redundana abilitilor
a. omaj
b. Scderea moralului personalului
Impact
a. Noile servicii sunt sub-utilizate.
b. Pierderi ale investiiei.
c. Eec n atingerea nivelului de eficien.
d. Obiectivele strategice ale Guvernului legate de
aceste servicii nu sunt atinse.
Pag. 123 din 214
3. Excluziune social
4.1
n cadrul Curii de Conturi, auditul sistemelor informatice este un audit de tip multidisciplinar cu caracter
transversal, interdepartamental. Curtea de Conturi va desfura orice misiuni de audit IT menite s
creeze condiiile optime pentru derularea eficient a celorlalte forme de control i audit i s ofere suportul
tehnic pentru aceste misiuni.
Extinderea utilizrii tehnologiei informaiei n toate domeniile, inclusiv n cel al sistemelor financiar-contabile, care presupune att extinderea controalelor IT n cadrul sistemului de control intern al
entitilor auditate/controlate, ct i existena unor programe i proiecte de mare anvergur finanate din
fonduri publice, materializate n investiii IT cu valori foarte mari, genereaz necesitatea perfecionrii
modelelor tradiionale de auditare i extinderea auditului sistemelor informatice n activitatea Curii de
Conturi.
In cadrul aciunilor de control i audit financiar desfurate de ctre structurile Curii de Conturi, auditorii
publici externi vor efectua evaluri ale sistemelor informatice existente la entitile auditate, pentru a
determina dac sistemele i aplicaiile furnizeaz informaii de ncredere pentru aciunile respective.
Pentru misiunile de audit financiar este de o deosebit importan identificarea riscurilor care rezult din
utilizarea unui sistem contabil bazat pe tehnologii informatice. Aceste riscuri mresc probabilitatea
apariiei unor prezentri semnificativ eronate n situaiile financiare, fapt ce ar trebui luat n considerare de
management i de auditori. Riscurile cheie specifice mediilor bazate pe tehnologii informatice sunt:
dependena de funcionarea echipamentelor i programelor informatice, vizibilitatea pistei de audit,
reducerea implicrii factorului uman, erori sistematice versus erori incidentale, accesul neautorizat,
pierderea datelor, externalizarea serviciilor IT / IS, lipsa separrii sarcinilor, absena autorizrii tradiionale,
lipsa de experien n domeniul IT.
Constituia Romniei;
Legea nr. 94/1992 privind organizarea i funcionarea Curii de Conturi, cu modificrile i
completrile ulterioare;
Regulamentul privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum
i valorificarea actelor rezultate din aceste activiti;
Cadrul metodologic i procedural elaborat de structura de specialitate a Curii de Conturi a
Romniei, convergent cu standardele de audit generale i specifice adoptate de Curtea de
Conturi, n baza standardelor internaionale de audit INTOSAI, ISA, ISACA i a standardelor de
securitate.
Cadrul conceptual, metodologic i procedural pentru auditul IT / IS implementat n cadrul Curii de
Conturi a Romniei este armonizat cu punctul de vedere asupra auditului n medii informatizate,
formulat de Grupul special de lucru EUROSAI IT Working Group, care acord o atenia special
auditului sistemelor IT i problematicii asociate i recomand ca auditul IT s devin o parte
integrant a tuturor auditurilor desfurate de Instituiile Supreme de Audit;
Manualul de auditul performanei, elaborat de Curtea de Conturi a Romniei, ediia 2005.
Pag. 128 din 214
4.2
Etapele auditului sistemelor informatice sunt: planificarea auditului, efectuarea auditului, raportarea i
revizuirea auditului.
Structura de specialitate care efectueaz misiunea de audit al sistemelor informatice ntiineaz, prin
adresa de notificare, entitile incluse n programul de activitate, aprobat de plenul Curii de Conturi,
asupra misiunii de audit ce urmeaz a se realiza la acestea.
Misiunea de audit al sistemelor informatice se deschide n cadrul unei ntlniri cu conducerea entitii
auditate, organizate la sediul acesteia, iniiate de structura de specialitate a Curii de Conturi care
desfoar auditul. Din partea Curii de Conturi, la ntlnire pot s participe eful departamentului /
directorul din cadrul departamentului sau directorul / directorul adjunct al camerei de conturi, dup caz, i
echipa de audit desemnat.
n cadrul ntlnirii de deschidere a auditului se prezint echipa de audit, tema i obiectivele auditului, se
stabilesc persoanele de contact, precum i alte detalii necesare realizrii auditului i se clarific aspectele
legate de asigurarea unor spaii de lucru adecvate i a suportului logistic corespunztor.
Pentru a efectua auditul sistemelor informatice, auditorul public extern va trebui s aib suficiente
cunotine n domeniul tehnologiei informaiei i comunicaiilor, care s-i permit nelegerea strategiilor,
politicilor i activitilor care fac obiectul auditului.
De asemenea, auditorul public extern trebuie s dein cunotinele necesare pentru identificarea
riscurilor induse de funcionarea sistemului informatic, precum i pentru evaluarea metodelor de tratare a
acestor riscuri (gradul de adecvare al sistemelor de control intern, inclusiv infrastructura de securitate i
controalele aferente).
nelegerea acestui domeniu i va permite auditorului s determine natura, durata i ntinderea
procedurilor de audit, s stabileasc efectul dependenei entitii de sistemul informatic i s evalueze
capacitatea entitii de a asigura continuitatea activitii.
Auditorul trebuie s planifice i s efectueze auditul astfel nct s obin o asigurare rezonabil privind
existena sau absena unor anomalii, deficiene de implementare sau erori semnificative.
Metodologia care trebuie utilizat pentru evaluarea controalelor IT / IS presupune att evaluarea
controalelor generale aferente mediului de implementare a sistemului informatic la nivelul entitii, ct i
evaluarea controalelor de aplicaie, asupra datelor de intrare, a prelucrrilor i a datelor de ieire asociate
cu aplicaiile individuale.
Controalele generale vizeaz strategiile, politicile i procedurile care se aplic tuturor sistemelor
informatice ale entitii sau numai asupra unui segment al acestora, cum ar fi de exemplu protecia
datelor, protecia programelor, prevenirea accesului neautorizat, asigurarea continuitii sistemului.
Aceste activiti fac parte din evaluarea IT / IS pe care auditorii trebuie s o finalizeze ca parte integrant
a planificrii auditului. Dac sistemele au un grad de complexitate ridicat, este indicat s se utilizeze un
specialist n audit IT / IS pentru a finaliza sau a asigura consultan pentru finalizarea ntregii analize sau
a unei pri din aceasta. Dac exist o evaluare anterioar finalizat, aceasta poate fi actualizat i se va
pune accent pe revizuirea aplicaiilor noi i pe schimbrile majore ale sistemelor existente.
Sistemul informatic constituie suportul furnizrii informaiei i devine indispensabil n condiiile Societii
Informaionale. Datorit extinderii misiunilor de audit financiar i a aciunilor de control care se desfoar
n medii informatizate, se accentueaz necesitatea asigurrii convergenei metodelor i standardelor de
audit financiar cu metodele i standardele de audit IT. Pentru a verifica satisfacerea cerinelor pentru
informaie (eficacitate, eficien, confidenialitate, integritate, disponibilitate, conformitate i ncredere), se
va avea n vedere, auditarea sistemului informatic care furnizeaz informaia financiar-contabil.
Documentarea n auditul sistemelor informatice
Pentru stabilirea unei strategii de audit, auditorul trebuie s obin informaii i cunotine legate de
entitatea auditat i de mediul n care aceasta opereaz. Activitatea de documentare are ca scop
cunoaterea obiectivelor entitii cu privire la performana tehnologiei informaiei, precum i a principalelor
aspecte legate de coordonarea, structura i funcionalitatea sistemelor, serviciilor i aplicaiilor care susin
obiectivele, n vederea alegerii celor mai adecvate metode, tehnici i proceduri de audit.
n faza de planificare, auditorul obine o nelegere a operaiilor i controalelor IT i a riscurilor asociate.
Prin prisma acestor riscuri, auditorul decide care controale sunt cel mai probabil s fie eficace. n situaia
n care controalele au o probabilitate mare de a fi eficace i dac sunt relevante pentru obiectivele misiunii
de audit, auditorul trebuie s determine natura i volumul procedurilor de audit necesare pentru a
confirma ipotezele. n situaia n care controalele nu au o probabilitate mare de a fi eficace, auditorul
trebuie s obin o nelegere suficient a riscurilor de control asociate pentru a formula constatri
adecvate i recomandri asociate privind aciuni corective.
De asemenea, auditorul trebuie s determine natura, ntinderea i volumul testelor necesare, n vederea
alegerii celor mai adecvate metode, tehnici i proceduri de audit.
Metodele utilizate pentru colectarea informaiilor n faza de documentare sunt:
o prezentri n cadrul unor discuii preliminare cu reprezentanii managementului entitii auditate;
o consultarea unor materiale documentare relevante privind activitatea entitii;
o consultarea legislaiei aferente tematicii;
o consultarea documentaiilor tehnice;
o documentare n domeniul standardelor i bunelor practici;
o interviuri cu persoanele implicate n coordonarea, monitorizarea, administrarea, ntreinerea i
utilizarea sistemului informatic;
o participarea la demonstraii privind utilizarea sistemului;
o studiul documentar realizat prin accesarea pe Internet a unor informaii publicate pe website-ul
entitii auditate.
Cunoaterea suficient a entitii, respectiv a sistemului informatic este fundamental pentru planificarea
i efectuarea procedurilor de audit, precum i pentru definirea criteriilor, metodelor i tehnicilor de
evaluare a rezultatelor i a indicatorilor de performan. Pe baza acesteia, auditorul realizeaz o evaluare
preliminar a sistemului i identific punctele critice care vor fi testate n detaliu n cadrul auditului.
In faza de cunoatere a entitii, auditorul va lua n considerare identificarea i analiza factorilor care pot
influena procesul de audit:
o componentele sistemului;
o activitile, problematica i nivelele de decizie;
o atribuiile entitii, pe nivele de implicare;
Pag. 133 din 214
o
o
o
o
o
n cadrul documentrii se vor identifica punctele critice care acumuleaz potenialul unor riscuri generate
de implementarea i utilizarea sistemului informatic:
Pentru toate tipurile de audit, se va realiza o evaluare a controalelor generale IT pe baza Listei de
verificare a controalelor generale IT, care conine urmtoarele categorii de obiective de control:
continuitatea sistemelor;
auditul intern.
Aceast list nu exclude adugarea altor categorii de probleme considerate semnificative de ctre
auditor, n funcie de obiectivele specifice ale auditului. De asemenea, se va analiza modul n care aceste
controale afecteaz eficacitatea sistemului de control intern al entitii.
Evaluarea riscurilor
Dup obinerea unei nelegeri asupra mediului informatizat al entitii, auditorul va evalua riscul inerent i
riscul de control, factori care se iau n considerare la determinarea riscului de audit.
Riscul de audit, indus de utilizarea sistemului informatic, poate fi exprimat n termenii urmtoarelor trei
componente:
Pag. 134 din 214
Riscul inerent, care decurge din susceptibilitatea asupra resurselor informatice sau asupra
resurselor controlate de sistemul informatic: furt material, distrugere, dezvluire, modificri
neautorizate, incompatibilitate, n lipsa controalelor interne asociate.
Riscul de control, care reprezint riscul ca erorile materiale din datele entitii s nu fie
prevenite sau detectate i corectate n timp util de structura controlului intern al entitii.
Riscul de nedetectare, care reprezint riscul ca auditorul s nu detecteze erorile existente n
sistem.
Riscurile generice asociate sistemului informatic, detectate pe parcursul unei misiuni de audit al
sistemelor informatice vor fi clasificate n trei categorii:
a) Riscuri privind planificarea, dezvoltarea i introducerea sistemelor i serviciilor informatice
Aceste riscuri decurg din:
Securitatea tranzaciilor;
Utilizarea sistemului informatic se realizeaz n cadrul unei structuri clar definite; conducerea la
cel mai nalt nivel este informat despre activitatea IT i este receptiv la schimbare; gestionarea
resurselor umane se face eficient; monitorizarea cadrului legislativ i a contractelor cu principalii
furnizori se desfoar corespunztor; are loc revizuirea funcionalitii, operrii i dezvoltrilor de
componente, astfel nct acestea s fie n concordan cu necesitile activitii entitii i s nu
expun entitatea la riscuri nejustificate.
Accesul neautorizat la datele sau programele critice este prevenit i controlat; mediul n care
opereaz sistemele este sigur din punct de vedere al confidenialitii, integritii i credibilitii.
Aplicaiile sunt disponibile atunci cnd este nevoie, funcioneaz conform cerinelor, sunt fiabile i
au implementate controale sigure asupra integritii datelor.
Sunt luate msurile necesare pentru diminuarea riscului deteriorrii (accidentale sau deliberate)
sau al furtului echipamentelor IT, se acioneaz corespunztor pentru reducerea probabilitii
apariiei unor defeciuni majore i sunt stabilite msurile necesare pentru ca, n cazul
indisponibilizrii facilitilor de procesare, entitatea s i reia n mod eficient activitatea, ntr-o
perioad de timp rezonabil.
Sistemul este conform cu reglementrile legale n vigoare.
Aceast list nu exclude adugarea altor categorii de probleme considerate semnificative de ctre
auditor, n funcie de obiectivele specifice ale auditului.
Descrierea riscurilor identificate de auditorii publici externi trebuie s includ informaii privind cauzele i
impactul posibil al acestora, precum i nivelul de risc (mic, mediu sau mare) evaluat de auditorul public
extern pe baza raionamentului profesional.
Elaborarea Planului de audit
Planul de audit ofer cadrul general pentru atingerea obiectivelor auditului ntr-un mod eficient i oportun.
Pe parcursul desfurrii auditului, se admit ajustri ale planului de audit, justificate de apariia unor
elemente noi fa de evaluarea contextului iniial, care necesit adncirea unor investigaii i aplicarea
unor proceduri de audit mai detaliate.
Planul de audit conine informaii privind natura, durata i programarea procedurilor de audit, precum i
resursele necesare (de personal, financiare, tehnice, documentare etc.).
Elaborarea planului de audit se concentreaz pe urmtoarele direcii: definirea ariei de acoperire a
auditului, descrierea modului n care se va desfura auditul, furnizarea unui mijloc de comunicare a
informaiilor despre audit ntregului personal implicat n auditare.
Planul de audit conine urmtoarele seciuni:
1. Informaii despre entitatea auditat: obiective, structur, dotare hardware i software,
volumul operaiilor prelucrate automat;
2. Stabilirea obiectivelor auditului: abordarea auditului, aria de acoperire a auditului, rolul
auditorului IT;
3. Evidenierea domeniilor critice care vor fi examinate: ariile cu riscul cel mai ridicat;
4. Criteriile de audit stabilite;
5. Etapele misiunii de audit i tipurile de evaluri aferente: procedurile de audit prin care se
obin probele de audit, metodele i tehnicile de analiz, sintez i interpretare a probelor de
audit;
6. Resurse necesare: personal, timp, resurse tehnice i financiare.
Planul de audit se avizeaz de directorul din cadrul departamentului de specialitate / directorul adjunct al
camerei de conturi i se aprob de eful de departament / directorul camerei de conturi.
Planul de audit al sistemelor informatice poate fi actualizat pe parcursul desfurrii misiunii de audit de
ctre membrii echipei, cu aprobarea conducerii structurilor de specialitate ale Curii de Conturi, n situaii
temeinic justificate.
Auditorii publici externi trebuie s comunice cu entitatea auditat ntr-o manier constructiv, pe tot
parcursul desfurrii misiunii de audit, prin organizarea unor ntlniri sau prin mijloace electronice.
In scopul ndeplinirii obiectivelor din Planul de audit, auditorii publici externi vor elabora proceduri de audit
pentru categoriile de probleme specifice sistemelor informatice: evaluarea calitii managementului,
Pag. 138 din 214
Documentele de lucru, elaborate n format tiprit, vor fi organizate n dosare, iar documentele elaborate n
format electronic vor fi organizate n colecii de fiiere i / sau baze de date.
Documentele trebuie s fie prezentate ntr-o manier inteligibil, coerent, consistent cu obiectivele
auditului.
Pentru descrierea sistemelor entitii auditate se utilizeaz urmtoarele tipuri de documente: diagrame de
tip flowchart, prezentri narative, machete i chestionare. Alegerea acestor tehnici variaz n funcie de
practicile locale de audit, de preferina personal a auditorului i de complexitatea sistemelor auditate.
Diagramele flowchart exprim n mod grafic descrierea sistemului auditat. Diagramele flowchart
nregistreaz ciclul de via al unei tranzacii, de la iniiere pn la stocarea acesteia i evideniaz
controalele i procedurile automate i manuale.
Descrierea narativ a ciclului de prelucrare a tranzaciilor este utilizat, de asemenea, n documentarea
sistemelor. Se utilizeaz n conjuncie cu alte metode de documentare a sistemelor. Descrierea narativ
include: obiectivele sistemului i intele, procesele i procedurile, legturi i interfee cu alte sisteme,
controale, proceduri pentru condiii speciale.
Listele de verificare
n cazul evalurilor efectuate pentru auditarea infrastructurii IT, se vor utiliza urmtoarele liste de
verificare:
Pag. 140 din 214
Aceste liste de verificare se vor utiliza i n cadrul misiunilor de audit financiar sau de audit al
performanei, pentru evaluarea controalelor generale IT i a riscurilor generate de funcionarea sistemului
informatic.
Listele de verificare generice nu exclud adugarea altor categorii de probleme considerate semnificative
de ctre auditor, n funcie de obiectivele specifice ale auditului.
n cazul misiunilor de audit financiar, care presupun evaluarea sistemului informatic financiar-contabil
pentru a formula o opinie privind ncrederea n informaiile furnizate de sistemul informatic, auditorul public
extern va elabora Lista de verificare pentru testarea controalelor IT specifice aplicaiei financiar-contabile,
care conine urmtoarele categorii de controale de aplicaie:
n Anexa 5 este prezentat o list de verificare generic pentru testarea controalelor IT specifice aplicaiei
financiar-contabile. Aceasta poate fi extins de auditor, n condiiile n care sunt necesare teste de audit
suplimantare.
n cazul n care sistemul nu pare a fi suficient de robust, auditorul trebuie s evalueze riscul funcionrii
necorespunztoare a sistemului asupra obiectivelor misiunii de audit financiar.
n cadrul entitilor auditate, sistemele informatice care fac obiectul evalurii sunt utilizate ca suport pentru
asistarea deciziei, constituind sisteme IT / IS utilizate pentru evidena, prelucrarea i obinerea de
rezultate, situaii operative i sintetice la toate nivelele de raportare. Din acest motiv, o categorie special
de controale IT se refer la conformitatea sistemului informatic cu cerinele impuse de cadrul legislativ i
de reglementare.
Cerinele legislative i de reglementare includ:
n cazul sistemelor complexe sau desfurate la scar naional (de exemplu, Sistemul Electronic
Naional) se folosesc liste de verificare specializate elaborate n cadrul Curii de Conturi a Romniei: lista
de verificare pentru evaluarea guvernanei sistemelor de tip e-guvernare, lista de verificare pentru
evaluarea portalului web, lista de evaluare a perimetrului de securitate, liste de verificare pentru evaluarea
serviciilor electronice, liste de verificare pentru evaluarea cadrului de interoperabilitate, precum i alte liste
de verificare a cror necesitate decurge din obiectivele auditului.
Avnd n vedere specificul i complexitatea ridicat a unor astfel de misiuni de audit, cadrul de auditare
asociat necesit o tratare separat.
Auditul performanei implementrii i utilizrii sistemelor informatice va lua n considerare urmtoarele
aspecte:
Pag. 141 din 214
Chestionarele
Chestionarele conin ntrebri despre sistemele entitii auditate i constituie suportul pentru colectarea
informaiilor despre acestea.
Chestionarele conin, n general, opinii ale actorilor implicai n sistem referitoare la: acceptarea
sistemului, calitatea instruirii, efectele sistemului asupra activitii entitii, calitatea documentaiei
tehnice, ncrederea n sistemul informatic, dificultatea utilizrii sistemului, efectele n planul modernizrii
activitii, necesitatea extinderii sistemului.
n cazul n care chestionarele sunt proiectate pentru efectuarea unor analize statistice, acestea conin
ntrebri formulate astfel nct s poat fi agregate i analizate n funcie de criterii stabilite. Rspunsurile
pot fi de tip DA/NU, note, ponderi, i altele. De asemenea, sunt admise aprecieri personale i comentarii.
Pe baza informaiilor colectate se pot elabora diagrame i grafice care s exprime sugestiv concluzii
referitoare la percepia unei populaii despre efectele implementrii i utilizrii sistemului informatic supus
evalurii.
Machetele
Machetele sunt elaborate de auditorii publici externi i constituie suportul pentru colectarea informaiilor
legate de: bugetul IT / IS, configuraia hardware / software, infrastructura de reea, sistemul aplicativ,
instruirea personalului, utilizarea sistemului informatic, costuri, furnizori.
Sintetizarea, analiza i interpretarea probelor de audit
Auditorii publici externi vor face o evaluare a sistemelor informatice i a aplicaiilor, prin analiza,
interpretarea i sinteza informaiilor obinute n cadrul interviurilor sau colectate din sursele documentare
i prin intermediul machetelor, chestionarelor i listelor de verificare.
Aceste operaiuni se bazeaz n principal pe elaborarea i/sau utilizarea unor tabele sintetice, reprezentri grafice, indicatori de performan, matrici de corelaie etc. n acest scop se utilizeaz, pe scar din
ce n ce mai larg, instrumentele i tehnicile bazate pe calculator.
Recomandrile formulate de auditorii publici externi n urma misiunii de audit al sistemelor informatice
consemnate n actele ntocmite vor putea fi mbuntite de conducerea structurilor de specialitate ale
CCR n a cror competen de verificare intra domeniul respectiv.
n situaia n care pe parcursul misiunii de audit se constat: erori / abateri grave de la legalitate i
regularitate, fapte pentru care exist indicii c au fost svrite cu nclcarea legii penale sau nerealizarea
obiectivelor propuse de entitate n legtur cu programul / procesul / activitatea auditat () datorit
nerespectrii principiilor economicitii, eficienei i eficacitii n utilizarea fondurilor publice i n
administrarea patrimoniului public i privat al statului / unitilor administrativ - teritoriale, se ntocmesc
proces verbal de constatare, precum i celelalte tipuri de acte prevzute la pct. 354 din Regulamentul
privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i valorificarea actelor
rezultate din aceste activiti, aceste acte constituind anexe la raportul de audit al sistemelor informatice.
Raportul final de audit al sistemelor informatice este semnat de auditorii publici externi care au efectuat
auditul i va fi naintat entitii auditate, nsoit de o adres de naintare, pentru a fi nregistrat.
Raportul de audit al sistemelor informatice, nregistrat la entitatea auditat va fi evideniat n registrul de
intrri ieiri de la nivelul structurilor de specialitate respective, n Registrul special privind evidena
actelor ntocmite i modul de valorificare a constatrilor consemnate n acestea i n aplicaia INFOPAC.
Sinteza principalelor constatri, concluzii i recomandri ale auditului, nsoit de o adres semnat de
eful departamentului / directorul camerei de conturi se transmite entitii auditate nsoit de o adres n
care se specific termenul la care entitatea auditat va transmite Curii de Conturi informaii privind
msurile i modul de implementare a recomandrilor cuprinse n raportul de audit.
Raportul de audit al sistemului informatic sau o sintez a principalelor constatri, concluzii i recomandri
ale acestuia pot fi transmise, dup caz, i instituiilor publice interesate, Guvernului, comisiilor de
specialitate din cadrul Parlamentului, prin intermediul departamentului n a crui competen de verificare
intr domeniul respectiv.
n situaia n care misiunea de audit al sistemelor informatice este coordonat de ctre un departament de
specialitate, aspectele semnificative cuprinse n rapoartele de audit al sistemelor informatice ntocmite la
nivelul camerelor de conturi vor fi incluse n raportul de audit al sistemelor informatice ntocmit la nivelul
departamentului coordonator.
Valorificarea constatrilor consemnate n raportul de audit al sistemelor informatice i n anexele la acesta
se face prin emiterea unei decizii de ctre eful de departament / directorul camerei de conturi, potrivit
competenelor stabilite n Regulamentul privind organizarea i desfurarea activitilor specifice Curii de
Conturi, precum i valorificarea actelor rezultate din aceste activiti. Decizia va conine msurile propuse
de Curtea de Conturi pentru intrarea n legalitate, conform procedurii prevzute la pct. 171 din
Regulamentul privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i
valorificarea actelor rezultate din aceste activiti, precum i pentru creterea performanei programului /
proiectului / procesului / activitii auditat (e). Recomandrile formulate de auditorii publici externi vor sta
la baza formulrii msurilor din decizie.
4.3
n conformitate cu standardul ISA 400, Evaluarea Riscului i Controlului Intern, auditorul va analiza dac
mediul de control i procedurile de control aplicate de entitate activitilor proprii desfurate n mediul
informatizat, n msura n care acestea sunt relevante pentru aseriunile situaiilor financiare, este un
mediu sigur. n cazul sistemelor informatice, atunci cnd procedurile sunt automatizate, cnd volumul
tranzaciilor este mare sau cnd probele electronice nu pot fi urmrite pe tot parcursul fluxului de
prelucrare, auditorul poate decide c nu este posibil s reduc riscul de audit la un nivel acceptabil dect
prin utilizarea testelor detaliate de audit. n astfel de cazuri sunt frecvent utilizate tehnici de audit asistat
de calculator.
De asemenea, pentru sistemele informatice financiar-contabile sunt deosebit de importante urmtoarele
aspecte ale controlului intern: (a) meninerea integritii procedurilor de control n mediul informatizat i
(b) asigurarea accesului la nregistrri relevante pentru a satisface necesitile entitii, precum i n
scopul auditului.
Auditorul va analiza exhaustivitatea, acurateea i autorizarea informaiilor furnizate pentru nregistrarea i
procesarea nregistrrilor financiare ale entitii (integritatea tranzaciei). Natura i complexitatea
aplicaiilor influeneaz natura i amploarea riscurilor referitoare la nregistrarea i procesarea tranzaciilor
electronice.
Procedurile de audit referitoare la integritatea informaiei, aferente tranzaciilor electronice, se axeaz n
mare parte pe evaluarea credibilitii sistemelor utilizate pentru prelucrarea tranzaciilor. Utilizarea
serviciilor informatice iniiaz, n mod automat, alte secvene de prelucrare a tranzaciei fa de sistemele
tradiionale. Procedurile de audit pentru sistemele informatice trebuie s se concentreze asupra
controalelor automate referitoare la integritatea tranzaciilor, pe msur ce acestea sunt nregistrate i
apoi procesate imediat.
ntr-un mediu informatic, controalele referitoare la integritatea tranzaciei sunt n majoritatea cazurilor
proiectate pentru a asigura, printre altele: validarea intrrilor i prevenirea duplicrii sau a omiterii
tranzaciilor.
n general, tranzaciile electronice nu au asociate nregistrri scrise i pot fi mult mai uor de distrus sau
de alterat dect cele scrise, fr a lsa nici o urm a distrugerii sau alterrii. Auditorul trebuie s
stabileasc dac politicile de securitate a informaiei i controalele de securitate ale entitii sunt
implementate adecvat pentru prevenirea modificrilor neautorizate ale nregistrrilor contabile, ale
sistemului contabil sau ale sistemelor care furnizeaz date sistemului contabil. Aceasta se poate realiza
prin testarea controalelor automate, cum ar fi verificrile de integritate a datelor, tampile de dat
electronic, semnturi digitale i controale de versiune n vederea stabilirii autenticitii i integritii
probelor electronice. n funcie de estimrile cu privire la aceste controale, auditorul poate considera
necesar efectuarea unor proceduri suplimentare, cum ar fi confirmarea detaliilor tranzaciilor sau a
soldurilor conturilor cu tere pri68.
Utilizatorii sistemului informatic sunt, implicit, anonimi. Sistemele care nu pot identifica i nregistra
aciunile utilizatorilor individuali nu pot s-i fac ulterior rspunztori de aciunile lor. Utilizatorii sunt mult
mai nclinai s efectueze activiti informatice neautorizate daca nu pot fi identificai i fcui rspunztori.
Riscul procesrii de tranzacii neautorizate poate fi redus prin prezena unor controale care identific
utilizatorii individuali i ntreprind aciuni de contracarare a eventualelor aciuni ostile ale acestora. Riscul
poate fi redus prin obligativitatea autentificrii la accesarea sistemului i prin introducerea unor controale
suplimentare, sub form de semnturi electronice.
68
Avnd n vedere faptul c datele tranzaciilor electronice se regsesc ntr-o form intangibil pe diverse
medii de stocare, acestea pot fi modificate fr a lsa nici o urm. Auditorii trebuie s evalueze existena
i eficiena controalelor care previn efectuarea de modificri neautorizate. Controale neadecvate pot
conduce la situaia ca auditorul s nu poat acorda ncredere nregistrrilor din calculatoare sau integritii
parcursului auditului.
Programul de aplicaie i datele tranzaciei trebuie s fie protejate fa de modificri neautorizate prin
utilizarea de controale adecvate ale accesului fizic i logic.
Plile prin calculator, ca i transferurile electronice de fonduri, sunt mult mai uor de modificat dect
instrumentele de plat pe hrtie i de aceea trebuie sa aib o protecie adecvat. Integritatea tranzaciilor
electronice poate fi protejat prin tehnici precum criptarea datelor, semnturi electronice sau prin
utilizarea unui algoritm de dispersare a datelor.
Dac datele au valoare financiar, prevenirea dublrii tranzaciilor prin copiere este n mod deosebit
important. Sistemele utilizatorului trebuie s ncorporeze controale care s detecteze i s previn
procesarea de tranzacii duble.
Controalele pot include atribuirea de numere secveniale tranzaciilor i verificarea de rutin a totalurilor
de control.
Fiierele pe hrtie pot fi uor protejate fa de accesul neautorizat prin implementarea unor controale ale
accesului fizic. Mijloace similare de protecie pot fi utilizate pentru protecia dispozitivelor de stocare a
datelor (CD-ROM, benzi magnetice i dischete). Dac datele sunt accesibile pe o reea de calculatoare,
atunci apare un grad de incertitudine cu privire la cine are acces la software i la fiierele de date.
Conectarea sistemelor de calculatoare la reeaua global Internet mrete substanial riscul de acces
neautorizat de la distan i de atacuri cu virui sau alte forme de alterare a informaiei sau de distrugere
a unor sisteme informatice. Protejarea reelelor conectate la Internet poate fi dificil de realizat i necesit
controale de nivel nalt, specializate.
Unele sisteme de operare asigur controale ale accesului care limiteaz capacitatea utilizatorilor de la
distan s vad, s modifice, s tearg sau s creeze date. Controalele de acces ale sistemului de
operare pot fi mrite prin controale suplimentare de identificare i autorizare n cadrul fiecrei tranzacii. n
ambele cazuri, eficiena controalelor de acces depinde de proceduri de identificare i autentificare i de o
bun administrare a sistemelor de securitate.
Procesarea tranzaciilor care are loc n interiorul calculatorului este invizibil pentru auditor. Auditorii pot
vedea ceea ce intr i ceea ce iese, dar au puine informaii cu privire la ceea ce se ntmpl pe parcurs.
Aceast slbiciune poate fi exploatat de programe neautorizate ascunse n programele autorizate.
Ameninarea modificrilor neautorizate poate fi redus prin adoptarea de proceduri adecvate de control al
modificrilor, inclusiv controale eficiente de acces, activarea i revizuirea jurnalelor de operaii, precum i
o separare eficient a sarcinilor ntre actorii implicai n sistem.
n cazul tranzaciilor electronice, n care parcursul auditului se reconstituie din nregistrri stocate pe un
calculator, auditorul trebuie s se asigure c datele privind tranzaciile sunt pstrate un timp suficient i c
au fost protejate fa de modificri neautorizate. Capacitatea limitat de stocare a unor calculatoare
poate restriciona cantitatea de date istorice aferente tranzaciilor care trebuie pstrate. n aceste cazuri,
auditorul trebuie s impun arhivarea regulat a evidenelor contabile i acestea s fie pstrate ntr-un
mediu sigur. Auditorul poate, de asemenea, s analizeze impactul posibil al regulilor de arhivare a datelor
clientului atunci cnd planific auditul.
Calculatoarele n reea au capacitatea de a stoca aplicaii financiare i fiiere de date pe orice dispozitive
de stocare din reea. Auditorul se poate afla n faa unui sistem care ruleaz o aplicaie financiar pe un
calculator i stocheaz fiierele cu tranzacii procesate pe un calculator din alt sal, din alt cldire sau
Pag. 146 din 214
chiar din alt ar. Procesarea datelor distribuite complic evaluarea de ctre auditor a controalelor de
acces fizic i logic. Mediul de control poate fi foarte bun ntr-un anumit loc, dar foarte slab n alt loc, iar
eterogenitatea mediului informatic crete riscul de audit.
Principiile referitoare la probele de audit nu se schimb datorit faptului c auditul se realizeaz ntr-un
mediu informatic. nregistrrile din calculator furnizeaz auditorului o asigurare de audit. Auditorul poate,
de asemenea, s genereze probe de audit utiliznd tehnicile de audit asistat de calculator.
Din studiul literaturii de specialitate, rezult c sunt puine precedente care s ilustreze admisibilitatea
nregistrrilor din calculator la o instan de judecat. n cazurile n care probele informatice au fost
depuse n aciuni judectoreti, instanele au luat n considerare o expertiz cu privire la eficiena mediului
de control IT, nainte de a evalua fiabilitatea datelor informatice.
Auditorul va avea n vedere faptul c tranzaciile sau imaginile de documente provenind de la calculator
pot s nu fie admisibile ca probe n justiie dac nu se poate demonstra c exist controale destul de
puternice care s nlture dubiul rezonabil privind autenticitatea i integritatea datelor coninute n sistem.
n ceea ce privete tranzaciile electronice, aceste controale sunt deosebit de complexe.
Evaluarea sistemelor IT cuprinde trei pri:
A Colectarea informaiilor de fond privind sistemele IT ale entitii auditate impun auditorului
sa culeag informaii de fond privind sistemele IT hardware i software ale clientului. Informaii
privind dimensiunea, tipul i complexitatea tehnic a sistemelor informatice permit auditorilor s
evalueze dac este necesar sprijinul unui auditor IT specialist. De asemenea, auditorul identific
sistemele financiare n curs de dezvoltare, care necesit n continuare implicarea auditului.
Colectarea informaiilor de fond privind sistemele IT ale entitii auditate trebuie s fie finalizat
nainte ca auditorul s realizeze o evaluare a mediului de control IT sau a procedurilor de control
ale aplicaiei.
B Evaluarea mediului de control IT i evaluarea riscului entitii este utilizat pentru a
evalua controalele i procedurile care opereaz n cadrul mediului de control IT. Punctele slabe
identificate n mediul de control IT pot submina eficacitatea procedurilor de control n cadrul
fiecrei aplicaii financiare.
C Evaluarea controalelor aplicaiei i evaluarea riscului zonei contabile: auditorul trebuie
s utilizeze evaluarea controalelor aplicaiei i evaluarea riscului zonei contabile pentru a examina
procedurile de control, sistemele de control intern i riscurile de audit n cadrul fiecrei aplicaii
financiare.
n funcie de concluziile acestei etape, referitoare la complexitatea sistemului care face obiectul auditului,
auditorul poate s stabileasc dac este oportun sau nu s implice specialiti n audit IT n echipa de
audit. Factorii care vor afecta aceast decizie includ:
dimensiunea (volumul) operaiilor clientului operaiile informatice de volume mari tind s fie
mai complexe att n ceea ce privete sistemele propriu-zise, ct i din punctul de vedere al
structurilor organizatorice;
complexitatea tehnic a echipamentului IT i a reelei sistemele mai complexe, care ncorporeaz tehnologii noi, vor necesita asistena specialitilor IT pentru a identifica i a evalua
riscurile de audit;
antecedente de probleme IT n cazul n care auditorii au avut n trecut probleme cu sistemele IT ale clientului, de exemplu, unde exist antecedente legate de erori ale utilizatorului,
greeli de programare, fraud informatic sau nclcri grave ale securitii;
n aceast etap sunt furnizate de asemenea detalii administrative, precum contractele personalului din
cadrul departamentelor financiar-contabil i IT ale entitii auditate.
n cadrul evalurii controalelor de nivel nalt, adoptate de management pentru a se asigura c sistemele
informatice funcioneaz corect i satisfac obiectivele afacerii, auditorul poate determina dac activitile
IT sunt controlate adecvat iar controalele impuse de entitatea auditat sunt suficiente.
n cadrul evalurii este necesar examinarea urmtoarelor aspecte:
Politici de externalizare;
Separarea atribuiilor.
Politicile IT de nivel nalt, procedurile i standardele sunt foarte importante n stabilirea unui cadru de
control intern adecvat. Auditorul trebuie s fie capabil s identifice componentele controlului intern,
aferente mediului informatizat, fiecare avnd obiective diferite:
Controalele de aplicaie;
Obiectivele de control aferente mediului informatizat se axeaz pe: evaluarea calitii managementului,
securitatea fizic i controalele de mediu, securitatea informaiei i a sistemului IT, continuitatea sistemului, managementul schimbrii i al dezvoltrii sistemului, funcionalitatea aplicaiilor, calitatea auditului
intern cu privire la sistemul IT.
Controalele IT generale includ: politici, structuri organizaionale, practici, reguli i proceduri, proiectate
pentru a furniza o asigurare rezonabil c obiectivele afacerii vor fi atinse i evenimentele neprevzute
vor fi prevenite sau detectate i corectate.
Exist unele considerente speciale care trebuie avute n vedere atunci cnd se realizeaz evaluarea
controalelor IT:
Controalele de aplicaie sunt particulare pentru o aplicaie i pot avea un impact direct asupra prelucrrii
tranzaciilor individuale.
Ele se refer, n general, la acele controale incluse n aplicaie pentru a asigura c numai tranzaciile
valide sunt prelucrate i nregistrate complet i corect n fiierele aplicaiei, precum i la controalele
manuale care opereaz n corelaie cu aplicaia.
O mare parte a controalelor de aplicaii sunt versiuni automatizate ale controalelor manuale. De exemplu,
autorizarea prin intermediul calculatorului de ctre supervizor este similar cu utilizarea semnturii pe
documente tiprite.
Exist i controale de aplicaie manuale, cum ar fi: analiza formatelor rapoartelor de ieire, inventarierea
situaiilor de ieire etc..
Controalele de aplicaie sunt proceduri specifice de control asupra aplicaiilor, care furnizeaz asigurarea
c toate tranzaciile sunt autorizate i nregistrate, prelucrate complet, corect i la termenul stabilit.
Controalele de aplicaie pot fi constituite din proceduri manuale efectuate de utilizatori (controale utilizator)
i din proceduri automate sau controale efectuate de produse software.
Administratorul aplicaiei are urmtoarele sarcini tipice: menine lista utilizatorilor autorizai ai
aplicaiei, adaug sau terge utilizatori din profilele de securitate a aplicaiei, asigur c
departamentul IT a salvat datele n concordan cu politicile de back-up, rezolv cerine ale
utilizatorilor aplicaiei, identific, monitorizeaz i raporteaz proprietarului aplicaiei sau
departamentului IT problemele semnificative care apar, deine i distribuie documentaia
aplicaiei, menine legtura cu departamentul IT, cu ali administratori de aplicaii sau cu furnizori
de software. n cazul aplicaiilor financiar-contabile, administratorul nu trebuie s fac parte din
acest departament, dect numai dac nu are cunotine despre procedurile manuale specifice
domeniului, avnd n vedere principiul separrii atribuiilor.
Utilizatorii aplicaiei asigur operarea zilnic a aplicaiei avnd acces numai la acele resurse ale
sistemului aferente sarcinilor proprii. Instruirea lor privind sistemul este limitat, de asemenea, la
funciile necesare realizrii sarcinilor proprii.
proba de audit estimat pentru satisfacerea condiiilor, teste extinse (inclusiv bazate pe eantionare),
descrierea funcionrii eronate a controlului, cte eecuri pot fi tolerate. Probele de audit se colecteaz
prin combinarea unor tehnici cum ar fi observarea, interviul, examinarea i eantionarea, cu tehnici de
auditare asistat de calculator.
Problemele care pot aprea cu privire la ncrederea n controalele de aplicaie se pot sintetiza
astfel:
(a) Controalele IT nu furnizeaz un istoric al operrii din cauza scufundrii lor n corpul aplicaiei
i, n consecin, nu furnizeaz probe de audit explicite.
(b) Perioada de timp n care acioneaz controalele de aplicaie IT este limitat, acestea
acionnd pe o durat foarte scurt a ciclului de via al tranzaciei (de exemplu, pe durata
introducerii datelor).
(c) Rezervele auditorilor fa de controalele de aplicaie IT, datorate eventualitii ca acestea s
fie alterate de ctre persoane interesate n inducerea n eroare a auditorului.
(d) Rezervele auditorilor fa de controlul preventiv asigurat, decurgnd din natura controalelor IT,
care nu prezint garanii privind funcionarea corect.
Relaia ntre controalele generale i controalele de aplicaie
O modalitate de a privi relaia dintre controalele generale i cele de aplicaie este aceea de a aloca
adecvat controalele generale pentru a proteja aplicaiile i bazele de date i pentru a asigura resursele
necesare funcionrii continue.
Cele mai uzuale controale de aplicaie
n cazul unei aplicaii financiar-contabile sistemul de controale are urmtoarele nivele:
Examinarea situaiilor financiare pentru a determina dac reflect corect operaiile efectuate
asupra tranzaciilor: nregistrarea corect n conturi a unor tranzacii de test, reflectarea
acestor tranzacii n situaiile contabile, respectarea formatelor cerute de lege pentru situaiile
contabile etc.
Controale ale ieirilor, care au ca scop verificarea c fiierele temporare generate pentru
listare (n spooler) naintea transmiterii ctre imprimant pot fi alterate, n lipsa unei protecii
adecvate, nainte de a fi listate.
Controale ale prelucrrilor, care sunt implementate pentru verificarea prelucrrii corecte a
ratelor de schimb, a comisioanelor, a aplicrii unor cote de regie, a utilizrii unor tarife etc..
Controale ale accesului n reea, care asigur c utilizatorii neautorizai nu pot avea acces n
sistemele conectate la reea.
Cele mai uzuale evaluri ale controalelor de aplicaie se refer la urmtoarele aspecte:
importante la nivelul managementului, n sensul reproiectrii sistemului, i, implicit, privind alocarea unui
buget corespunztor.
Schimbrile configuraiilor de sisteme trebuie s fie autorizate, testate, documentate, controlate.
ntr-un mediu informatizat, amploarea riscurilor capt o alt dimensiune, natura riscurilor fiind influenat
de o serie de factori specifici utilizrii tehnologiei informaiei:
a) Densitatea informaiei este mult mai mare dect n sistemele clasice, bazate pe hrtie.
b) Absena documentelor de intrare datele pot fi introduse n sistem fr a avea la baz documente
justificative este cazul tranzaciilor din sistemele on-line.
c) Lipsa unor urme vizibile ale tranzaciilor Dei n practica prelucrrii manuale orice tranzacie poate fi
urmrit plecnd de la documentul primar, apoi n registrele contabile, conturi n prelucrarea automat
traseul unei tranzacii poate exista o perioad limitat, ntr-un format electronic.
d) Lipsa unor ieiri vizibile anumite tranzacii sau rezultate, n special cnd acestea reprezint detalii, se
pot regsi memorate doar n fiierele aplicaiei (nu i ntr-o form tiprit).
e) Transparena documentelor privind desfurarea unor operaiuni. Dischetele, discurile optice i alte
suporturi moderne ce sunt utilizate pentru salvarea acestui volum mare de informaii, nsumnd zeci de
mii de pagini de hrtie, pot fi subtilizate mult mai discret genernd astfel fraude sau cel puin afectnd
confidenialitatea acestor informaii.
f) Autorizarea tranzaciilor. ntr-un mediu informatizat se poate include i capacitatea calculatorului de a
iniia i executa automat unele tranzacii; altfel spus, este vorba de modul de proiectare a aplicaiei
informatice care poate avea ncorporate anumite autorizri implicite i funcii de generare automat.
g) Procesarea uniform a tranzaciilor. O aplicaie informatic proceseaz n mod uniform tranzacii
similare, pe baza acelorai instruciuni program. n felul acesta, erorile de redactare a documentelor
asociate unei procesri manuale sunt n mod virtual eliminate. n schimb, erorile de programare pot
conduce la procesarea incorect a tranzaciilor, astfel nct auditorii i vor concentra atenia asupra
acurateei i consistenei ieirilor.
h) Accesul neautorizat la date i fiiere se poate efectua cu o mai mare uurin, ceea ce implic un mare
potenial de fraud i eroare.
i) Remanena suporturilor de memorare a datelor, dup ce au fost terse, poate constitui o cale sigur ca
persoane interesate, neautorizate s intre n posesia unor informaii de valoare.
j) Agregarea datelor. Noile sisteme de prelucrare automat a datelor, precum sunt cele de asistare a
deciziei, au condus la valorificarea unor informaii importante ale entitii, genernd prognoze i strategii
ntr-un anumit domeniu. Astfel, informaiile capt valene suplimentare.
Evoluia tehnologiei informaiei a cunoscut n ultimii ani un ritm accelerat, dar nu acelai lucru se poate
spune despre progresele nregistrate n domeniul securitii datelor.
Integrarea puternic a sistemelor apare ca o consecin a mbuntirii formelor de comunicaie i a
proliferrii reelelor de calculatoare. Aplicaiile de comer electronic sunt doar un exemplu n acest sens,
dar se poate afirma c aceast evoluie a deschis i mai mult apetitul specialitilor n ceea ce privete
frauda informaional.
Lipsa urmelor eventualelor atacuri criminale constituie un alt element ngrijortor al noului mediu de lucru;
n acest sens modificarea datelor, adugarea sau chiar tergerea lor au devenit operaii mult mai uor de
realizat, dar, n acelai timp, destul de greu de depistat.
Obiectivul unei analize a riscurilor informaionale (riscuri IT) este de a identifica modalitile prin care
datele i, implicit, sistemul informatic care le conine, sunt expuse la risc. Elementele prezentate n
paragraful anterior conduc la ideea c mediul informatizat genereaz noi riscuri i c orice organizaie, n
vederea asigurrii unei protecii eficiente a informaiilor, este necesar s dezvolte un proces complex de
studiu i analiz a riscurilor.
Pag. 155 din 214
Riscul implicat de utilizarea tehnologiei informaiei se manifest prin intermediul componentelor proprii ale
acestei tehnologii: ameninri, vulnerabiliti i impact. Ameninrile exploateaz vulnerabilitile unui
sistem cauznd impactul i, n esen, combinaia celor trei elemente determin mrimea riscului. Riscul
la nivelul unei organizaii nu poate fi eliminat, el va exista ntotdeauna, managementul organizaiei fiind
responsabil de reducerea acestuia la un nivel acceptabil.
Anomalii frecvente n operarea sistemului
Cele mai frecvente efecte ale operrii necorespunztoare a sistemului pot avea ca surs disfuncionaliti
la nivelul infrastructurii IT sau pot fi generate de personalul care gestioneaz sistemul sau de ctre teri, n
cazul serviciilor externalizate.
Aplicaiile nu se execut corect datorit operrii greite a aplicaiilor sau utilizrii unor versiuni
incorecte, precum i datorit unor parametri de configurare incoreci introdui de personalul de
operare (de exemplu, ceasul sistemului i data setate incorect pot genera erori n calculul
dobnzilor, al penalitilor, al salariilor etc.).
Pierderea sau alterarea aplicaiilor financiare sau a fiierelor de date poate rezulta dintr-o utilizare
greit sau neautorizat a unor programe utilitare.
ntrzieri i ntreruperi n prelucrare din cauza alocrii unor prioriti greite n programarea
sarcinilor;
Lipsa salvrilor i a planificrii reaciei la incidentele probabile crete riscul de pierdere a capacitii
de a continua prelucrarea n urma unui dezastru;
Lipsa capacitii (resurselor) sistemului, sistemul devenind incapabil de a prelucra tranzaciile din
cauza suprancrcrii;
4.4
n aceast seciune se prezint cadrul procedural pentru evaluarea sistemelor informatice, n general, cu
exemplificri pentru sistemele financiar-contabile. Auditorii trebuie s recurg la raionamentul propriu
pentru a stabili ce controale ar fi rezonabile, avnd n vedere mrimea, complexitatea i importana
sistemelor informatice financiar-contabile ale entitii auditate.
Scopurile unei evaluri a sistemelor informatice financiar-contabile sunt:
Denumirea seciunii
Informaii de fond privind sistemele IT ale entitii auditate
Privire general asupra entitii auditate
Principalele probleme IT rezultate din activitile anterioare de audit
Dezvoltri informatice planificate
Echipament informatic [hardware] i programe informatice [software]
Cerine pentru specialitii n auditul informatic
Activitatea necesar pentru revizuirea sistemelor
Contacte cheie
A1
A2
A3
A4
A5
A6
A7
CA
Procedura
B1
B2
B3
B4
B5
B6
B7
B8
CA1
CA2
CA3
CA4
CA5
CA6
CA7
CA8
CA9
Pag. 158 din 214
CA10
CA11
CA12
CA13
Auditorul trebuie s determine ce controale ar fi rezonabile n cadrul fiecrei configuraii de calcul. Cnd
evalueaz un mediu de control IT auditorul trebuie s aib n vedere diferii factori, inclusiv natura
activitii clientului, mrimea departamentului IT, istoricul erorilor i ncrederea acordat sistemelor
informatice.
Auditorul poate obine informaii privind mediul general IT prin interviuri i discuii cu personalul implicat,
prin analize ale documentaiei sistemului, precum i prin legtura cu auditul intern i observaia direct.
Pentru evaluarea controalelor IT generale se folosete Lista de verificare privind evaluarea controalelor
generale IT.
n seciunile urmtoare sunt prezentate proceduri reprezentative pentru auditul sistemelor informatice.
B.1.2 Aspectele care se iau n considerare atunci cnd se examineaz controalele referitoare la
planificarea activitilor privind utilizarea tehnologiilor informaiei
Elaborarea unei strategii de finanare pentru proiectele aferente serviciilor IT, astfel nct nivelele
de finanare s fie consistente cu obiectivele;
Existena unui buget separat pentru investiii i cheltuieli legate de IT. Stabilirea responsabilitilor
privind ntocmirea, aprobarea i urmrirea bugetului;
Implementarea sistemelor pentru monitorizarea i calculul cheltuielilor;
Efectuarea analizei activitilor fa de Strategia IT a entitii.
B.1.4 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind
managementul programelor i al proiectelor, precum i raportarea ctre conducerea instituiei (cu
scopul de a evalua problematica i de a ntreprinde msuri corective pentru remedierea unor deficiene
sau de a efectua evaluri ale efectelor utilizrii sistemului n raport cu obiectivele activitii entitii)
Auditorul va face evaluarea pe baza concluziilor rezultate n urma interviurilor cu persoanele implicate n
managementul proiectelor i pe baza analizei documentelor care se refer la existena unor politici sau
proceduri formale prin care se atribuie responsabilitatea monitorizrii mediului legislativ care poate avea
impact asupra sistemelor informatice, precum i a asigurrii conformitii cu clauzele contractuale privind:
B.2.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind
separarea atribuiilor (sarcinilor)
Auditorul trebuie s determine prin interviu, prin observare direct i prin analiza documentelor relevante
(organigram, fia postului, decizii ale conducerii, contracte etc.) dac personalul IT are responsabiliti n
departamentele utilizatorilor, dac funciile IT sunt separate de funciile de utilizare (financiar, gestiunea
stocurilor etc.) pentru a nu se opera schimbri neautorizate, de obicei dificil de detectat, dac alte funcii
incompatibile, potrivit aspectelor menionate mai sus, sunt separate.
Pag. 165 din 214
B.3.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind
controlul accesului fizic
Auditorul trebuie s determine prin interviu i prin observare direct (inspecie n slile n care sunt
amplasate echipamentele) dac exist dotrile necesare pentru asigurarea controlului accesului fizic n
zona de securitate definit. De asemenea, trebuie s verifice existena i modul de implementare a
procedurilor asociate.
B.3.2 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind protecia
mediului
Amplasarea n rackuri speciale i protejarea serverelor, protejarea elementelor active ale reelei i
a cablurilor de reea, etichetarea cablurilor.
Auditorul trebuie s determine prin interviu i prin observare direct (inspecie n slile n care sunt
amplasate echipamentele) dac exist dotrile necesare pentru protecia mediului (sisteme de prevenire
a incendiilor, dispozitive pentru controlul umiditii, aer condiionat, dispozitive UPS, senzori de micare,
camere de supraveghere video). De asemenea, trebuie s verifice existena i modul de implementare a
procedurilor asociate.
B.4.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind Politica
de securitate
Auditorul trebuie s determine prin interviu, prin analiza politicii de securitate i a procedurilor asociate i
prin observare direct dac Politica de securitate este distribuit tuturor utilizatorilor, dac utilizatorii au
semnat c au luat cunotin de politica de securitate IT, dac exist o persoan care este responsabil
de actualizarea acestei politici, dac s-au aplicat msuri pentru a crete contientizarea n cadrul entitii
cu privire la securitate (cursuri, prezentri, mesaje pe e-mail).
Fiierele de date (fiiere cu tranzacii sau baze de date): acestea trebuie protejate, existnd riscul
modificrilor neautorizate sau chiar al tergerii datelor.
Aplicaiile. Accesul nerestricionat la aplicaii crete riscul modificrilor neautorizate, care pot
conduce la fraud, pierdere de date sau alterare a datelor. Anumite modificri n aplicaii pot
rmne nedetectate o perioad ndelungat, producnd consecine greu de estimat.
Fiierele de parole protejate neadecvat pot fi citite de ctre persoane care vor avea acces la toate
conturile din sistem, inclusiv la cele privilegiate, putnd produce pagube considerabile.
Software-ul de sistem i utilitarele (editoare, compilatoare, programe de depanare) trebuie
protejate pentru a nu fi utilizate ca instrumente de modificare a fiierelor de date i a aplicaiilor
software sau terse.
Jurnalele de operaii (Log files) reprezint documente coninnd contabilitatea sistemului, acestea
nregistrndu toate aciunile utilizatorilor (cine s-a conectat la sistem, cnd, ce resurse a utilizat).
Pentru schimbarea datelor financiare, aplicaia nregistreaz utilizatorul care a operat modificarea,
ce date au fost modificate, valorile nainte i dup modificare. Accesul neautorizat la jurnalul de
operaii, combinat cu modificarea neautorizat a datelor financiar-contabile constituie fraud care
poate fi mascat prin tergerea sau editarea aciunilor din jurnalul de operaii, n scopul ascunderii
interveniei neautorizate n sistem.
Fiierele temporare care memoreaz informaii pentru o perioad scurt (de exemplu, fiierele
create naintea transmiterii ctre imprimant): acestea pot fi alterate n lipsa unei protecii
adecvate, nainte de a fi prelucrate (n cazul listrii fiierelor generate de sistem pentru a fi
transmise la imprimant, acestea pot fi afiate n prealabil i chiar modificate).
Controalele accesului logic se vor detalia pe baza declaraiilor de nivel nalt cuprinse n politica de
securitate IT a entitii.
Aspectele care se iau n considerare atunci cnd se examineaz controalele privind controlul accesului
logic:
Revizuirea logurilor (jurnalelor de operaii)
o Asigurarea c logurile aplicaiilor importante sunt monitorizate i analizate periodic (cine, cnd,
cum, dovezi).
Administrarea utilizatorilor
o Existena unei proceduri pentru administrarea drepturilor utilizatorilor. Se verific modul de
implementare;
o Includerea n procedura de mai sus a msurilor ce trebuie luate n cazul n care un angajat pleac
din cadrul instituiei;
Pag. 170 din 214
o Existena unui document (formular pe hrtie sau n format electronic) pentru crearea i tergerea
conturilor de utilizator i pentru acordarea, modificarea i revocarea drepturilor de acces care s
fie aprobat de conducere;
o Acordarea tuturor drepturilor de acces, n baza acestui formular;
o Verificarea periodic a utilizatorilor activi ai sistemului n concordan cu lista de angajai furnizat
de departamentul resurse umane.
Reguli pentru parole
o Definirea regulilor pentru parole de acces n subsistemele IT;
o Trebuie avute n vedere urmtoarele elemente:
-
lungimea parolei;
reguli referitoare la coninutul parolei;
perioada de valabilitate a parolei;
numrul de ncercri pn la blocarea contului;
cine poate debloca un cont;
numrul de parole precedente reinute de ctre sistem;
utilizatorii sunt forai s schimbe parola la prima accesare.
va evalua ct de adecvate sunt regulile privind parolele ale entitii (lungimea parolei, durata /
datele de expirare, procedurile de modificare, componena parolei, dezafectarea codului de
identificare al celor ce pleac din instituie, criptarea parolei, nregistrarea i alocarea de parole
noilor utilizatori, punerea n aplicare a regulilor privind parolele.
va efectua teste privind modul de implementare a unor tipuri suplimentare de controale de acces
logic: jurnale de operaii, restricionarea ncercrilor de acces, proceduri i registre de acces,
acces specific n funcie de terminal, registre de ncercri neautorizate, limitarea acceselor
multiple, timp automat de expirare, acces restricionat la utiliti i nregistrarea folosirii utilitilor
sistemului i a instrumentelor de audit, controlul staiilor de lucru neutilizate.
va evalua msurile pentru restricionarea accesului personalului de dezvoltare a sistemului la
datele reale (din mediul de producie) i la mediul de producie (programatori, firma dezvoltatoare
de software).
va evalua modul de alocare, autorizare, control i monitorizare a utilizatorilor privilegiai
(administratori, ingineri de sistem i programatori de sistem i de baze de date).
B4.3 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind
administrarea securitii
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este implementat
cadrul procedural pentru asigurarea controlului administrrii securitii (examinarea documentelor din care
rezult responsabilitile i sarcinile cu privire la administrarea securitii IT, separarea atribuiilor,
reflectarea acestora n politica de securitate).
B.4.4 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind
conexiuni externe
Controale de acces slabe mresc riscul atacurilor din partea hackerilor, al viermilor i al viruilor care
afecteaz integritatea i disponibilitatea evidenelor financiare.
Managementul inadecvat al reelei poate expune organizaia ameninrilor interne i externe cu privire la
integritatea datelor. O reea slab securizat poate, de exemplu, s fie vulnerabil la difuzarea viruilor
informatici.
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este implementat
cadrul procedural pentru asigurarea controlului reelei: existena unei persoane desemnate pentru
administrarea reelei IT, msurile luate pentru monitorizarea securitii reelei, pentru protejarea
conexiunilor externe mpotriva atacurilor informatice (virui, acces neautorizat), reglementarea accesului
Pag. 173 din 214
la sistem din partea unor organizaii externe (de exemplu, Internet, conexiuni on-line), existena unor
proceduri de control privind accesul de la distan i msurile de securitate aplicate.
B.4.5 Aspectele care se iau n considerare atunci cnd se examineaz controalele de reea i de
utilizare a Internetului
ntruct conectarea sistemelor n reele comport riscuri specifice, reeaua trebuie controlat astfel nct
s poat fi accesat numai de ctre utilizatorii autorizai, iar datele transmise s nu fie pierdute, alterate
sau interceptate.
n ultimii ani, extinderea reelei Internet a scos n eviden i a impus cerine, concepte i riscuri noi, care
au avut consecine privind securitatea sistemelor i controalele asociate.
a) Controalele privind erorile de transmisie i de comunicaie: se refer la erorile care pot s apar n
fiecare stadiu al ciclului comunicaiei, de la introducerea datelor de ctre utilizator, continund cu
transferul pn la destinaie.
Controalele de reea cele mai relevante pe care entitile trebuie s le implementeze, sunt:
Politica de securitate a reelei, care poate face parte din politica general de securitate IT;
Controalele accesului logic: procedura de conectare, reguli privind parolele, permisiile de acces
la resursele sistemului;
Restriciile privind utilizarea resurselor externe (de exemplu este restricionat accesul n reeaua
Internet);
Terminalele pot fi restricionate prin intermediul codurilor de terminal sau a al adresei de reea;
Utilizarea comunicaiei digitale n locul celei analoge. Legturile digitale au o capacitate mai
mare, nu au nevoie de modem-uri i nu au erori din cauza conversiei digital - analog.
b) Controalele Internet
Implicaiile privind securitatea i controlul, care decurg din conectarea la Internet a unei entit sunt:
Implicaiile privind securitatea decurg dintr-o serie de caracteristici ale comunicaiei n reeaua
Internet, care pot genera riscuri majore pentru securitatea sistemului entitii. Cele mai importante
sunt: caracterul anonim al unor utilizatori care vor s contravin principiilor accesului n Internet,
vulnerabilitatea confidenialitii prin interceptarea parolei cu ajutorul unor programe specializate
Pag. 174 din 214
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este implementat
cadrul procedural pentru asigurarea c reeaua este controlat astfel nct s poat fi accesat numai de
ctre utilizatorii interni sau externi autorizai, iar datele transmise s nu fie pierdute, alterate sau
interceptate: implementarea unei politici de securitate a reelei, utilizarea standardelor de reea, a
procedurilor i a instruciunilor de operare asociate acestei politici, existena i disponibilitatea
documentaiei aferente cadrului procedural i a documentaiei reelei (care descrie structura logic i
fizic a reelei), implementarea controalelor accesului logic (procedura de conectare, reguli privind
parolele, permisiile de acces la resursele sistemului), stabilirea unor reguli privind utilizarea resurselor
externe, existena unui personal cu instruire i experien adecvate, nregistrarea automat n jurnalele de
operaii i revizuirea periodic a acestora pentru a se depista activitile neautorizate, utilizarea unor
instrumente software/hardware pentru managementul i monitorizarea reelei, monitorizarea accesului
furnizorilor de servicii i al consultanilor, criptarea datelor.
Controale de baz n reeaua Internet
Cea mai bun politic pentru minimizarea consecinelor negative generate de conexiunea direct la
Internet conine urmtoarele aspecte:
Prevenirea accesului anonim sau, dac trebuie s fie permis, eliminarea efectelor negative ale
acestuia;
Transferul fiierelor din sistemul informatic al entitii pe calculatorul legat la Internet dup ce
acesta a fost verificat cu atenie i innd seama de faptul c fiierele pot fi transferate utiliznd
serviciul de e-mail;
Crearea unui numr ct mai mic posibil de conturi de utilizator pe calculatorul cu acces la
Internet i schimbarea regulat a parolelor.
Protecii "Firewall". Dac necesitile cer conectarea direct la Internet cu riscuri minime, se utilizeaz
includerea n configuraie a unei protecii de tip "firewall" pentru a facilita controlul traficului ntre reeaua
entitii i Internet i pentru a stopa penetrarea pachetelor externe neautorizate.
Acesta const ntr-o combinaie de calculatoare (router i gateway) care asigur i servicii adiionale
privind: autentificarea, ncriptarea i nregistrarea n jurnalul de operaii.
Politica privind parolele. O politic adecvat privind parolele poate avea o contribuie semnificativ
pentru securitatea calculatoarelor conectate la Internet. Politicile privind parolele aferente calculatoarelor
neconectate la Internet rmn valabile i pentru acest tip de acces.
Controlul accesului conine, n afara politicilor privind parolele aferente calculatoarelor neconectate la
Internet, proceduri specifice: utilizarea parolelor ascunse, utilizarea unui algoritm nestandard de ncriptare
a parolelor.
Pag. 175 din 214
Criptarea este o form de protecie asigurat prin codificarea informaiilor transmise n reeaua Internet.
Serviciile de pot electronic perfecionate sunt dezvoltate pentru a asigura confidenialitatea i
integritatea mesajelor transmise, prin ncriptare i prin semnare.
Instrumentele de evaluare a securitii sunt instrumente disponibile pe Internet utilizate pentru analiza
i evaluarea securitii reelelor, raportnd slbiciunile acestora n ceea ce privete controlul accesului
sau regulile pentru parole.
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este implementat o
politic pentru minimizarea consecinelor negative generate de conexiunea direct la Internet, care s
abordeze aspectele prezentate mai sus: protecie firewall, administrator cu experien i de ncredere
pentru supravegherea calculatoarelor cu acces la Internet, politica privind parolele, ncriptarea,
Instrumentele de evaluare a securitii utilizate, serviciile de pot electronic perfecionate, monitorizarea
atacurilor.
Efectuarea de ctre entitate a unor analize privind capacitatea pentru hardware i pentru reea,
precum i periodicitatea acestor analize;
Efectuarea de ctre entitate a unor analize privind gtuirile de trafic. Detalierea problemelor.
Elaborarea planului are la baz o analiz detaliat a impactului pe care l-ar genera lipsa sistemului IT
asupra afacerii, n scopul reducerii riscurilor. Sunt examinate, de asemenea, msurile de prevenire a
dezastrului pentru a opera perfecionarea acestor msuri. Pe baza analizelor i informaiilor preliminare,
se realizeaz dezvoltarea planului de continuitate, care va fi implementat, testat prin simulri periodice i
actualizat n funcie de schimbrile impuse de rezultatele simulrilor.
Planul de continuitate trebuie s fie fcut cunoscut personalului implicat n procesele IT.
Coninutul unui plan de continuitate poate varia n funcie de circumstane, dar, n general, include urmtoarele seciuni: seciunea administrativ, contracte suport, operarea calculatoarelor privind recuperarea
proceselor cheie IT, infrastructura IT necesar recuperrii i procedurile asociate, locaia de back-up,
identificarea locului unde sunt stocate arhivele cu supori tehnici care conin salvrile i procedura de
obinere a accesului la acestea, personalul implicat n procesul de recuperare n caz de dezastru
(personal propriu sau extern), stabilirea sediului provizoriu (pentru cazul n care dezastrul a fost extensiv
i a necesitat evacuri), revenirea la normal (lista detaliat a responsabilitilor echipelor implicate n
restabilirea condiiilor normale de activitate).
Auditorul va examina procedurile i controalele privind existena, implementarea, urmrirea i testarea cu
regularitate a planului privind asigurarea continuitii activitii entitii i, n particular, a operaiunilor IT.
B.5.5 Managementul operaiunilor IT
Managementul operaiunilor IT se realizeaz pe baza unor proceduri elaborate i documentate. n cadrul
misiunii de audit se verific existena controalelor privind implementarea acestor proceduri i atribuirea
responsabilitilor legate de aplicarea i actualizarea acestora.
Procedurile operaionale IT furnizeaz asigurarea c sistemele de aplicaii sunt disponibile la momentele
programate, opereaz n concordan cu cerinele, iar rezultatele prelucrrilor sunt produse la timp.
Controalele operaionale reduc riscurile adoptrii unor practici de lucru necorespunztoare ntr-un
departament IT. Practicile de lucru necorespunztoare pot afecta auditul financiar ntruct utilizarea calculatorului constituie baza pentru ntocmirea situaiilor financiare. Punctele slabe din mediul de operare ar
putea fi exploatate pentru a rula programe neautorizate i a efectua modificri ale datelor financiare.
Operarea pe calculator trebuie s asigure o procesare exact, corespunztoare a datelor financiare.
Controlul neadecvat asupra operatorilor la calculator crete riscul aciunilor neautorizate. Operatorii
nesupravegheai pot face uz de utilitile sistemului pentru a efectua modificri neautorizate ale datelor
financiare.
Experiena i pregtirea neadecvat a personalului mrete riscul comiterii de greeli n departamentul IT.
Greelile pot conduce la orice efect, de la cderea sistemului, pn la tergerea datelor unei perioade.
ntreinerea neadecvat a echipamentului informatic poate cauza probleme de disponibilitate a aplicaiilor,
iar disfunciile sistemului pot conduce la date eronate.
Registrele de procesare pot reduce riscurile unei activiti neautorizate. Pot fi utilizate de asemenea
pentru determinarea extensiei erorilor de procesare.
Documentaia slab sau lipsa acesteia pot cauza probleme cum ar fi: indisponibilitatea sistemului,
pierderea integritii datelor sau ntrzieri n recuperarea acestora dup eliminarea defectelor din sistem.
n general, sunt implementate urmtoarele tipuri de proceduri operaionale:
-
Protecia mpotriva viruilor - Implementarea unei proceduri privind utilizarea unei soluii antivirus
care s ofere asigurarea privind:
o Aplicarea soluiei antivirus tuturor serverelor i staiilor de lucru;
o Actualizarea fiierului de definiii antivirus;
o Interdicia dezactivrii software-ul antivirus de ctre utilizatori la staia proprie de
lucru;
o Software-ul antivirus scaneaz toate fiierele (pe server i pe staiile de lucru)
automat, n mod periodic.
Pregtirea unui plan de recuperare (de revenire la situaia iniial), chiar dac sistemul
funcioneaz corect;
n urma aprobrii de ctre management, gestionarea schimbrii trebuie transferat ctre personalul tehnic
(programatori, operatori, tehnicieni pentru reele etc.) pentru a asigura implementarea acesteia.
n cazul schimbrilor aplicaiilor, programatorii vor face dezvoltrile ntr-un mediu de dezvoltare
controlat, la care are acces numai personalul autorizat pentru efectuarea schimbrii. Versiunea modificat
i documentat este transferat pentru validare n mediul de test. Transferul programelor actualizate n
mediul de producie este realizat de o alt echip, nu de ctre programatorii sau analitii care au participat
la dezvoltare sau testare.
Orice schimbare a sistemului software necesit actualizarea documentaiei n concordan cu schimbrile
operate.
Dup o perioad predefinit, schimbarea trebuie revizuit pentru a determina:
Dac schimbarea s-a finalizat cu rezultatele planificate;
Dac resursele cerute pentru implementarea i operarea sistemului actualizat au fost cele
planificate.
Schimbrile de urgen sunt schimbri care sunt necesare n anumite situaii neprevzute, nu pot
atepta parcurgerea fluxului normal al procedurilor de control al schimbrii i trebuie implementate cu o
ntrziere minim. Pentru acestea trebuie utilizate proceduri de control al schimbrilor de urgen.
Natura schimbrilor de urgen se reflect n timpul necesar efecturii i testrii schimbrii.
Auditorul va verifica dac aceste proceduri sunt rezonabile i includ forme de control suficiente i
adecvate.
Avnd n vedere c acest tip de schimbri se realizeaz sub presiune, trebuie avute n vedere riscurile
generate care sunt majore n astfel de cazuri.
Controlul versiunilor
Procedurile de control al versiunilor sunt foarte importante pentru a asigura utilizatorul c opereaz
asupra versiunii de program corecte. Creterea gradului de distribuire a sistemelor implic o dificultate
crescut a gestiunii versiunilor, ceea ce implic necesitatea implementrii unor proceduri de control al
versiunilor.
Pe baza acestor premise, managementul schimbrii i al dezvoltrii sistemului se poate sintetiza dup
cum se descrie n continuare:
Dezvoltatorii de software utilizeaz pe scar larg instrumente automate de control al versiunilor pentru a
nregistra schimbrile succesive efectuate asupra programelor surs.
Managementul schimbrii i al dezvoltrii sistemului are ca obiectiv important implementarea unor
politici, proceduri i controale n scopul asigurrii c sistemele sunt disponibile cnd sunt necesare,
funcioneaz conform cerinelor, sunt fiabile, controlabile i necostisitoare, au un control sigur al integritii
datelor i satisfac nevoile utilizatorilor.
Pag. 182 din 214
Politicile implementate privind schimbarea sau dezvoltarea sistemului se refer la urmtoarele aspecte:
Utilizarea unor proceduri inadecvate de control al modificrilor poate crete riscul ca sistemul s nu
proceseze corect tranzaciile financiare. Fr o testare adecvat, att conducerea entitii, ct i auditorii
au o asigurare slab c sistemul va efectua ceea ce s-a intenionat. Implicarea neadecvat a utilizatorilor
crete riscul ca informaiile rezultate din aplicaii s nu corespund cu realitatea. Documentaia
neadecvat face ca sistemul s fie dificil de ntreinut. Fr standarde adecvate, poate fi dificil s se
respecte documentaia.
O documentare bun a schimbrilor poate ajuta la identificarea erorilor sistemului. Utilizarea metodologiilor standard de proiectare reduce riscul ca un sistem nou s nu corespund cerinelor utilizatorului.
Modificrile de urgen care nu au fost aprobate pot cauza probleme neprevzute n alte zone ale
sistemului informatic.
Existena unor controale neadecvate poate conduce la utilizarea n mediul de producie a unor programe
neautorizate. Modificrile neautorizate n sistem pot fi utilizate pentru fraudarea clientului. Acestea pot de
asemenea s afecteze disponibilitatea sistemelor i pot deforma datele financiare. Utilizarea neautorizat
Pag. 183 din 214
a unor faciliti poate fi utilizat pentru a ocoli procedurile de management al modificrilor stabilite i
favorizeaz dezvoltarea de aplicaii neautorizate.
Auditorul va examina urmtoarele aspecte:
Auditul intern trebuie s se concentreze asupra existenei i eficacitii controalelor specializate IT pentru
toate categoriile menionate mai sus, n concordan cu specificul activitii i n scopul evitrii expunerii
afacerii la riscuri nejustificate.
Specializarea unor auditori n domeniul auditului IT i utilizarea unor metodologii adecvate sau includerea
unor experi n domeniu n echipa de audit, n situaii n care se justific prezena acestora, reprezint o
cerin pentru evaluarea unor sisteme informatice complexe.
n funcie de stadiul n care acioneaz, exist trei categorii de controale:
Controale preventive proiectate pentru a preveni producerea de erori, omisiuni sau aciuni ru
intenionate. Un exemplu de control preventiv este utilizarea parolelor pentru accesul n sistem.
Controale de detectare proiectate pentru a detecta erori, omisiuni sau aciuni ru intenionate
care au loc i pentru a raporta apariia acestora. Un exemplu de control detectiv este meninerea
jurnalelor de operaii ale sistemului i ale aplicaiilor.
Controale corective proiectate pentru a reduce impactul sau pentru a corecta erorile odat ce
au fost detectate. Planul de continuitate a afacerii este considerat cel mai semnificativ control
corectiv.
69
4. Integritatea i validitatea procesului: menine integritatea i validitatea datelor de-a lungul ciclului de
procesare. Detectarea tranzaciilor compromise din punct de vedere al erorilor nu ntrerupe procesarea
tranzaciilor valide.
5. Revizuirea rezultatelor, reconcilierea i tratarea erorilor: stabilete procedurile i responsabilitile
asociate pentru a asigura c rezultatul este utilizat ntr-o manier autorizat, distribuit destinatarului
potrivit i protejat n timpul transmiterii sale, precum i faptul c se produc: verificarea, detectarea i
corectarea exactitii rezultatului i c informaia oferit n rezultatul procesrii este utilizat.
6. Autentificarea i integritatea tranzaciilor: nainte de a transmite datele tranzaciei de la aplicaiile
interne ctre funciile operaionale ale afacerii (sau ctre exteriorul organizaiei), trebuie verificate: destinaia, autenticitatea sursei i integritatea coninutului. Menine autenticitatea i integritatea transmiterii sau
ale transportului.
Pentru evaluarea controalelor de aplicaie se utilizeaz Lista de verificare privind evaluarea controalelor
de aplicaie.
Aspectele teoretice referitoare la evaluarea riscurilor au fost tratate n detaliu n Capitolul 3. Pentru
evaluarea riscurilor se utilizeaz Lista de verificare privind evaluarea riscurilor.
Creterea gradului de complexitate a sistemelor informatice prin integrarea aplicaiilor la nivelul sistemului
informatic al entitii, permite procesarea mai multor tipuri de tranzacii, provenind din aplicaii diferite:
aplicaii care proceseaz tranzacii privind veniturile, tranzacii de cheltuieli, state de plat lunare, evidena
stocurilor, costul lucrrilor i activele fixe i altele. Este deci posibil ca o aplicaie s proceseze tranzacii
din zone contabile diferite.
La definirea zonelor contabile, auditorul va trebui s identifice fluxul principal de tranzacii din fiecare
aplicaie i s reconstituie parcursul prelucrrii n funcie de aplicaia analizat. De asemenea, trebuie s
detecteze i s reconstituie fluxurile care apar n situaia transferului de informaii ntre aplicaii.
Auditorul trebuie s evalueze riscul de audit n cadrul fiecrui proces, utiliznd urmtorii trei factori:
(a) ameninrile la adresa integritii i disponibilitii informaiilor financiare;
(b) vulnerabilitatea informaiilor financiare la ameninrile identificate;
Pag. 186 din 214
evidenele tranzaciilor s fie stocate i s fie complete pentru ntreaga perioad de raportare;
evidenierea unei tranzacii s conin suficiente informaii pentru a stabili un parcurs de audit;
totalurile tranzaciilor s se regseasc n situaiile financiare.
Dac oricare din aceste criterii nu primete un rspuns afirmativ, auditorul trebuie s decid dac sistemul
informatic ofer ncredere n situaiile financiare generate de acest sistem. n condiiile n care concluzia
auditorului este c nu poate avea ncredere n sistemul informatic, auditorul trebuie s analizeze ce
msuri trebuie luate pentru a continua misiunea de audit financiar.
Auditorul trebuie s constate dac exist evidene contabile alternative manuale i dac este posibil s se
efectueze auditul pe baza acestora (pe lng sistemul informatic).
simulare paralel;
compararea codului programului;
revizuirea codului programului.
n ambele cazuri se pun urmtoarele probleme: (1)- identificarea informaiilor care vor fi necesare pentru
prelucrare n scopul obinerii probelor de audit, (2)- obinerea datelor ntr-un format adecvat pentru a fi
prelucrate, (3)- stocarea datelor ntr-o structur care s permit prelucrrile impuse de necesitile
auditului.
Utilizarea tehnicilor de auditare asistat de calculator presupune:
Pentru a obine probe de audit de calitate i pentru efectuarea unor prelucrri adiionale, auditorul poate
efectua investigaii privind informaiile generate de calculator, prin utilizarea tehnicilor de audit asistat de
calculator, n particular, utilizarea programului IDEA.
Acest mod de lucru contribuie la creterea performanei n efectuarea testelor de fond, prin aplicarea unor
proceduri analitice automatizate, precum i a performanei procedurilor de audit.
Tehnicile de testare a datelor sunt folosite uneori pe parcursul unui audit prin introducerea de date (de
exemplu, un eantion de tranzacii) ntr-un sistem informatic al unei entiti i compararea rezultatelor
obinute cu rezultatele predeterminate.
Un auditor poate folosi testarea datelor pentru:
verificarea controalelor specifice n sistemele informatice, cum ar fi controale de acces la date,
parole;
prelucrarea tranzaciilor selectate dintre cele prelucrate de sistemul informatic sau create de
auditor pentru a testa facilitile aplicaiilor informatice ale entitii, separat de datele procesate n
mod obinuit de entitate;
prelucrarea tranzaciilor de test n timpul execuiei normale a programului de prelucrare, de ctre
auditorul integrat n sistem ca fiind un utilizator fictiv. In acest caz, tranzaciile de test trebuie s
fie eliminate ulterior din nregistrrile contabile ale entitii.
Auditorul va evalua dac documentaia aplicaiei este adecvat, este cuprinztoare i actualizat, dac
personalul ndreptit are copii ale documentaiei relevante sau acces la aceasta, dac exist instruciuni
de lucru pentru procedurile zilnice i pentru rezolvarea unor probleme frecvente, dac se pstreaz copii
de rezerv ale documentaiei aplicaiei n scopul recuperrii dup dezastru i al relurii rapide a
procesrii.
Controalele fizice i logice de acces trebuie s ofere asigurarea c numai tranzaciile valabile sunt
acceptate pentru introducere.
Controalele fizice de acces includ mecanisme de acces protejate la uile ctre biroul financiar i
terminalele calculatorului (nchidere cu mecanisme de blocare sau cu cheia).
Controalele logice de acces se refer la capacitatea sistemelor informatice de a identifica utilizatorii
individuali i de a raporta identitatea lor fa de o list predeterminat de funcii pe care fiecare dintre
acetia este autorizat s le execute.
Dup identificare i autentificare, aplicaia poate fi n msur s controleze drepturile fiecrui utilizator.
Aceasta se realizeaz pe baza profilului i a drepturilor i privilegiilor de acces necesare pentru fiecare
utilizator individual sau grup de utilizatori. De exemplu, unui utilizator i se poate atribui profilul de operator
n registrul de vnzri i ca atare acestuia i va fi interzis s realizeze activiti n registrul de cumprri
sau n orice alt modul din cadrul aplicaiei.
O asigurare suplimentar poate fi obinut prin separarea sarcinilor impus prin calculator. Utilizatorii pot
avea un profil care s asigure c sistemul va procesa datele introduse numai dup ce au fost autorizate
de un alt membru nominalizat al personalului. Profilul utilizatorului trebuie s fie suficient de detaliat
pentru a asigura c un membru al personalului nu poate accesa sau procesa o tranzacie financiar de la
nceput la sfrit.
Asigurarea c introducerea datelor este complet poate fi obinut prin gruparea tranzaciilor pe loturi i
verificarea numrului i valorii tranzaciilor introduse cu totalurile calculate independent.
Dac aplicaiile nu utilizeaz controalele de lot pentru a introduce tranzacii, auditorul trebuie s caute alte
dovezi ale completitudinii. Se poate include o examinare a documentelor surs pentru a se confirma c
acestea au dat natere datelor de intrare.
Aplicaiile pot confirma validitatea intrrii prin compararea datelor introduse, cu informaii deja deinute in
sistem (de obicei din nomenclatoare sau cataloage). De exemplu, un sistem utilizat de validare a
adreselor dintr-un registru de vnzri sau cumprri implic introducerea numrului cldirii i a codului
potal. Calculatorul va cuta adresa n fiierele sale i apoi operatorul o compar cu adresa din
documentele de intrare.
Numerele de cont i alte cmpuri cheie pot ncorpora cifre de control. Cifrele de control sunt calculate prin
aplicarea unui algoritm la coninutul cmpului i pot fi utilizate pentru a verifica dac acel cmp a fost
introdus corect.
Cmpurile financiare pot face obiectul verificrii unui set de date pentru a evita introducerea de sume
neautorizate sau nerezonabile. Datele introduse care ncalc limitele prestabilite vor fi respinse i
evideniate ntr-un registru de audit.
Utilizarea numerelor de ordine ale tranzaciilor poate releva tranzaciile lips, ajut la evitarea tranzaciilor
duble sau neautorizate i asigur un parcurs de audit.
Controalele precizate mai sus nu sunt valide n condiiile n care este posibil ca acestea s fie ocolite prin
aciuni de introducere sau modificare a datelor, din afara aplicaiei.
Auditorul trebuie s urmreasc existena unor verificri automate ale aplicaiei care s detecteze i s
raporteze orice modificri externe ale datelor, de exemplu modificri neautorizate efectuate de personalul
de operare al calculatorului, direct n baza de date aferent aplicaiei. Auditorul trebuie s examineze i
rezultatele analizelor efectuate de sistem, pentru a se asigura c utilizarea facilitilor de modificare ale
sistemului, precum editoarele, este controlat corespunztor.
Auditorul va evalua procedurile/controalele existente care s asigure c introducerea datelor este autorizat
i exact, precum i controalele care asigur c toate tranzaciile valabile au fost introduse (verificri de
completitudine i exactitate), c exist proceduri pentru tratarea tranzaciilor respinse sau eronate. Va
verifica aciunile care se ntreprind de ctre conducere pentru monitorizarea datelor de intrare.
datele pot fi interceptate i modificate fie n cursul transmisiei, fie n cursul stocrii n site-uri
intermediare;
se pot utiliza semnturi digitale pentru a verifica dac tranzacia provine de la un utilizator
autorizat i coninutul tranzaciei este intact;
se pot utiliza tehnici de criptare a datelor pentru a preveni interpretarea i / sau modificarea
tranzaciilor interceptate;
secvenierea tranzaciilor poate ajuta la prevenirea i detectarea tranzaciilor dublate sau
terse i pot ajuta la identificarea tranzaciilor neautorizate.
Auditorul va evalua controalele implementate pentru asigurarea c transferul de date n reea este att
complet ct i exact (utilizarea semnturii digitale, criptarea datelor, secvenierea tranzaciilor), precum i
metodele de identificare i tratare a riscurilor asociate transferului de date n reea (adoptate de
organizaie).
sunt complete;
sunt exacte;
au fost distribuite corect.
Pentru a obine o asigurare c avut loc o prelucrare complet i exact, se implementeaz un mecanism
de raportare a tuturor mesajelor de eroare detectate n cursul procesrii sau de furnizare a unor totaluri de
control care s se compare cu cele produse n cursul introducerii, pus la dispoziia persoanelor
responsabile cu introducerea i autorizarea datelor tranzaciei. Aceasta poate lua forma unui registru de
operaii.
Completitudinea i integritatea rapoartelor de ieire depinde de restricionarea capacitii de modificare a
ieirilor i de ncorporarea de verificri de completitudine, cum ar fi numerotarea paginilor, i de
prezentarea unor sume de verificare.
Fiierele de ieire trebuie s fie protejate pentru a reduce riscul modificrilor neautorizate. Motivaii
posibile pentru modificarea datelor de ieire includ acoperirea procesrii neautorizate sau manipularea
rezultatelor financiare nedorite. De exemplu, fiierele de ieire neprotejate n cadrul unui sistem de plat a
notelor de plat ar putea fi exploatate prin alterarea sumelor cecurilor sau a ordinelor de plat i a
detaliilor beneficiarului. O combinaie de controale fizice i logice poate fi utilizat pentru protejarea
integritii datelor de ieire.
Datele de ieire dintr-un sistem IT pot constitui date de intrare n alt sistem, nainte ca acestea s fie
reflectate n situaiile financiare; de exemplu, datele de ieire dintr-un sistem care transfer statele de
plat, ca date de intrare, n registrul general. Acolo unde se ntlnete acest caz, auditorul trebuie s
verifice existena controalelor care s asigure c datele de ieire sunt transferate exact de la o faz de
procesare la alta. Un alt exemplu ar fi n cazul n care datele de ieire dintr-o balan de verificare sunt
utilizate ca date de intrare ntr-un pachet de procesare de tabele care reformateaz datele pentru a
produce situaiile financiare.
Auditorul va verifica existena controalelor care s asigure c ieirile de la calculator sunt stocate corect
i, atunci cnd sunt transmise, acestea ajung la destinaie, va verifica existena controalelor
corespunztoare privind caracterul rezonabil, exactitatea i completitudinea ieirilor.
de audit trebuie s nregistreze informaii, precum data i ora la care s-a fcut modificarea, identificarea
persoanei responsabile i cmpurile de date afectate. Fiierele importante de date permanente trebuie s
aib copii de rezerv ori de cte ori se fac modificri importante.
Aplicaiile care controleaz permisiunile de acces ale utilizatorului stocheaz detalii ale acestor permisiuni
n fiierele de date permanente. Aceste fiiere trebuie s fie protejate la modificri neautorizate.
Conducerea trebuie s probeze c se realizeaz verificri independente, care s asigure c
administratorul sistemului de control al accesului aplicaiei nu abuzeaz de privilegiile sale. Organizaiile
pot lista periodic coninutul fiierelor de date permanente (de exemplu profilele de securitate ale
utilizatorilor) pentru verificri operative.
Auditorul va verifica existena controalelor i va testa controalele privind autorizarea accesului i a
modificrilor datelor permanente.
Legislaia privind protecia datelor private i legislaia privind protecia datelor personale;
Va evalua dac aplicaia este disponibil atunci cnd este nevoie, funcioneaz conform
cerinelor, este fiabil i are implementate controale sigure asupra integritii datelor;
Va detalia procedura de actualizare a aplicaiei n concordan cu modificrile legislative;
Va evalua aplicaia din punct de vedere al gestionrii resurselor informatice disponibile (date,
funcionalitate, tehnologii, faciliti, resurse umane etc.);
Va evalua cunoaterea funcionrii aplicaiei de ctre utilizatori;
Va efectua teste de verificare a parametrilor i funcionalitii aplicaiei din punct de vedere
operaional i al conformitii cu legislaia n vigoare;
Va efectua teste de verificare la nivel de funcie pentru procedurile critice din punctul de vedere al
performanei (lansarea, derularea i abandonarea procedurilor, accesul la informaii n funcie de
perioada de nregistrare / raportare, restaurarea bazei de date);
Se vor efectua teste privind corectitudinea ncrcrii / actualizrii informaiilor n baza de date. Se
vor meniona metodele de depistare i rezolvare a erorilor. Se vor testa funciile de regsire i
analiz a informaiei;
Va evalua interoperabilitatea aplicaiei cu celelalte aplicaii din sistemul informatic;
Va evalua sistemul de raportare propriu aplicaiei i sistemul de raportare global;
Se vor efectua teste privind modul de accesare a aplicaiei la nivel de reea, la nivelul staiei de
lucru i la nivel de aplicaie;
Se vor testa funciile de conectare ca utilizator final i de operare n timp real, pe tranzacii de
test;
Se va evalua funcionalitatea comunicrii cu nivelele superioare i inferioare;
Se va analiza soluia de gestionare a documentelor electronice;
Se va efectua verificarea prin teste a proteciilor aferente aplicaiei.
Aceast list nu este exhaustiv. n funcie de obiectivele auditului i de specificul sistemului / aplicaiei
auditate, auditorul poate decide efectuarea i a altor teste care pot furniza concluzii relevante pentru
formularea unei opinii corecte.
Creterea semnificativ a productivitii unor activiti de rutin foarte mari consumatoare de timp
i resurse, care, transpuse n proceduri electronice (tehnoredactare, redactarea automat a
documentelor, cutri n arhive electronice, reutilizarea unor informaii, accesarea pachetelor
software legislative), se materializeaz n reduceri de costuri cu aceste activiti;
Scurtarea timpului de prelucrare prin reducerea numrului de erori i evitarea relurii unor
proceduri pentru remedierea acestora;
Glosar de termeni
Acceptarea riscului - Decizie luat de management de acceptare a unui risc.
Analiza riscului - Utilizarea sistematic a informaiei pentru a identifica ameninrile i pentru a estima
riscul.
Aria de aplicabilitate a unui audit Domeniul acoperit de procedurile de audit care, n baza
raionamentului auditorului i a Standardelor Internaionale de Audit, sunt considerate ca proceduri
adecvate n mprejurrile date pentru atingerea obiectivului unui audit.
Asigurare rezonabil (n contextul unei misiuni de audit) - Un nivel de asigurare adecvat, ridicat dar nu
absolut, reflectat n raportul auditorului ca fiind o asigurare rezonabil cu privire la faptul c informaiile
auditate nu conin greeli semnificative.
Audit extern Un audit efectuat de un auditor extern.
Autenticitate Proprietate care determin c iniiatorul unui mesaj, fiier etc. este n mod real cel care se
pretinde a fi.
Audit online - Auditare prin consultarea online a bazelor de date ale entitilor auditate, aflate la distan.
Audit continuu - Tip de auditare n care auditorul are acces permanent la sistemul informatic al entitii
auditate, diferena de timp ntre momentul producerii evenimentelor urmrite de auditor i obinerea
probelor de audit fiind foarte mic.
Autentificare Actul care determin c un mesaj nu a fost schimbat de la momentul emiterii din punctul
de origine. Un proces care verific identitatea pretins de un individ.
Autoritate de certificare O organizaie investit pentru a garanta autenticitatea unei chei publice (PKI).
Autoritatea de certificare cripteaz certificatul digital.
Backup O copie (de exemplu, a unui program software, a unui disc ntreg sau a unor date) efectuat fie
n scopuri de arhivare, fie pentru salvarea fiierelor valoroase pentru a evita pierderea, deteriorarea sau
distrugerea informaiilor. Este o copie de siguran.
Browser - Prescurtare pentru Web Browser, program care permite utilizatorilor s navigheze pe Web.
Cele mai populare browsere sunt Microsoft Internet Explorer, Opera, Mozilla.
BSI (British Standards Institution) Instituia care a publicat standardele naionale britanice care au
constituit baza evoluiei standardelor ISO 9001 (BS5750 sisteme de management al calitii) i ISO
17799 (BS 7799 managementul securitii informaiei).
CAAT - Computer Assisted Audit Techniques (Tehnici de audit asistat de calculator) - Software care
poate fi utilizat pentru interogarea, analiza i extragerea de fiiere de date i pentru producerea de probe
de tranzacii pentru testele de detaliu.
CISA (Certified Information Systems Auditor) - Auditor de Sisteme Informatice Certificat) - calificare
profesional oferit de Information Systems Audit and Control Association (ISACA) (Asociaia de Audit i
Control al Sistemelor Informatice).
Cloud Computing (configuraie de nori) - Stil de utilizare a calculatoarelor n care capabilitile IT se
ofer ca servicii distribuite i permit utilizatorului s acceseze servicii bazate pe noile tehnologii, prin
intermediul Internetului, fr a avea cunotine, expertiz sau control privind infrastructura tehnologic
suport a acestor servicii.
Confidenialitate Proprietate a informaiei care asigur c aceasta nu este fcut disponibil sau
dezvluit persoanelor, entitilor sau proceselor neautorizate.
Continuitatea afacerii - Un plan formal sau un set de planuri integrate, proiectate pentru a permite
proceselor cheie ale afacerii s continue operarea n urma unor cderi majore sau dezastre.
Controale generale n sistemele informaionale computerizate - Politici i proceduri care se refer la
sistemele informatice i care susin funcionarea eficient a controalelor aplicaiilor contribuind astfel la
asigurarea unei funcionri adecvate i continue a sistemelor informatice. Controalele informatice
Pag. 201 din 214
generale includ, n mod obinuit, controale asupra securitii accesului la date i reele, precum i asupra
achiziiei, ntreinerii i dezvoltrii sistemelor informatice.
Controlul accesului - Proceduri proiectate s restricioneze accesul la echipamente, programe i datele
asociate. Controlul accesului const n autentificarea utilizatorului i autorizarea utilizatorului.
Autentificarea utilizatorului se realizeaz, n general, prin intermediul unui nume de utilizator unic, al unei
parole, al unui card de acces, al datelor biometrice. Autorizarea utilizatorului se refer la regulile de acces
pentru a determina resursele informatice la care poate avea acces fiecare utilizator.
Control intern - Procesul proiectat i efectuat de cei care sunt nsrcinai cu guvernarea, de ctre
conducere i de alte categorii de personal, pentru a oferi o asigurare rezonabil n legtur cu atingerea
obiectivelor entitii cu privire la credibilitatea raportrii financiare, la eficacitatea i eficiena operaiilor i
la respectarea legilor i reglementrilor aplicabile. Controlul intern este compus din urmtoarele elemente:
(a) Mediul de control; (b) Procesul de evaluare a riscurilor entitii; (c) Sistemul informatic, inclusiv
procesele de afaceri aferente, relevante pentru raportarea financiar i comunicare; (d) Activitile de
control; i (e) Monitorizarea controalelor.
Controale de aplicaie n sistemele informatice - Proceduri manuale sau automate care opereaz de
obicei la nivelul proceselor ntreprinderii. Controalele de aplicaie pot fi de natur preventiv sau de
detectare i sunt proiectate s asigure integritatea informaiilor. n mare parte, controalele de aplicaie se
refer la procedurile folosite pentru a iniia, nregistra, procesa i raporta tranzaciile sau alte date
financiare.
Controlul dezvoltrii programelor - Proceduri menite s previn sau s detecteze modificrile
inadecvate aduse programelor informatice care sunt accesate cu ajutorul terminalelor conectate online.
Accesul poate fi restricionat prin controale cum ar fi folosirea unor programe operaionale separate sau a
unor pachete de programe specializate dezvoltate special pentru acest scop. Este important ca
modificrile efectuate online asupra programelor s fie documentate, controlate i monitorizate n mod
adecvat.
CRAMM (The CCTA Risk Analysis and Management Method) - Metod de management i analiz a
riscului - este o metod structurat pentru identificarea i justificarea msurilor de protecie care vizeaz
asigurarea unui nivel adecvat de securitate n cadrul sistemelor IT.
Criptare (criptografie) - Procesul de transformare a programelor i informaiilor ntr-o form care nu
poate fi neleas fr accesul la algoritmi specifici de decodificare (chei criptografice).
Certificat digital - Conine semnturi digitale i alte informaii care confirm identitatea prilor implicate
ntr-o tranzacie electronic, inclusiv cheia public.
Declaraie de aplicabilitate - Declaraie documentat care descrie obiectivele de control i msurile de
securitate care sunt relevante i aplicabile SMSI al organizaiei. Obiectivele de control i msurile sunt
bazate pe rezultatele i concluziile analizei de risc i pe procesele de tratare a riscului, cerine legale sau
de reglementare, obligaii contractuale i cerinele afacerii organizaiei pentru securitatea informaiei.
Determinarea riscului - Pprocesul global de analiz i evaluare a riscului
Disponibilitate Capacitatea de a accesa un sistem, o resurs sau un fiier atunci cnd este formulat o
cerere n acest scop. Proprietatea informaiei de a fi accesibil i utilizabil la cerere de ctre o entitate
autorizat
Documentarea misiunii de audit - nregistrarea procedurilor de audit aplicate, a probelor de audit
relevante, precum i a concluziilor la care a ajuns auditorul (termen cunoscut uneori i ca documente de
lucru sau foi de lucru). Documentaia unei misiuni specifice este colectat ntr-un dosar de audit.
Documentele de lucru - Materialele ntocmite de auditor i pentru uzul auditorului, sau obinute i
pstrate de acesta, n corelaie cu derularea auditului. Documentele de lucru pot fi pe suport de hrtie, pe
film, pe suport magnetic, electronic sau pe alte tipuri de suport pentru stocarea datelor.
e-audit - Tip de audit pentru care prezena fizic a auditorului nu este necesar la entitatea auditat,
acesta avnd la dispoziie toate informaiile oferite de o infrastructur ITC pentru audit.
EDI - Electronic Data Interchange este termenul generic pentru transmisia structurat a tranzaciilor sau
informaiilor comerciale de la un sistem la altul.
Pag. 202 din 214
e-guvernare - Schimbul online al informaiei autoritilor publice i a guvernului cu, i livrarea serviciilor
ctre: ceteni, mediul de afaceri i alte agenii guvernamentale.
Guvernarea electronic presupune furnizarea sau obinerea de informaii, servicii sau produse prin
mijloace electronice ctre i de la agenii guvernamentale, n orice moment i loc, oferind o valoare
adugat pentru prile participante.
e-sisteme - Sisteme bazate pe Internet i tehnologii asociate care ofer servicii electronice cetenilor,
mediului de afaceri i administraiei: e-government, e-health, e-commerce, e-learning etc.
EFT - Electronic Funds Transfer systems (sisteme electronice de transfer de fonduri) sunt utilizate pentru
a transfera fonduri dintr-un cont bancar n alt cont bancar utiliznd echipamente electronice n locul
mediilor pe hrtie. Sistemele uzuale EFT includ BACS (Bankers Automated Clearing Services) i CHAPS
(Clearing House Automated Payment System).
Eantionarea n audit - Aplicarea procedurilor de audit la mai puin de 100% din elementele din cadrul
soldului unui cont sau al unei clase de tranzacii, astfel nct toate unitile de eantionare s aib o ans
de selectare. Aceasta i va permite auditorului s obin i s evalueze probe de audit n legtur cu unele
caracteristici ale elementelor selectate pentru a formula o concluzie sau a ajuta la formularea unei
concluzii n legtur cu populaia din care este extras eantionul. Eantionarea n audit poate utiliza fie o
abordare statistic, fie una nonstatistic.
Evaluarea riscului - Proces de comparare a riscului estimat cu criteriile de risc agreate n vederea
stabilirii importanei riscului.
Eveniment de securitate a informaiilor - situaie identificat n legtur cu un sistem, un serviciu sau o
reea care indic o posibil nclcare a politicii de securitate a informaiilor, un eec al msurilor de
protecie sau o situaie ignorat anterior, dar relevant din punct de vedere al securitii.
Firewall - Combinaie de resurse informatice, echipamente sau programe care protejeaz o reea sau un
calculator personal de accesul neautorizat prin intermediul Internetului, precum i mpotriva introducerii
unor programe sau date sau a oricror alte programe de calculator neautorizate sau care produc daune.
Frequently Asked Questions (FAQ) - Un termen care se refer la o list de ntrebri i rspunsuri
furnizat de companii referitoare la produsele de software, web site etc.
Frauda - Act intenionat ntreprins de una sau mai multe persoane din cadrul conducerii, din partea celor
nsrcinai cu guvernarea, a angajailor sau a unor tere pri, care implic folosirea unor neltorii pentru
a obine un avantaj ilegal sau injust.
Gateway - Interconexiunea ntre dou reele cu protocoale de comunicare diferite.
Guvernare (guvernare corporativ) - Descrie rolul persoanelor crora le este ncredinat supervizarea,
controlul i conducerea unei entiti. Cei nsrcinai cu guvernarea sunt, n mod obinuit, rspunztori
pentru asigurarea ndeplinirii obiectivelor entitii, pentru raportarea financiar i raportarea ctre prile
interesate. n cadrul celor nsrcinai cu guvernarea se include conducerea executiv doar atunci cnd
aceasta ndeplinete astfel de funcii.
Guvernarea electronic - Schimbul online al informaiei guvernului cu, i livrarea serviciilor ctre: ceteni, mediul de afaceri i alte agenii guvernamentale (definiie INTOSAI).
HelpDesk - Punctul principal de contact sau interfaa dintre serviciile sistemului informatic i utilizatori.
Help desk este punctul unde se colecteaz i se rezolv problemele utilizatorului.
Home Page - Pagina prin care un utilizator intr n mod obinuit pe un web site. Aceasta conine i
legturile (linkurile) cele mai importante ctre alte pagini ale acestui site.
Hypertext - Un sistem de scriere i de afiare a textului care permite ca textul s fie accesat n moduri
multiple, s fie disponibil la mai multe nivele de detaliu i care conine legturi la documente aflate n
relaie cu acesta.
Hypertext Mark-Up Language (HTML) - Limbajul utilizat pentru generarea documentelor de tip hipertext
(inclusiv pentru scrierea paginilor pentru http://www). Acest limbaj permite textului sa includ coduri care
definesc font-ul, layout-ul, grafica inclus i link-urile de hypertext.
Internet - Un ansamblu de calculatoare conectate n reea (la scar mondial) care asigur servicii de
tiri, acces la fiiere, pota electronic i instrumente de cutare i vizualizare a resurselor de pe Internet.
Internet Service Provider (ISP) - Un furnizor comercial al unei conexiuni la Internet.
Pag. 203 din 214
Incident - Un eveniment operaional care nu face parte din funcionarea standard a sistemului.
Incident privind securitatea informaiei - un eveniment sau o serie de evenimente de securitate a
informaiei care au o probabilitate semnificativ de a compromite activitile organizaiei i de a aduce
ameninri la securitatea informaiei.
Integritate - Proprietatea de a pstra acurateea i deplintatea resurselor.
Instituia Suprem de Audit - Organismul public al unui stat care, indiferent de modul n care este
desemnat, constituit sau organizat n acest scop, exercit n virtutea legii cea mai nalt funcie de audit n
acel stat.
Intranet - Versiunea privat a Internetului, care permite persoanelor din cadrul unei organizaii s
efectueze schimburi de date, folosind instrumentele obinuite ale Internetului, cum sunt browserele.
Log (jurnal de operaii) - O eviden sau un jurnal al unei secvene de evenimente sau activiti.
Managementul configuraiei - Procesul de identificare i definire a componentelor de configuraie ntr-un
sistem, de nregistrare i raportare a strii componentelor din configuraie i a solicitrilor de modificare i
verificare a integritii i corectitudinii componentelor de configuraie.
Managementul riscului - Activiti coordonate pentru ndrumarea i controlul unei organizaii lund n
considerare riscurile.
Managementul schimbrilor - Procesul de control i gestionare a solicitrilor de modificare a oricrui
aspect al sistemului informatic (hardware, software, documentaie, comunicaii, fiiere de configurare a
sistemului). Procesul de management al schimbrilor va include msuri de control, gestionare i
implementare a modificrilor aprobate.
Mediu de control - Include funciile de guvernare i de conducere, precum i atitudinile, contientizarea
i aciunile celor nsrcinai cu guvernarea i conducerea entitii referitoare la controlul intern al entitii i
la importana acestuia n entitate. Mediul de control este o component a controlului intern.
Mediu informatizat - Politicile i procedurile pe care entitatea le implementeaz i infrastructura
informatic (echipamente, sisteme de operare etc.), precum i programele de aplicaie utilizate pentru
susinerea operaiunilor ntreprinderii i realizarea strategiilor de afaceri. Se consider c un astfel de
mediu exist n cazul n care n procesarea de ctre entitate a informaiilor financiare semnificative pentru
audit este implicat un calculator, de orice tip sau dimensiune, indiferent dac acest calculator este operat
de ctre entitate sau de o ter parte.
Metode biometrice - Metode automate de verificare sau de recunoatere a unei persoane bazate pe
caracteristici comportamentale sau fizice (de exemplu, amprente digitale, scrisul de mn i geometria
facial sau retina), utilizate n controlul accesului fizic.
Modem - O pies de echipament utilizat pentru convertirea unui semnal digital dintr-un calculator, n
semnal analog pentru transmiterea ntr-o reea analogic (precum sistemul public de telefoane). Un alt
modem aflat la captul de primire convertete semnalul analog n semnal digital.
Networks [reele] - Interconectarea prin faciliti de telecomunicaie a calculatoarelor i a altor
dispozitive.
Ofier de securitate - Persoana responsabil s asigure c regulile de securitate ale organizaiei sunt
implementate i funcioneaz.
Pista de audit Un set cronologic de nregistrri care furnizeaz n mod colectiv proba documentar a
prelucrrii, suficient pentru a permite reconstituirea, revizuirea i examinarea unei activiti.
Planificarea continuitii - Planificarea efectuat pentru a asigura continuitatea proceselor cheie ale
afacerii dup dezastre, cderi majore ale sistemelor sau n cazul imposibilitii procesrilor de rutin.
Politica de securitate - Setul de reguli i practici care reglementeaz modul n care o organizaie
gestioneaz, protejeaz i distribuie informaiile sensibile.
Probe de audit - Totalitatea informaiilor folosite de auditor pentru a ajunge la concluziile pe care se
bazeaz opinia de audit.
Protocol - Standarde i reguli care determina nelesul, formatul i tipurile de date care pot fi transferate
ntre calculatoarele din reea.
Resurse - Orice prezint valoare pentru organizaie.
Pag. 204 din 214
Trojan horse (cal troian) - Program de calculator care realizeaz aparent o funcie util, dar realizeaz i
funcii ascunse neautorizate (de exemplu, un program neautorizat care este ascuns ntr-un program
autorizat i exploateaz privilegiile de acces ale acestuia).
User profile (profilul utilizatorului) - O list de drepturi de acces ale unui anumit utilizator al sistemului.
Virus - Sunt programe de calculator ru intenionate, autopropagabile care se ataeaz programelor
executabile gazd.
Worms (viermi) - Viermii sunt programe de calculator ru intenionate, care se pot replica fr ca
programul gazd s poarte infecia. Reelele sunt vulnerabile la atacurile viermilor, un vierme care intra n
nodul unei reele cauzeaz probleme locale n nod i trimite copii ale sale nodurilor vecine.
Referine bibliografice
[1] European Commission, Directiva 1999/93/CE privind un cadru comunitar pentru
semntura electronic, http://www.eur-lex.europa.eu
[2] European Commission, Directiva 2000/31/CE privind aspecte juridice ale serviciilor
societii informaionale, n special ale comerului electronic, http://www.eur-lex.europa.eu
[3] European Commission, Directiva 2002/19/CE privind accesul la reele de comunicaii
electronice i la infrastructura asociat precum i interconectarea acestora,
http://www.eur-lex.europa.eu
[4] European Commission, Directiva 2002/58/CE privind prelucrarea datelor personale i
protejarea confidenialitii i comunicaiilor electronice, http://www.eur-lex.europa.eu
[5] European Commission, Directiva 460/2004/CE privind instituirea Ageniei Europene
pentru Securitatea reelelor informatice i a datelor, http://www.eur-lex.europa.eu
[6] European Commission, Directiva 854/2005/CE de instituire a unui program comunitar
multianual de promovare a utilizrii n condiii de mai mare siguran a Internet-ului i a
noilor tehnologii online, http://www.eur-lex.europa.eu
[7] European Commission, Directiva 2006/123/CE privind serviciile pe piaa intern
(Directiva Servicii), http://www.eur-lex.europa.eu
[8] European Commission, Regulamentul (CE) nr. 808/2004 al Consiliului European din 21
aprilie 2004, privind Statisticile Comunitare referitoare la Societatea Informaional,
http://www.eur-lex.europa.eu
[9] European Commission, Regulamentul (CE) nr. 1099/2005 al Comisiei din 13 iulie 2005
de punere n aplicare a Regulamentului (CE) nr. 808/2004 al Parlamentului European i al
Consiliului privind statisticile comunitare referitoare la Societatea Informaional,
http://www.eur-lex.europa.eu
[10] HG nr. 58/1998 pentru aprobarea Strategiei naionale de informatizare i implementare
n ritm accelerat a societii informationale i a Programului de aciuni privind utilizarea pe
scara larga i dezvoltarea sectorului tehnologiilor informatiei n Romnia
[11] HG nr. 271/ 2001 privind nfiinarea grupului de lucru "Grupul de Promovare a
Tehnologiei Informatiei n Romnia"
[12] HG nr. 1007/2001 pentru aprobarea Strategiei Guvernului privind informatizarea
administraiei publice
[13] Legea nr. 455/ 2001 privind semntura electronic
[14] HG nr. 1259/2001 privind aprobarea Normelor tehnice i metodologice pentru
aplicarea Legii nr. 455/2001 privind semnatura electronic
[15] Legea nr. 365/2002 republicat privind comerul electronic
[16] Legea nr. 677/ 2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu
caracter personal i libera circulaie a acestor date
[17] Legea nr. 544/2001 privind liberul acces la informaiile de interes public
[18] Legea nr. 161/ 2003 privind unele msuri pentru asigurarea transparenei n
exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i
sancionarea coruptiei - TITLUL II: Transparena n administrarea informaiilor i serviciilor
publice prin mijloace electronice
[19] Legea nr. 161/ 2003 privind unele msuri pentru asigurarea transparenei n
exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i
sancionarea coruptiei - TITLUL III: Prevenirea i combaterea criminalitatii informatice.
[20] HG nr. 1085/ 2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind unele
msuri pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor
publice i n mediul de afaceri, prevenirea i sancionarea coruptiei, referitoare la
implementarea Sistemului Electronic Naional
[21] HG nr. 538/ 2004 privind modificarea i completarea Hotrrii Guvernului nr.
1.085/2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind unele msuri
pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor publice i n
mediul de afaceri, prevenirea i sancionarea coruptiei, referitoare la implementarea
Sistemului Electronic Naional
[22] HG nr.1362/2004 privind nfiinarea Centrului Informatic Naional al Ministerului
Administraiei i Internelor i operationalizarea Sistemului e-administraie
[23] Legea nr. 506/ 2004 privind prelucrarea datelor cu caracter personal i protectia vieii
private n sectorul comunicaiilor electronice
[24] HG nr. 1016/2004 privind msurile pentru organizarea i realizarea schimbului de
informaii n domeniul standardelor i reglementrilor tehnice, precum i al regulilor
referitoare la serviciile societii informaionale ntre Romnia i statele membre ale Uniunii
Europene,precum i Comisia European
[25] OMF nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele
de management/control intern la entitatile publice i pentru dezvoltarea sistemelor de
control managerial
[26] Legea 121/2006 pentru modificarea i completarea Legii nr. 365/2002 privind comerul
electronic
[27] OMF nr. 847/2009 pentru modificarea i completarea Ordinului ministrului economiei i
finanelor nr. 858/2008 privind depunerea declaraiilor fiscale prin mijloace electronice de
transmitere la distan
[28] OUG nr.49/2009 privind libertatea de stabilire a prestatorilor de servicii i libertatea de
a furniza servicii n Romnia
[29] HG nr. 444/ 2009 privind aprobarea Strategiei guvernamentale de dezvoltare a
comunicaiilor electronice n band larg n Romnia pentru perioada 2009-2015
[30] HG nr. 195 din 9 martie 2010 privind aprobarea Strategiei naionale "e-Romnia"
[31] Beate Schulte, Ulrike Peter, Jutta Croll, Iris Cornelssen, Methodologies to identify best
practice in barrier-free web design, European Journal of ePractice No. 3 May 2008,
ISSN: 1988-625X, www.e-practicejournal.eu
[32] Cristiano Codagno, Trond Arne Undheim, Benchmarking eGovernment: tools, theory,
and practice, European Journal of ePractice No. 4 August 2008, ISSN: 1988-625X,
www.e-practicejournal.eu
[33] Capgemini, The User Challenge Benchmarking The Supply Of Online Public Services
7th Measurement, 10 April 2008,
http://ec.europa.eu/information_society/eeurope/i2010/docs/benchmarking/egov_benchmar
k_2007.pdf
[34] European Commission, eGovernment progress in EU 27+: Reaping the benefits,
(2007), Brussels, August 2008,
http://ec.europa.eu/information_society/newsroom/cf/itemlongdetail.cfm?item_id=3635
[35] European Commission, i2010 eGovernment Action Plan: Accelerating eGovernment in
Europe for the Benefit of All, COM(2006), 173 final, Brussels
Pag. 208 din 214
[36] European Commission, Facing the Challenge: The Lisbon Strategy for Growth and
Employment, Report of the High Level Group, Brussels. Retrieved 15 August 2008,
http://ec.europa.eu/growthandjobs/pdf/kok_report_en.pdf
[37] European Commission, eEurope 2005, An information society for all: An Action Plan to
be presented in view of the Seville European Council, COM(2002) 263 final, Brussels.
[38] Robert Deller and Veronique Guilloux, Determining relevance of best practice based
on interoperability in European eGovernment initiatives, Journal of ePractice No. 4 August
2008, ISSN: 1988-625X, www.e-practicejournal.eu
[39] ENISA, Work programme 2005 Information sharing is protecting ENISA EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY, Brussels, 25
February 2005
[40] European Commission, eEurope 2005: An information society for all. An Action Plan
presented in view of the Sevilla European Council, 21/22 June 2002
[41] European Commission, Ministerial Conference - "ICT for an Inclusive Society,
Ministerial declaration, Riga, Latvia June 2006
[42] European Commission, IDABC Work Programme, Fourth revision (2007), SECTION I
Project of common interest. Horizontal measures
[43] European Commission, I2010 e-Government Action Plan, Analysis of European target
groups related to inclusive eGovernment, 2006
[44] OMB, Report to Congress on the benefits of the presidents e-government initiatives,
Fiscal Year 2007, OMB, USA
[45] Capgemini (2004) Online availability of public services: how is Europe progressing?
web based survey on electronic public services report of the 5th measurement - october
2004, For: European Commission Directorate General for Information Society and Media
3 march 2005
[46] Capgemini (2006), Online Availability of Public Services: How Is Europe Progressing?
- Web Based Survey on Electronic Public Services Report of the 6th Measurement - June
2006
[47] Cabinet Office (2002). Public Service Agreement Target Technical Note, Target 3,
(http://www.cabinetoffice.gov.uk/reports/service-delivery/sda4.asp#target3)
[48] Cabinet Office (2005). Transformational Government - Enabled by Technology
http://www.cio.gov.uk/
[49] CapGemini (2007), The User Challenge Benchmarking The Supply Of Online Public
Services; 7th Measurement (European Commission, Brussels)
http://ec.europa.eu/informationsociety/eeurope/i2010/docs/benchmarking/egov_benchmark
_2007.pdf
[50] Commission of the European Communities (2005). i2010 A European Information
Society for growth and employment SEC 717
[51] OECD (2003), The eGovernment imperative (OECD, Paris)
[52] European Commission, Benchmarking eInclusion-Bruxelles-21 June 2006-i2010
BENCHMARKING http://europa.eu.int/information_society/eeurope/i2010/benchmarking/index_en.htm
[53] Planul National de Dezvoltare, Guvernul Romniei, (National Strategic Reference
Framework 2007 2013 draft April 2006)
[54] Programul Complement ICT 2007-2013 www.mcti.ro
[84] Dale Johnstore and Ellis Chung Yee Wong, Practicing Information Technology
Auditing for Fraud, INFORMATION SYSTEMS CONTROL JOURNAL, VOLUME 1, 2008,
ISSN (1526-7407)
Referine tehnice
[1] ISACA, IS Standards, Guidelines and Procedures for Auditing and Control
Professionals, ediia februarie 2010, www.isaca.org
[2] ITGI, COBIT Control Objectives, Ediia 4.0, www.isaca.org
[3] ITGI, IT Assurance Guide using COBIT, www.isaca.org
[4] ITGI, COBIT Mapping Papers, www.isaca.org
[5] ITGI, Aligning COBIT 4.1, ITIL V3, ISO/IEC 27001 for Business Benefit, www.isaca.org
[6] ITGI, Implementation Guide: Using COBIT and Val IT, 2nd Edition.
[7] ITGI, IT Assurance Guide: Using COBIT
[8] COBIT mappings, www.isaca.org :
COBIT Mapping: Mapping of CMMI for Development V1.2 With COBIT 4.1
COBIT Mapping: Mapping of COSO Enterprise Risk Management With COBIT 4.1
COBIT Mapping: Mapping of ISO/IEC 17799:2000 with COBIT, 2nd Edition
COBIT Mapping: Mapping of ISO/IEC 17799:2005 with COBIT 4.1
COBIT Mapping: Mapping of ITIL With COBIT 4.1
COBIT Mapping: Mapping of ITIL V3 With COBIT 4.1
COBIT Mapping: Mapping of PMBOK With COBIT 4.1
COBIT Mapping: Mapping of PRINCE2 With COBIT 4.1
COBIT Mapping: Mapping of SEIs CMM for Software With COBIT 4.1
COBIT Mapping: Mapping of TOGAF 8.1 With COBIT 4.1
COBIT Mapping: Overview of International IT Guidance, 2nd Edition
[9] ITGI, Val IT Framework 2.0, www.isaca.org
[10] ITGI, Value Management Guidance for Assurance Professionals, www.isaca.org
[11] ITGI, Using Val IT 2.0, www.isaca.org
[12] ITGI, Val IT Getting Started with Value Management, www.isaca.org
[13] ITGI, The Business Case Guide: Using Val IT 2.0, www.isaca.org
[14] ITGI, Optimising Value Creation From IT Investments, www.isaca.org
[15] The Institute of Internal Auditors, Applying COSOs Enterprise Risk Management Integrated Framework, Executive summary, September, 2004, www.theiia.org
[16] Best practice Why IT Projects Fail, www.nao.gov.uk/intosai/edp
Pag. 211 din 214
[17] ITGI, Measuring and Demonstrating the Value of IT, IT Governance domain practices
and competencies, 2007, ITGI, ISBN 1-933284-12-9
[18] ITGI, Board Briefing on IT Governance, 2007, ITGI, ISBN 1-893209-64-4
[19] INTOSAI, INTOSAI GOV 9100 Guidelines for Internal Control Standards for the Public
Sector, 2004
[20] ISA, Declaraia internaional privind practica de audit 1008 - Evaluarea riscurilor i
controlul intern caracteristici i considerente privind CIS
[21] ISA, Declaraia internaional privind practica de audit 1009 - Tehnici de audit asistat
de calculator
[22] GAO, Government Auditing Standards, GAO, United States Government
Accountability Office, by the Comptroller General of the United States, July 2007 Revision
[23] THE IIA, Systems Assurance and Control (SAC), The IIA Research Foundation,
http:/www.theiia.org/eSAC
[24] NIST, NIST 800-30 Risc Management Guide for Information Technology Systems,
http://www.csrc.nist.gov/publications
[25] www.isaca.org/cobit
[26] www.isaca.org/valit
[27] www.isaca.org/riskit
[28]www.itgi.org
HG nr. 271/ 2001 privind nfiinarea grupului de lucru "Grupul de Promovare a Tehnologiei
Informaiei n Romnia"
HG nr. 1259/2001 privind aprobarea Normelor tehnice i metodologice pentru aplicarea Legii nr.
455/2001 privind semnatura electronic
Legea nr. 677/ 2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter
personal i libera circulaie a acestor date
Legea nr. 161/ 2003 privind unele msuri pentru asigurarea transparenei n exercitarea
demnitilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea
coruptiei - TITLUL II: Transparena n administrarea informaiilor i serviciilor publice prin mijloace
electronice
Legea nr. 161/ 2003 privind unele msuri pentru asigurarea transparenei n exercitarea
demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea
coruptiei - TITLUL III: Prevenirea i combaterea criminalitatii informatice.
HG nr. 1085/ 2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind unele msuri
pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul
de afaceri, prevenirea i sancionarea coruptiei, referitoare la implementarea Sistemului
Electronic Naional
HG nr. 538/ 2004 privind modificarea i completarea Hotrrii Guvernului nr. 1.085/2003 pentru
aplicarea unor prevederi ale Legii nr. 161/2003 privind unele msuri pentru asigurarea
transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri,
prevenirea i sancionarea coruptiei, referitoare la implementarea Sistemului Electronic Naional
Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal i protectia vieii private n
sectorul comunicaiilor electronice
OMF nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele de
management/control intern la entitatile publice i pentru dezvoltarea sistemelor de control
managerial
Legea 121/2006 pentru modificarea i completarea Legii nr. 365/2002 privind comerul electronic
OMF nr. 847/2009 pentru modificarea i completarea Ordinului ministrului economiei i finanelor
nr. 858/2008 privind depunerea declaraiilor fiscale prin mijloace electronice de transmitere la
distan
HG nr. 201/2010 privind organizarea i funcionarea Punctului de Contact Unic electronic (PCU
electronic),
ISSAI 5310
INTOSAI
Standardele Internaionale ale Instituiilor Supreme de Audit, ISSAI, sunt distribuite de ctre
Organizaia Internaional a Instituiilor Supreme de Audit, INTOSAI. Informaii pe site: www.issai.org
Metodologia
de revizuire
a Securitii
Sistemelor Informatice
IN TO S A I P ro f es si o n al St a n d a rd s C o mm i tt ee
PSCSecretariat
INTOSAI
EXPERIENTIA MUTUA
OMNIBUS PRODEST
E-MAIL: intosai@rechnungshof.gv.at;
WORLD WIDE WEB:
http://www.intosai.org
INTOSAI
Emis de
Commitetul de Audit pentru Prelucrarea
Datelor Electronice
Organizaia International a Instituiilor
Supreme de Audit
Octombrie 1995
Cuprins
Volumul 1: Prezentare.............................................................................................................. 6
1.1
Prezentare ......................................................................................................... 7
1.2
1.3
1.4
1.5
1.6
1.7
1.9
Volumul 2
2.1
Introducere ...................................................................................................... 16
2.2
2.2.1
2.2.2
2.2.3
2.2.4
Procesul ........................................................................................................... 17
2.3
2.4.1
2.4.2
2.4.3
2.5
2.6
2.7
Prezentare ....................................................................................................... 71
3.2
Infrastructura.................................................................................................... 72
3.3
Limite .............................................................................................................. 73
3.4
Echipa ............................................................................................................. 73
3.5
3.6
Evaluare .......................................................................................................... 75
3.7
Cerina de securitate......................................................................................... 77
3.8
Contramsuri ................................................................................................... 77
3.9
Volumul 1: Prezentare
1.1
Prezentare
1.2
Obiectivul unui program de securitate a sistemului informatic este acela de a proteja informaia
organizaiei, prin reducerea riscului de pierdere a confidenialitii, integritii i disponibilitii
informaiilor la un nivel acceptabil.
Un bun program de securitate a informaiilor implic dou elemente majore: analiza de risc i
managementul riscurilor.
n faza de analiz de risc, se realizeaz un inventar al tuturor sistemelor informatice. Pentru
fiecare sistem, se stabilete valoarea acestuia n cadrul organizaiei i se determin gradul n
care organizaia este expus riscului.
Managementul riscurilor, pe de alt parte, implic selectarea controalelor i msurilor de
securitate care reduc expunerea organizaiei la risc la un nivel acceptabil.
7
Sisteme
informatice
Hardware / Software
Administrativ
Personal (Resurse umane)
Nivel fizic
1.3
1.4
Aceast abordare este rezultatul unui efort comun depus de NAO-UK (National Audit Office of the UK) i de Oficiul
Auditorului General al Canadei.
1
Securitatea este n mare msur de natur preventiv, cum ar fi asigurarea auto. Chiar dac cei mai muli oameni nu a fost
implicai niciodat ntr-un accident de masina grav, ei nc au asigurare auto. Beneficiile nu sunt niciodat pe deplin realizate
pn cnd nu are loc un accident. Securitatea "este o cheltuial legitim i necesar serviciilor de gestionare a informaiilor, i
guvernul ar trebui s ia n considerare att costul de punere n aplicare a controalelor ct i costul potenial de a nu face acest
lucru. Costurile de securitate ar trebui s fie proporionale cu necesitatea, i incluse n costurile ciclului de via al oricrui
sistem informatic". (Oficiul Auditorului General al Canadei, Raport anual, 1990, capitolul 9, auditul securitii informaiilor).
2
Avnd n vedere resursele limitate ale multor instituii supreme de audit, se propune ca ISA s
utilizeaz nti o viziune top-down manual de management al securitii informaiei. ISA
trebuie s treac la a doua faz, o analiz foarte detaliat care vizeaz o evaluare financiar a
expunerii la risc a informaiei, numai n cazul n care managementul are nevoie de precizie
financiar pentru a susine deciziile sale sau dac expunerile tehnice specifice sunt n curs de
examinare. Ambele metode de includ elemente de analiz a riscurilor i de gestionare a
riscurilor (a se vedea Figura 2).
Managementul riscurilor
Nu
Recomandri de securitate generale
i msuri specifice
Nu
Analiz suplimentar
necesar (cuantificat)?
Faza de implementare
Aceast abordare pe dou niveluri furnizeaz Instituiilor Supreme de Audit opiuni n alegerea
metodologiilor i o cale de migrare treptat de la o metodologie mai puin sofisticat la una
foarte formalizat i consumatoare de resurse.
1.5
Metoda top-down este simpl, dar complet i poate ajuta Instituiile Supreme de Audit s
ajung la concluzii cu privire la expunerile sistemului de securitate a informaiilor n curs de
revizuire. Este nevoie de o perspectiv de sus n jos, top-down, a securitii informaiilor
deoarece aceasta reflect: perspectiva conducerii de vrf asupra informaiei n ceea ce
privete valoarea acesteia pentru organizaie, riscurile i expunerile sistemului de securitate i
recomandrile care ar trebui s fie fcute. Aceast abordare permite auditorilor s-i
concentreze atenia asupra sistemelor informatice cheie, n special asupra celor care prezint
preocupri speciale de securitate.
Metoda top-down se bazeaz pe evaluri calitative de risc pentru ameninrile posibile i
pentru impactul acestora, n cazul n care s-au manifestat. Accentul este pus pe estimarea
valorii informaiei sau datelor manipulate de sistemul informatic pentru management, i nu att
10
de mult pe valoarea tehnologiei n sine3. Pentru fiecare sistem informatic, valoarea informaiilor
pentru organizaie, ameninrile i posibilele efecte sunt evaluate mai nti individual, apoi
global pentru a determina un grad global de expunere la risc. Aceste evaluri sunt subiective
i, de obicei, sunt exprimate n termeni de risc ridicat, mediu sau sczut, impact i expunere.
Pe baza acestor evaluri, se fac recomandri managementului, cu privire la aciunile care
trebuie ntreprinse sau cu privire la tipurile controalelor specifice i la msurile de securitate
care trebuie implementate. Aceste recomandri sunt o parte a managementului de risc. Metoda
top-down are mai multe avantaje. Este uor i ieftin de folosit. Aceasta este o metod manual
i poate fi utilizat n orice ISA de ctre personalul cu experien n materie de controale de
management i de informaii i sisteme informatice n general. Resursele interne de personal
pot fi suficiente, fr a fi nevoie de pachete software sofisticate pentru a colecta date cu privire
la sistemele informatice revizuite, pentru a obine statistici actualizate pertinente i pentru a
produce analize foarte sofisticate i rapoarte. De obicei, este suficient un pachet de prelucrare
a textelor. Foile de calcul tabelar pot ajuta n producerea de tabele de sintez. Cei mai avansai
pot dori s utilizeze pachete care exploateaz funcionalitatea bazei de date pentru a colecta
informaii i s produc, ulterior, rapoartele de analiz.
n abordarea pe dou niveluri propus, privind securitatea sistemului informatic, metoda topdown este vzut ca un punct de decizie n cadrul metodei de ansamblu. n funcie de
circumstanele revizuirii, SAI-urile pot fi satisfcute de rezultatele revizuirii sau pot decide s
continue revizuirea cu proceduri mult mai sofisticate, n domenii de interes special sau n cazul
n care msurile de securitate foarte tehnice sau foarte costisitoare ar putea s necesite
justificarea managementului.
1.6
Metoda detaliat
informatic
privind
securitatea
sistemului
Spre deosebire de metoda top-down, metodologiile detaliate, utilizate n al doilea nivel al abordrii propuse de acest ghid, cuantific ntr-o
manier foarte detaliat ameninrile la adresa platformei de calculatoare pe care se execut sistemele informatice.
3
11
1.7
Planificare. Planificarea revizuirii securitii este cheia succesului aciunii. Aceasta ar trebui s
acopere urmtoarele elemente principale:
Cunoaterea clientului i a mediului informatizat;
Domeniul care face obiectul revizuirii: care sunt sistemele informatice, care sunt
limitele logice, fizice sau geografice;
Resurse disponibile: personal calificat sau consultani, bugete, termene;
Disponibilitatea unor statistici fiabile privind ameninrile i a unor date referitoare la
costuri, adecvate pentru condiiile locale; adaptarea valorilor implicite, dac este
necesar;
Cerinele de raportare: destinatarii raportului, contextul revizuirii (raportul anual,
rapoartele speciale de uz intern/ extern etc), tipul recomandrilor necesare;
Metoda de revizuire: abordarea top-down (de sus n jos), analize detaliate sau o
combinaie a celor dou.
12
1.8
Abordarea top-down este metoda preferat utilizat pentru revizuire, deoarece satisface
nevoile i capacitile multor instituii supreme de audit.
Volumul 2 conine o descriere a metodei, inclusiv finalizarea pas cu pas a revizuirii securitii. O
serie de formulare este prezentat n anexe. Formularele pot fi utilizate n form tiprit sau pe
un calculator5.
Cele mai importante formulare sunt Declaraia privind sensibilitatea informaiilor i clasificarea
securitii (Anexa C), precum i formularul Impactul asupra afacerii i evaluarea ameninrilor
(Anexa E).
n funcie de circumstanele de revizuire a securitii, versiunile pe suport de hrtie ale acestor
formulare pot fi completate de ctre proprietarii / utilizatorii de sisteme informatice n curs de
revizuire i semnate de un funcionar desemnat de conducere. Acestea se constituie n
documentaia permanent de evaluare a securitii pentru aceste sisteme. Disponibilitatea
formularelor electronice simplific i uureaz adaptarea acestora la nevoile locale.
Alte formulare, n cea mai mare parte foile de calcul, sunt folosite pentru a sintetiza rezultatele
pentru mai multe sisteme informatice, pe un format centralizator.
1.9
Exist circumstane n care se impun revizuiri ale securitii informaiei mult mai detaliate i mai
cuantificate. Acest lucru se va ntmpla n cazul n care instituiile supreme de audit dispun de
resursele bugetare, tehnice i de personal necesare pentru a desfura analize detaliate sau n
cazul n care cerinele de raportare dicteaz acest mod de abordare.
nainte de a ncerca utilizarea unei metode de securitate a informaiilor detaliate, se recomand
ca ISA s acorde o atenie deosebit urmtoarelor aspecte:
Disponibilitatea unui pachet software suport bun: metodele de risc cantitative sunt
foarte cuprinztoare i implic metodologii detaliate, care impun utilizarea unui
calculator; pe de alt parte, pachetul software suport introduce, de obicei, complexitate
inerent, care transform revizuirea detaliat a securitii ntr-o sarcin extrem de
dificil;
Bugetele pentru instruire, avnd n vedere curba de nvare care poate fi destul de
abrupt i costisitoare, mai ales n cazul n care trebuie s fie utilizai consultanii;
Formularele sunt disponibile n format electronic i pot fi uor importate ntr-un mediu Windows.
13
informatice comerciale sau guvernamentale care nu sunt nici complexe, nici extrem de
sensibile.
Instituii supreme de audit, cum ar fi Oficiul Naional de Audit din Marea Britanie i Oficiul de
Audit din Noua Zeeland au deja o lung experien n dezvoltarea i utilizarea metodelor de
gestionare a riscurilor de securitate detaliate. Celelalte instituii supreme de audit pot dori s se
consulte cu acestea nainte de a merge n aceast direcie.
Pentru a utiliza aceste metode n mod eficient, instituiile supreme de audit trebuie s aib
acces la personal calificat sau consultani n domeniul tehnologiei informaiei i n conceptele
de securitate a informaiilor. La nivel mondial, sunt comercializate de ctre o serie de firme de
consultan, pachete comerciale de gestionare a riscurilor, mpreun cu instruirea aferent n
utilizarea metodologiei de baz.
Exist mai multe pachete bine cunoscute de management al riscurilor. CRAMM, de exemplu, a
fost dezvoltat pentru guvernul britanic, iar acum este comercializat ntreaga lume, prin diverse
firme de consultan. n S.U.A., RiskWatch este un pachet bine cunoscut care utilizeaz un
software de tip sistem expert pentru a efectua analiza i managementul riscurilor.
Departamentul de Energie al SUA a dezvoltat pachetul Los Alamos Vulnerability Assessment
(LAVA). Noua Zeeland are n curs de dezvoltare programul CATALYST, ntr-un mediu
Windows, pentru a rspunde propriilor nevoi de analiz a securitii. Selecia unui astfel de
pachet poate fi o chestiune de disponibilitate local, cost, suport tehnic dup cumprare,
resurse necesare pentru personalizare la condiiile locale.
Costul unuia dintre aceste pachete comerciale pentru o instituie suprem de audit este de
aproximativ 6000 sau 10.000 USD. Acesta poate include, de asemenea, instruirea pentru
una sau dou persoane.
n toate cazurile, instituia suprem de audit trebuie s se asigure c statisticile de baz
utilizate de ctre pachetul selectat sunt adecvate pentru condiiile locale. n alte cazuri,
rezultatele ar putea reflecta condiiile existente numai n Europa sau n America de Nord.
14
Volumul 2
O abordare top-down
Declaraia privind sensibilitatea
informaiilor i clasificarea securitii
pentru sistemele informatice
15
2.1
Introducere
Scopul acestui ghid este de a furniza o metodologie eficient pentru a asista n revizuirea sau
n stabilirea unor politici i msuri de securitate adecvate n cadrul unei organizaii.
Recunoscnd c cerinele de securitate trebuie s fie actualizate n mod regulat, ghidul
furnizeaz, de asemenea, o documentaie simpl privind actualizarea i de raportarea.
Ghidul descrie evaluarea securitii informatice din perspectiva managementului ntr-o
organizaie guvernamental6. Organizaiile pot utiliza acest ghid pentru a fi asistate la
elaborarea unui "inventar" de aplicaii informatice utilizate, la evaluarea sensibilitii i
clasificrii securitii informaiilor i la finalizarea evalurii impactului riscurilor ameninrilor
asupra afacerii. Persoana nsrcinat cu securitatea7 utilizeaza acest ghid ca o baz pentru
evaluarea general a politicii i msurilor de securitate i pentru a face recomandri.
Instituiile supreme de audit (ISA) pot utiliza ghidul n dou moduri: pentru scopuri interne, de a
crea un proces de evaluare a securitii n propria organizaie sau n scopuri externe, pentru a
ajuta la revizuirea procesului de evaluare a securitii n alte organizaii guvernamentale.
Acest ghid conine o abordare top-down la nivel nalt pentru securitatea informaiilor. Accentul
se pune pe informaia transmis de diverse dispozitive electronice. n conformitate cu aceast
abordare la nivel nalt, acest ghid calific ameninrile generate de cauze generale n locul
rezultatelor acestora, cum ar fi cutremurele n loc de distrugerea pe care o pot aduce. O
abordare bottom-up (de jos n sus) a securitii informaiilor, pe de alt parte, tinde s
examineze fiecare activ de tip calculator pentru a detecta slbiciunile care pot crea expuneri
avnd ca efect pierderile de informaii generate sau transportate de ctre aceste active.
Avantajul folosirii abordrii top-down este acela c ajut managementul s se focalizeze i s
se concentreze pe zonele cu probleme pentru aciunile viitoare. n unele cazuri, aceasta poate
indica nevoia de munc suplimentar pentru a construi un studiu de fezabilitate pentru msurile
de securitate extinse sau costisitoare.
Deoarece metoda are ntotdeauna o viziune corporativ sau de management al securitii
informaiilor, ea rmne flexibil i se poate ocupa att de probleme de politic, ct i de
msuri de securitate.
2.2
2.2.1
n acest document organizaie se refer la orice departament sau agenie guvernamental sau de stat. "Aplicaie
informatic" i "sistem informatic" sunt folosite alternativ.
6
A se vedea Anexa I pentru mai multe detalii privind infrastructura de securitate tipic pentru organizaiile guvernamentale.
16
2.2.2
Managementul securitii
Una dintre resursele cheie ale organizaiei este informaia. Primul pas pentru a pstra resursele
de calcul n condiii de siguran este adoptarea unor politici i msuri de management al
informaiei i administrativ care cuprind principiile unui bun management securitate:
1. Protecia/asigurarea securitii ar trebui s fie conform cu valoarea informaiilor care
trebuie protejate;
2. Protecia securitii ar trebui s fie asigurat informaiilor ori de cte ori acestea sunt
transmise pe diverse canale sau prelucrate; i
3. Protecia securitii ar trebui s fie continu, n toate situaiile.
2.2.3
Echipa de securitate
2.2.4
Procesul
Declaraia de sensibilitate
Evaluarea senzitivitii programului i aplicaiilor administrative (sisteme informatice)
utilizate i determinarea clasificrii securitii n cadrul organizaiei.
Confirmarea evalurii standardului organizaiei pentru aplicaii similare i, dup caz,
completarea sau actualizarea unui formular Declaraia privind sensibilitatea
informaiilor i clasificarea securitii (Anexa C).
n cazul n care se dorete, recuperarea situaiilor de sensibilitate individuale n
formularul Descriere sumar a sistemelor informatice (Anexa D).
17
2.3
asigurarea c toate evalurile reflect valoarea real a sistemului informatic pentru organizaie,
ca ntreg.
Prin completarea formularului Declaraia privind sensibilitatea informaiilor i clasificarea
securitii (Anexa C), proprietarul evalueaz sensibilitatea informaii din punctul de vedere al
disponibilitii, integritii i confidenialitii, estimeaz costurile de nlocuire i oportunitatea
acestora, costurile directe i indirecte (ore, un curs mediu al dolarului i cheltuielile), i
stabilete clasificarea securitii cerut.
Formularul Declaraia privind sensibilitatea informaiilor i clasificarea securitii reprezint o
documentare formal a evalurii. Formularul este, de asemenea, util pentru a documenta
controalele specifice de integritate i procedurile (completitudinea, acurateea i autorizarea).
Acesta ar trebui s fie pstrat ca document permanent i actualizat, dup cum este necesar.
Acolo unde este cazul, i o dat finalizate, declaraiile individuale de sensibilitate sunt
recuperate de conducerea de la nivelul grupului sau de la nivelul organizaiei ntr-o Descriere
sumar a sistemelor informatice (Anexa D). Aceasta furnizeaz managementului o imagine de
ansamblu asupra sistemelor aflate n responsabilitatea sa i asupra valorii informaiilor pe care
acestea le vehiculeaz.
2.4
2.4.1
Ameninri. Ce s-ar putea ntmpla. Ameninrile posibile sunt enumerate n Anexa E. O list
mai detaliat, mpreun cu sugestiile pentru msuri de contracarare, este, de asemenea,
disponibil n Anexa H. Anchetele privind securitatea raporteaz c peste 80% dintre
ameninrile experimentate pe informaiile din calculator provin din interiorul organizaiei,
defalcat dup cum urmeaz: 24% ca urmare a neateniei n aplicarea procedurilor, 26% din
cauza instruirii neadecvate, iar 30% din cauza angajailor necinstii.
Ar trebui s se acorde grij condiiilor locale, n cazul n care natura i importana ameninrii
pot diferi considerabil de la o ar la alta. n unele cazuri, acest lucru poate nsemna o
concentrare mai mare pe anumite tipuri de ameninri, definind n continuare unele dintre
ameninri i contramsurile de adaptare la condiiile locale.
Probabilitatea de apariie. anse ca ameninarea s se produc n viitor. Deoarece anumite
ameninri i riscuri pot fi comune n ntreaga organizaie, ar trebui efectuat o evaluare
general de ctre persoana responsabil cu securitatea sistemelor informatice i utilizat ca un
19
criteriu pentru evalurile individuale. Persoanele care efectueaz evaluri individuale trebuie s
se concentreze doar asupra riscurilor care sunt relevante sau care ar putea fi diferite din cauza
unor circumstane speciale. Pentru fiecare sistem informatic, ansa de apariie a ameninrilor
individuale este evaluat ca fiind mare (major), medie sau mic (sczut). Dup ce toate
ameninrile posibile asupra aplicaiei respective au fost identificate i evaluate, se face o
judecat de valoare asupra riscului global. Pentru un sistem informatic dat, riscul global nu este
rezultatul unei formule care amplific numrul ratelor de evaluri mari i sczute. O singur
rat major a evalurii ntr-un domeniu critic poate conduce la o rat ridicat de ansamblu. Pe
de alt parte, mai multe rate majore ale evalurii n zonele non-critice pot produce o rat
global mediu spre sczut.
2.4.2
Deciziile de afaceri trebuie s fie fcute n raport cu valoarea informaiei. Pentru scopuri de
securitate, aceste valori ale afacerii sunt exprimate ca impact asupra organizaiei n cazul n
care informaiile au fost dezvluite, integritatea acestora a fost compromis sau a existat o
ntrerupere de servicii. Impacturile posibile asupra afacerii sunt enumerate n Anexa E. n
funcie de condiiile locale, pot fi determinate impacturi adiionale asupra afacerii. Pentru fiecare
impact asupra afacerii, se iau decizii presupunnd c, n cazul n care a avut loc, consecinele
ar fi foarte grave, grave sau mai puin grave. Sunt evaluate numai acele impacturi asupra
afacerii legate de informaii. Dup ce au fost evaluate toate impacturile posibile, se face o
evaluare global pentru aplicaii.
Fiecare dintre aceste evaluri reprezint o judecat de valoare subiectiv a severitii fiecrui
impact individual asupra organizaiei ca ntreg. n mod similar, dup evaluarea impacturilor
individuale asupra organizaiei n cazul n care informaiile au fost divulgate, compromise sau
devin indisponibile, se face evaluarea unui impact global de afaceri, dar nu pe baza unui cumul
exact al acestor impacturi individuale, ci pe baza unei judeci de valoare a efectului de
ansamblu asupra organizaiei. Aceste judeci de valoare sunt construite prin consens ntre
diferitele pri interesate cheie.
Pentru a fi acceptabile, este important ca evalurile de impact asupra afacerii i riscurile
asociate ameninrilor s fie revizuite periodic i aprobate de conducerea executiv a grupului
organizaional i de ctre persoana responsabil de securitatea calculatoarelor.
2.4.3
O evaluare a expunerii securitii este rezultatul combinrii dintre estimarea riscului ameninrii
globale sau a probabilitii (mare, mediu, sczut), i estimarea impactului global asupra
afacerii (foarte grav, grav, sau mai puin grav). Diagrama ratei expunerii, Anexa F, este folosit
ca un ghid pentru clasificarea expunerilor ca mari medii, i sczute.
Primul pas este de a evalua expunerea total pentru aplicaii ca un ntreg, n formularul
Evaluarea ameninrilor i a impactului asupra afacerii (Anexa E).
n unele cazuri, pentru o evaluare general de ansamblu a riscurilor ameninrilor (coloana
vertical), dar cu un impact general redus asupra afacerii (linia orizontal), Diagrama ratei
20
expunerii ar trebui s ne determine mai nti, s selectm cifra "4" ca intersecie. Acest lucru
se traduce ntr-o rat medie de expunere. A se vedea legenda din Diagrama ratei expunerii
pentru a observa cum clasificarea expunerii poate fi regrupat n rate de expunere sczute,
medii sau ridicate.
Ca un al doilea pas i pentru a identifica pentru care riscuri ale ameninrilor i impacturi
asupra afacerii ar putea s fie direcionate aciunile managementului, se calculeaz o rat de
expunere pentru aceste impacturi de afaceri care au fost evaluate. Acest lucru se face prin
utilizarea Diagramei ratei expunerii, pentru a combina impactul individual al ratei de afaceri cu
riscul de ansamblu identificat al ameninrii. Numerele obinute din Diagrama ratei expunerii
sunt afiate pe liniile impactului relevant, n zona evalurii expunerii din Formularul E. Pentru
claritate, numerele sunt afiate n coloanele Max, Med sau Low (maxim, mediu, sczut)
corespunztoare. Ratele individuale de expunere la securitate medii sau ridicate ar putea
deveni obiectul recomandrilor ctre conducere cu privire la reevaluarea impactului asupra
afacerii sau la reducerea riscului de ameninare global, astfel nct s se reduc expunerea la
securitate a organizaiei. Aceast evaluare constituie legtura dintre expunerile la securitate i
deciziile i aciunile necesare privind securitatea.
2.5
21
2.6
MEDIU (6,5,4)
SCZUT
(3,2,1)
Decizia de
securitate
Controlul riscului
Aciune
recomandat
Implementarea de politici i
msuri adiionale
(standarde, proceduri,
instrumente)
Controlul riscului
Implementarea de politici i
msuri adiionale
Prevenirea riscului
Schimbarea / mbuntirea
procedurilor operaionale
Prevenirea riscului
Schimbarea / mbuntirea
procedurilor operaionale
Limitarea riscului
Acceptarea riscului
Fr schimbri / continuarea
potrivit planificrii
n cazul n care trebuie s fie recomandate msuri specifice, Anexa H ofer o list
cuprinztoare de aciuni care ar putea fi ntreprinse. Utilizat mpreun cu raionamentul
profesional din punctul de vedere al costurilor, lista poate oferi baza pentru recomandarea
controalelor specifice i a msurilor de securitate.
Dup revizuirea de ctre persoana responsabil cu securitatea sistemelor informatice,
raportului de securitate i recomandrile sunt transmise conducerii superioare prin intermediul
comitetului director al sistemelor informatice pentru a ntreprinde aciuni.
2.7
22
Anexa D
Anexa F
Anexa G
Anexa C
Dei dezvoltate ca foi de calcul, aceste formulare pot fi uor utilizate pe suport de hrtie.
23
Anexa E
24
Stadiul 4
Performana
global
a afacerii
Stadiul 3
Stadiul 2
Managementul resurselor de
informaie la nivel de corporaie
Eficien
Funcia de
suport al
operaiilor
Funcia de
management
strategic
25
Declaraia de
senzitivitate
Evaluarea impactului
asupra afacerii
Evaluarea ameninrilor
i a riscurilor
Evaluarea expunerii
(incluznd costurile
asociate oportunitilor
de nlocuire)
(foarte important;
important;
mai puin important)
Aciunea recomandat
Actualizare periodic
Fluxul procesului
26
Introducere
Acest document poate fi utilizat n form tiprit sau ca un document Word, n funcie de
circumstanele locale.
n revizuirea top-down a securitii sistemelor informatice, acest document este utilizat n faza
de analiz de risc, pentru a documenta sistemele informatice. Se completeaz un document
per sistem.
27
Volum
% din totalul
informaiilor
organizaiei ________________
Numr total. de
tranzacii
sau valoarea
financiar a
tranzaciilor _________________
Administrare ________________
28
Proceduri
Manuale
Da / Nu
Informatizate
Da / Nu
Comentarii
(Natura procedurilor
principale)
nainte de prelucrare
n timpul procesrii
dup prelucrare
Da / Nu
Da / Nu
Da / Nu
1. Plata cu ntrziere a
facturilor / salariilor
2. Incapacitatea de a colecta
venituri
29
3. Compromiterea
informaiilor confideniale ale
organizaiei
3. Perturbarea serviciilor
ctre guvern
4. Compromiterea
informaiilor clientului
sau ale unei tere pri
4. Perturbarea serviciilor
ctre public
5. Compromiterea
informaiilor personale
5. Perturbarea serviciilor
interne
6. Compromiterea
informaiilor de interes
naional
7. Implicaii juridice /
rspunderea pentru daune
compensatorii i punitive
Da / Nu
Necunoscut
Comentarii
8. Care este perioada de recuperare maxim pe care organizaia o poate tolera pentru
indisponibilitatea aplicaiei sau a serviciului (n cazul n care este limitat pentru
anumite perioade, indicai)?
(DISPONIBILITATE)
Ore ______ Zile _______ Saptamni ________ Luni ________
Comentariu:
9. Indicai gradul de sensibilitate a informaiilor
(5: foarte critic; 4: critic; 3: sensibil; 2: oarecum sensibil; 1: non sensibil
Disponibilitate ____________ Integritate ___________ Confidenialitate __________
30
Ore
Cheltuieli
% informaii
_______________________Standarde de securitate de baz (neprecizate)
_______________________Protejate (desemnate)
_______________________Clasificate
100%
________________________________
31
Impact
Probabilitate
MARE (High)
Foarte grav
Grav
MEDIE (Med)
SCZUT (Low)
Rata expunerii:
Mare (9,8,7)
Medie (6,5,4)
Sczut (3,2,1)
32
33
Cuprins (ANEXA H)
Pagina
Hardware
37
Comunicaii
Linii telefonice
Porturi de intrare / ieire
Modemuri
Pot electronic
Buletin electronic informativ
Serviciul potal
Cablajul reelei
37
37
37
37
38
38
38
39
Calculatoare
Terminale
Microcalculatoare
Staii de lucru fr disc
Servere de fiiere
Minicalculatoare i calculatoare mari
39
39
40
41
41
41
Dispozitive de intrare
Scanere
42
42
Dispozitive de ieire
Generale
Burster
Enveloper
Imprimant cu laser
Imprimant de impact
Plotter
Cozi de ieire
Monitor pentru afiaj vizual
Fotocopiator
Main de scris
42
42
42
43
43
43
43
44
44
44
44
Medii de memorare
Fiiere de hrtie
Medii magnetice amovibile
Medii magnetice fixe
Medii optice amovibile
Medii optice fixe
Microfilm / microfi
44
44
44
45
46
46
47
34
Resurse umane
47
Personal propriu
General
Personal cheie
Personal pentru introducere date
Personal pentru interogri
Personal pentru manipularea ieirilor
Programatori
Analiti
Personal pentru asigurarea suportului tehnic
Programatori de sistem
Personal pentru controlul schimbrilor
Bibliotecar pentru mediile de stocare
Personal pentru controlul accesului logic
Personal pentru controlul accesului fizic
Auditori
Proprietarii datelor
Utilizatorii datelor
Custozi ai datelor
47
47
48
48
48
48
49
49
50
50
51
51
51
51
51
52
52
52
Personal contractual
Personal de ntreinere
Consultani
53
53
53
Persoane externe
Vizitatori
Intrui
53
53
54
Bunuri fizice
54
Cldiri
Locaia / Sediul
Camere cheie
Introducere date / actualizare
Prelucrare
Imprimare
Stocare
Interogare
54
54
55
55
55
56
56
56
Comunicaii
Operarea aplicaiilor sistemului n mediul de producie
Dezvoltarea aplicaiilor
Funcii de sistem
Instalaii
Papetrie
Gtitul i fumatul
Papetrie valoroas
57
57
58
58
58
58
59
59
Documentaie
Software
Hardware
Proceduri
59
59
59
60
35
Mediu
Planul de urgen
Planurile etajelor
Diagramele de cablare
Dicionarul de date
60
60
60
61
Aer condiionat
Putere electric
Ap
Iluminat
61
61
61
61
62
Hrtie
Suporturi magnetice de
Medii optice
Papetrie
62
62
62
62
62
Deeuri
INDEX ALFABETIC
63
36
Hardware
Comunicaii
Linii telefonice
T
C
T
C
Modemuri
T
C
37
T
C
Pota electronic
T
Pstrai copii ale tuturor mesajelor de pot electronic trimise i pstrai nregistrrile
aferente expeditorului i destinatarului.
Nu facei verificri la faa locului cu privire la coninutul mesajelor de pot electronic.
Folosii programe de cutare pentru a gsi cuvinte cheie n pota electronic
Facei verificri ncruciate privind expeditorii i destinatarii pentru a stabili orice model
suspect.
[Avertisment: n unele ri, cenzurarea potei electronice poate fi ilegal sau poate face
obiectul legislaiei speciale].
T
C
Serviciul Potal
T
C
38
Cablajul reelei
T
C
T
C
Cablurile de reea pot fi exploatate pentru a fura informaii sau pentru a introduce
mesaje ilicite.
Nu dirijai traseul cablurilor de reea prin zonele accesibile publicului. Luai n
considerare utilizarea de conducte de cablu blocate. Examinai ntotdeauna lungimile
de cablu, care au fost meninute de ingineri. Luai n considerare utilizarea criptrii
pentru anumite pri din reea care transport informaii sensibile.
Reelele pot fi vulnerabile la eec n cazul n care o seciune a cablrii acestora este
rupt.
Proiectai reeaua pentru a minimiza impactul eecului oricrei lungimi de cablu. Luai
n considerare duplicarea cablrii pentru legturile cheie.
Calculatoare
Terminale
T
C
T
C
T
C
Datele cu caracter critic pot fi modificate prin orice conexiune local sau prin modem la
sistemul informatic.
Controalele de identificare i de autentificare contribuie ntr-o oarecare msur la
reducerea riscului de modificri neautorizate ale datelor critice. Modificrile datelor
cheie ar trebui s fie supuse confirmrii unui supraveghetor, n plus fa de controalele
normale.
Microcalculatoare
T
C
T
C
T
C
40
T
C
T
C
Servere de fiiere
T
C
Dispozitive de intrare
41
Scanere
T
C
Imaginile scanate ale documentelor sensibile pot rmne stocate n unitile de scaner
partajate.
Sfritul unei sesiuni de scanare prin scanarea unei pagini goale sau a unui document
care nu este sensibil. Utilizatorii ar trebui s fie familiarizai cu funciile software-ului de
scanare. tergerea fiierelor temporare create n timpul procesului de scanare, de
exemplu, fiierele de pe hard disk care au fost copiate pe o dischet.
Dispozitive de ieire
Generale
T
C
T
C
Burster9
T
C
T
C
Papetria (hrtia) stricat poate fi utilizat pentru un ctig financiar sau ca mijloc de a
transmite informaii sensibile la exterior.
Introducei un sistem de eviden pentru papetria sensibil. Exemplarele deteriorate
ar trebui s fie semnate de ctre supervizor i trimise pentru distrugere / evacuare
securizat.
Bursterul conine multe piese n micare care sunt predispuse la deteriorare.
Asigurai-v c bursterele sunt ntreinute n mod regulat.
Stabilii proceduri alternative pentru aplicaiile critice care urmeaz s fie susinute ntrun alt mod dac un anumit burster nu mai funcioneaz.
Burster dispozitiv care rupe o hrtie continu de imprimant n pagini individuale (separator de hrtie continu
cu perforaii laterale)
42
Enveloper10
T
Enveloper-ul trebuie s fie setat la nceputul fiecrei execuii. Exist riscul ca papetria
deteriorat s poat fi folosit pentru ctiguri financiare sau pentru a transmite
informaii ctre exterior.
Introducei un sistem de eviden pentru papetria sensibil. Ieirile stricate ar trebui
s fi semnate de ctre un supervizor i mrunite. Cererile pentru duplicarea ieirilor
stricate ar trebui s fie semnate de ctre supervizor.
Imprimanta cu laser
T
C
T
Imprimantele laser pot fi setate pentru a imprima copii duplicat. Acest lucru poate fi
nedorit n cazul n care informaia de ieire este sensibil.
Asigurai-v c software-ul stabilete numrul de exemplare nainte de tiprirea fiecrei
pagini.
Imprimanta de impact
T
C
Plotter
T
C
Plotterele pot produce informaii care induc n eroare n cazul n care peniele sunt
uzate, lipsesc sau sunt ncrcate incorect.
Asigurai-v c este desemnat personalul responsabil pentru punerea n funciune i
meninerea plotterelor.
Personalul desemnat trebuie s fie responsabil pentru controlul calitii produciei.
Cozi de ieire
T
C
10
43
Fotocopiator
T
C
Fotocopiatoarele constituie un mijloc simplu pentru personalul intern sau pentru cei
interesai din afar, s poat face copii neautorizate ale informaiilor sensibile.
Introducei proceduri care s considere drept o abatere disciplinar copierea fr
autorizare a ieirilor sensibile.
Limitai numrul i locaia copiatoarelor ocazionale, astfel nct s poat fi
monitorizat utilizarea. Ele nu ar trebui s fie situate n zonele n care sunt deinute
informaii sensibile. Acestea ar trebuie s fie plasate ntr-o zon unde orice persoan
care utilizeaz copiatorul s fie vizibil pentru restul personalului.
Main de scris
T
C
Panglicile pentru mainile de scris pot reine o imagine a ceea ce a fost scris.
Folosii numai maini de scris desemnate pentru materiale sensibile i trimitei
panglicile pentru incinerare.
Medii de memorare
Fiiere pe hrtie (dosare)
T
C
T
C
Suporturile magnetice pot fi folosite pentru a transfera volume mari de date n afara
organizaiei.
Utilizai suporturi magnetice care poart sigla companiei. Implementai proceduri
pentru toate mediile magnetice care urmeaz s fie introduse n /i /sau scoase n
afara locaiei. Manipularea si depozitarea benzilor, dischetelor i hard-discurilor trebuie
s fie supus unor proceduri similare cu cele referitoare la documentele pe hrtie.
44
T
C
Hard discurile pot conine cantiti foarte mari de informaii. Este uor s uitm c
exist printre acestea i fiiere sensibile.
Cnd un hard disk este folosit prima dat avnd destinaia de a conine informaii
sensibile, acesta ar trebui s fie nregistrat. Acesta nu ar trebui s fie scos din registrul
cu informaii sensibile pn cnd nu a fost inspectat de ctre un membru al
personalului care asigur suport tehnic. Toate fiierele coninnd informaii sensibile
trebuie s fie terse n condiii de securitate.
Controlul accesului la microcalculatoare este mult mai puin riguros dect pentru un
sistem n reea. Dac hard discurile microcalculatorului sunt folosite pentru a stoca
informaii sensibile, exist un risc considerabil de modificare sau dezvluire
neautorizat.
Blocai microcalculatoarele atunci cnd acestea nu sunt n uz. Meninei nivelul de
securitate al locaiei pentru a restriciona accesul la camerele n care sunt instalate
microcalculatoarele.
Luai n considerare instalarea pachetelor de control al accesului i al pachetelor de
criptare a datelor pe calculatoarele folosite pentru a stoca informaii deosebit de
sensibile.
Luai n considerare utilizarea discurilor schimbabile, care pot fi nchise atunci cnd
calculatorul nu este n uz.
Dac un hard disk care deine informaii sensibile se defecteaz, atunci ar trebui s fie
distrus, n cazul n care nu poate fi ters n condiii de securitate.
Discurile fixe se defecteaz. n cazul n care acestea stocheaz cantiti mari de date
volatile, pierderile pot fi foarte serioase.
Salvarea unui hard disk mare pe floppy disk-uri este att de consumatoare de timp,
nct este puin probabil care personalul s o fac n mod regulat. Banda de backup de
mare capacitate face copia rapid i uor. Instalai benzi de mare capacitate (tape
streamer) pe calculatoarele care conin un volum mare de informaii volatile pe hard
diskuri. Benzile de backup ar trebui s fie realizate n trei exemplare.
Cel puin o copie de rezerv ar trebui s fie pstrat n afara locaiei.
Aceasta ar trebui s fie rennoit ciclic.
Benzile de backup ar trebui s fie stocate n siguran i marcate ca necesitnd condiii
de securitate speciale, pentru a reflecta coninutul lor.
Discurile optice sunt uor de ascuns i pot deine cantiti foarte mari de informaii.
Discurile optice care dein informaii sensibile trebuie s fie numerotate n serie i
nregistrate. Singura modalitate sigur de a le distruge este incinerarea.
Pierderea parial sau total a datelor pe discuri optice poate aprea dac oricare
suprafa a discului este zgriat
Toate discurile optice ar trebui s fie manipulate cu grij extrem pentru a preveni
zgrieturile care pot afecta calitatea de reflexie a discului i pot "ascunde" o mare parte
a datelor. n cazul n care tabelul de alocare a fiierelor discului este afectat, discul
ntreg poate deveni imposibil de citit.
Discurile optice conin un volum mare de informaii i de multe ori nu pot fi terse.
Dac un disc optic se deterioreaz, acesta ar trebui s fie distrus.
T
C
Volumele mari de date coninute pe discuri optice pot pune probleme pentru backup.
Cu excepia cazurilor n care discurile optice dein date critice care nu se mai regsesc
n alt parte, ele nu trebuie s fie duplicate sau salvate. Discurile optice dein, de
obicei, informaii statice, cum ar fi materiale de referin sau programe software care
sunt deja duplicate sau exist pe copiile de siguran. Dac nu acesta este cazul, iar
informaia este critic, pot fi obinute duplicate sau informaiile pot fi puse pe discuri
optice reinscriptibile. Copiile pot fi, de asemenea, fcute pe band, n mod obinuit.
Sistemele moderne de backup pe band pot oferi acum backup-uri de ncredere de
ordinul gigabyte. Strategiile normale de back-up se aplic pentru exemplarul stocat n
alt locaie.
46
Microfilm / microfi
T
C
Filmul i fia pot fi uor distruse de incendiu i pot fi pierdute sau furate.
Nu v bazai niciodat pe o singur copie de film / fi a datelor cheie. Pstrai copiile
arhivei ntr-o locaie la distan.
Tratai fia / filmul n acelai mod cu fiierele nregistrate. Pstrai-le stocate n
siguran i nregistrai data, ora i numele operatorului pentru cazul n care ar aprea
probleme.
Resurse umane
Personal propriu
General
T
C
T
C
T
C
Este mult mai probabil ca personalul s fac erori sau s-i depeasc limitele de
autoritate n cazul n care rspunderea este inadecvat.
Asigurai-v c sistemele dumneavoastr de informaii furnizeaz suficiente restricii
pentru identificare, autentificare i logare pentru a putea fi stabilit rspunderea.
Instruirea neadecvat n ceea ce privete procedurile operaionale i de urgen este o
surs important de erori i disfuncionaliti de sistem.
Asigurai-v c toate persoanele care se ocup cu sistemele informatice beneficiaz
de formare suficient n domeniul procedurilor operaionale i de urgen, pentru a
ndeplini cerinele impuse de responsabilitile i obligaiile care le revin.
47
T
C
Personal cheie
T
C
Personalul cheie, care joac un rol important datorit funciilor sau aptitudinilor
speciale pe care le deine, poate absenta pentru o perioad lung de timp.
Luai n considerare alocarea unui personal alternativ sau de rezerv pentru a nlocui
personalului cheie n caz de nevoie.
Exist riscul ca personalul care manipuleaz ieirile din calculator s copieze ieirea,,
s le piard sau s le dirijeze ctre personalul neautorizat / extern.
Toate ieirile sensibile ar trebui s fie dirijate prin seciuni independente de manipulare
a ieirilor, iar personalul implicat n manipularea ieirilor ar trebui s nu aib acces la
copiatoare i nici dreptul s iniieze ieiri. Rolul unic al acestora ar trebui s fie acela
de a nregistra producerea de ieiri sensibile i de a le dirija ctre destinatarul corect.
48
Programatori
T
C
T
C
T
C
T
C
T
C
Analiti
T
C
T
C
Programatori de sistem
T
Agenii de paz trebuie neaprat s aib acces la zonele sigure n afara orelor de
program. Exist riscul c vor abuza de acest privilegiu.
Personalul de securitate ar trebui s nu aib nici un drept de acces la sistemele
informatice.
Ieirile sensibile ar trebui s fie ncuiate departe n afara orelor de program i toate
terminalele deconectate i oprite.
51
Auditori
T
C
Auditorii cer s aib acces extins la sistemele informatice i la registrele de operaii ale
sistemului. Exist pericolul ca auditorii s compromit integritatea sistemului, n mod
intenionat sau accidental.
Auditorii nu ar trebui s aib acces la scriere n alte zone dect n cea alocat lor.
Acetia ar putea s aib acces n alte zone doar la citire, n funcie de nevoile de
cunoatere.
Proprietarii datelor
T
Proprietarii unui set de informaii sau de date ar trebui s fie personalul care este
responsabil pentru meninerea acestora. Proprietarii ar trebui s fie responsabili, n
primul rnd, pentru asigurarea securitii datelor acestora. Exist riscul ca proprietarii
s abuzeze de privilegiile lor.
Separarea atribuiilor pentru personalul care cuprinde proprietarii ar trebui s asigure
faptul c modificarea, distrugerea, crearea de ieiri sau de informaii sensibile necesit
o cooperare a mai multor persoane.
Utilizatorii datelor
T
C
Custozi ai datelor
T
Custozii de date sunt cei responsabili pentru meninerea infrastructurii care susine
accesul la informaii i msurile de securitate prevzute de ctre proprietari. Exist
riscul ca acetia s-i depeasc autoritatea prin distrugerea accidental sau
deliberat, ca i prin dezvluire sau modificare a informaiilor aflate n grija lor.
Custozii ar trebui s aib drepturi minime de acces la informaiile aflate n grija lor.
Personalul de operare nu trebuie s fie capabil s citeasc sau s modifice informaii,
n scopul de a menine accesul la acestea. Ei au nevoie doar s tie c procesul X, are
nevoie de seturile de date A, B i C care sunt stocate pe dispozitivul Q. Nu este
necesar sau de dorit pentru ei ca s cunoasc detalii cu privire la funcia procesului pe
care acestea l susin. Clase speciale de custozi, cum ar fi programatorii de sistem,
administratorii de date i administratorii de reea ar putea avea nevoie de acces la
citire sau scriere pentru datele din mediul de producie. Informaiile deosebit de
sensibile ar trebui s fie criptate, astfel ca acestea s nu fie dezvluite personalului
care asigur suportul tehnic pe parcursul monitorizrii reelei sau al ntreinerii
sistemului.
Este recomandabil s se evite angajarea de personal n domeniul operrii care are
cunotine de programare de sistem sau de aplicaii. Persoanele cu cunotine de
52
Consultani
T
C
Persoane externe
Vizitatori
T
C
53
Intrui
T
C
Bunuri fizice
Cldiri
Locaia / Sediul
T
C
T
C
T
C
T
C
T
C
Camere cheie
Introducere date / actualizare
T
C
Zonele n care informaiile sunt introduse sau meninute sunt puncte focale pentru
ameninrile la confidenialitatea i integritatea sistemelor informatice.
Zonele de introducere a datelor ar trebui, n cazul n care este posibil, s fie
inaccesibile personalului care nu are o nevoie legitim de a merge acolo.
Terminalele cu acces la facilitile restricionate referitoare la actualizarea informaiilor
critice, nu ar trebui s fie vizibile din zonele publice. Ele nu ar trebui s fie lsate
nesupravegheate i conectate.
Aplicaiile care actualizeaz informaii cheie ar trebui s nchid sesiunile n cazul n
care nu a existat nici o activitate la tastatur timp de cteva minute.
n cazul n care informaiile au implicaii pentru sistemele informatice cheie, aplicaia ar
trebui s repete la intervale regulate identificarea i s fac verificri de autentificare
iar toate modificrile care sunt fcute s fie nregistrate n jurnalul de operaii al
sistemului. Pentru informaii deosebit de sensibile, luai n considerare ca la instalarea
aplicaiei s se includ setri adecvate, astfel nct schimbrile s nu poat fi finalizate
fr confirmarea din partea unei persoane autorizate.
Prelucrare
T
C
T
Zonele n care informaiile sunt procesate pot oferi oportuniti extinse de a corupe,
perturba sau de obinere a accesului la sistemele informatice.
Restricionai accesul prin punerea n aplicare a procedurilor de separare a atribuiilor,
acolo unde este posibil.
Calculatoarele mari au de multe ori cele mai exigente cerine de mediu.
Acest lucru a dus la o izolare natural a echipamentelor cheie de personalul care nu
este implicat n exploatarea acestora. La fel, calculatoarele mici au devenit mai
puternice n momentul n care aplicaiile cheie au fost transferate pe ele. Calculatoarele
mici pot opera de obicei, ntr-un mediu de birou obinuit. Utilizarea prelucrrii
distribuite, n unele cazuri, a condus la dependena sistemelor informatice de un numr
mare de calculatoare mici, dispersate geografic. Reducerea dimensiunilor
calculatoarelor a condus la o neglijare a necesitii de a proteja echipamentele cheie,
fcndu-le vulnerabile la abuzul fizic i la deteriorarea mediului.
Calculatoarele care susin funcii cheie ar trebui s fie izolate fizic de mediul de birou.
Luai n considerare necesitatea de a proteja sursa de alimentare a oricrui calculator
care joac un rol esenial n sistemele informatice critice.
55
Imprimare
T
Ieirile sensibile ar trebui s fie dirijate prin zone sigure, astfel nct s poat fi
monitorizate i, eventual, nregistrate n jurnalul de operaii al sistemului. n cazul
materialelor financiare mobile, pierderea ar putea aprea de la furtul ieirii. n cazul n
care valoarea ieirii const n necesitatea confidenialitii, de pierderi poate s fie
responsabil cineva care a vzut pur i simplu ieirea, fr a o fi extras neaprat.
Accesul la camerele utilizate pentru producia de informaii valoroase sau sensibile ar
trebui s fie limitat la personalul care manipuleaz ieiri. Controlul accesului fizic i
logic ar trebui s pun n aplicare separarea sarcinilor ntre cei responsabili pentru
manipularea i nregistrarea ieirilor i cei responsabili pentru iniierea sau autorizarea
acestora.
Stocare
T
C
T
C
Zonele n care informaia este stocat pot prezenta o int atractiv pentru cineva care
ncearc s obin acces neautorizat, deoarece o mulime de informaii sunt colectate
mpreun.
Informaiile sensibile ar trebui s fie stocate n arhive securizate / biblioteci.
Accesul ar trebui s fie limitat la bibliotecari, care ar trebui s verifice autorizarea
personalului care solicit accesul, iar informaiile emise s fie nregistrate n jurnalul de
operaii al sistemului.
ncrederea n copiile informaiilor arhivate unic v face vulnerabili n faa pierderii
integritii i disponibilitii informaiilor.
Adoptarea unei politici de backup care s garanteze c cel puin dou exemplare ale
copiilor coninnd informaii cheie sunt deinute n locaii dispersate geografic.
Integritatea arhivelor care pot fi citite automat trebuie s fie verificat la intervale
regulate i orice arhiv pe mediu magnetic ar trebui s fie copiat (remprosptat) cel
puin o dat la trei ani.
Interogare
T
C
T
C
56
57
Dezvoltarea aplicaiilor
T
C
Funcii de sistem
T
C
Instalaii
T
C
Papetrie
T
C
Formularele goale pot fi eseniale pentru operarea continu a unor sisteme. Licenele
i certificatele sunt dou exemple. Distrugerea stocurilor ar perturba serviciul.
Pstrarea copiilor backup ale formularelor eseniale ar trebui s se fac n orice locaie
de prelucrare aflat la distan i la o locaie alternativ n cadrul locaiei principale.
Stocurile ar trebui s fie inute la acelai nivel de securitate ca stocul principal i
depozitarul ar trebui s verifice periodic exhaustivitatea / gradul de utilizare pentru
stocurile de rezerv.
58
Gtitul i fumatul
T
C
Papetrie valoroas
T
C
Papetria care poate fi utilizat pentru un ctig financiar sau ca baz pentru a obine
drepturi, cum ar fi permisele de trecere n alb, ordinele de plat sau cecurile, reprezint
o int atractiv pentru furt.
Papetria sensibil ar trebui s fie numerotat n serie i pstrat ntr-un depozit
ncuiat. Depozitarii ar trebui s rspund pentru orice probleme, inclusiv pierderi.
Depunei eforturi pentru a se asigura c poate fi ntreprins o reconciliere, care s
stabileasc rspunderea pentru toate utilizrile, n ceea ce privete emiterea autorizat
i alterarea.
Camerele de depozitare pentru papetria valoroas ar trebui s fie securizate i
accesibile numai personalului responsabil desemnat.
Documentaie
Software
T
Documentaia este esenial n cazul n care software-ul trebuie s fie meninut. Exist
riscul ca aceasta s fie pierdut, distrus sau furat. Ar putea fi o motivaie puternic
pentru furt n cazul n care software-ul efectueaz funcii care au o valoare comercial
sau pentru divulgarea informaiilor brevetate sau sensibile.
Documentaia ar trebui s fie examinat ca parte a procedurilor de control al calitii.
Odat ce a fost aprobat, copiile nregistrate ar trebui s fie ndosariate de ctre
personalul de control al schimbrii.
Copiile de siguran ale documentaiei sistemului din mediul de producie trebuie s fie
inute ntr-o locaie aflat la distan.
Documentaia sistemelor sensibile trebuie s fie tratat similar cu un fiier nregistrat.
Copiile ar trebui s fie numerotate, copierea interzis, iar emiterile s se fac n funcie
de nevoia de cunoatere. Copiile ar trebui s fie ncuiate atunci cnd nu sunt utilizate.
Hardware
T
C
Activele de tip sistem informatic sunt adesea atractive, portabile i uor de deteriorat.
Un inventar complet al tuturor activelor materiale ale sistemului informatic ar trebui s
fie pstrat, meninut i auditat.
59
T
C
Manuale pentru hardware sunt rar necesare, dar eseniale n ocaziile n care acestea
sunt necesare. Acestea sunt adesea dificil de nlocuit i pot conine informaii care ar fi
de folos unei persoane care intenioneaz s se infiltreze sistem.
Pstrai manualele hardware n biblioteci ncuiate sau n zone sigure. Problemele
legate de manuale ar trebui s fie nregistrate, n special n cazul n care se acord
aprobarea de a lua manualul n alt camer dect aceea care adpostete
echipamentul. Pstrai copii ale manualelor hardware eseniale ntr-o locaie la
distan.
Proceduri
T
C
Planul de urgen
T
Prin natura lor, planurile de urgen sunt necesare rar i ntr-un moment cnd
organizaia este sub stres. Exist un risc ca acestea s devin perimate sau pot fi
indisponibile atunci cnd apare o situaie de urgen. n plus, acestea pot fi de folos
pentru cineva care intenioneaz s perturbe serviciile.
Planurile de urgen ar trebui s fie revizuite i testate la intervale regulate, n fiecare
an n cele mai multe situaii, dar mai frecvent n cazul n care disponibilitatea este
foarte critic. Copii ale seciunilor relevante ar trebui s fie inute n siguran n
locaiile de backup.
Planurile etajelor
T
C
Diagramele de cablare
T
Mediu
Aer condiionat
T
C
Calculatoarele mari i perifericele lor au adesea cele mai exigente cerine de mediu.
Lipsa asigurrii condiiilor de mediu specificate de productor poate duce la
indisponibilizarea calculatoarelor i la dispute legate de ntreinere.
Configurarea un program de ntreinere periodic a echipamentelor eseniale de aer
condiionat.
Luai n considerare necesitatea echipamentelor de aer condiionat de rezerv, pentru
cazul n care activele cheie ar putea fi afectate devenind indisponibile.
Putere electric
T
C
Sisteme informatice pot fi afectate negativ de reducerea sau creterea tensiunii sau a
frecvenei surselor de alimentare.
Toate calculatoarele trebuie s fie protejate prin prevenirea excesului de putere.
Activele cheie ar trebui s fie protejate prin surse nentreruptibile.
Ap
T
C
61
Iluminat
T
C
Deeuri
Hrtie
T
C
Suporturi magnetice
T
C
Suporturile magnetice pstreaz fragmente ale fiierelor care au fost copiate chiar i
dup ce fiierele au fost terse.
Deeurile de suporturi magnetice ar trebui s fie terse n condiii de securitate,
demagnetizate sau distruse.
Medii optice
T
C
Papetrie
T
C
62
____________________
INDEX
Pagina
Aer condiionat
61
Analiti
49
Ap
61
Auditori
51
51
38
Bunuri fizice
54
Burster
42
Cablajul reelei
39
Calculatoare
39
Camere cheie
55
Cldiri
54
Comunicaii
37
Consultani
53
Cozi de ieire
43
Custozi ai datelor
52
Deeuri
62
Dezvoltarea aplicaiilor
58
Diagramele de cablare
60
Dicionarul de date
61
Dispozitive de ieire
42
Dispozitive de intrare
42
Documentaie
59
Documentaie hardware
59
Documentaie software
59
Enveloper
43
Fiiere de hrtie
44
Fotocopiator
44
63
Funcii de sistem
58
Gtitul i fumatul
59
Hrtie
62
Hardware
37
Iluminat
62
Imprimant cu laser
43
Imprimant de impact
43
Imprimare
56
Instalaii
58
Interogare
56
55
Intrui
54
Linii telefonice
37
Locaia / Sediul
54
Main de scris
44
Medii de memorare
44
44
45
Medii optice
62
46
46
Mediu
61
Microcalculatoare
40
Microfilm / microfi
47
41
Modemuri
37
44
57
Papetrie deeuri
62
Papetrie
58
Papetrie valoroas
59
Persoane externe
53
Personal cheie
48
64
Personal contractual
53
Personal de ntreinere
53
50
51
51
51
48
48
48
Personal propriu
47
Planul de urgen
60
Planurile etajelor
60
Plotter
43
37
Pot electronic
38
Prelucrare
55
Proceduri
60
Programatori
49
Programatori de sistem
50
Proprietarii datelor
52
Putere electric
61
Resurse umane
47
Scanere
42
Servere de fiiere
41
Serviciul potal
38
Software documentaie
59
41
Stocare
56
Suporturi magnetice de
62
Terminale
39
Utilizatorii datelor
52
Vizitatori
53
65
Clasificarea informaiilor
Informaii nedesemnate: informaiile nedesemnate sau neclasificate n nici un mod, n
cazul n care garaniile privind practicile normale unui bun management sunt suficiente.
Informaii care sunt disponibile publicului. De exemplu: raportarea timpului,
programarea personalului, manuale i publicaii, administrarea general, capitole
lansate, poziii lansate, avize eliberate etc.
Informaii desemnate: informaii, alte dect cele referitoare la interesul naional, care
sunt desemnate ca avnd nevoie de protecie.
Informaiile clasificate: informaii referitoare la interesul naional.
Sistem informatic / Aplicaie
"Aplicaia aferent unui software specific care este destinat desfurrii unor lucrri specifice.
Orice set de pai urmat de desfurarea unor activiti financiare, administrative sau privind
programul." De exemplu, un sistem de conturi pentru pli.
ntr-un mediu cu microcalculatoare, aplicaiile pot fi foarte simple, cum ar fi un raport n
WordPerfect - tastare, stabilirea formatului i activiti de tiprire sau complexe, un program de
audit asistat de calculator (CAAT) - ncrcarea datelor clientului, extragerea eantioanelor,
analiza rezultatelor i mostre de imprimare a eantioanelor sau a rezultatelor.
Software-ul folosit, cum ar fi programele CAAT, Lotus, sau WordPerfect, nu ar trebui s fie
confundat cu aplicaiile software-ului eantionarea n audit.
Numele unei aplicaii este de obicei o combinatie a software-ului utilizat i a aplicaiei
dezvoltate, cum ar fi: CAAT pentru audit, analiza financiar Lotus etc.
n scopul evalurii securitii, aplicaii similare pot fi grupate mpreun.
Controlul accesului logic" i rspundere, ca parte a unui sistem de securitate
Controlul accesului logic, folosind ID-urile i parolele, impune accesul limitat la date pe
baza utilizatorului individual. Acest lucru este realizat printr-un sistem de securitate care
determin ceea ce utilizatorul poate accesa i poate face, meninnd rspunderea prin crearea
unei piste de audit care nregistreaz utilizarea calculatorului de ctre utilizator.
Controlul accesului, ca orice alt control, nu este considerat eficace i fiabil, cu excepia cazului
n care poate fi demonstrat c acesta funcioneaz n concordan cu scopul pentru care a fost
implementat i poate fi monitorizat. O pist de audit servete ca dovad c msurile de control
al accesului lucreaz aa cum s-a intenionat i ofer mijloacele de a investiga neregulile i de
a identifica domeniile n care controalele ar putea fi mbuntite. ntr-un sistem de securitate
66
informatic, pista de audit este un fiier istoric creat i protejat de sistemul auditat prin
controale bazate pe parol i criptare. Utilizarea unei piste de audit este transparent pentru
utilizator. n cadrul multor sisteme de securitate, administratorul de securitate are acces la
fiierele istorice coninnd pista de audit, ale tuturor utilizatorilor. Utilizatorii individuali au acces
n citire numai la fiierul propriu coninnd pista de audit.
Necesitatea de a cunoate principiul
Un principiu fundamental al politicii de securitate este de a restriciona accesul la date si la
active celor care au nevoie de un astfel de acces, ceea ce presupune definirea specificaiilor de
partajare a datelor i activelor. ntr-un mediu informatizat, aceasta implic controlul accesului
fizic i / sau logic (sistem de securitate) la date i active. De exemplu, ntr-un birou de audit,
utilizatorii protejeaz clientul, informaiile administrative i de audit pentru a preveni accesul
accidental la citire, modificare sau tergere a informaiilor.
Sensibilitatea informaiilor:
Disponibilitate: calitatea sau starea informaiilor, serviciilor, sistemelor i programelor
de a fi disponibile n timp util ("la nivelul organizaiei").
Confidenialitate: calitatea sau condiia de a fi sensibile ("se poate provoca un
prejudiciu n cazul n care informaiile sunt divulgate").
Integritate: calitatea sau condiia de a fi corecte i complete ("se poate provoca un
prejudiciu n cazul n care informaia este alterat, incorect sau incomplet")
Evaluarea expunerii securitii
O evaluare a expunerii securitii este rezultatul combinrii unui studiu de impact asupra
afacerii cu riscul unei ameninri / evaluarea probabilitii. O evaluare a expunerii securitii
este clasificat ca:
Major: impact considerabil, extrem - probabilitate rezonabil. Acele evenimente care
au probabilitate suficient de apariie i un impact puternic asupra afacerii astfel nct
este prudent s se ia msuri preventive i de recuperare. Ateptarea privind daunele
este suficient de mare nct nu este cazul s se insiste pe previziuni precise de
probabilitate.
Mediu: impact semnificativ - probabilitate necunoscut. Impactul asupra afacerii este
de aa natur nct ar trebui luate msuri. Este necesar o trecere n revist a
ameninrilor i a probabilitii acestora, pentru a reduce ameninrile la un nivel uor
de gestionat.
Min (Sczut): impact redus - orice probabilitate. Categoria i ce dac. Dac se
ntmpl, nu va cost att de mult. Dac v simii confortabil c potenialul pentru
prejudiciu este sczut, acestea sunt ameninri pe care le aceptai. Nu este nevoie s
se efectueze analize de probabilitate detaliate.
67
Infrastructura de securitate
De obicei, n multe organizaii guvernamentale, sub titluri similare sau diferite, administrarea
securitii este delegat n felul urmtor:
Echipa de securitate: O echip format din persoane fizice construit, dac este
posibil, ca o seciune transversal a organizaiei. Echipa are nevoie de sprijinul deplin
i angajamentul conducerii superioare s efectueze examinarea securitii i s obin
acceptarea rezultatelor sale. De exemplu, este de preferat ca reprezentantul
utilizatorilor s fie un membru influent al comunitii utilizatorilor i s fie liderul echipei.
Este mult mai probabil ca utilizatorii i conducerea superioar s accepte
recomandrile privind securitate de la echip, ntruct acetia sunt de obicei suspicioi
n ceea ce privete rapoartele elaborate de "specialiti tehnici".
68
Aceste principii sunt implementate prin determinarea sensibilitii datelor din punctul de vedere
al integritii, confidenialitii i disponibilitii i prin aplicarea unor elemente specifice unei
scheme de securitate, care include persoane, dispozitive fizice, practici i proceduri, hardware,
software, aplicaii, i elemente de protecie de tip back-up.
69
70
3.1
Prezentare
3.1.1
3.1.2
3.1.3
Analiza de risc este utilizat pentru a stabili gradul n care sistemele informatice sunt
expuse la riscuri. Aceasta presupune examinarea ameninrilor cu care se confrunt
sistemele informatice, estimarea frecvenei cu care acestea sunt de ateptat s apar
i apoi evaluarea impactului pe care organizaia l-ar suferi dac ameninrile ar aprea.
"Expunerea" este calculat prin combinarea evalurii a impactului i a frecvenei
estimate a ameninrii.
3.1.4
Managementul riscului implic alegerea celei mai ieftine contramsuri care reduce
expunerea organizaiei la risc la un nivel acceptabil. Contramsurile sunt msurile luate
de ctre organizaie pentru a reduce frecvena unei ameninri sau pentru a reduce
impactul ameninrilor atunci cnd apar.
3.1.5
Evaluarea este cheia pentru stabilirea unui nivel corespunztor de securitate, iar
utilizatorii sunt eseniali pentru evaluare. Rezult c grupurile de utilizatori trebuie s fie
stabilite ntr-un stadiu incipient. Fiecare sistem poate fi evaluat fcnd referire la
utilizatorii si. Un sistem cu nici un utilizator sau unul n care utilizatorii nu acord nici o
valoare informaiilor primite, nu are nici o valoare i nu merit s fie meninut, cu att
mai puin securizat.
3.1.6
11
Adaptat dup o metodologie elaborat de Oficiul Naional de Audit, Marea Britanie, acest document are ca scop numai de a
oferi o descriere general a unei metode cantitative detaliate de analiz a riscurilor care este utilizat n diverse moduri de cele
mai multe pachete de analiz de risc comerciale. Este recomandat folosirea unui pachet software mpreun cu aceast
metod de analiz detaliat a riscului.
71
3.1.8
3.2
Infrastructura
3.2.1
3.2.2
Dac avei, sau planificai a avea, sisteme informatice extinse ar trebui s se nfiineze
un Comitet director pentru sisteme informatice. Un membru al consiliului de conducere
ar trebui s prezideze acest comitet. Rolul comitetului director pentru sisteme
informatice este de a asigura c strategia sistemului informatic se dezvolt n
conformitate cu obiectivele corporative i faptul c strategia de securitate trebuie
meninut actualizat. Ar trebui s fie desemnat un ofier de securitate al sistemului
informatic i s se ia n considerare instituirea unui Grup de securitate a sistemului
informatic. Securitatea sistemului informatic este o specialitate. Rolul grupului de
securitate este de a aciona ca un punct central pentru activitatea de dezvoltare a
sistemului de securitate.
3.2.3
Organizaiile mari produc adesea linii directoare de securitate, care stabilesc n detaliu
standardele de securitate. Liniile directoare sunt menite s ajute personalul s traduc
cerinele politicii de securitate ntr-un program de securitate pentru sistemele proprii.
3.2.4
Procedurile de operare pentru securitate (POS) iau forma unor manuale care ofer
detalii cu privire la procedurile necesare pentru a sprijini programul de securitate. POS
sunt deosebit de importante, ntruct multe msuri de securitate sunt ineficiente, cu
excepia cazului n care personalul nelege i respect procedurile suport.
3.2.5
3.3
Limite
3.3.1
3.3.2
n cazul n care exist o interaciune redus ntre sistemele informatice, este destul de
uor ca utilizatorii ieirilor din sistem s poat fi identificai. n sistemele puternic
integrate trebuie agreat o grani artificial, n scopul meninerii revizuirii la o scar
rezonabil.
3.3.3
3.3.4
3.4
3.4.1
Echipa
Prima manifestare a angajamentului conducerii superioare privind sistemul de
securitate a informaiilor ar trebui s fie instituirea unui Grup de securitate a sistemului
informatic. Grupul de securitate trebuie s fie responsabil pentru implementarea politicii
de securitate stabilite de ctre conducere i pentru identificarea modificrilor necesare,
n contextul evoluiei sistemelor informatice ale organizaiei sau ameninrilor cu care
se confrunt.
73
3.4.2
3.4.3
3.4.4
Utilizatorii unui sistem informatic au un rol cheie n explicarea modului n care sistemul
funcioneaz i n valorificarea informaiilor obinute de la acesta.
Cooperarea utilizatorilor este esenial pentru ca programul de securitate a informaiilor
s fie implementat cu succes. Este mult mai probabil ca utilizatorii s accepte
recomandrile privind securitatea, n cazul n care un membru influent al comunitii
utilizatorilor este un membru al echipei. Reprezentantul utilizatorilor este, de multe ori,
un ef de echip bun, pentru a da asigurri att conducerii, ct i utilizatorilor care sunt
adesea profund suspicioi fa de rapoartele elaborate de "specialiti tehnici".
3.4.5
n cazul n care sistemul informatic este puternic, atunci ar trebui s fie inclus n echip
un analist de sistem, pentru a ajuta la explicarea modului n care funcioneaz sistemul
informatic i pentru a consilia cu privire la o metod clar i consecvent de
documentare a fluxurilor de informaii.
3.4.6
3.5
Ameninri / Vulnerabiliti
3.5.1
3.5.2
Creai un formular pentru fiecare activ sau grup de active pe care le identificai i apoi
ntocmii o list a tuturor evenimentelor care ar putea compromite integritatea,
74
3.5.4
3.6
Evaluare
3.6.1
3.6.2
Valorile pe care utilizatorii le identific pentru impactul fiecrei ameninri vor fi utilizate
ca parte a justificrii costurilor msurilor de securitate. Este important ca efectele s
poat fi exprimate n termeni financiari i s fie evaluate pe o baz consistent. Multe
efecte care pot rezulta din compromiterea unui sistem informatic nu au un impact
financiar direct. n aceste cazuri este necesar s se construiasc scale care pot fi
folosite pentru a traduce impactul non-financiar n termeni financiari.
3.6.3
12
75
Pierdere13
Puncte
10m+ (14
4m-10m
2m-4m
1m-2m
500,000-1m
250,000-500,000
100,000-250,000
50,000-100,000
10,000-50,000
1,000-10,000
10
9
8
7
6
5
4
3
2
1
Puncte
10
9
8
7
6
5
4
3
2
1
3.6.5
Scalele de mai sus sunt cu titlu de exemplu. Ar putea fi construite mai mule, cum ar fi:
rspunderea juridic, disconfort politic i ntreruperi organizaionale. Scalele pe care le
construii ar trebui s fie n concordan unele cu altele i ar trebui s le acopere pe
toate cele cu impact semnificativ care ar putea rezulta din pierderi ale sistemelor
informatice ale organizaiei.
3.6.6
13
n acest document, simbolul lira sterlin poate fi substituit cu orice unitate monetar naional. Domeniile de scar se pot
adapta la moneda fiecrei ri iar nivelele de semnificaie pot fi convenite.
14
76
3.7
Cerina de securitate
3.7.1
3.7.2
Calculul APA trebuie s fie repetat pentru fiecare eveniment care ar putea afecta
negativ, n mod semnificativ, fiecare activ care este conectat la oricare dintre sistemele
informatice n curs de revizuire. Atunci cnd acest proces a fost finalizat, activele pot fi
sortate dup APA. Lista sortat ar trebui s constituie baza pentru un plan de aciune
pentru dezvoltarea programului de securitate.
3.8
Contramsuri
3.8.1
3.8.2
3.8.3
3.8.4
Odat ce ai identificat contramsurile care ar reduce cel mai mare APA la nivelul
urmtorului APA, ar trebui s comutai atenia la urmtorul eveniment / activ din list.
3.8.5
3.8.6
3.9
Administrarea securitii
3.9.1
Odat ce o list de msuri de contracarare a fost agreat, acestea vor trebui s fie
transferate n programele de securitate i procedurile de securitate operaionale.
Grupul de securitate a sistemului informatic ar trebui s fie responsabil pentru
implementarea contramsurilor selectate.
3.9.2
3.9.3
Programul i procedurile de securitate vor trebui s fie actualizate pentru a ine seama
de schimbrile intervenite n mediul de securitate i al sistemelor informatice. Grupul
de securitate a sistemului informatic ar trebui s se informeze cu privire la evoluiile din
domeniul securitii sistemul informatic i s fie informat cu privire la toate evoluiile
semnificative n sistemele informatice ale organizaiei. Acesta ar trebui s monitorizeze
n permanen necesitatea actualizrii programului de securitate.
78
Glosar succint
Contramsur (C): Un control care este conceput pentru a spori securitatea sau
pentru reducerea ameninrii, reducerea impactului, detectarea unei bree de
securitate sau recuperarea dup un incident de securitate.
Sinonime: msur de protecie, msur de securitate.
Ameninare (T): Orice eveniment sau act potenial nedorit i care poate avea un
impact asupra unui sistem informatic, cum ar fi un incendiu, catastrofe naturale, acces
neautorizat etc.
Terminologia referitoare la riscul privind securitatea poate varia foarte mult n funcie de diferite coli de gndire. n mod
similar, n funcie de metodologia utilizat, impactul i vulnerabilitile pot fi evaluate n prezena unor protecii existente sau n
absena oricror protecii.
15
79