Documente Academic
Documente Profesional
Documente Cultură
GHIDUL DE AUDIT
AL
SISTEMELOR INFORMATICE
BUCURETI
2012
Pag. 1 din 180
Pag. 2 din 180
CUPRINS
Introducere............................................................................................................................................ 6
Structura documentului
Documentul este structurat dup cum urmeaz: un capitol introductiv, cinci capitole
dedicate problemelor de fond, o list de referine bibliografice i un numr de anexe
(glosar de termeni; lista documentelor specifice auditului IT/IS solicitate entitii,
machete i liste de verificare)
Capitolul 1 cuprinde o sintez a problematicii generale specifice auditului sistemelor
informatice, sunt prezentate probleme de audit asociate cu utilizarea sistemelor
informatice i aspectele specifice evalurii sistemelor informatice financiar-contabile.
Capitolul 2 prezint n detaliu procedurile de audit IT pentru evaluarea mediului
informatizat: obinerea informaiilor de fond privind sistemele IT ale entitii auditate
(Procedurile A1 A7), evaluarea controalelor generale IT (Procedurile B1 B8),
evaluarea controalelor de aplicaie (Procedurile CA1 CA13). Aceste proceduri au fost
1
Information Technology / Information Systems
2
Ediia 2012
Constituia Romniei;
Legea nr. 94/1992 privind organizarea i funcionarea Curii de Conturi, cu
modificrile i completrile ulterioare;
Regulamentul privind organizarea i desfurarea activitilor specifice Curii de
Conturi, precum i valorificarea actelor rezultate din aceste activiti;
Misiunile de audit financiar au un rol central n furnizarea unor informaii financiare mai
fiabile i mai utile factorilor de decizie i n perfecionarea sistemului de control intern
pentru a fi adecvat cu sistemele de management financiar.
Controalele IT aferente mediului informatizat (controale IT generale) reprezint un
factor semnificativ n atingerea acestor scopuri i n nelegerea de ctre auditor a
structurii controlului intern al entitii. Aceste obiective de control trebuie luate n
considerare pentru ntregul ciclu de via al sistemului. De asemenea, se va analiza modul
n care aceste controale afecteaz eficacitatea sistemului de control intern al entitii.
Structurarea obiectivelor de control pe criteriul domenii-procese-activiti
Cadrul de lucru COBIT reprezint un referenial att pentru management, ct i pentru
auditori, oferind un set extins de 210 obiective de control pentru evaluarea controalelor
generale IT, care se refer la toate activitile legate de ciclul de via al uni sistem
informatic agregate n 34 de procese coninute de cele patru domenii
(Planificare&Organizare, Achiziie&Implementare, Furnizare&Suport i
Monitorizare&Evaluare).
Structurarea obiectivelor de control pe criterii funcionale
Obiectivele de control coninute de cadrul COBIT pot fi structurate pe criterii funcionale
n urmtoarele categorii de controale generale:
1. Managementul funciei IT;
2. Securitatea fizic i controalele de mediu;
3. Securitatea informaiei i a sistemelor;
4. Continuitatea sistemelor;
5. Managementul schimbrii i al dezvoltrii sistemului;
6. Auditul intern.
n efectuarea evalurii mediului informatizat, structurarea obiectivelor de control pe criterii
funcionale este mai accesibil pentru auditori, ntruct conine similitudini conceptuale cu
abordrile aferente altor tipuri de audit. Din acest considerent, o recomandm pentru a fi
adoptat n auditurile n medii informatizate desfurate de Curtea de Conturi.
Prezentul ghid se raporteaz la aceast abordare, procedurile i listele de verificare fiind
proiectate i prezentate pentru cele 6 seciuni menionate mai sus: Managementul funciei
IT; Securitatea fizic i controalele de mediu; Securitatea informaiei i a sistemelor;
Continuitatea sistemelor; Managementul schimbrii i al dezvoltrii sistemului; Auditul
intern.
De o importan deosebit este revizuirea controalelor de aplicaie care ofer
informaii importante despre funcionarea i securitatea aplicaiei financiar-contabile i
ajut la formularea opiniei n legtur cu ncrederea n datele i rezultatele furnizate de
sistemul informatic financiar-contabil, pentru misiunea de audit care se desfoar n
mediul informatizat.
n cazul n care din evaluarea controalelor generale IT i a controalelor de aplicaie rezult
c sistemul nu pare a fi suficient de robust, auditorul trebuie s evalueze riscul
Descrierea riscurilor
Resurse i cunotine IT
_
_
...
ncrederea n sistemul
informatic
_
_
...
Schimbrile n sistemul
informatic
_
_
...
Externalizarea serviciilor
de tehnologia informaiei
_
_
...
Focalizarea pe activitate
_
_
...
Securitatea informaiei i a
sistemului
_
_
...
Managementul tehnologiei
informaiei
_
_
...
Raportarea are ca scop punerea n eviden a punctelor slabe ale controalelor, identificate
de auditor i aducerea lor la cunotina entitii auditate prin intermediul raportului de
audit i al unei scrisori care conine sinteza principalelor constatri i recomandri.
Raportul de audit identific aria de cuprindere, obiectivele, perioada, planificarea n timp
i aria de acoperire ale activitii de auditare efectuate.
Raportul de audit este elaborat de auditorii publici externi pentru fiecare misiune de audit
i va include cele mai semnificative constatri, recomandri i concluzii care au rezultat n
cadrul misiunii de audit cu privire la stadiul i evoluia implementrii i utilizrii
sistemelor informatice existente n entitatea auditat. Raportul va include, de asemenea,
opinia auditorilor cu privire la natura i extinderea punctelor slabe ale controlului intern
n cadrul entitii auditate i impactul posibil al acestora asupra activitii entitii.
Raportul de audit al sistemelor informatice trebuie s fie obiectiv i corect, s cuprind
toate constatrile relevante, inclusiv cele pozitive, s fie constructiv i s prezinte
concluziile i recomandrile formulate de echipa de audit.
n situaia n care pe parcursul misiunii de audit se constat: erori / abateri grave de la
legalitate i regularitate, fapte pentru care exist indicii c au fost svrite cu nclcarea
3
n funcie de problematica referit, n cadrul prezentului document se folosesc i variantele distincte audit
IT/audit IS, cu semnificaia corespunztoare, respectiv auditul arhitecturilor i infrastructurilor IT
(hardware, software, comunicaii i alte faciliti utilizate pentru introducerea, memorarea, prelucrarea,
transmiterea i ieirea datelor, n orice form), precum i auditul sistemelor, aplicaiilor i serviciilor
informatice.
4
Detalii n Manualul de audit al sistemelor informatice (CCR, 2012)
n general, tranzaciile electronice nu au asociate nregistrri scrise i pot fi mult mai uor
de distrus sau de alterat dect cele scrise, fr a lsa nici o urm a distrugerii sau alterrii.
Auditorul trebuie s stabileasc dac politicile de securitate a informaiei i controalele de
securitate ale entitii sunt implementate adecvat pentru prevenirea modificrilor
neautorizate ale nregistrrilor contabile, ale sistemului contabil sau ale sistemelor care
furnizeaz date sistemului contabil. Aceasta se poate realiza prin testarea controalelor
automate, cum ar fi verificrile de integritate a datelor, tampile de dat electronic,
semnturi digitale i controale de versiune n vederea stabilirii autenticitii i integritii
probelor electronice. n funcie de estimrile cu privire la aceste controale, auditorul
poate considera necesar efectuarea unor proceduri suplimentare, cum ar fi confirmarea
detaliilor tranzaciilor sau a soldurilor conturilor cu tere pri5.
Utilizatorii sistemului informatic sunt, implicit, anonimi. Sistemele care nu pot identifica i
nregistra aciunile utilizatorilor individuali nu pot s-i fac ulterior rspunztori de
aciunile lor. Utilizatorii sunt mult mai nclinai s efectueze activiti informatice
neautorizate daca nu pot fi identificai i fcui rspunztori.
Controalele de aplicaie
Aplicaiile reprezint unul sau mai multe programe de calculator care realizeaz o
funcionalitate orientat ctre un scop precizat. Aplicaiile pot fi dezvoltate special pentru
o organizaie, respectiv sisteme la comand, sau pot fi cumprate sub form de pachete/
soluii software de la furnizorii externi.
Cele mai rspndite pachete de aplicaii ntlnite de auditorii financiari sunt: pachete
integrate de contabilitate, sisteme de state de plat, de personal, de pensii, registre de
active fixe, sisteme de management al mprumuturilor nerambursabile.
Toate aplicaiile financiare trebuie s conin controale proprii care s asigure
integritatea, disponibilitatea i confidenialitatea, att a datelor tranzaciilor, ct i a
datelor permanente. n realitate, sistemele nu conin toate controalele posibile pentru
fiecare component. Entitatea trebuie s evalueze riscurile pentru fiecare aplicaie i s
aib implementate controale adecvate, eficiente din punct de vedere al costurilor pentru a
reduce riscurile la un nivel acceptabil. Acest principiu trebuie avut n vedere cnd se
formuleaz recomandrile auditului.
Controalele de aplicaie sunt particulare pentru o aplicaie i pot avea un impact direct
asupra prelucrrii tranzaciilor individuale.
Ele se refer, n general, la acele controale incluse n aplicaie pentru a asigura c numai
tranzaciile valide sunt prelucrate i nregistrate complet i corect n fiierele aplicaiei,
precum i la controalele manuale care opereaz n corelaie cu aplicaia.
O mare parte a controalelor de aplicaii sunt versiuni automatizate ale controalelor
manuale. De exemplu, autorizarea prin intermediul calculatorului de ctre supervizor este
similar cu utilizarea semnturii pe documente tiprite.
Evoluia tehnologiei informaiei a cunoscut n ultimii ani un ritm accelerat, dar nu acelai
lucru se poate spune despre progresele nregistrate n domeniul securitii datelor.
Integrarea puternic a sistemelor apare ca o consecin a mbuntirii formelor de
comunicaie i a proliferrii reelelor de calculatoare. Aplicaiile de comer electronic sunt
doar un exemplu n acest sens, dar se poate afirma c aceast evoluie a deschis i mai
mult apetitul specialitilor n ceea ce privete frauda informaional.
Lipsa urmelor eventualelor atacuri criminale constituie un alt element ngrijortor al
noului mediu de lucru; n acest sens modificarea datelor, adugarea sau chiar tergerea lor
au devenit operaii mult mai uor de realizat, dar, n acelai timp, destul de greu de
depistat.
Obiectivul unei analize a riscurilor informaionale (riscuri IT) este de a identifica
modalitile prin care datele i, implicit, sistemul informatic care le conine, sunt expuse la
risc. Elementele prezentate n paragraful anterior conduc la ideea c mediul informatizat
genereaz noi riscuri i c orice organizaie, n vederea asigurrii unei protecii eficiente a
informaiilor, este necesar s dezvolte un proces complex de studiu i analiz a riscurilor.
Riscul implicat de utilizarea tehnologiei informaiei se manifest prin intermediul
componentelor proprii ale acestei tehnologii: ameninri, vulnerabiliti i impact.
Ameninrile exploateaz vulnerabilitile unui sistem cauznd impactul i, n esen,
Cele mai frecvente efecte ale operrii necorespunztoare a sistemului pot avea ca surs
disfuncionaliti la nivelul infrastructurii IT sau pot fi generate de personalul care
gestioneaz sistemul sau de ctre teri, n cazul serviciilor externalizate.
Aplicaiile nu se execut corect datorit operrii greite a aplicaiilor sau utilizrii
unor versiuni incorecte, precum i datorit unor parametri de configurare incoreci
introdui de personalul de operare (de exemplu, ceasul sistemului i data setate
incorect pot genera erori n calculul dobnzilor, al penalitilor, al salariilor etc.).
Pierderea sau alterarea aplicaiilor financiare sau a fiierelor de date poate rezulta
dintr-o utilizare greit sau neautorizat a unor programe utilitare.
Personalul IT nu tie s gestioneze rezolvarea/escaladarea problemelor sau
raportarea erorilor, iar ncercarea de a le rezolva pe cont propriu poate provoca
pierderi i mai mari;
ntrzieri i ntreruperi n prelucrare din cauza alocrii unor prioriti greite n
programarea sarcinilor;
Lipsa salvrilor i a planificrii reaciei la incidentele probabile crete riscul de
pierdere a capacitii de a continua prelucrarea n urma unui dezastru;
Lipsa capacitii (resurselor) sistemului, acesta devenind incapabil de a prelucra
tranzaciile din cauza suprancrcrii;
Timpul mare al cderilor de sistem pn la remedierea problemei;
Probleme ale utilizatorilor nerezolvate datorit funcionrii defectuoase a facilitii de
asisten tehnic (Helpdesk).
Tabelul 2
Proceduri de audit IT
6
Domeniile, procesele i obiectivele de control COBIT sunt prezentate n detaliu n
Manualul de audit al sistemelor informatice (CCR, 2012)
Auditorul va obine informaii din analizele anterioare, avnd urmtoarele surse: rapoarte
de audit sau referiri la informri ctre conducere, evaluri ale sistemelor contabile,
evaluri ale riscurilor i altele.
Conducerea entitii va stabili persoanele de contact din cadrul entitii auditate, din
domeniile financiar i IT (nume, funcie, locaie, nr. telefon), care vor colabora cu auditorul
pe parcursul misiunii de audit.
Tabelul 3
Seciunea Management IT B.1.1
MANAGEMENT IT
Planificarea
Existena unui plan corespunztor i LV_ Controale Plan strategic
activitilor IT
documentat pentru coordonarea generale IT
Planuri tactice
activitilor legate de implementarea
i funcionarea sistemului informatic, Rapoarte de
corelat cu strategia instituiei evaluare
Documentarea n planificarea entitii
a rezultatelor scontate/ intelor i
etapelor de dezvoltare i
implementare a proiectelor
ntocmirea i aprobarea de ctre
conducere a unui plan strategic
adecvat prin care obiectivele cuprinse
n politic s aib asociate aciuni,
termene i resurse
Este realizat managementul valorii IT
Se evalueaz capabilitile i
performanele curente
Managementul
Existena unui cadru de referin LV_ Controale Cadrul de
investiiilor
pentru managementul financiar generale IT referin
pentru
Managementul
Definirea serviciilor IT i elaborarea LV_ Controale Documente
costurilor i al
unei strategii de finanare pentru generale IT care reflect
beneficiilor
proiectele aferente serviciilor IT strategia de
finanare
Nivelele de finanare sunt consistente
pentru
cu obiectivele
proiectele
Existena unui buget separat pentru aferente
investiii i cheltuieli legate de IT. serviciilor IT
Stabilirea responsabilitilor privind
Bugetul
ntocmirea, aprobarea i urmrirea
pentru
bugetului
investiii i
Implementarea sistemelor pentru cheltuieli
monitorizarea i calculul cheltuielilor legate de IT
(Contabilitatea IT)
Situaii
Managementul beneficiilor privind
managementul
Efectuarea analizei activitilor fa de costurilor i al
Strategia IT a entitii beneficiilor
Evidene
contabile
Aceast abodare reduce riscul apariiei unor costuri neateptate i anularea proiectelor,
mbuntete comunicarea i colaborarea dintre organizaie i utilizatorii finali, asigur
valoarea i calitatea livrabilelor proiectului, i maximizeaz contribuia lor n programele
de investiii IT.
Tabelul 6
Seciunea Management IT B.1.4
Managementul Documentaia
Pentru toate proiectele IT este stabilit LV_ Controale
programelor i al proiectelor
un program i un cadru de referin generale IT
proiectelor.
pentru managementul proiectelor
Raportarea ctre Grafice de
care garanteaz o ierarhizare corect
conducerea realizare
i o bun coordonare a proiectelor
instituiei
Cadrul de referin include un plan Rapoarte de
general, alocarea resurselor, definirea stadiu
livrabilelor, aprobarea utilizatorilor,
livrarea conform fazelor proiectului, Situaii de
asigurarea calitii, un plan formal de raportare
testare, revizia testrii i revizia post- ctre
implementrii cu scopul de a asigura conducere
managementul riscurilor proiectului
i furnizarea de valoare pentru Registrul
organizaie riscurilor
proiectelor IT
Managementul portofoliilor de Planul calitii
proiecte proiectelor
Managementul proiectelor este
cuprinztor, riguros i sistematic Controlul
schimbrilor
Monitorizarea activitilor i n cadrul
progresului proiectelor n raport cu proiectelor
planurile elaborate n acest domeniu
Nominalizarea unui colectiv i a unui Situaii de
responsabil care supravegheaz raportare a
desfurarea activitilor n indicatorilor
concordan cu liniile directoare de
Tabelul 7
Seciunea Management IT B.1.5
MANAGEMENT IT
Documente
privind
msurarea,
monitorizarea
i revizuirea
calitii
MANAGEMENT IT
Proceduri
referitoare la
schimbarea
locului de
munc i
rezilierea
contractului
de munc
Evaluarea instruirii
MANAGEMENT IT
Suport tehnic
Tabelul 10
Seciunea Separarea atribuiilor B2
Contientizarea personalului
Auditorul trebuie s determine prin interviu, prin observare direct i prin analiza
documentelor relevante (organigram, fia postului, decizii ale conducerii, contracte etc.)
dac personalul IT are responsabiliti n departamentele utilizatorilor, dac funciile IT
sunt separate de funciile de utilizare (financiar, gestiunea stocurilor, etc.) pentru a nu se
opera schimbri neautorizate, de obicei dificil de detectat, dac alte funcii incompatibile,
potrivit aspectelor menionate mai sus, sunt separate.
Tabelul 11
Controlul accesului Alocarea unor spaii adecvate pentru LV_ Controale Regulamente,
fizic camera serverelor generale IT norme,
instruciuni
Implementarea unor proceduri
formale de acces n locaiile care Planuri de
gzduiesc echipamente IT importante amplasare
care s stabileasc: persoanele care au
acces la servere, modul n care se Proceduri de
controleaz accesul la servere (ex. acces
cartele de acces, chei, registre),
Evidene
procedura de alocare a cartelelor
privind
ctre utilizatori i de monitorizare a
accesul
respectrii acesteia, cerina ca
vizitatorii s fie nsoii de un Evidene
reprezentant al entitii referitoare la
Existena unor msuri pentru a echipamente
asigura c se ine o eviden exact a i la software
echipamentului informatic i a
Inspecie,
programelor informatice (marcarea
observaie
sau etichetarea echipamentele pentru
(probe de
a ajuta identificarea), pentru a
audit fizice)
preveni pierderea intenionat sau
neintenionat de echipamente i a
datelor coninute n acestea
Auditorul trebuie s determine prin interviu i prin observare direct (inspecie n slile n
care sunt amplasate echipamentele) dac exist dotrile necesare pentru asigurarea
controlului accesului fizic n zona de securitate definit. De asemenea, trebuie s verifice
existena i modul de implementare a procedurilor asociate.
Tabelul 12
Auditorul trebuie s determine prin interviu i prin observare direct (inspecie n slile n
care sunt amplasate echipamentele) dac exist dotrile necesare pentru protecia mediului
(sisteme de prevenire a incendiilor, dispozitive pentru controlul umiditii, aer condiionat,
dispozitive UPS, senzori de micare, camere de supraveghere video). De asemenea, trebuie s
verifice existena i modul de implementare a procedurilor asociate.
Monitorizarea activitilor
utilizatorilor cu drepturi depline
Acces IT
Verificarea drepturilor de acces la
datele reale pentru programatori
Tabelul 15
Responsabili
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este
implementat cadrul procedural pentru asigurarea controlului administrrii securitii
(examinarea documentelor din care rezult responsabilitile i sarcinile cu privire la
administrarea securitii IT, separarea atribuiilor, reflectarea acestora n politica de
securitate).
Controale de acces slabe mresc riscul atacurilor din partea hackerilor, al viermilor i al
viruilor care afecteaz integritatea i disponibilitatea evidenelor financiare.
Managementul inadecvat al reelei poate expune organizaia ameninrilor interne i
externe cu privire la integritatea datelor. O reea slab securizat poate, de exemplu, s fie
vulnerabil la difuzarea viruilor informatici.
Tabelul 16
Seciunea Securitatea informaiei i a sistemelor B.4.4
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este
implementat cadrul procedural pentru asigurarea controlului reelei: existena unei
persoane desemnate pentru administrarea reelei IT, msurile luate pentru monitorizarea
securitii reelei, pentru protejarea conexiunilor externe mpotriva atacurilor informatice
(virui, acces neautorizat), reglementarea accesului la sistem din partea unor organizaii
externe (de exemplu, Internet, conexiuni on-line), existena unor proceduri de control privind
accesul de la distan i msurile de securitate aplicate.
Proceduri
Jurnale de
operaii
(log-uri)
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este
implementat cadrul procedural pentru asigurarea c reeaua este controlat astfel nct s
poat fi accesat numai de ctre utilizatorii interni sau externi autorizai, iar datele
transmise s nu fie pierdute, alterate sau interceptate: implementarea unei politici de
securitate a reelei, utilizarea standardelor de reea, a procedurilor i a instruciunilor de
operare asociate acestei politici, existena i disponibilitatea documentaiei aferente
cadrului procedural i a documentaiei reelei (care descrie structura logic i fizic a
reelei), implementarea controalelor accesului logic (procedura de conectare, reguli privind
parolele, permisiile de acces la resursele sistemului), stabilirea unor reguli privind utilizarea
resurselor externe, existena unui personal cu instruire i experien adecvate, nregistrarea
automat n jurnalele de operaii i revizuirea periodic a acestora pentru a se depista
activitile neautorizate, utilizarea unor instrumente software/hardware pentru
managementul i monitorizarea reelei, monitorizarea accesului furnizorilor de servicii i al
consultanilor, criptarea datelor.
Tabelul 19
Seciunea Continuitatea sistemelor B.5.2
Managementul Proceduri
Entitatea a implementat un cadru LV_ Controale
performanei i al referitoare la:
procedural referitor la: planificarea generale IT
capacitii planificarea
performanei i capacitii, evaluarea
performanei
performanei i capacitii actuale i
i capacitii,
viitoare, monitorizare i raportare
evaluarea
Efectuarea de ctre entitate a unor performanei
analize privind capacitatea pentru i capacitii
hardware i pentru reea cu o actuale i
periodicitate stabilit viitoare,
Efectuarea de ctre entitate a unor monitorizare
analize privind performana i i raportare
capacitatea aplicaiilor IT. Indicatori Scenarii de
avui n vedere testare
Efectuarea de ctre entitate a unor
analize privind gtuirile de trafic. Responsabili
Detalii
Tabelul 20
Integrarea managementului
configuraiei, incidentelor i al
problemelor
Tabelul 21
Seciunea Continuitatea sistemelor B.5.4
Auditorul trebuie s evalueze riscul de audit n cadrul fiecrui proces, utiliznd urmtorii
trei factori:
(a) ameninrile la adresa integritii i disponibilitii informaiilor financiare;
(b) vulnerabilitatea informaiilor financiare la ameninrile identificate;
(c) impactul posibil n ceea ce privete obiectivele auditului.
Dac oricare dintre aceste revizuiri nu primete un rspuns afirmativ, auditorul, pe baza
raionamentului profesional, trebuie s decid dac sistemul informatic ofer ncredere n
situaiile financiare generate de acest sistem. n condiiile n care concluzia auditorului
este c nu poate avea ncredere n sistemul informatic, auditorul trebuie s analizeze ce
msuri trebuie luate pentru a continua misiunea de audit financiar.
Auditorul trebuie s constate dac exist evidene contabile alternative manuale i dac este
posibil s se efectueze auditul pe baza acestora (pe lng sistemul informatic).
Tehnicile de auditare asistat de calculator utilizate cel mai frecvent n auditul financiar se
mpart n dou categorii:
(a) tehnici pentru regsirea datelor
prin interogarea fiierelor de date;
prin utilizarea unor module de audit incluse n sistemul informatic auditat.
Tabelul 29
Utilizarea tehnicilor de audit asistat de calculator (CAAT)
Datele trebuie s fie furnizate ntr-o form care s permit utilizarea lor n mod direct de
ctre programul de audit asistat de calculator sau ntr-un format standard compatibil cu
versiunea sofware utilizat de auditor (fiiere Windows, Lotus, Excel, mdb, text cu
separatori, etc.);
Datele trebuie s fie furnizate n format electronic, pentru a permite importul direct n
baza de date a auditorului, pe suport magnetic, optic sau prin reea (Internet, intranet). In
toate cazurile trebuie analizate implicaiile infectrii cu virui.
In cazul auditului financiar, sunt oferite faciliti specifice pentru prelucrarea i analiza
unor colecii mari de date, prin efectuarea unor teste i utilizarea unor proceduri
adecvate, cum ar fi:
Auditorul va verifica dac exist controale adecvate pentru a asigura c personalul care
introduce sau proceseaz tranzacii nu poate s modifice i dac sunt nregistrate
activitilor lor.
O bun documentaie a aplicaiei reduce riscul comiterii de greeli de ctre utilizatori sau
al depirii atribuiilor autorizate. Documentaia trebuie s fie cuprinztoare, actualizat
la zi, pentru ca examinarea acesteia s ajute auditorul s obin o nelegere a modului n
care funcioneaz fiecare aplicaie i s identifice riscurile particulare de audit.
Documentaia trebuie s includ:
Tabelul 33
Controale privind introducerea datelor
Auditorul trebuie s urmreasc existena unor verificri automate ale aplicaiei care s
detecteze i s raporteze orice modificri externe ale datelor, de exemplu modificri
neautorizate efectuate de personalul de operare al calculatorului, direct n baza de date
aferent aplicaiei. Auditorul trebuie s examineze i rezultatele analizelor efectuate de
sistem, pentru a se asigura c utilizarea facilitilor de modificare ale sistemului, precum
editoarele, este controlat corespunztor.
Auditorul va evalua procedurile / controalele existente care s asigure c introducerea
datelor este autorizat i exact, precum i controalele care asigur c toate tranzaciile
Sistemele informatice sunt conectate fie la reeaua local, fie la alte reele externe (LAN
sau WAN), care le permit s primeasc i s transmit date de la calculatoare aflate la
distan. Cele mai utilizate medii de transmitere a datelor includ liniile telefonice,
cablurile coaxiale, unde infraroii, fibre optice i unde radio. Indiferent de mijloacele de
transmisie utilizate, trebuie s existe controale adecvate care s asigure integritatea
datelor tranzaciei transmise.
Aplicaiile care transmit informaii prin reele pot fi supuse urmtoarelor riscuri:
datele pot fi interceptate i modificate fie n cursul transmisiei, fie n cursul
stocrii n site-uri intermediare;
n fluxul tranzaciei se pot introduce date neautorizate utiliznd conexiunile de
comunicaii;
datele pot fi deformate n cursul transmisiei.
Auditorul trebuie s se asigure c exist controale care s previn i s detecteze
introducerea de tranzacii neautorizate. Aceasta se poate realiza, de exemplu, prin
controlul asupra proiectrii i stabilirii legturilor de comunicaii, sau prin ataarea
semnturilor digitale la fiecare transmisie.
Integritatea datelor transmise poate fi compromis datorit defectelor de comunicaie.
Auditorul trebuie s se asigure c funcioneaz controale adecvate, fie n cadrul reelei, fie
n aplicaiile financiare, pentru detectarea datelor deformate. Este posibil ca protocolul de
comunicaii al reelei, respectiv regulile predeterminate care determin formatul i
semnificaia datelor transmise, s ncorporeze faciliti automate de detecie i corecie.
Avnd n vedere uurina interceptrii datelor transmise n reelele locale sau n alte
reele externe, protecia neadecvat a reelei mrete riscul modificrii, tergerii i
dublrii neautorizate a datelor. Exist un numr de controale care pot fi utilizate pentru a
trata aceste probleme:
se pot utiliza semnturi digitale pentru a verifica dac tranzacia provine de la
un utilizator autorizat i coninutul tranzaciei este intact;
se pot utiliza tehnici de criptare a datelor pentru a preveni interpretarea i /
sau modificarea tranzaciilor interceptate;
secvenierea tranzaciilor poate ajuta la prevenirea i detectarea tranzaciilor
dublate sau terse i pot ajuta la identificarea tranzaciilor neautorizate.
Tabelul 34
Controale ale transmisiei de date
Tabelul 36
Controalele privind datele de ieire
n cadrul entitilor auditate, sistemele informatice care fac obiectul evalurii sunt
utilizate ca suport pentru asistarea deciziei, constituind sisteme IT utilizate pentru
evidena, prelucrarea i obinerea de rezultate, situaii operative i sintetice la toate
nivelele de raportare.
Din acest motiv, o categorie special de controale IT se refer la conformitatea sistemului
informatic cu cerinele impuse de cadrul legislativ i de reglementare.
Cerinele legislative i de reglementare variaz de la o ar la alta. Acestea includ:
Legislaia privind protecia datelor private i legislaia privind protecia datelor
personale;
Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii
informatice;
Reglementri financiare i bancare;
Legile cu privire la proprietatea intelectual.
Tabelul 38
Evaluarea conformitii aplicaiilor cu legislaia n vigoare
CA12 Conformitatea LV_Controale Existena unor politici sau proceduri formale prin
aplicaiilor cu Aplicaie care se atribuie responsabilitatea monitorizrii
legislaia n mediului legislativ care poate avea impact asupra
vigoare sistemelor informatice
Este alocat responsabilitatea asigurrii
conformitii aplicaiilor cu clauzele contractuale
privind:
asigurarea c sistemul implementat este
actualizat n conformitate cu ultima versiune
furnizat;
respectarea termenelor privind distribuirea
ultimelor versiuni de echipamente, software,
documentaie;
livrarea i instalarea configuraiilor hardware
/ software pe baza unui grafic, conform
clauzelor contractuale, pe etape i la termenele
stabilite;
respectarea obligaiilor privind instruirea i
suportul tehnic, stabilite prin contract;
furnizarea pachetelor software conform
clauzelor contractuale. Verificarea existenei i
valabilitii licenelor furnizate n cadrul
contractului;
n Romnia exist o multitudine de dezvoltri ale unor astfel de produse, care ar trebui s
se raporteze la o serie de criterii i cerine minimale reglementate, n principal, prin
norme metodologice ale Ministerului Finanelor Publice. Aceste norme se refer n
principal la urmtoarele aspecte:
(b) Alterarea probelor de audit poate fi cauzat de existena unor anomalii sau erori
sistematice ale funcionrii programelor, care afecteaz prelucrarea ntregului
fond de date i duc la obinerea unor rezultate eronate, greu de corectat prin
proceduri manuale, avnd n vedere volumul mare al tranzaciilor i complexitatea
algoritmilor de prelucrare.
(d) Datorit interveniei umane, care nu are ntotdeauna asociate protecii stricte
privind autorizarea accesului i intervenia asupra fondului de date, n
dezvoltarea, ntreinerea i operarea sistemului informatic, exist un potenial
foarte mare de alterare a fondului de date fr o dovad explicit.
(f) n cazul unor proceduri sau tranzacii executate n mod automat, autorizarea
acestora de ctre management poate fi implicit prin modul n care a fost proiectat
i dezvoltat sistemul informatic i pentru modificrile ulterioare, ceea ce
presupune lipsa unei autorizri similare celei din sistemul manual, asupra
procedurilor i tranzaciilor.
(i) Efectuarea testelor de control asupra unui volum mare de date, prin utilizarea
tehnicilor i instrumentelor de audit asistat de calculator, este facilitat de
existena unor proceduri de prelucrare i analiz oferite de sistemul informatic.
3.2.1 Dependena de IT
Tabelul 40
Dependena de IT
3.2.3 ncrederea n IT
Documente de
Arii de risc Factori de risc lucru
Externalizarea serviciilor se refer la furnizarea unor servicii IT, sau conexe acestora, de
ctre o organizaie independent de entitatea auditat, prin urmtoarele forme: contract
cu o ter parte pentru furnizarea complet a serviciilor IT ctre entitatea auditat
(outsourcing), contract cu o ter parte pentru utilizarea curent i ntreinerea
echipamentelor i a aplicaiilor care sunt n proprietatea entitii auditate, precum i
contractarea unor servicii punctuale pe criterii de performan n funcie de necesiti i
de costurile pieei, asociat cu diminuarea sau eliminarea anumitor pri din structura
departamentului IT, n cazul n care externalizarea funciilor aferente acestora este mai
eficient.
Opiunea privind externalizarea serviciilor IT trebuie s se bazeze pe o bun cunoatere a
pieei n scopul alegerii celei mai adecvate soluii privind: reputaia furnizorilor, costurile
corelate cu calitatea serviciilor.
Lansarea unor investiii n IT, efectuat la nceputul unei afaceri sau schimbrile necesare
pe parcursul acesteia vor fi supuse unor analize privind obiectivele investiiilor IT,
configuraiile necesare, personalul IT implicat n proiecte, soluiile de achiziie sau de
dezvoltare, finanarea proiectelor, etc.
Deciziile luate de managementul de vrf al entitii n legtur cu direciile de dezvoltare
n domeniul IT trebuie formalizate i documentate ntr-un document denumit Strategia IT
n care se identific toate proiectele i activitile IT care vor face obiectul finanrilor.
Deciziile i schimbrile planificate specificate n strategia IT sunt preluate i detaliate n
planurile anuale ale departamentului IT.
Dei strategia are un efect minimal pentru auditul efectuat pentru o perioad de un an, ea
ofer o imagine n legtur cu o perspectiv mai ndelungat (urmtorii ani) i l
avertizeaz pe auditor n ceea ce privete problemele care pot s apar n viitor.
Pierderi financiare
n acest context, controlul se poate implementa prin desemnarea unei persoane creia i se
va aloca o funcie independent cu urmtoarele atribuii:
(a) Va primi toate datele pentru procesare;
(b) Va asigura c toate datele sunt autorizate i nregistrate;
(c) Va urmri toate erorile detectate n timpul procesrii;
(d) Va verifica distribuirea corespunztoare a rezultatelor obinute;
(e) Va limita accesul fizic la programele de aplicaii i la fiierele de date.
8
cerut de ISA 400 Evaluarea riscurilor i controlul intern
d) Separarea sarcinilor
Responsabilitile pentru efectuarea diferitelor activiti necesare pentru a proiecta,
implementa i opera o baz de date sunt divizate ntre personalul tehnic, proiectant,
administrativ i utilizator. ndatoririle acestora includ proiectarea sistemului, proiectarea
bazei de date, administrarea i operarea. Meninerea unei separri adecvate a acestor
ndatoriri este absolut necesar pentru asigurarea integritii, exhaustivitii i acurateei
bazei de date. De exemplu, persoanele responsabile cu modificarea programelor de baze
de date care conin informaii despre personal, nu vor fi aceleai persoane care sunt
autorizate s efectueze modificri individuale ale plilor salariale n baza de date.
e) Securitatea datelor i recuperarea bazei de date
Exist o probabilitate crescut ca bazele de date s fie utilizate de diferii utilizatori n
diferite zone ale operaiunilor entitii, ceea ce nsemn c aceste zone din cadrul entitii
vor fi afectate n cazul n care datele nu sunt accesibile sau conin erori. De aici decurge
nivelul nalt de importan al controalelor generale privind securitatea datelor i
recuperarea bazelor de date.
Sistemele cu baze de date ofer n mod obinuit o mai mare credibilitate a datelor fa de
aplicaiile bazate pe fiiere de date. n astfel de sisteme, controalele generale au o
importan mai mare dect controalele aplicaiilor, ceea ce implic reducerea riscului de
fraudare sau eroare n sistemele contabile n care sunt utilizate bazele de date. Urmtorii
factorii, n combinaie cu controalele adecvate, contribuie la o credibilitate sporit a
datelor.
Este asigurat o coeren crescut a datelor deoarece acestea sunt
nregistrate i actualizate o singur dat, i nu stocate n mai multe fiiere i
actualizate de mai multe ori de ctre diferite programe.
Integritatea datelor va fi mbuntit de utilizarea eficient a facilitilor
incluse n SGBD (rutine de recuperare / restartare, editare generalizat,
rutine de validare, caracteristici de control i securitate.
Alte funcii disponibile n cadrul SGBD pot facilita procedurile de control i
audit (generatoare de rapoarte, care pot fi utilizate pentru a crea rapoarte
e) n cazul n care controalele privind administrarea bazei de date sunt neadecvate, este
posibil ca auditorul s nu poat compensa aceste controale slabe indiferent de ct de
mult munc va depune. Prin urmare, atunci cnd devine clar c nu se poate baza pe
controalele din sistem, auditorul va lua n considerare necesitatea de a efectua teste
detaliate de audit asupra tuturor aplicaiilor contabile importante care utilizeaz baza de
date i va decide dac aceste proceduri sunt suficiente pentru atingerea obiectivelor
auditului. n cazul n care auditorul nu poate compensa slbiciunile din mediul de control
prin teste detaliate pentru a reduce riscul de audit la un nivel ct mai redus, acceptabil,
standardul ISA 700 solicita ca auditorul s emit o opinie cu rezerve, sau s se declare n
imposibilitatea de a exprima o opinie.
f) Caracteristicile sistemelor cu baze de date pot face mai eficient pentru auditor
efectuarea unor revizuiri pre-implementare a noilor aplicaii contabile dect revizuirea
aplicaiilor dup ce acestea au fost instalate. Aceste revizii pre-implementare i revizii ale
procesului de modificare a gestionrii pot furniza auditorului oportunitatea de a solicita
noi funcii, cum ar fi rutine ncorporate sau controale adiionale n proiectarea aplicaiei.
De asemenea, poate oferi suficient timp auditorului pentru a dezvolta i testa proceduri de
audit naintea utilizrii sistemului.
n cazul mediilor informatizate cu calculatoare individuale, controalele se pot implementa
prin desemnarea unei persoane creia i se va aloca o funcie independent cu atribuii
legate de definirea accesului i a regulilor de securitate, sau, n cazul n care nu exist
personal suficient, aceste sarcini vor fi atribuite persoanei desemnate cu gestionarea
sistemului informatic.
Pentru obinerea probelor de audit se vor utiliza liste de verificare, machete i, dup caz,
chestionare i se vor realiza interviuri cu: persoane din conducerea instituiei auditate,
personalul de specialitate IT, utilizatori ai sistemelor / aplicaiilor.
Machetele constituie suportul pentru colectarea informaiilor cantitative referitoare la
infrastructura IT. Acestea sunt transmise entitii auditate, spre completare.
n condiiile n care se colecteaz informaii care reflect performana sistemului, se
utilizeaz chestionare proiectate de auditor, pe baza crora, n urma centralizrii i
prelucrrilor statistice vor rezulta informaii legate de satisfacia utilizatorilor,
modernizarea activitii, continuitatea serviciilor, creterea calitii activitii ca urmare a
informatizrii i altele.
Machetele i chestionarele completate vor fi semnate de conducerea entitii i predate
echipei de audit.
Machetele propuse pentru colectarea datelor referitoare la infrastructura IT i la
personalul IT sunt urmtoarele:
Pentru evaluarea riscurilor, un model de list de verificare este prezentat n Anexa 4, Lista
de verificare pentru evaluarea riscurilor (LV_Riscuri).
Aceast list nu exclude adugarea altor categorii de probleme considerate semnificative
de ctre auditor, n funcie de obiectivele specifice ale auditului.
[3] OMF nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd
standardele de management/control intern la entitatile publice i pentru
dezvoltarea sistemelor de control managerial
[4] ISACA, IS Standards, Guidelines and Procedures for Auditing and Control
Professionals, ediia februarie 2010, www.isaca.org
[10] INTOSAI, INTOSAI GOV 9100 Guidelines for Internal Control Standards for
the Public Sector, 2004
Autenticitate Proprietate care determin c iniiatorul unui mesaj, fiier, etc. este n
mod real cel care se pretinde a fi.
Audit online - Auditare prin consultarea online a bazelor de date ale entitilor auditate,
aflate la distan.
Audit continuu - Tip de auditare n care auditorul are acces permanent la sistemul
informatic al entitii auditate, diferena de timp ntre momentul producerii
evenimentelor urmrite de auditor i obinerea probelor de audit fiind foarte mic.
Backup O copie (de exemplu, a unui program software, a unui disc ntreg sau a unor
date) efectuat fie n scopuri de arhivare, fie pentru salvarea fiierelor valoroase pentru a
evita pierderea, deteriorarea sau distrugerea informaiilor. Este o copie de siguran.
Continuitatea afacerii - Un plan formal sau un set de planuri integrate, proiectate pentru
a permite proceselor cheie ale afacerii s continue operarea n urma unor cderi majore
sau dezastre.
Controale generale n sistemele informaionale computerizate - Politici i proceduri
care se refer la sistemele informatice i care susin funcionarea eficient a controalelor
aplicaiilor contribuind astfel la asigurarea unei funcionri adecvate i continue a
sistemelor informatice. Controalele informatice generale includ, n mod obinuit,
controale asupra securitii accesului la date i reele, precum i asupra achiziiei,
ntreinerii i dezvoltrii sistemelor informatice.
Control intern - Procesul proiectat i efectuat de cei care sunt nsrcinai cu guvernarea,
de ctre conducere i de alte categorii de personal, pentru a oferi o asigurare rezonabil n
legtur cu atingerea obiectivelor entitii cu privire la credibilitatea raportrii financiare,
la eficacitatea i eficiena operaiilor i la respectarea legilor i reglementrilor aplicabile.
Controlul intern este compus din urmtoarele elemente: (a) Mediul de control; (b)
Procesul de evaluare a riscurilor entitii; (c) Sistemul informatic, inclusiv procesele de
afaceri aferente, relevante pentru raportarea financiar i comunicare; (d) Activitile de
control; i (e) Monitorizarea controalelor.
CRAMM (The CCTA Risk Analysis and Management Method) - Metod de management i
analiz a riscului - este o metod structurat pentru identificarea i justificarea msurilor
de protecie care vizeaz asigurarea unui nivel adecvat de securitate n cadrul sistemelor
IT.
Certificat digital - Conine semnturi digitale i alte informaii care confirm identitatea
prilor implicate ntr-o tranzacie electronic, inclusiv cheia public.
e-audit - Tip de audit pentru care prezena fizic a auditorului nu este necesar la
entitatea auditat, acesta avnd la dispoziie toate informaiile oferite de o infrastructur
ITC pentru audit.
EDI - Electronic Data Interchange este termenul generic pentru transmisia structurat a
tranzaciilor sau informaiilor comerciale de la un sistem la altul.
e-sisteme - Sisteme bazate pe Internet i tehnologii asociate care ofer servicii electronice
cetenilor, mediului de afaceri i administraiei: e-government, e-health, e-commerce, e-
learning, etc.
EFT - Electronic Funds Transfer systems (sisteme electronice de transfer de fonduri) sunt
utilizate pentru a transfera fonduri dintr-un cont bancar n alt cont bancar utiliznd
echipamente electronice n locul mediilor pe hrtie. Sistemele uzuale EFT includ BACS
(Bankers Automated Clearing Services) i CHAPS (Clearing House Automated Payment
System).
Frauda - Act intenionat ntreprins de una sau mai multe persoane din cadrul conducerii,
din partea celor nsrcinai cu guvernarea, a angajailor sau a unor tere pri, care implic
folosirea unor neltorii pentru a obine un avantaj ilegal sau injust.
Home Page - Pagina prin care un utilizator intr n mod obinuit pe un web site. Aceasta
conine i legturile (linkurile) cele mai importante ctre alte pagini ale acestui site.
Instituia Suprem de Audit - Organismul public al unui stat care, indiferent de modul n
care este desemnat, constituit sau organizat n acest scop, exercit n virtutea legii cea mai
nalt funcie de audit n acel stat.
Intranet - Versiunea privat a Internetului, care permite persoanelor din cadrul unei
organizaii s efectueze schimburi de date, folosind instrumentele obinuite ale
Internetului, cum sunt browserele.
Log (jurnal de operaii) - O eviden sau un jurnal al unei secvene de evenimente sau
activiti.
Modem - O pies de echipament utilizat pentru convertirea unui semnal digital dintr-un
calculator, n semnal analog pentru transmiterea ntr-o reea analogic (precum sistemul
public de telefoane). Un alt modem aflat la captul de primire convertete semnalul analog
n semnal digital.
Pista de audit Un set cronologic de nregistrri care furnizeaz n mod colectiv proba
documentar a prelucrrii, suficient pentru a permite reconstituirea, revizuirea i
examinarea unei activiti.
Planificarea continuitii - Planificarea efectuat pentru a asigura continuitatea
proceselor cheie ale afacerii dup dezastre, cderi majore ale sistemelor sau n cazul
imposibilitii procesrilor de rutin.
Protocol - Standarde i reguli care determina nelesul, formatul i tipurile de date care
pot fi transferate ntre calculatoarele din reea.
Reea de arie larg (WAN) - O reea de comunicaii care transmite informaii pe o arie
extins, cum ar fi ntre locaii ale ntreprinderii, orae sau ri diferite. Reelele extinse
permit, de asemenea, accesul online la aplicaii, efectuat de la terminale situate la distan.
Mai multe reele locale (LAN) pot fi interconectate ntr-o reea WAN.
Reea local (LAN) - O reea de comunicaii care deservete utilizatorii dintr-o arie
geografic bine delimitat. Reelele locale au fost dezvoltate pentru a facilita schimbul de
informaii i utilizarea n comun a resurselor din cadrul unei organizaii, inclusiv date,
programe informatice, depozite de date, imprimante i echipamente de telecomunicaii.
Componentele de baz ale unei reele locale sunt mijloacele de transmisie i programele
informatice, staiile de lucru pentru utilizatori i echipamentele periferice utilizate n
comun.
Router - Un dispozitiv de reea care asigur c datele care se transmit printr-o reea
urmeaz ruta optim.
Sectorul public Guvernele naionale, guvernele regionale (spre exemplu, cele la nivel de
stat, provincie sau teritoriale), administraiile locale (spre exemplu, la nivel de ora,
municipiu) i entitile guvernamentale aferente (spre exemplu, agenii, consilii, comisii i
ntreprinderi).
Secure Socket Layer (SSL) - O tehnologie bazat pe web care permite unui calculator s
verifice identitatea altui calculator i permite conexiunile securizate.
Server - O unitate de calcul plasat ntr-un nod al reelei care asigur servicii specifice
utilizatorilor reelei (de exemplu, un print server asigur faciliti de imprimare n reea,
iar un file server stocheaz fiierele utilizatorului).
Service level agreements - Acorduri sau contracte scrise ntre utilizatori i prestatorii de
servicii, care documenteaz livrarea convenit a serviciilor IT. Acestea includ, de obicei,
orele pentru prestarea serviciului, disponibilitatea serviciului, produsul, timpii de
rspuns, restricii i funcionalitate.
Software social - Software de tip social (social networking, social collaboration, social
media and social validation) este avut n vedere de organizaii n procesul integrrii
ntreprinderii.
User profile (profilul utilizatorului) - O list de drepturi de acces ale unui anumit
utilizator al sistemului.
Nr. Valoare
Proiect / Sistem / Aplicaie Specificaie Numr
crt.
Servere
Calculatoare PC
Echipamente de reea
Licene
Aplicaii
Personal
ntreinere
Alte cheltuieli
Not: Se vor aduga linii distincte pentru fiecare proiect / sistem / aplicaie.
TOTAL VALOARE
Mediu de
Cod Denumire Categorie Productor
SGBD / proiectare
serviciu sistem / sistem/ Stadiul / Arhitectura Tehnologia
Platforma i
informatic aplicaie aplicaie Furnizor
dezvoltare
1 - aplicaie 1 - n curs de 1 - aplicaie 1-nou
2 - sistem implementare independent 2-perimat
informatic 2 - neoperaional 2 - client-server
integrat 3 - operaional 3 aplicaie
3- web
managementul
documentelor
4 - arhiva
electronic
5 - altele
Cod Aplicaia 1
Serviciul Aplicaia 2
informatic .
#1
Cod Aplicaia ..
Serviciul
informatic
#2
EVALUAREA INFRASTRUCTURILOR
HARDWARE, SOFTWARE I DE COMUNICAIE
ECHIPAMENTE HARDWARE
Nr. crt. Tip echipament Numr
1 Servere (total)
2 Servere securizate
3 Calculatoare personale desktop (total)
4 Calculatoare personale desktop legate n reea
5 Calculatoare portabile (laptop)
6 Imprimante
7 Scannere
8 Alte tipuri de echipamente
Nr. Numr
Categorii de activiti IT
crt. personal
1 Personal cu Dezvoltare de programe
studii
superioare Consultan n domeniul hardware
care
efectueaz Consultan i furnizare de produse software
activiti IT Prelucrarea informatic a datelor
Activiti legate de baze de date
Activiti legate de asigurarea securitii sistemului
ntreinerea i repararea echipamentelor
Suport tehnic
Telecomunicaii (transmisie de date, acces Internet, etc.)
Consultan i management de proiect informatic
I. Managementul IT
Cadrul organizatoric i de
implementare privind separarea
atribuiilor
c) Se utilizeazepararea sarcinilor
realizat prin intermediul sistemului
informatic, prin utilizarea de profile de
securitate individuale i de grup,
preprogramate
Organizarea sistemului de
monitorizare a activitilor i
serviciilor IT
a) Au fost stabilite atribuiile privind
monitorizarea consecvent a stadiului
Monitorizare i evaluare
Managementul programelor i al
proiectelor
c) Se realizeaz monitorizarea
activitilor i progresului proiectelor
n raport cu planurile elaborate n
acest domeniu?
Managementul calitii
Respectarea reglementrilor in
domeniu
Instruirea utilizatorilor i a
personalului IT
Protecia mediului
Politica de securitate
Administrarea securitii
Administrarea utilizatorilor
a) Exist o procedur pentru
administrarea drepturilor
utilizatorilor? Dac da, detaliai.
Pag. 160 din 180
b) Conine procedura de mai sus
msurile ce trebuie luate n cazul n
care un angajat pleac din cadrul
instituiei?
c) Exist un formular pentru crearea i
tergerea conturilor de utilizator i
pentru acordarea, modificarea i
revocarea drepturilor de acces? Dac
da, cine l aprob?
d) Au fost toate drepturile de acces
acordate n baza acestui formular?
e) Sunt utilizatorii activi ai sistemului
verificai periodic n concordan cu
lista de angajai furnizat de
departamentul Resurse umane?
Acces IT
a) Au programatorii drepturi de acces la
datele din mediul de producie?
Conexiuni externe
Managementul datelor
Managementul performanei i al
capacitii
Planificarea continuitii
Proceduri operaionale IT
a) Sunt documentate urmtoarele
proceduri operaionale:
- Proceduri la nceput de zi / sfrit de zi,
dac e cazul
- Proceduri de recuperare sau restaurare
- Instalare de software i hardware
- Raportarea incidentelor
- Rezolvarea problemelor
Detaliai n fiecare caz.
Managementul configuraiilor
Managementul schimbrii
Procurarea resurselor
b) Se realizeaz managementul
contractelor cu furnizorii, exist
politici pentru selectarea furnizorilor
i achiziionarea resurselor?
Audit intern IT
Complexitatea sistemului IT
a) Determinai volumul tranzaciilor
gestionate de fiecare din aplicaiile
informatice (subsisteme).
b) Determinai ct de nou este tehnologia
utilizat, pentru fiecare din subsistemele
sistemului informatic.
c) Determinai modul de operare.
d) Preluarea datelor are loc n format
electronic sau manual (suport hrtie), n
timp real sau pe loturi?
Timpul de supravieuire fr IT
a) Care ar fi consecinele asupra activitii
curente n eventualitatea ntreruperii
funcionrii sistemului informatic sau a
unui subsistem al acestuia?
b) Evaluai: posibilitatea refacerii
funcionalitii, costurile, intervalul de timp
necesar pentru reluarea funcionrii,
impact economic, social, de imagine, etc.
Aptitudini curente
a) Structura profesional a angajailor din
compartimentul IT (organigram, numr,
stat funciuni, fie de post etc.) sau a
persoanelor care au responsabiliti
privind serviciile IT externalizate
III. ncrederea n IT
IV. Schimbri n IT
Noi tehnologii
a) Schimbrile n sistemele IT au n vedere
tehnologii de ultima generaie?
Modificri ale proceselor activitii
IV. Externalizarea IT
Externalizarea
a) Care este nivelul externalizrii, incluznd
suportul tehnic, operare, dezvoltare, suport
utilizatori etc.?
Furnizorii IT
a) Ce riscuri decurg din contractele cu
furnizorii?