Documente Academic
Documente Profesional
Documente Cultură
Manual Audit It PDF
Manual Audit It PDF
- MANUAL -
Pag. 1 / 214
Pag. 2 / 214
CUPRINS
Introducere............................................................................................................................................ 7
Pag. 6 / 214
Introducere
Evoluia societii informaionale ctre societatea bazat pe cunoatere, proces care presupune
transformarea progresiv a ntregii economii ntr-o economie digital, implic schimbri majore i n
abordarea auditului extern, cu un dublu impact: att n ceea ce privete managementul auditului i rolul
auditorului, ct i n ceea ce privete planul arhitectural, metodologic i procedural asociat.
Aceste schimbri, care determin o nou tratare a auditului, pun n eviden necesitatea crerii unui nou
cadru de lucru pentru ciclul de via al procesului de auditare, apt s rspund la noile cerine calitative
ale domeniilor i ale obiectivelor auditrii: auditarea se va focaliza preponderent pe managementul i
livrarea serviciilor informatice, care presupun prezena dominant a fluxurilor de documente electronice,
precum i asupra procedurilor de tratare asociate specifice. Din acest motiv, cea mai mare parte a
procedurilor clasice de auditare vor fi nlocuite cu proceduri capabile s asigure auditarea n contextul
digital care se extinde rapid n prezent.
n scopul adecvrii la noul context, modificrile de coninut ale ciclului de via al auditului impun
reingineria arhitecturilor de auditare i a cadrului metodologic i procedural clasic conducnd la crearea
unui nou model al auditului. Auditul clasic i va schimba abordarea i coninutul i se va baza pe
tehnologiile informaiei i comunicaiilor prin adoptarea unor concepte i metode avansate: audit online,
audit continuu, e-audit.
Noul model al auditului se va focaliza ctre soluii integrate ale diferitelor tipuri de audit: auditul financiar,
auditul performanei, auditul IT / IS1, auditul organizaional i auditul de conformitate, astfel de audituri
urmnd a se desfura n cadrul aceleiai misiuni, n diverse combinaii, n funcie de obiectivele i
complexitatea misiunii.
n ceea ce privete maniera i modalitile de lucru, auditorul va trebui s fie pregtit pentru lucrul n
colaborare, precum i pentru adoptarea unor noi stiluri de munc: auditare la distan, orientarea pe
auditarea documentelor electronice, utilizarea unui suport instrumental bazat pe sau asistat de calculator.
Factorii care influeneaz n mod deosebit noul model al auditului sunt o consecin a ansamblului de
schimbri radicale pe care trecerea la economia digital le va antrena, i chiar le antreneaz deja, n ceea
ce privete securitatea informaiei i a sistemelor, protecia datelor cu caracter personal, accesul la baze
de date cu coninut informaional sensibil, expuse atacurilor externe prin reeaua Internet. De asemenea,
cerinele privind asigurarea continuitii sistemelor, precum i a managementului schimbrii i al
dezvoltrii impun elaborarea unui cadru metodologic i procedural de auditare adecvat.
Manualul de fa ofer, ntr-o abordare nou, din perspectiva direciilor de dezvoltare incluse n Planul de
lucru pentru perioada 2011-2014 al Grupului de lucru EUROSAI ITWG2, un set de bune practici cu o
utilitate deosebit pentru auditorii publici externi din cadrul Curii de Conturi a Romniei (CCR) care
desfoar misiuni / aciuni de audit / control la instituii publice, avnd n vedere extinderea problematicii
acoperite de sistemele informatice financiar-contabile i de gestiune ale organizaiilor. Din aceast
perspectiv, prezentarea este orientat, pe de o parte, pe descrierea celor mai noi concepte, metode,
tehnici i proceduri aferente contextului general al auditului sistemelor informatice, precum i, pe de alt
parte, pe problematica auditului sistemelor informatice financiar-contabile.
Pag. 8 / 214
1. Realizarea unei documentri exhaustive privind problematica specific a domeniului auditului IT / IS,
focalizate pe studii i analize comparative conforme cu metodologiile orientate pe ciclul de via al
sistemelor. Analiza tehnicilor i metodelor de auditare specifice sistemelor informatice, prin prisma
standardelor i bunelor practici existente pe plan internaional.
2. Includerea n cadrul documentrii a unor studii i analize privind cadrul conceptual, arhitecturile de
referin, metodele i tehnicile specifice, precum i a particularitilor care induc schimbri radicale n
desfurarea misiunilor de audit n condiiile unui mediu informatizat.
3. Includerea n manual a aspectelor i cerinelor principale care decurg din documentele celei de a 7-a
ntlniri a EUROSAI IT Working Group, care a avut loc la Istanbul, n perioada 2122 februarie 2011,
la care a participat i Curtea de Conturi a Romniei. Concluzia principal pus n eviden de lucrrile
ntlnirii se refer la noile abordri din domeniul auditului IT / IS privind revizuirea standardelor de
audit IT din perspectiva evoluiilor n domeniul standardelor i liniilor directoare de audit, confirmate
de abordrile i reglementrile instituiilor supreme de audit. In acest cadru, INTOSAI a ntreprins
aciuni orientate pe asigurarea convergenei standardelor de audit proprii cu standardele
internaionale de referin IFAC, IIA8, ISACA.
Cadrul de lucru COBIT a fost asimilat la nivel INTOSAI / EUROSAI drept cadru de referin pentru
auditurile desfurate de SAI-uri. Asociaia profesional The IIA i Comitetul de Standarde
Profesionale al INTOSAI au agreat, n luna decembrie 2010, un Memorandum de nelegere (MOU),
care documenteaz alinierea obiectivelor strategice ale organizaiei, recunoate standardele globale
ale fiecrei pri i definete un proces de colaborare i cooperare continu ntre pri. Un element de
importan major al MOU citat este acordul reciproc c standardele specifice fiecrei organizaii
(seturile de standarde ISSAI i, respectiv, IIA) sunt recunoscute la nivel global.
4. Examinarea impactului pe care generalizarea utilizrii serviciilor informatice l are n plan practic;
analiza rezultatelor i abordrilor raportate pe plan intern i internaional de ctre instituii supreme de
audit (ECA, GAO SUA, NAO UK, CNAO China9, The Office of Auditor General of Canada,
Accounts Chamber of the Russian Federation, The Nederlands Court of Audit Olanda, Tribunal de
Cuentas Spania, Bundesrechnungshof Germania), precum i de ctre instituiile supreme de audit
din Australia, Japonia, Brazilia, India, Norvegia, Suedia, Ungaria10, Polonia, Estonia sau de ctre
instituii cu tradiie n auditul extern (e.g., KPMG, Gartner Group).
5. Examinarea unor aspecte care comport riscuri majore pentru desfurarea i implementarea
auditului ntr-un mediu informatizat:
Pag. 9 / 214
Au fost luate n considerare, de asemenea, elemente de interes primordial privind atribuiile CCR, ca
premise pentru orientarea studiului: n mod natural, obiectivele strategiilor, politicilor i programelor privind
Societatea Informaional se transpun n cerine i obiective de urmrit n cadrul auditrii sistemelor n
cauz: sisteme informatice sau servicii electronice publice, dezvoltate i implementate la nivel de
organizaie sau n cadrul sistemului e-guvernare.
Modelul de audit n medii informatizate trebuie s ia n considerare, de asemenea, urmtoarele aspecte:
- aplicarea metodelor, tehnicilor i instrumentelor de auditare bazate pe / asistate de calculator;
- managementul auditului pe durata ciclului de via al auditului;
- proiectarea fluxurilor i a procedurilor de auditare specifice pentru ntregul ciclu de via al
auditului;
- proiectarea i standardizarea documentelor de lucru: machete, chestionare, liste de verificare;
- elaborarea instruciunilor metodologice i a ghidurilor tematice de bun practic pentru misiunile
de audit IT.
Structura documentului
Documentul este structurat dup cum urmeaz: un capitol introductiv, cinci capitole de fond, un glosar de
termeni, o list de referine bibliografice semnificative (care au constituit sursa principal de documentare)
i anexe.
n Capitolul 1 este prezentat contextul actual de desfurare a auditului IT, pe plan intern i internaional,
cu referire la mediul socio-economic i la guvernarea IT. Pentru conturarea contextului internaional i
intern, se face o trecere n revist a strategiilor i programelor privind Societatea Informaional i este
prezentat o descriere de ansamblu, sintetic a problemelor specifice asociate.
Acest capitol conine, de asemenea, o evaluare a cadrului legislativ i de reglementare n domeniul
Tehnologiilor Informaiei i Comunicaiilor (TIC) pe plan intern i internaional, precum i o evaluare a
stadiului actual privind cadrul legislativ i de reglementare referitor la auditul sistemelor informatice pe
plan intern i internaional. Sunt prezentate, ca abordri de referin, cadrul de auditare INTOSAI i liniile
de aciune ale EUROSAI-ITWG.
n raport cu constatrile acestor evaluri, sunt prezentate abordarea auditului IT n cadrul CCR i cadrul
de implementare specific.
Capitolul 2 este dedicat standardelor de audit IT / IS. Sunt prezentate aspectele principale privind
standardele de audit IT, din perspectiva evoluiilor n domeniul standardelor i liniilor directoare de audit,
confirmate de abordrile i reglementrile instituiilor supreme de audit i puse n eviden de
lucrrile celei de a 7-a ntlniri a EUROSAI IT Working Group (ITWG), care a avut loc la Istanbul, n
perioada 2122 februarie 2011.
Tot n Capitolul 2, sunt prezentate cele mai relevante instituii, reglementri i standarde n domeniul
auditului IT, sunt prezentate standardele INTOSAI care fac referire expres la auditul n medii
informatizate: Standardul INTOSAI GOV 9100 - Guidelines for Internal Control Standards for the Public
Sector, ISSAI 3000 - Implementarea liniilor directoare pentru auditul performanei - Anexa 5 (Auditul
Performanei i Tehnologia Informaiei) i liniile directoare ISSAI 5310 - Metodologia de revizuire a
sistemului de securitate a Informaiilor. n acest context, se face i o trecere n revist a componentelor
cadrului de lucru COBIT 5, care integreaz cadrul de lucru COBIT, cadrul de lucru Val IT i cadrul de
lucru Risk IT, din perspectiva schimbrii de abordare recomandat la ntlnirea de la Istanbul a grupului
de lucru EUROSAI ITWG. Pentru completitudine, n ceea ce privete auditul securitii sistemelor
informatice n manual a fost inclus o prezentare a standardului internaional ISO/CEI 27001, care
constituie un referenial pentru evaluarea tehnicilor de securitate implementate n sistemele de
management al securitii informaiei i este, de asemenea, agreat de INTOSAI.
Pag. 10 / 214
n Capitolul 3 este prezentat problematica asociat riscurilor generate de implementarea i utilizarea
sistemelor informatice, precum i impactul semnificativ al acestor sisteme att asupra afacerii, ct i
asupra riscului de audit. Din aceast perspectiv sunt detaliate urmtoarele subiecte: modelul de
management al riscurilor, cadrul de lucru Risk IT, riscurile generate de existena mediului informatizat
(dependena de IT, de resurse i cunotine IT, ncrederea n IT, schimbri n domeniul sistemelor IT / IS,
externalizarea serviciilor IT, focalizarea pe afacere, securitatea informaiei, protecia fizic a sistemelor
IT, operarea sistemelor IT, dezvoltri efectuate de utilizatori finali), precum i riscurile asociate furnizrii
serviciilor IT.
Prezentarea procedurilor de audit IT este detaliat n Capitolul 4. Sunt abordate urmtoarele subiecte:
1) problematica general caracteristic a auditului IT (domeniul de aplicare, documente de referin
(reglementri) aplicabile n domeniul auditului IS / IT, obiective generale i obiective specifice ale
auditului IT / IS, criterii de evaluare generice, determinarea naturii i volumului procedurilor de
audit, revizuirea controalelor IT n cadrul misiunilor de audit financiar;
2) etapele auditului sistemelor informatice (planificarea auditului, efectuarea auditului, raportarea i
revizuirea), evaluarea sistemelor informatice financiar-contabile;
3) cadrul procedural pentru evaluarea sistemului informatic (obinerea informaiilor de fond privind
sistemele IT ale entitii auditate (Procedurile A1 A7), evaluarea controalelor generale IT
(Procedurile B1 B8), evaluarea controalelor de aplicaie (Procedurile CA1 CA13);
4) evaluarea riscurilor asociate implementrii i utilizrii sistemului informatic;
5) elaborarea raportului de audit i valorificarea constatrilor consemnate n raport.
n Capitolul 5 se face o prezentare general a documentelor de lucru specifice auditului IT / IS. Acestea
vor fi prezentate pe larg n ghidul asociat acestui manual.
Pag. 11 / 214
Capitolul 1. Contextul de desfurare a auditului IT
pe plan intern i internaional
n acest capitol este prezentat o scurt descriere a contextului de desfurare a auditului IT, ca urmare a
extinderii tehnologiei informaiei n toate domeniile. Prezentarea subiectului se face dintr-o dubl
perspectiv:
Tehnologiile informaiei i comunicaiilor (ICT11) constituie i vor continua s reprezinte un factor motor
major al modernizrii n economie i n societate. Conform unui raport al Uniunii Europene 12, la nivelul
anului 2010, sectorul afacerilor din cadrul UE aloca mai mult de 20% din volumul investiiilor pentru
domeniul ICT, un volum de 60% din serviciile publice de baz sunt actualmente disponibile n manier
complet online, iar mai mult de jumtate dintre cetenii UE folosesc Internetul n mod constant.
Cadrul strategic european, respectiv Iniiativa i201013, a avut un numr de trei obiective majore:
(1) stabilirea unui spaiu al informaiei european, respectiv a unei piee unice reale pentru
economia digital, care s permit exploatarea deplin a potenialului economiilor anterioare
diverse i distincte, cu factori de scal neuniformi caracteristice pieei de consum europene de
cca 500 milioane de consumatori;
(2) intensificarea inovrii i investiiilor n cercetarea din domeniul ICT, impus de faptul c ICT
constituie motorul principal al economiei, i
(3) promovarea incluziunii sociale, a serviciilor publice i a calitii vieii, respectiv extinderea
valorilor europene de incluziune social i calitate a vieii ctre societatea informaional.
Potrivit evalurilor din raportul citat, Europa se situeaz printre lideri n ceea ce privete dezvoltarea
economiei digitale. Piaa (segmentul tehnologic) de band larg european, dispunnd de 90 milioane de
linii, are mai muli abonai dect oricare alt regiune economic, iar jumtate dintre cetenii europeni
utilizeaz Internetul n mod regulat. Cu toate acestea, trebuie avut n vedere c, pe de o parte, diferenele
dintre statele membre sunt semnificative, iar, pe de alt parte, instituiile europene au nivele de investiii
sub cele ale altor regiuni industrializate, fiind confruntate i cu o competiie accentuat din partea Chinei i
Indiei. Din aceste motive, cadrul de politici furnizat de programul i2010 a fost necesar i i-a dovedit
utilitatea mai mult dect oricnd, n aceast perioad.
Dezvoltarea accentuat a ICT i exploatarea coninutului digital n domeniile de interes public cum ar fi
sntatea, incluziunea, motenirea cultural, sectorul de informaii publice, nvmntul, administraia
public sau eficiena energetic presupun i reclam politici mult mai proactive. Obstacolele majore
11 Acronimul folosit n lucrare este cel uzual din literatura de specialitate internaional (ICT - Information and Communication
Technologies)
12 The Information and Communications Technologies (ICT) Policy Support Programme (ICT PSP), http://ec.europa.eu/ict-psp
13 Vezi http://ec.europa.eu/information_society/eeurope/i2010
Pag. 12 / 214
pentru o utilizare mai bun i pe o scar mai larg a ICT n astfel de domenii includ, ntre altele, lipsa
(indisponibilitatea) serviciilor bazate pe ICT, lipsa de interoperabilitate a soluiilor pe ansamblul statelor
membre, precum i fragmentarea de pia a spaiului de informaie i a soluiilor bazate pe ICT.
Din acest motiv, pe lng strategia general, UE a pus n oper i o serie de programe dedicate (cum ar fi
programul ICT PSP) care susin depirea obstacolelor menionate i concur la realizarea unei societi
informaionale pentru toi, i, implicit, la realizarea obiectivelor strategiei i2010. O direcie de aciune
important n acest sens o reprezint dezvoltarea de piee pentru soluii inovative bazate pe ICT i pentru
coninut digital, n principal n domenii de interes public.
Contextul european nou creat, bazat pe ICT, trebuie s constituie un mediu sigur de lucru pentru
administraia public european i din statele membre, precum i pentru informarea cetenilor i a
mediului de afaceri. Din acest motiv, o cerin de o importan vital pentru Romnia este aceea de a
asigura auditarea sistemelor informatice ale tuturor instituiilor publice, care vor furniza informaii
pentru platforma european e-guvernare n concordan cu obiectivele, standardele de jure sau de facto
i cu bunele practici ale instituiilor supreme de audit i ale instituiilor profesionale recunoscute14, pentru a
asigura punerea la dispoziie a unor informaii de ncredere, n timp real, conforme cu criteriile impuse
informaiei.
Pentru a crea premisele favorabile trecerii la Societatea Informaional, Uniunea European a elaborat
nc din anul 1993 o serie de decizii strategice i programe specifice. Cel mai reprezentativ document
strategic este eEurope O Societate Informaional pentru toi, adoptat n anul 1999, prin care se
propune accelerarea implementrii tehnologiilor digitale n Europa i asigurarea competenelor necesare
pentru utilizarea acestora pe scar larg. Aceast iniiativ, continuat cu programul eEurope+, are un rol
central n agenda rennoirii economico-sociale pe care i-o propune Uniunea European, constituind un
element cheie pentru procesul de tranziie la noua economie bazat pe cunoatere, precum i la o
economie bazat pe servicii publice electronice integrate ntr-un mediu implementat pe o infrastructur
informaional sigur, avnd ca perspectiv anul 2010.
Politica Uniunii Europene n domeniul societii informaionale are urmtoarele componente principale:
politica n domeniul telecomunicaiilor,
sprijinul pentru dezvoltarea tehnologiilor informaiei i comunicaiilor,
contribuia la crearea condiiilor necesare asigurrii competitivitii industriei comunitare,
dezvoltarea reelelor transeuropene (TEN) n sectoarele: transport, energie i telecomunicaii.
De interes pentru obiectivele manualului de fa sunt i alte documente i aciuni care au marcat evoluiile
n domeniu, inclusiv n ceea ce privete situaia din Romnia.
1. Romnia s-a aliniat la programul comunitar Interchange of Data between Administrations (IDA), ale
crui linii de aciune pun accentul pe:
- Implementarea sistemelor de tip e-guvernare;
- Definirea de politici europene cu privire la informaia digital;
- Realizarea unui portal european pentru informaii i servicii;
- Trasarea liniilor directoare de organizare i cutare a informaiilor publice din UE, referitoare la
cadrul legislativ i de reglementare;
- Realizarea de cercetri de pia pentru servicii electronice destinate IMM-urilor;
- Promovarea schimbului de experien cu privire la cele mai bune practici de servicii electronice
pe plan internaional.
Pag. 14 / 214
1.1.2 Stadiul Societii Informaionale n Romnia
Integrarea planurilor i programelor asociate ITC din Romnia cu planurile de aciuni pentru Societatea
Informaional adoptate la nivel european (i2010, eTen, IDA), precum i cu programele desfurate n
continuarea acestora, a constituit un pas important pentru accelerarea implementrii structurilor de baz
ale societii informaionale n Romnia.
Principalele obiective care decurg din planurile de aciuni ale UE, n scopul asigurrii interconectrii cu
administraiile europene, sunt:
a) Accelerarea implementrii structurilor de baz ale Societii Informaionale;
b) Informatizarea administraiilor publice i interconectarea cu administraiile publice din statele
membre ale Uniunii Europene, pe o infrastructur comun;
c) Servicii pentru clieni i oportuniti pentru perfecionarea administraiei;
d) Asigurarea securitii reelelor informaionale i a aplicaiilor software.
n acest context, prin Legea nr. 436 / 2006 a fost ratificat Memorandumul de nelegere ntre Romnia i
Comisia European privind participarea Romniei la programul comunitar pentru asigurarea
interoperabilitii serviciilor pan-europene de e-guvernare pentru administraiile publice, mediul de afaceri
i ceteni (IDABC), semnat la Bucureti la 20 martie 2006, i s-a trecut la operarea, prin intermediul
Ministerului Comunicaiilor i Societii Informaionale, a unei puni (gateway) naionale care permite
instituiilor din Romnia accesul la sistemele europene conectate n reea.
In Romnia, premisele de extindere a contextului digital au fost create prin nfiinarea Sistemului
Electronic Naional (SEN), ca sistem informatic de utilitate public, n scopul asigurrii accesului la
informaii publice i furnizrii de servicii publice ctre persoane fizice i juridice15.
Ministerul Comunicaiilor i Societii Informaionale, ca autoritate de specialitate a administraiei publice
centrale n domeniul comunicaiilor i tehnologiei informaiei a elaborat o serie de documente cu caracter
strategic precum:
Strategia Guvernului Romniei de stimulare i susinere a dezvoltrii sectorului de comunicaii n
perioada 2002-2012;
Economia bazat pe cunoatere;
Strategia Guvernului Romniei pentru dezvoltarea sectorului tehnologiei informaiei;
Strategia de Dezvoltare Durabil a Romniei ORIZONT 2025;
Strategia Naional de Export.
Promovarea i aplicarea Strategiei de Dezvoltare Durabil a Romniei ORIZONT - 2025 va avea ca
rezultat asigurarea accesului rapid i ieftin la Internet, dezvoltarea unor sisteme inteligente de transport,
continuarea procesului de securizare a reelelor, combaterea fraudelor n domeniul tehnologiei informaiei
i comunicaiilor, precum i promovarea cardurilor inteligente. Se urmrete ca pn n anul 2025 fiecare
cetean s aib acces la serviciile de comunicaii.
Documentele strategice la nivel naional urmresc consolidarea i aplicarea n Romnia a politicilor de
coeziune social i economic i a celor de dezvoltare regional, cu adaptarea corespunztoare a
acestora la politicile europene i la strategia adoptat la Lisabona16.
n acest cadru, Programul Operaional Sectorial Creterea competitivitii economice (POS CCE) lansat n
anul 200617, rspunde, pe de o parte, primei prioriti a Planului Naional de Dezvoltare 2007 - 2013:
15 Titlul II din Legea nr. 161 din 19 aprilie 2003 privind transparena n administrarea informaiilor i serviciilor publice prin
mijloace electronice
16 The fourth European Ministerial e-Government Conference in Lisbon, 20 September 2007
Pag. 15 / 214
Creterea competitivitii economice i dezvoltarea economiei bazate pe cunoatere i, pe de alt parte,
celei de-a doua prioriti a Cadrului Strategic Naional de Referin, respectiv Creterea competitivitii
economice pe termen lung, contribuind n acelai timp i la implementarea tuturor celorlalte prioriti ale
Cadrului Strategic Naional de Referin.
Domeniile majore de intervenie care fac obiectul programului POS CCE sunt:
Susinerea utilizrii tehnologiei informaiei
Dezvoltarea i creterea eficienei serviciilor publice electronice
Dezvoltarea e-economiei
Corelnd domeniile Societii Informaionale din Uniunea European cu cele existente n Romnia, au
fost identificate urmtoarele arii de interes: eGovernment (e-guvernare); Internet&Broadband (Internet i
Band larg); Telecommunications&IT Security (Telecomunicaii i Securitate IT); eEducation
(e-educaie); eInclusion (e-incluziune social); eCommerce (Comer electronic); eHealth (e-sntate);
e-Business (servicii electronice pentru afaceri); Work, Employment&Skills (Fora de munc).
Ca membru al UE, dezvoltarea Romniei urmrete convergena cu politicile comunitare, att n termeni
reali ct i ca valori absolute.
1.2 Guvernarea IT
Liniile definitorii ale celei de-a doua perspective de analiz, anume elementele de natur tehnic i
practic de importan esenial, pornesc de la premisa c investiiile n domeniul IT, n medii aflate ntr-o
schimbare extrem de rapid, nu se mai rezum exclusiv la implementarea tehnologiei ca atare, obiectivul
unor astfel de investiii fiind acela de a asigura obinerea de valoare din schimbrile induse n activitatea
propriu-zis (afacerea) i din schimbrile de natur organizaional facilitate de IT. n acest sens, se
constat c exist o nelegere din ce n ce mai larg acceptat a faptului c informaia constituie un bun
strategic al afacerii iar IT a devenit un factor cu o contribuie important la succesul acesteia.
O definiie bazat pe bune practici a guvernrii IT, ca parte a guvernrii corporaiei (ntreprinderii) se
poate formula astfel: guvernarea IT este responsabilitatea managementului executiv i a comitetelor de
direcie i const n actul de asumare a conducerii, precum i n procese i structuri organizaionale care
asigur c funcia IT a entitii susine i extinde strategiile i obiectivele acesteia18.
n mod concret, definiia prezentat situeaz guvernarea IT ca o component integral a guvernrii
ntreprinderii (afacerii) i nu ca pe o disciplin izolat.
n ceea ce privete livrabilele n plan practic, guvernarea IT urmrete dou categorii de rezultate:
livrarea de valoare pentru afacere i atenuarea (anihilarea) riscurilor IT. n acest sens, guvernarea IT se
focalizeaz pe cinci zone principale: alinierea strategic, livrarea de valoare, managementul riscurilor,
managementul resurselor, msurarea performanei.
Guvernarea IT funcioneaz ca un proces continuu, ca o parte integrant a guvernrii ntreprinderii i se
focalizeaz pe obiectivele strategice.
Cadrul de lucru COBIT19, pentru guvernare IT, constituie un cadru de lucru cu potenial ridicat de auditare
intern i extern, larg acceptat pe plan internaional, inclusiv de INTOSAI i de organismele UE i are
deopotriv valene de suport pentru managementul entitii i de cadru de auditare a guvernrii IT.
17
POS CCE - unul dintre cele apte programe operaionale sectoriale care constituie instrumente pentru realizarea prioritilor
trasate prin Cadrul Strategic Naional de Referin (CSNR) i prin Planul Naional de Dezvoltare (PND) pentru perioada 2007
2013
18 Unlocking Value. An executive Primer on the Critical Role of IT Governance, 2008, www.itgi.org
19 Vezi www.itgi.org
Pag. 16 / 214
1.3 Cadrul legislativ i de reglementare n domeniul IT
Cadrul legislativ i de reglementare n domeniul IT la nivel internaional prescrie msuri care nu sunt
ntotdeauna similare i difer n funcie de regiunea socio-cultural, sociologic, precum i de factorii
tehnici i tehnologici care stau la baza problemelor pe care le trateaz. Dei aceste reglementri joac un
rol important n modernizarea sistemului de conformitate IT / IS20, ele devin dificil de generalizat n
contextul globalizrii. Globalizarea aduce noi provocri pentru informaie, care este expus unor cerine
multiple de reglementare generate de diversitatea situaiilor i a surselor din care provine aceast
informaie. Unele dintre ele decurg din contextul istoric, altele din dinamica schimbrii pieei, tehnologiei
sau legislaiei, iar magnitudinea riscurilor nu poate fi anticipat pentru fiecare caz n parte.
Legislaia care reglementeaz domeniul ICT pe plan internaional, prezint o serie de trsturi comune,
referitoare la problematica general, cadrul legislativ incluznd o serie de acte normative privind:
securitatea reelelor, semntura electronic, comerul electronic, achiziiile publice prin licitaii electronice,
ncasarea prin mijloace electronice a impozitelor i taxelor locale, avizarea instrumentelor de plat cu
acces la distan (de tipul aplicaiilor Internet-banking, home-banking sau mobile-banking), protecia
persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date.
Aceste acte normative sau reglementri, dup caz, constituie refereniale n auditul IT, n ceea ce privete
conformitatea cu legislaia, avnd n vedere c domeniul auditului este, n acest caz, domeniul IT.
In ceea ce privete legislaia din Romnia, aceasta este armonizat cu legislaia european, ca efect al
calitii de stat membru, desfurnd aciuni de anvergur impuse prin, i convergente cu directivele
Parlamentului European21 referitoare la stabilirea unui cadru comunitar privind aspectele eseniale ale
serviciilor societii informaionale.
Dezvoltarea portalului e-guvernare n cadrul Sistemului Electronic National (SEN), conceput ca punct de
acces unic la serviciile i informaiile instituiilor administraiei centrale i locale, a oferit suportul pentru
lansarea i extinderea livrrii de servicii electronice ctre administraie, mediul de afaceri i ceteni i
asigur c toate procedurile i formalitile cu privire la accesul la o activitate de servicii vor putea fi
ndeplinite cu uurin, de la distan, i prin mijloace electronice, indiferent de statul membru de origine al
furnizorului de servicii.
Operaionalizarea punctului de contact unic (PCU) electronic n cadrul portalului e-guvernare impune
obligativitatea auditrii tuturor serviciilor electronice care vor fi furnizate prin intermediul procedurilor
electronice, pentru a oferi asigurarea cu privire la performana acestor servicii n contextul operrii pe
platforma pan-european.
Realizarea unui cadru de lucru pentru interoperabilitatea administraiilor din statele membre reprezint un
demers dificil, condiionat i generat de diversitatea tipurilor de organizare a administraiilor publice, de
numrul mare al prilor implicate, de varietatea cadrului legislativ, de condiiile economice diferite, de
nivelul tehnologic diferit.
Romnia s-a aliniat n anul 1995 la primul program comunitar, IDA (Interchange of Data between
Administrations) prin care s-au creat premisele dezvoltrii unei infrastructuri comune care s constituie
suportul pentru un cadru de interoperabilitate european.
Programul comunitar eTEN, la care Romnia de asemenea a participat, a fost lansat n scopul extinderii
serviciilor electronice (e-services) la dimensiune trans-european i a avut ca obiectiv prioritar
promovarea serviciilor de interes public pe o platform comun care s creeze oricrui cetean, agent
20 IS Information Systems
21 Anexa 1
Pag. 17 / 214
economic sau administraie, oportunitatea de a profita de beneficiile societii informaionale la nivel
european.
Programul IDABC (Interoperable Delivery of pan-European eGovernment services to public Adminis-
trations, Businesses and Citizens)22 reunete eforturile administraiilor publice din cele 27 state membre
pentru a susine dezvoltarea unor noi servicii electronice (emergente) care s susin implementarea
eficient a politicilor UE i dezvoltarea pieei interne.
Aprobarea Strategiei naionale "e-Romnia" (HG nr. 195/2010) a creat premisele constituirii sistemului
informaional global al Romniei, prin interconectarea instituiilor statului printr-o reea de fibr optic de
mare vitez, preconizndu-se ca ntr-un interval de doi ani s fie incluse n aceast platform toate
instituiile statului.
e-Romnia constituie o o strategie asumat de Guvernul Romniei, care i-a propus realizarea a 300 de
servicii electronice operaionale pn la sfritul anului 2011, precum i interconectarea i informatizarea
complet a tuturor instituiilor publice, astfel nct accesul la serviciile publice s fie direct i nelimitat.
Dintre cele mai semnificative componente prevzute n hotrrea de guvern, menionm: e-Cetean,
e-Sntate, e-Educaie, e-Justiie, e-IMM, e-Asociere, e-Turism, e-Funcionari publici, e-Mediu, e-Cultur,
e-Transport, e-Statistic.
Semnalm, ca fiind de interes major pentru CCR, c n lipsa unui cadru standard de interoperabilitate i a
unei arhitecturi coerente, formulate ntr-o viziune sistemic, strategia eRomnia este supus unui risc
major de eec. Misiunile de audit subsecvente ale CCR trebuie s aib n vedere factorii de risc care
decurg din: finanrile substaniale, probabilitatea mare de duplicare a aplicaiilor i sistemelor, timpul de
implementare a proiectelor, maniera de administrare a proiectelor i de implementare a soluiilor,
stabilirea politicilor de migrare pentru proiectele eterogene existente.
22
http://europa.eu.int/idabc
Pag. 18 / 214
necesitatea unui salt natural, calitativ superior ctre abordrile dirijate de infrastructurile specifice
tehnologiilor informaiei i comunicaiilor (ITC) i de aplicaiile i sistemele aferente.
De un real interes sunt i notele caracteristice ale acestei evoluii:
- focalizarea pe impactul de transformare pe care ICT l are asupra auditului extern;
- extinderea conceptului de audit al guvernrii tehnologiei informaiei ctre conceptul de audit al
sistemelor de tip e-guvernare, dictat de generalizarea guvernrii electronice.
Eforturile de armonizare n cadrul evoluiilor actuale se concentreaz cu precdere la nivelul unor
organizaii internaionale care au un rol deosebit de important n unificarea abordrilor, prin
standardizarea soluiilor, promovarea celor mai bune practici, politici, coduri de conduit i norme.
Cele mai importante instituii internaionale, care au rol determinant n reglementarea domeniului auditului
n general i al auditului IT n particular, sunt: INTOSAI (International Organization of Supreme Audit
Institutions), Consiliul pentru Standarde Internaionale de Audit i Asigurare IAASB (International Audit
and Assurance Standard Board)23 din cadrul Federaiei Internaionale a Contabililor IFAC (International
Federation of Accountants)24, Institutul Auditorilor Interni (The Institute of Internal Auditors - IIA), COSO
(Committee of Sponsoring Organizations of the Treadway Commission), ISACA (Information Systems
Audit and Control Association).
Instituiile supreme de audit (SAI) sunt afiliate la organizaia profesional INTOSAI i, implicit, la grupurile
regionale ale acesteia. Cadrul de reglementare al SAI se armonizeaz cu prevederile cadrului INTOSAI
dar conine i prevederi specifice, potrivit principiului independenei promovat de INTOSAI.
O constatare important n ceea ce privete legislaia care reglementeaz activitatea instituiilor supreme
de audit, rezultat n urma investigrii site-urilor web publicate de aceste instituii pe Internet, este faptul
c aceasta nu conine prevederi explicite privind auditul IT.
Cu toate acestea, majoritatea SAI (cu excepia celor din ri mai puin avansate n domeniu), desfoar
misiuni de audit IT n cadrul unor structuri specializate. Aceast constatare a rezultat dintr-o analiz
statistic asupra informaiilor furnizate de 45 de SAI selectate pe baza criteriului grad de maturitate a
auditului IT reflectat n prezentarea domeniului auditului IT. Cadrul de reglementare este armonizat cu
cadrul INTOSAI.
Cea mai important constatare care se degaj din investigarea documentelor de referin n domeniul
auditului IT (publicate de INTOSAI, EUROSAI sau pe site-urile web ale SAI-urilor) este aceea c, n
prezent, la nivel internaional exist o preocupare continu pentru dezvoltarea unui cadru metodologic i
procedural coerent care s se impun ca standard de auditare a sistemelor informatice, ncepnd cu
aplicaiile individualizate i ajungnd la sisteme pe scar larg, de tip e-guvernare i servicii electronice.
Experienele actuale se bazeaz, n general, pe standarde i linii directoare i, n cazul unor SAI-uri cu un
nivel mai sczut de dezvoltare, pe utilizri ad-hoc ale unor tehnologii tradiionale care rspund ns numai
parial problemelor ridicate de desfurarea unui audit IT.
Cu toate c la nivelul SAI-urilor auditul sistemelor informatice se face, n general, ntr-o manier
unidimensional, fiind focalizat numai pe faete particulare ale sistemelor respective, la nivelul INTOSAI
se promoveaz n prezent abordarea auditului IT / IS ca proces integrat, particularitile domeniului
23 IAASB a fost nfiinat pentru a dezvolta i emite standarde i declaraii privind auditul, asigurarea i serviciile conexe n
numele Consiliului IFAC
24 IFAC a fost nfiinat ca urmare a iniiativelor formulate n 1973 i aprobate n mod formal n cadrul Congresului internaional
3) The performance audit of the implementation and usage of the Computer Assisted Education
System (CAES, 2004), www.intosaiit.org
In viziunea INTOSAI29, cadrul conceptual de auditare are trei dimensiuni: obiectul auditului, tipurile
generale de audit i perspectiva temporal.
1. Obiectul auditului. Auditarea se poate focaliza pe unul sau pe mai multe dintre cele patru tipuri de
obiecte generice: program (colecie de proiecte), proiect, sistem informatic sau resurse informatice. Cele
trei nivele de controale asociate obiectelor generice sunt:
nivelul strategic: eficiena cu care este organizat, planificat, condus i controlat desfurarea
programelor;
nivelul operaional: derularea proiectelor
nivelul aplicaiilor: utilizarea unor sisteme informatice sau a unor resurse informatice existente sau
nou create.
27 www.eurosai.org
28 WGITA - Working Group for IT Audit
29 Prezentat n proiectul Auditing e-Government
Pag. 21 / 214
concurent: controlul aspectelor adiionale privind execuia bugetar care pot s apar pe
parcursul realizrii programelor i proiectelor;
post-implementare: aprobarea rapoartelor privind execuia bugetar i privind efectele
(rezultatele) programelor i proiectelor.
Viziunea tridimensional permite definirea unui spaiu de control n care fiecrui obiect de control i
corespunde un tip de audit i o perspectiv temporal, rezultnd o varietate de combinaii care genereaz
seturi de metode de audit asociate.
Metodele de audit pentru nivelele strategic, operaional i de aplicaie se pot mapa (suprapune) pe cadrul
de lucru COBIT.
Clasificarea tipurilor de audit n categorii separate are rolul de a contribui la o clarificare conceptual. n
practic, auditul programelor i proiectelor combin n mod tipic abordri ale auditului financiar, auditului
IT/IS i auditului performanei.
Aceast tendin de evoluie, confirmat i de experiena altor instituii supreme de audit, a fost
promovat n cadrul misiunilor de audit ale Curii de Conturi a Romniei desfurate n domeniul
sistemelor e-guvernare i al serviciilor electronice asociate.
Auditul tuturor aspectelor relevante ale programelor i proiectelor nu este posibil prin aplicarea metodelor
clasice. Sunt necesare noi metode, iar noile metode trebuie s acopere subiecte, cum ar fi:
calitatea sistemelor financiar-contabile ale organizaiilor care sunt responsabile cu organizarea i
derularea programelor din domeniul IT/IS sau e-guvernare;
conformitatea proiectelor cu standarde funcionale referitoare la managementul investiiilor 30;
conformitatea cu standarde pentru implementarea i utilizarea tehnologiei informaiei (COBIT);
existena sistemelor de control al calitii certificate pentru fiecare stadiu al realizrii proiectului.
n raport cu stadiul actual, CCR trebuie s aib n vedere impactul pe care l va avea trecerea la
economia bazat pe cunoatere asupra auditului extern i modificrile calitative de substan n
abordarea auditului extern pe care aceast tranziie le antreneaz, prin generalizarea implementrii i
utilizrii serviciilor electronice pentru ntreaga administraie public.
n consecin, aa cum s-a menionat, aceste cerine i linii de dezvoltare vor genera cerine i obiective
corespunztoare i pentru auditul sistemelor IT i, n mod deosebit, pentru auditul sistemelor, serviciilor i
aplicaiilor informatice care urmeaz a face obiectul misiunilor de audit ale CCR pe termen lung.
n aceeai ordine de idei, se va nregistra un efect practic important i n ceea ce privete auditul
financiar: pentru a putea evalua procedurile financiar-contabile care vor fi informatizate pe scar larg,
auditorul financiar trebuie s aib, la rndul su, cunotine de tehnologia informaiei i va desfura,
implicit, pn la un anumit nivel, i auditarea de sisteme informatice. Acest lucru este confirmat i prin
experiena celor mai avansate instituii supreme de audit din lume, din care rezult implicarea pe scar
larg a auditorilor financiari n testarea procedurilor informatice financiar-contabile. n funcie de nivelul de
pregtire al auditorilor financiari, se pot utiliza experi IT numai pentru auditarea unor aspecte strict spe-
cializate i care necesit cunotine care depesc nivelul stabilit n cadrul instituiei. Instituia Suprem
de Audit Extern din Marea Britanie - UK National Audit Office (NAO - UK) constituie un exemplu de
referin. Curtea de Conturi a Romniei a colaborat cu experii NAO n cadrul Conveniei de Twinning i a
organizat misiuni de audit pilot.
n cadrul EUROSAI IT Working Group31 exist preocupri susinute pentru extinderea cadrului de regle-
mentare i definirea abordrilor optimale n cadrul instituiilor de audit europene. Grupul special de lucru,
EUROSAI IT Working Group, care funcioneaz n cadrul organizaiei EUROSAI are ca sarcin pre-
zentarea unui punct de vedere comun asupra subiectului n discuie.
Prezentm n continuare o sintez a constatrilor i propunerilor grupului EUROSAI IT WG referitoare la
auditul n medii informatizate. Ipoteza de lucru este aceea a unei perspective duale, anume c, lund n
considerare capacitatea de "invadare" (de ptrundere n for i de diseminare) a serviciilor electronice, se
impune n mod natural ca atenia special acordat IT/IS i problematicii asociate, precum i utilizarea IT/
IS s devin o parte integral a tuturor auditrilor, precum i a funcionrii tuturor instituiilor de auditare.
Acceptnd aceast ipotez, concluzia lucrrii de fa este aceea c auditarea n condiiile prezenei siste-
melor informatice, i, n egal msur, auditarea sistemelor informatice ca atare reprezint nici mai mult,
nici mai puin dect o auditare normal care ia act ns n mod special de problematica asociat
tehnologiei informaiei.
Dup aprecierea grupului de lucru EUROSAI IT WG, problema real cu care se confrunt domeniul
(comunitatea profesional), inclusiv i n mod deosebit n Romnia, dup aprecierea noastr, este aceea
de a induce contientizarea i de a dezvolta instrumentele corespunztoare pentru ca universul tehno-
logiilor informaiei i universul auditrii (n sensul clasic) s devin din ce n ce mai accesibile actorilor
implicai (manageri sau auditori).
n acest sens, grupul de lucru EUROSAI IT WG i-a propus s se focalizeze pe urmtoarele linii de
aciune principale, pe care le reinem ca fiind relevante i pentru situaia i evoluiile n planul auditrii din
Romnia:
a) auditarea furnizrii de servicii de tip e-guvernare, e-licitaie, e-administraie i altele;
b) auditarea investiiilor guvernamentale n resurse hardware, software i umane relative la
promovarea i utilizarea eficient a tehnologiilor informaiei;
c) dezvoltarea capabilitii instituiilor supreme de audit de a-i atinge obiectivele strategice prin
utilizarea n mod adecvat a tehnologiilor informaiei (de exemplu, relativ la managementul
intern: realizarea de auditri cu efecte mult mai eficiente i dezvoltarea abilitilor necesare
ale personalului).
Cei douzeci de ani de existen ai EUROSAI au nsemnat acumulri la nivelul fiecrei instituii supreme
de audit, capitalizarea experienelor i diseminarea celor mai reprezentative rezultate pentru a fi
valorificate de aceast comunitate profesional fiind transformate n exemple de bune practici. Utilizarea
EUROSAI ca spaiu de discuie pentru SAI-uri a contribuit la armonizarea i convergena abordrilor n
auditul fondurilor publice, avnd aceeai int, indiferent de particularitile naionale: o bun guvernare i
satisfacerea nevoilor sociale.
Documente de referin recomandate de EUROSAI - ITWG pentru auditul IT / IS
Documentele de referin recomandate i furnizate de EUROSAI - ITWG pe site-ul web www.eurosai.org
pentru desurarea auditului IT / IS sunt urmtoarele:
Cobit, 4th Edition: Control Objectives, Management Guidelines, Maturity Models (2005)
Security Baseline (Background document, IT Governance Institute)
The Val IT Framework
1. Abordarea auditului n concordan cu evoluiile i tendinele internaionale de vrf, astfel nct Curtea
de Conturi a Romniei, ca instituie suprem de audit, s funcioneze n armonie cu cerinele standardelor
profesionale ale Organizaiei Internaionale a Instituiilor Supreme de Audit (INTOSAI), precum i cu Liniile
Directoare Europene de implementare a acestora.
Armonizarea abordrilor CCR cu tendinele strategice stabilite la nivelul INTOSAI, precum i stabilirea
direciilor strategice n domeniul auditului n cadrul Curii de Conturi a Romniei s-au realizat pe baza unei
documentri permanente asupra rezultatelor i abordrilor raportate pe plan intern i internaional de
ctre instituii supreme de audit de prestigiu.
2. Standardizarea auditului. n viziunea CCR, prin standardizarea ntregului flux al auditului, cea mai mare
parte a auditului devine riguros reglementat, fiind astfel evitate ntoarceri sau repetri ale unor proceduri
de audit sau teste de control. n plus, acest cadru de lucru asigur utilizarea resursele disponibile cu
eficien crescut.
Elaborarea i utilizarea unui model standardizat propriu Curii de Conturi pentru misiunile de audit, pe
baza cerinelor standardelor internaionale de audit acceptate: INTOSAI (Cadrul de auditare INTOSAI),
ISA (International Standards for Audit), ISACA (Information Systems Audit and Control Association) i ale
cadrului de lucru COBIT (Control Objectives for Information and Related Technology), va asigura stan-
dardizarea activitilor, procedurilor i documentelor de lucru pe ntregul flux al auditului acoperind practic
toate etapele specifice: formularea obiectivelor, proiectarea procedurilor de audit, selecia tehnicilor i
metodelor de audit, elaborarea documentelor de lucru, formularea concluziilor, constatrilor i reco-
mandrilor, elaborarea raportului de audit.
32 Extras din Strategia dezvoltrii instituionale a Curii de Conturi a Romniei pentru perioada 2010-2014
Pag. 24 / 214
Acest model se va baza, n mod inerent, pe tehnici avansate de audit i presupune automatizarea
procedurilor i utilizarea de documente electronice, evoluii care n prezent se extind considerabil.
3. Creterea calitii misiunilor de control i audit public extern, n vederea obinerii i furnizrii de
informaii reale i obiective privind legalitatea, eficiena i transparena utilizrii fondurilor publice i a celor
reprezentnd finanri externe, prin urmrirea respectrii disciplinei financiare, potrivit principiilor bunei
gestiuni financiare i prin eliminarea erorilor i neregularitilor i perfecionarea gestionrii banului public.
4. Desfurarea activitii de control i audit public extern n mod autonom, prin proceduri de control
financiar ulterior i audit public extern prevzute n Regulamentul privind organizarea i desfurarea
activitilor specifice ale Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti, pe
baza standardelor proprii de audit elaborate n conformitate cu standardele de audit internaionale.
5. Creterea responsabilitii entitilor verificate n utilizarea i administrarea fondurilor publice, inclusiv a
fondurilor alocate Romniei de Uniunea European i de ctre alte instituii financiare internaionale va fi
determinat de asemenea ca urmare a aciunilor de control i audit desfurate de CCR.
6. Extinderea utilizrii tehnologiilor moderne de audit n scopul susinerii eficiente a rolului Curii de
Conturi a Romniei n detectarea fraudelor i prevenirea corupiei: audit online, audit continuu, e-audit,
audit asistat de calculator.
Menionm c utilizarea tehnologiilor moderne antreneaz, de asemenea, o serie de efecte colaterale
favorabile n ceea ce privete economisirea resurselor (de timp, spaiu, cheltuieli materiale cu logistica) i
n prevenirea risipei de resurse aferente verificrilor, prin utilizarea unui personal cu competene de spe-
cialitate de nivel nalt, precum i prin standardizarea i automatizarea procedurilor bazate pe utilizarea
documentelor de lucru electronice.
7. Extinderea cooperrii n cadrul EUROSAI i exploatarea beneficiilor care decurg din aceast
cooperare.
Pentru nscrierea auditului public extern din Romnia pe linia bunelor practici europene i internaionale i
pentru consolidarea capacitii profesionale, considerm c ar fi oportun un schimb permanent de
experien cu instituii supreme de audit similare.
8. Extinderea activitii i amplificarea contribuiilor CCR n cadrul grupurilor de lucru ale EUROSAI, din
perspectiva noilor sale orientri strategice, care s reflecte afirmarea independenei, integritii, profesio-
nalismului i a unei conduceri puternice i competente.
Se are n vedere implicare CCR n audituri din domeniul de specialitate al Grupurilor de lucru inter-
naionale la ale cror lucrri Curtea de Conturi a Romniei particip, n calitate de membru. Curtea de
Conturi a Romniei face parte n prezent din dou grupuri de lucru din cadrul EUROSAI i particip la
aciunile organizate n acest context: grupul de lucru privind Tehnologia Informaiei (EUROSAI-IT Working
Group) i grupul de lucru privind auditul mediului (WGEA - Working Group of Environment Audit).
9. mbuntirea imaginii instituionale a Curii de Conturi, accentuarea percepiei publice pozitive.
Promovarea unei imagini moderne a Curii de Conturi, prin participarea cu contribuii la conferine,
seminarii, sesiuni de comunicri, simpozioane interne i internaionale i prezentarea unor rezultate de
vrf pe subiecte de mare actualitate referitoare la abordarea auditului n cadrul Curii de Conturi a
Romniei. Participarea activ la astfel de evenimente are ca rezultat subsidiar transmiterea unor idei i
experiene valoroase care contribuie la contientizarea publicului, la asigurarea unei mai bune nelegeri a
activitii i evoluiilor prezente i viitoare ale Curii de Conturi i la garantarea transparenei.
Considerm c formularea unei arhitecturi de auditare, precum i elaborarea unui model de management
al riscurilor generate de prezena i extinderea serviciilor electronice, adaptate la contextul Romniei, prin
maparea standardului COBIT pe standarde de audit financiar i de securitatea informaiei (IAS, COSO,
Pag. 25 / 214
Sarbanes Oxley, Basel II, ISO seria 27000) reprezint un demers necesar, chiar imperativ, n condiiile
impuse de contextul internaional. Aceast evoluie implic reingineria arhitecturilor de auditare, a cadrului
metodologic i procedural de auditare, schimbarea stilului de auditare prin alinierea la standardele
internaionale n domeniu.
n cadrul Curii de Conturi a Romniei, pentru auditul sistemelor bazate pe utilizarea tehnologiei
informaiei au fost promovate urmtoarele abordri:
Evaluarea sistemelor informatice n scopul furnizrii unei asigurri rezonabile privind
funcionarea acestora, necesar misiunilor de audit financiar sau de audit al
performanei la care este supus entitatea (de exemplu, auditurile IT desfurate n cadrul
misiunilor de audit financiar pentru ISPA, SAPARD, Fondul Naional de Preaderare, n
perioada 2004-2005 i pentru ANV n anul 2009);
Pag. 26 / 214
Auditul unor soluii informatice care contribuie la prevenirea i combaterea corupiei i
a evaziunii fiscale (de exemplu, Auditul performanei cadrului de interoperabilitate ntre
ANAF i ceilali deintori de date referitoare la bunurile i veniturile contribuabililor n vederea
recuperrii eficiente a debitelor restante i prevenirii i combaterii evaziunii fiscale, respectiv
asigurarea condiiilor pentru ncasarea integral i la timp a veniturilor la bugetul de stat
(2009); Cooperare n cadrul EUROSAI_IT Working Group la tema IT in auditing public
revenue fraud (2007-2008), Relevance of IT in auditing public revenue fraud);
n perspectiv, misiuni de audit mixte, soluii integrate ale celor trei tipuri de audit
(auditul financiar, auditul performanei i auditul IT/IS), acestea urmnd a se desfura n
cadrul unor misiuni comune, n funcie de obiectivele stabilite. Apreciem c astfel de misiuni
ar fi deosebit de utile pentru programe sau proiecte de valori extrem de mari, foarte
complexe, desfurate la nivel naional i cu impact foarte mare n plan economic i social,
cum ar fi Strategia eRomania.
Pag. 27 / 214
Capitolul 2. Standarde de audit IT
Cele mai importante instituii internaionale, care au rol determinant n reglementarea domeniului auditului
n general i al auditului IT n particular, sunt: INTOSAI (International Organization of Supreme Audit
Institutions), Consiliul pentru Standarde Internaionale de Audit i Asigurare IAASB (International Audit
and Assurance Standard Board)33 din cadrul Federaiei Internaionale a Contabililor IFAC (International
Federation of Accountants)34, Institutul Auditorilor Interni (The Institute of Internal Auditors - IIA), COSO
(Committee of Sponsoring Organizations of the Treadway Commission , ISACA (Information Systems
Audit and Control).
Instituiile supreme de audit (SAI) sunt afiliate la organizaia profesional INTOSAI i, implicit, la grupurile
regionale ale acesteia. Cadrul de reglementare al SAI se armonizeaz cu prevederile cadrului INTOSAI
dar conine i prevederi specifice, potrivit principiului independenei promovat de INTOSAI.
Profesia de auditor este reglementat de mai multe surse: legislaia naional, reglementrile i
standardele stabilite la nivel naional, standardele stabilite la nivel internaional, organisme profesionale,
precum ACCA35. Prin legislaie se stabilesc, de regul, drepturile i ndatoririle auditorilor, precum i
condiiile de eligibilitatea pentru profesia de auditor.
Misiunea Federaiei Internaionale a Contabililor (IFAC), aa cum este stabilit prin statutul su, este
dezvoltarea i mbuntirea la nivel mondial a profesiei contabile pe baz de standarde armonizate,
capabil s ofere servicii uniforme de o calitate ridicat n interesul public. Pentru realizarea misiunii sale,
Consiliul IFAC a nfiinat Comitetul pentru Etic al IFAC, pentru a elabora i publica, sub autoritatea sa,
standarde de o nalt calitate i alte materiale n sprijinul profesionitilor contabili din ntreaga lume.
Acionnd n interes public, un profesionist contabil ar trebui s respecte i s se conformeze prevederilor
Codului Etic. Unele jurisdicii pot avea cerine i ndrumri care difer de acest Cod. Profesionitii contabili
trebuie s cunoasc aceste diferene i s respecte cerinele i ndrumrile mai exigente, cu excepia
cazului n care acestea sunt interzise n baza unei legi sau a unei reglementri.
Msurile de protecie care pot elimina sau reduce la un nivel acceptabil acest gen de riscuri se mpart n
dou mari categorii: msuri de protecie create de profesie, legislaie sau de reglementare i msuri de
protecie aferente mediului de activitate.
Msurile de protecie create de profesie, legislaie sau reglementare includ, dar nu sunt limitate la:
cerine educaionale, de pregtire profesional i experien pentru accesul la profesie;
cerine de dezvoltare profesional continu;
reglementri de guvernare corporativ;
standarde profesionale;
proceduri disciplinare i de monitorizare profesional sau de reglementare;
revizuirea extern a rapoartelor, evalurilor, comunicatelor sau informaiilor ntocmite de un
profesionist contabil de ctre o ter parte mputernicit prin lege.
33 IAASB a fost nfiinat pentru a dezvolta i emite standarde i declaraii privind auditul, asigurarea i serviciile conexe n
numele Consiliului IFAC
34 IFAC a fost nfiinat ca urmare a iniiativelor formulate n 1973 i aprobate n mod formal n cadrul Congresului internaional
Standardele Internaionale ale INTOSAI (ISSAI) atest premisele de baz pentru buna funcionare i
conduita profesional a Instituiilor Supreme de Audit, precum i principiile fundamentale n domeniul
auditului entitilor publice.
Liniile directoare INTOSAI (INTOSAI GOV) ofer asisten autoritilor publice cu privire la administrarea
corect a fondurilor publice.
Dup cum am menionat n seciunea 1.4.1, pentru auditul IT / IS, la nivelul INTOSAI este adoptat ca
reprezentativ arhitectura de auditare ISACA37 i recomandat n consecin. Standardul INTOSAI GOV
9100 - Guidelines for Internal Control Standards for the Public Sector (pag 35) face trimitere expres la
cadrul de lucru i la documentaiile pentru audit IT/IS furnizate de ISACA, ITGI (COBIT) i INTOSAI IT
Audit Committee.
Eforturile de armonizare n cadrul evoluiilor actuale se concentreaz cu precdere la nivelul unor
organizaii internaionale care au un rol deosebit de important n unificarea abordrilor, prin standar-
dizarea soluiilor, promovarea celor mai bune practici, politici, coduri de conduit i norme.
Auditul performanei are ca obiect auditul eficienei, eficacitii i economicitii i are urmtoarele arii de audit:
(a) auditul economicitii activitilor administrative, n concordan cu principii i practici
administrative solide, precum i cu politicile managementului;
(b) auditul eficienei utilizrii resurselor umane, financiare i a altor resurse, inclusiv
examinarea sistemului informatic, al cadrului de msurare a performanei i de moni-
torizare i al procedurilor urmrite de entitile auditate pentru remedierea deficienelor
identificate;
(c) auditul eficacitii, n legtur cu atingerea obiectivelor entitii auditate, precum i
auditul impactului activitilor actuale comparat cu impactul previzionat.
Obiectivele globale ale auditului performanei variaz de la o ar la alta. Ele pot fi definite n legislaia de baz
sau pot fi obiectul unor decizii interne n cadrul SAI:
Obiectul concret al auditului performanei l pot constitui: bunurile, serviciile i alte rezultate, inclusiv
infrastructurile IT.
Calitatea serviciilor publice este un subiect deosebit de important, pe care membrii parlamentelor sau ai
guvernelor ateapt s fie abordat n rapoartele de audit al performanei ale SAI-urilor.
Anexa 538 la Standardul ISSAI 3000 trateaz aspectele legate de relaia dintre auditul performanei i
tehnologia informaiei.
Tehnologia informaiei (IT) este utilizat din ce n ce mai mult pentru planificarea, execuia i
monitorizarea programelor din sectorul public. Partajarea sau integrarea informaiilor ntre instituii ridic
probleme, cum ar fi riscurile de nclcare a securitii i manipulare neautorizat a informaiilor. Auditorii ar
trebui s fie contieni nu numai de utilizarea IT, acetia ar trebui s dezvolte, de asemenea, strategii i
tehnici pentru furnizarea de asigurare pentru prile interesate cu privire la valoarea pentru bani (value for
money) de la utilizarea de IT, la securitatea sistemelor, la existena controalelor proceselor corespun-
ztoare i la exhaustivitatea i acurateea rezultatelor.
Auditul performanei, se poate concentra, de asemenea, pe probleme cum ar fi planificarea, dezvoltarea
i ntreinerea sistemelor individuale IT.
n prezent, perspectiva este mai larg: sistemele IT sunt, n principal, vzute ca fiind componente
importante n toate programele guvernamentale (incluse n sistemul e-guvernare). Evoluia din aceast
perspectiv are consecine semnificative pentru auditul performanei n domeniul tehnologiei informaiei.
Sistemele IT pot fi un mecanism eficient i eficace de livrare a serviciilor susinute de programe guverna-
mentale complexe. Aceste sisteme au potenialul de a furniza serviciile existente la un cost redus i de a
oferi o gam de servicii suplimentare, inclusiv informaii privind performana programului, cu eficien,
securitate i control superioare celor disponibile n sistemele manuale.
Anexa 5 a Standardului ISSAI 3000 scoate n eviden o serie de aspecte importante pentru auditul
performanei ntr-un mediu IT, dar nu este destinat s nlocuiasc liniile directoare detaliate pe care
SAI-urile ar putea avea nevoie s le dezvolte n scopul de a evalua mediul IT al entitilor auditate.
Anexa 5 a Standardului ISSAI 3000 detaliaz modul n care se vor desfura aceste activiti pentru
ntreg ciclul de via al auditului.
Evoluiile semnificative din domeniul tehnologiilor informaiei i comunicaiilor au generat schimbri majore
n ceea ce privete cerinele sistemului de securitate a informaiei i o parte important a liniilor directoare
este perimat, iar problematica nou nu este acoperit. In consecin, versiunea Octombrie 1995 a liniilor
directoare ISSAI 5310 ar trebui s fie revizuit.
Problematica actual a securitii informaiei este acoperit n mod consistent att de standardele de
securitate din seria ISO/IEC 27000, ct i de cadrul de lucru COBIT. Abordarea bazat pe COBIT 5 care
este recomandat de EUROSAI-ITWG va oferi o soluie integrat pentru tratarea aspectelor privind
securitatea informaiilor i a sistemelor.
Standardele Internaionale de Audit ISA sunt elaborate, aprobate i emise de IAASB. Experii INTOSAI
particip n prezent la dezvoltarea standardelor ISA, care, n conformitate cu abordarea dual a INTOSAI,
sunt o parte integrat a liniilor directoare de audit financiar INTOSAI.
Subcomisia de audit financiar din cadrul PSC elaboreaz Notele Practice, cu scopul de a oferi orientri
relevante cu privire la aplicarea standardului ISA n auditul situaiilor financiare ale entitilor din sectorul
public, n plus fa de ceea ce este prevzut n prezent n ISA. Standardul ISA i notele practice aferente
constituie mpreun o linie directoare pentru audit financiar.
Acest lucru a fost aprobat de ctre INCOSAI n 2007, cnd Congresul a aprobat documentul cadru n
cazul n care se prevede c: "O linie directoare INTOSAI privind auditul financiar va consta ntr-un
standard ISA emis de IAASB, mpreun cu o not practic elaborat de INTOSAI subliniind, de
asemenea, modificrile, care trebuie s fie luate n considerare de auditul public.
In ceea ce privete standardele internaionale de audit ISA i declaraiile de practic IASP, aplicarea
acestora poate fi exemplificat prin utilizarea sau evaluarea urmtoarelor componente:
Ca reacie la eecurile cu efecte ulterioare considerabile ale unor misiuni de audit, precum acela din cazul
ENRON, profesia de auditor a devenit foarte bine reglementat.
Cazul ENRON a antrenat, pe lng falimentul companiei de audit Arthur Andersen, i aprobarea de ctre
Congresul american a legii U.S. Sarbanes-Oxley (SOX) Act. In seciunea 404 a acestui Act, se cere
managementului extinderea sistemului de control intern cu implementarea unor proceduri de validare i
de evaluare a controalelor privind procesele de raportare financiar, inclusiv n ceea ce privete
controalele IT.
Schimbrile necontrolate n mediul de producie pot conduce la deficiene serioase i la slbiciuni
semnificative. De aceea, o atenie deosebit trebuie acordat procesului de implementare a schimbrii
sistemului informatic care susine procesul de raportare pentru a asigura conformitatea cu SOX.
Pag. 32 din 214
Un proces eficace de management al schimbrii trebuie s fie documentat pentru a reduce efortul
continuu necesar pentru maparea, validarea i certificarea schimbrilor n procesul de raportare financiar
pentru a asigura conformitatea cu SOX.
Fondat n anul 1941, The IIA este o asociaie profesional, avnd un numr de peste 100.000 de
membri i reprezentane n mai mult de 100 de ri. Aceasta este o autoritate recunoscut ca principal
formator, leader n certificare, instruire, cercetare tiinific i ghidare tehnologic pentru profesia de
auditor pe plan mondial. n domeniul auditului IT, The IIA promoveaz cunotine specializate i suport
modern, n concordan cu tendinele i evoluiile pe plan mondial, contribuind la accelerarea extinderii i
adaptrii misiunilor de audit la cerinele impuse de existena unui mediu de audit informatizat pe scar
larg. Adaptarea auditurilor IT la cerinele de conformitate cu Sarbanes-Oxley (SOX) Act constituie un
exemplu relevant.
The IIA furnizeaz nu numai standarde, ci i numeroase resurse suplimentare pentru a asista auditorii:
ghiduri de implementare a celor mai bune practici, studii de caz i alte instrumente integrate n cadrul de
lucru IPPF (International Professional Practices Framework39) disponibil pe website.
n domeniul auditului IT/ IS, liniile directoare de audit GTAG (Global Technology Audit Guidelines)
abordeaz probleme legate de managementul tehnologiei informaiei, control i securitatea informaiei.
Seria GTAG constituie o resurs pentru auditori, trateaz riscurile asociate diferitelor tehnologii i
recomand practicile pentru reducerea impactului acestora.
Reglementri internaionale
Ca organizaii semnificative n domeniul reglementrilor i ghidurilor (liniilor directoare) acioneaz, n
acest moment, urmtorii actori:
IFAC / ISA
IFAC a publicat, n anul 2010, dou manuale referitoare, respectiv, la setul de standarde ISA (Handbook
of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronoun-
cements) i la codul de etic (Handbook of the Code of Ethics for Professional Accountants).
INTOSAI / ISSAI
De la primul ghid de audit al performanei (anul 2004), setul de linii directoare ISSAI a evoluat, la nivelul
anului 2010, pe cele trei componente:
a. Linii directoare privind Auditul performanei (seria 3000 3999: ISSAI 3000 2004; ISSAI 3100
aprobat 2010);
b. Linii directoare privind Auditul conformitii (seria 4000 4999: ISSAI 4000, 4100 i 4200, toate
aprobate n anul 2010);
c. Linii directoare privind Peer Reviews (evaluarea performanei de ctre ali factori cu experien n
domeniu) (seria 5600 5699: ISSAI 5600, aprobat 2010).
Pag. 34 din 214
In ceea ce privete stadiul actual al colaborrii ntre ITWG i WGITA 41 n domeniul standardelor, ca surse
de cunoatere i facilitatori de schimb de informaii, sunt disponibile diverse canale, cum ar fi: publicaii,
rapoarte, ghiduri, standarde i baze de date. n plus, Liniile directoare ale INTOSAI referitoare la
Comunicare i Orientare sunt acum disponibile (versiunea iulie 2010, n limbile englez i german). Se
preconizeaz ca instrumentele de comunicare s fie utilizate i consultate.
Se ateapt mbuntiri i cu privire la instrumentul de colaborare INTOSAI Colaboratin Tool (cu 67 de
grupuri de lucru i 630 de utilizatori), care este n prezent neutilizat.
Aa cum am menionat, liniile directoare INTOSAI, ISSAI 5310 "Metodologia de revizuire a Sistemului de
securitate a Informaiilor", versiunea Octombrie 1995, trebuie s fie actualizate.
42 IT Self Assessment
Pag. 36 din 214
Fig. 1. COBIT 5 Integrarea COBIT, Val IT i Risk IT
(Cadrul de referin pentru audit IT recomandat de EUROSAI ITWG)
Avnd n vedere dinamica domeniului tehnologiei informaiei, s-a ajuns la concluzia necesitii revizuirii
standardelor de audit IT utilizate pn n prezent i a actualizrii n consecin. Punctul de vedere privind
noua abordare bazat pe CobiT 5 care integreaz standardele specifice de audit IT (CobiT43, Val IT44 i
Risk IT45) a fost susinut de Elveia.
COBIT a fost aliniat i armonizat cu standarde detaliate i bune practici IT: COSO 46, ISO 2700047, ITIL48,
Sarbanes-Oxley Act, BASEL II i acioneaz ca un integrator al acestor standarde, sintetiznd obiectivele
principale sub un singur cadru de referin general acceptat.
n condiiile trecerii la cadul de lucru COBIT 5, se va extinde referenialul pentru auditare i la standardele
enumerate mai sus, noua arhitectur asigurnd convergena cu acestea.
Evoluia n domeniul auditului IT confirm cristalizarea unor arhitecturi de auditare generale, un promotor
reprezentativ n acest sens fiind ISACA (Information Systems Audit and Control Association).
Arhitectura de auditare ISACA se constituie ca un ansamblu ierarhizat de elemente de ghidare care
include urmtoarele niveluri i componente: standarde, ghiduri de aplicare, proceduri i resursele COBIT.
Resursele COBIT sunt apreciate ca fiind "cele mai bune practici" n materie i reprezint o structur
bazat pe un model general, detaliat, de controale i tehnici de control destinat unui mediu informatizat.
Componentele arhitecturii de auditare ISACA sunt:
Standarde - Definesc cerinele obligatorii pentru auditarea i raportarea auditrii sistemelor
informatice.
Ghiduri de aplicare - Furnizeaz ghiduri practice pentru aplicarea standardelor de auditare a
sistemelor informatice.
Proceduri - Furnizeaz exemple de proceduri pe care un auditor de sisteme informatice ar trebui
s le urmeze (le-ar putea utiliza) n cadrul unui angajament de audit.
Cel de-al patrulea element al ansamblului menionat, resursele COBIT, funcioneaz ca o surs de
ghidare pentru "cele mai bune practici" n materie.
Unul dintre obiectivele asociaiei ISACA este acela de a avansa (de a dezvolta i disemina) standarde
global aplicabile pentru atingerea viziunii proprii n materie de auditare IT/IS.
COBIT este un cadru de lucru dezvoltat iniial de ctre Information Systems Audit and Control Foundation
(ISACF) i publicat n anul 1996. Aceast prim versiune a fost urmat de o a doua ediie, extins la
nivelul documentelor surs i al componentelor, inclusiv prin adugarea unui set de instrumente de
implementare, care a fost publicat n anul 1998.
Obiectivele de control elaborate de ctre ISACF (ISACA) au fost proiectate ca un instrument pentru
auditori, n timp ce cadrul de lucru COBIT este un rezultat al evoluiei ctre un instrument pentru
management i guvernare IT. Din acest motiv, COBIT a fost suplimentat cu o serie de elemente care
permit decizii de implementare i mbuntire a proceselor IT: indicatori cheie de scop, indicatori cheie
de performan, factori de succes critici, modele de maturitate.
Necesitatea de a avea asigurri cu privire la valoarea tehnologiei informaiei, managementul riscurilor
asociate acestor tehnologii, precum i cerinele sporite pentru controlul asupra informaiilor sunt con-
siderate ca un element-cheie al guvernrii organizaiilor i companiilor. Managementul valorii, mana-
gementul riscurilor i controlul constituie nucleul guvernrii IT.
COBIT (acronim de la Control Objectives for Information and related Technology) ofer un set de bune
practici prin intermediul unui cadru de referin bazat pe domenii i procese, prezentnd activitile de o
manier logic, uor de gestionat. Setul de bune practici prezente n COBIT se concentreaz n special
pe controlul proceselor din cadrul organizaiei, oferind bune practici care vor ajuta la optimizarea inves-
tiiilor IT, vor asigura livrarea serviciilor i vor furniza un referenial pe baza cruia se va judeca atunci
cnd lucrurile nu merg bine. n acest context, COBIT constituie un instrument deosebit de util i pentru
auditori.
Misiunea COBIT const n cercetarea, dezvoltarea, publicarea i promovarea unui cadru de referin
pentru guvernarea IT, autorizat, actualizat, acceptat la nivel internaional pentru a fi adoptat de ctre
Pag. 38 din 214
organizaii i utilizat n activitatea cotidian a managerilor, profesionitilor IT i auditorilor, avnd n vedere
impactul semnificativ pe care informaiile il pot avea asupra succesului organizaiilor.
Orientarea spre partea economic a COBIT const n legtura dintre obiectivele afacerii i obiectivele IT,
furnizarea de metrici/indicatori i de modele de maturitate pentru a cuantifica realizarea acestora, precum
i identificarea responsabilitilor legate de afacere i a responsabililor de procese IT.
Orientarea COBIT pe procese este pus n eviden de un model orientat pe patru domenii i 34 de
procese, in conformitate cu zonele de responsabiliti pentru planificarea, dezvoltarea, utilizarea i moni-
torizarea IT, oferind o imagine asupra sistemului informatic al organizaiei.
Conceptele cu privire la arhitectura ntreprinderii ajut la identificarea resurselor eseniale pentru asi-
gurarea succesului procesului, cum ar fi aplicaiile, informaiile, infrastructura i resursele umane.
Pentru a oferi informaiile de care o organizaie are nevoie pentru atingerea obiectivelor sale, resursele IT
trebuie s fie gestionate de un set de procese grupate corespunztor, mediul informatic s fie controlat,
riscurile s fie gestionate i resursele IT s fie securizate.
n primul rnd, este nevoie de obiective de control care s defineasc i s susin obiectivul final de
punere n aplicare a politicilor, planurilor i a procedurilor, precum i de structuri organizatorice concepute
pentru a oferi o asigurare rezonabil n ceea ce privete atingerea obiectivelor economice i prevenirea
sau detectarea i corectarea evenimentelor neprevzute.
n al doilea rnd, n mediile complexe de astzi, managementul se afl ntr-o cutare continu de in-
formaii, condensate i obinute n timp util, pentru a lua decizii dificile, dar cu rapiditate i succes cu
privire la valoare, risc i control.
Organizaiile au nevoie de o unitate de msur obiectiv asupra stadiului de dezvoltare, precum i n ceea
ce privete perfecionrile de care au nevoie, fiind practic obligate s pun n aplicare un instrument de
management pentru a monitoriza aceste mbuntiri. Un rspuns la aceste cerine de determinare i de
monitorizare a adecvrii i de evaluare a performanelor controalelor IT este dat de definiiile COBIT:
Analiza comparativ a performanei i capabilitii unui proces IT este exprimat sub forma unui model
de maturitate derivat din modelul CMM (Capability Maturity Model)49.
Obiectivele i indicatorii unui proces IT definesc i cuantific rezultatele i performana acestuia pe
baza principiilor tablourilor cu indicatori agregai50.
Obiectivele activitii au ca rol inerea proceselor sub control, pe baza controalelor COBIT.
Msurarea performanelor este esenial pentru guvernarea IT. Aceasta este oferit de cadrul de lucru
COBIT i include stabilirea i monitorizarea unor obiective cuantificabile cu privire la ceea ce procesele IT
trebuie s ofere (rezultatul procesului), precum i la modul n care se livreaz (capabilitile i performana
procesului). Multe studii au identificat c lipsa de transparen privind costurile associate serviciilor IT,
valoarea investiiilor IT, precum i riscurile generate de prezena mediului informatizat reprezint unul
dintre cei mai importani factori ce afecteaz guvernarea IT. Transparena este obinut n primul rnd prin
msurarea performanei.
Guvernarea IT se focalizeaz pe cinci zone principale: alinierea strategic, livrarea de valoare, manage-
mentul riscurilor, managementul resurselor, msurarea performanei.
Liniile directoare pentru auditare furnizeaz un instrument complementar de facilitare a aplicrii cadrului
de lucru i a obiectivelor de control COBIT n activitile de auditare i evaluare. Scopul liniilor directoare
pentru auditare este acela de a pune la dispoziie o structur simpl pentru auditarea i evaluarea con-
troalelor bazat pe practici de auditare general acceptate, care sunt compatibile cu schema COBIT
global. Pentru o just situare n ansamblu, considerm util a descrie trsturile definitorii ale liniilor
directoare pentru auditare i relaiile acestora n cadrul arhitecturii de auditare.
(1)- O prim observaie este aceea c, n mod inerent, liniile directoare pentru auditare sunt generice i de
nivel nalt n ceea ce privete structura proprie, ca o consecin direct a diversitii obiectivelor i prac-
ticilor de auditare adoptate de o organizaie sau alta, precum i a diversitii profesionitilor implicai n
auditare.
(2)- Caracteristica de esen rezid n aceea c, prin faptul c se bazeaz pe obiectivele de control, liniile
directoare pentru auditare asigur eliminarea opiniei auditorului din concluziile auditului (asigur deci, o
obiectivizare a concluziilor auditului), nlocuind aceast opinie cu criterii de autoritate recunoscut derivate
din fundamentele COBIT (41 de standarde i documente de bune practici, din sistemul public i privat,
recunoscute pe plan mondial).
(3)- Liniile directoare pentru auditare furnizeaz ghidare pentru elaborarea de planuri de auditare care se
integreaz cu cadrul de lucru COBIT i obiectivele de control detaliate, i care pot fi deci utilizate n
contextul obiectivelor de control COBIT. Astfel de planuri de auditare pot fi extinse i rafinate pn la
programe de auditare specifice.
(4)- Liniile directoare pentru auditare permit auditorului revizuirea proceselor IT specifice prin prisma
obiectivelor de control COBIT i sprijinirea n consecin a managementului: indicarea locurilor unde
controalele sunt suficiente sau unde procesele trebuie s fie mbuntite.
(5)- Combinaia dintre Cadrul de lucru COBIT i Liniile Directoare pentru Auditare se poate utiliza att n
manier reactiv, ct i n manier proactiv, aceasta din urm n fazele iniiale ale dezvoltrii proiectelor
i proceselor.
Pag. 41 din 214
Structura general a Liniilor Directoare pentru Auditare
Structura general a liniilor directoare pentru auditare este inspirat de modelele generale de evaluare a
controalelor: (a)- modelul de auditare (cel mai rspndit) sau (b)- modelul de analiz a riscului.
In cele ce urmeaz, vom prezenta o descriere a liniilor directoare pentru auditare prin prisma modelului de
auditare. Un asemenea model ia n considerare o serie de obiective specifice ale auditrii, ntre care cele
mai importante sunt: (a) de a furniza managementului o asigurare rezonabil asupra faptului c obiec-
tivele de control sunt atinse, (b) de a substanializa riscul rezultant, acolo unde sunt puse n eviden
puncte slabe ale controalelor, i (c) de a consilia managementul asupra aciunilor corective.
In aceeai linie de idei, se poate adopta ca premis i faptul c structura general acceptat a procesului
de auditare include urmtoarele componente (faze): (1)- identificarea i documentarea; (2)- evaluarea;
(3)- testarea conformitii; (4)- testarea bazat pe probe.
Cadrul de auditare construit pe cerinele COBIT este prezentat ntr-o manier ierarhizat pe nivele, cu o
orientare declarat ctre obiectivele afacerii, fiind dirijat de proces. De asemenea, cadrul de lucru are o
dubl focalizare: pe resursele care trebuie gestionate i pe criteriile de informaie care sunt necesare.
Pentru a satisface obiectivele afacerii, informaia trebuie s se conformeze anumitor criterii de control pe
care COBIT le evideniaz sub forma de cerine ale afacerii pentru informaie. Pe baza cerinelor generale
de calitate, de ncredere i de securitate, au fost definite apte criterii distincte pentru informaii, dup cum
urmeaz:
Eficacitatea: impune ca informaiile s fie relevante i pertinente pentru procesul economic,
precum i s fie livrate ntr-un timp util i de o manier corect, coerent i uor de utilizat.
Eficiena: se refer la furnizarea de informaii prin utilizarea optima a resurselor (raportndu-ne la
productivitate i economicitate).
Confidenialitatea: se refer la protejarea informaiilor sensibile impotriva divulgrii neautorizate.
Integritatea: se refer la acurateea i exhaustivitatea informaiilor, precum i la valabilitatea
acestora, n conformitate cu valorile i asteptrile organizaiei.
Disponibilitatea: impune ca informaiile s fie disponibile atunci cnd procesul economic o cere,
la momentul actual sau n viitor. De asemenea, se refer la protejarea resurselor necesare i a
capacitilor asociate.
Conformitatea: se refer la conformitatea cu cadrul legislativ i de reglementare, cu acordurile
contractuale la care este supus procesul economic.
Fiabilitatea: se refer la furnizarea de informaii adecvate managementului pentru a opera
entitatea i pentru a-i exercita responsabilitile de guvernare.
2.8.8 Resursele IT
Funcia IT i atinge scopurile printr-o serie bine definit de procese care implic aptitudinile personalului
i infrastructura tehnologic pentru a executa aplicaii automatizate ce deservesc derularea afacerii,
folosind prghii informaionale specifice afacerii.
Resursele IT identificate n COBIT pot fi definite dup cum urmeaz:
Aplicaiile: sunt sistemele utilizator automatizate i procedurile manuale care prelucreaz
informaiile.
Informaiile: reprezint datele, de toate tipurile, intrate, procesate i rezultate din sistemele
informaionale, indiferent de forma sub care sunt utilizate n derularea afacerii.
Cadrul de lucru COBIT definete activitile legate de IT ntr-un model general al proceselor cu patru
domenii: Planificare i Organizare51 (direcioneaz furnizarea soluiilor i a serviciilor), Achiziie i Imple-
mentare52 (ofer soluiile i le transmite mai departe spre a fi transformate n servicii), Furnizare i
Suport53 (primete soluiile i le face utilizabile pentru utilizatorii finali), Monitorizare i Evaluare54 (super-
vizeaz toate procesele pentru a fi asigurat faptul c direciile i msurile decise sunt urmate ntocmai
spre a fi ndeplinite).
Pentru a pstra conformitatea cu cadrul de lucru, pentru procesele COBIT n lucrare vor fi folosite acro-
nimele corespunztoare din limba englez: PO, AI, DS, ME.
Cadrul COBIT ofer un model al proceselor i un limbaj comun tuturor celor implicai n IT dintr-o orga-
nizaie, pentru a vizualiza i conduce activitile legate de IT ctre o bun guvernare IT. De asemenea,
acest cadru permite msurarea i monitorizarea performanei IT, comunicarea cu furnizorii de servicii i
adoptarea celor mai bune practici de management. Modelul proceselor susine gestiunea per proces,
precum i ndatoririle i responsabilitile definite.
PLANIFICARE I ORGANIZARE (Plan & Organise - PO)
Acest domeniu acoper strategia i tacticile i vizeaz identificarea celor mai potrivite ci prin care teh-
nologia informaiei poate contribui la ndeplinirea obiectivelor afacerii. Implementarea viziunii strategice
este necesar a fi planificat, comunicat i abordat din diverse perspective, avnd n vedere c se
raporteaz, pe de o parte, la sistemul de organizare, precum i, pe de alt parte, la asigurarea unei infra-
structuri tehnologice.
Cnd este evaluat acest domeniu, se pun urmtoarele ntrebri:
Dac strategia IT este aliniat la strategia afacerii;
Dac organizaia atinge un nivel optim de utilizare a resurselor disponibile;
Dac obiectivele IT sunt nelese de ctre toi membrii organizaiei;
Dac riscurile IT sunt cunoscute i gestionate;
Dac nivelul de calitate al sistemelor IT rspunde n mod corespunztor nevoilor afacerii.
ACHIZIIE I IMPLEMENTARE (Acquire & Implement - AI)
n vederea realizrii strategiei IT, soluiile IT trebuie identificate, dezvoltate sau achiziionate, dar i imple-
mentate i integrate n procesele afacerii. n plus, pentru a se asigura continuitatea n atingerea obiec-
tivelor economice pe baza soluiilor IT, sunt acoperite, prin acest domeniu, schimbrile i mentenana
sistemelor deja existente.
Fiecare proces COBIT are asociate, n afar de obiective de control, i cerine generale de control care
trebuie avute in vedere mpreun cu obiectivele de control ale proceselor.
Scopurile i obiectivele proceselor: Definete i comunic scopuri i obiective ale proceselor cu
respectarea principiilor SMART (specific, msurabil, realizabil, realist, orientat spre rezultat i
posibil de realizat n timp) pentru execuia eficient a fiecrui proces IT. Asigur corespondena
cu obiectivele afacerii i c acestea sunt susinute de indicatori relevani.
Responsabilitatea procesului: Stabilete un responsabil al procesului pentru fiecare proces IT i
definete clar rolurile i responsabilitile sale. Include, de exemplu, responsabilitatea pentru
proiectarea procesului, interaciunea cu alte procese, rspunderea pentru rezultatele finale,
msurarea performanei procesului i identificarea oportunitilor de mbuntire.
Repetabilitatea procesului: Proiecteaz i stabilete fiecare proces cheie spre a fi repetabil i
consecvent n producerea rezultatelor ateptate. Furnizeaz o secvena logic, dar flexibil i
scalabil a activitilor care vor conduce la rezultatele dorite i suficient de agil pentru a face fa
excepiilor i urgenelor. Utilizeaz procese compatibile, acolo unde e posibil i le modific doar
acolo unde nu se poate evita acest lucru.
Roluri i responsabiliti: Definete activitile cheie i livrabilele procesului. Atribuie i comunic
rolurile definite fr ambiguitate i responsabilitile pentru o execuie eficient i eficace a
activitilor cheie i pentru documentarea lor, ca i rspunderea pentru furnizarea rezultatelor
finale ale procesului.
Politici, planuri i proceduri: Definete i comunic modul n care toate politicile, planurile i
procedurile care conduc un proces IT sunt documentate, revizuite, meninute, aprobate, pstrate,
comunicate i utilizate pentru instruire. Atribuie responsabilitile pentru fiecare din aceste
activiti i, la momentele adecvate, revizuiete execuia lor corect. Se asigur c politicile,
planurile i procedurile sunt accesibile, corecte, nelese i nnoite.
mbuntirea performanei procesului: Identific un set de indicatori care ofer o imagine asupra
rezultatelor i a performanei procesului. Stabilete inte care se reflect n scopurile proceselor i
n indicatorii de performan ce permit atingerea scopurilor procesului. Definete modul n care
datele vor fi obinute. Compar msurtorile cu intele stabilite i acioneaz, acolo unde este
cazul, conform deviaiilor constatate. Aliniaz indicatorii, valorile-int i metodele cu abordarea
global cu privire la monitorizarea performanei sistemului IT.
Pag. 45 din 214
Implementarea unor controale eficace reduce riscul, crete probabilitatea obinerii de valoare i
mbuntete eficiena prin diminuarea numrului de erori i printr-o abordare managerial consistent.
Sistemul de control intern al unei ntreprinderi produce un impact asupra mediului IT, pe trei nivele:
1. La nivelul managementului executiv, sunt stabilite obiectivele economice, politicile, iar deciziile
care se iau vizeaz modul n care trebuie dezvoltate i gestionate resursele organizaiei pentru a
executa strategia acesteia. Mediul de control IT este direcionat prin acest set de obiective i
politici de la cel mai nalt nivel.
2. La nivelul proceselor afacerii, controalele sunt aplicate anumitor activiti. Majoritatea proceselor
economice sunt automatizate i integrate cu sistemele de aplicaii IT astfel c multe dintre
controalele aferente acestui nivel sunt i ele automatizate. Ele sunt cunoscute sub denumirea de
controale de aplicaie. Totui, unele controale ale proceselor economice rmn a fi implementate
prin proceduri manuale, cum ar fi: autorizarea tranzaciilor, segregarea sarcinilor (ndatoririlor),
reconcilierile manuale. Astfel, controalele la nivelul proceselor economice sunt o combinaie de
controale manuale operate de afacere i controale automatizate din afacere (controale de
aplicaie). Ambele cad n responsabilitatea domeniului afacerii pentru a fi definite i gestionate,
dei proiectarea i dezvoltarea controalelor aplicaiilor impune suportul i implicarea funciei IT.
3. Pentru a oferi suport proceselor afacerii, tehnologia informaiei pune la dispoziie serviciile IT, de
obicei ca servicii partajate ntre mai multe procese ale afacerii, dup cum, multe dintre procesele
de dezvoltare i procesele operaionale ale sistemului IT sunt dedicate ntregii organizaii, iar o
mare parte din infrastructura IT este furnizat ca serviciu comun (partajarea reelelor, a bazelor
de date, a sistemelor de operare). Controalele implementate pentru ntreg mediul IT sunt
cunoscute drept controale generale IT. Operarea eficient a acestor controale generale IT este
necesar pentru ca i controalele de la nivelul aplicaiilor s fie de ncredere.
Organizaiile au nevoie s evalueze starea n care se afl i unde anume se impune o mbuntire, iar
pentru aceasta, au nevoie s pun n practic un ghid de management n vederea monitorizrii acestei
evoluii de mbuntire. COBIT trateaz aceste aspecte oferind:
Modele de maturitate, care s permit stabilirea unui sistem de indicatori ai performanei i
identificarea msurilor de perfecionare a capabilitilor;
inte ale performanei (scopuri) i metrici (indicatori) pentru procesele IT, prin care se
demonstreaz modul n care procesele susin afacerea i obiectivele IT, precum i modul n care
pot fi utilizate n evaluarea performanei proceselor interne, pe baza principiilor indicatorilor
generali de performan ai activitii (balanced scorecard);
Scopuri ale activitilor (inte) prin care este facilitat, n mod eficace, performana procesului.
Cadrul de referin oferit de COBIT leag nevoile informaionale ale afacerii i cerinele legate de
guvernare de obiectivele funcionrii serviciilor IT. Modelul proceselor din COBIT permite activitilor IT i
resurselor aferente care le susin s fie administrate i controlate n baza obiectivelor de control definite n
COBIT, pentru a se alinia i a monitoriza procesele folosind obiectivele i indicatorii COBIT.
n rezumat, procesele IT utilizeaz i administreaz resursele IT pentru ndeplinirea acelor obiective IT
care rspund cerinelor afacerii. Acesta este principiul de baz al cadrului de referin COBIT.
Cadrul de lucru COBIT se bazeaz pe analiza i armonizarea standardelor i bunelor practici IT existente
i este n conformitate cu principiile de guvernare general acceptate. Este poziionat la cel mai nalt nivel,
determinat de cerinele economice, acoper ntreaga gam de activiti IT i se concentreaz pe ceea ce
ar trebui s fie realizat, mai degrab dect pe cum s se asigure o guvernare, un management i un
Pag. 48 din 214
control eficiente. Prin urmare, acioneaz ca un integrator de practici de guvernare IT i face apel la
conducerea executiv, la conducerea operaional i la managementul IT, la profesioniti din domeniul
securitii, precum i la profesioniti din domeniul auditului i controlului. Este proiectat pentru a fi
complementar cu, i utilizat mpreun cu alte standarde i bune practici.
COBIT are relevan pentru urmtorii utilizatori:
Managementul executiv - pentru a obine valoare din investiiile n IT, a echilibra riscul i
controlul investiiilor ntr-un mediu IT care de cele mai multe ori nu e predictibil.
Managementul afacerii - pentru a avea asigurarea asupra managementului i controlului
serviciilor IT furnizate intern sau de pri tere.
Managementul IT - pentru a oferi acele servicii IT de care afacerea are nevoie pentru a susine
strategia de afaceri de o manier controlabil i organizat.
Auditori - pentru a da substan opiniilor proprii i / sau a oferi recomandri managementului n
legtur cu controalele interne.
Obiective de control
ME3.1 Identificarea cerinelor de conformitate extern, legal, contractual sau de reglementare
ME3.2 Optimizarea rspunsului la cerinele externe
ME3.3 Evaluarea conformitii cu cerinele externe
ME3.4 Asigurarea conformitii
ME3.5 Raportare integrat
Cadrul de lucru COBIT stabilete cele mai bune practici referitoare la mijloacele care contribuie la pro-
cesul de creare a valorii adugate.
Val IT vine s adauge cele mai bune practici pentru final, oferind mijloacelor un instrumentar de msurare
fr ambiguiti, cu ajutorul cruia se monitorizeaz i se optimizeaz realizarea de valoare adugat
pentru afacere55, prin investiii n IT. Val IT complementeaz COBIT din perspectiva afacerii i din per-
spectiva financiar i contribuie la obinerea unei creteri de valoare prin utilizarea tehnologiei informaiei.
Val IT este un cadru de administrare care const dintr-un set de principii directoare i o serie de procese
conforme cu aceste principii, care sunt definite ca un set de practici cheie de conducere.
Cadrul Val IT aliniaz terminologia sa cu terminologia COBIT i adaug o seciune de linii directoare
(similar cu COBIT), care ofer un nivel mai mare de detaliu proceselor cheie Val IT i practicilor de
management. Conine, de asemenea, modele de maturitate pentru fiecare domeniu al cadrului Val IT.
Necesitatea unei guvernri puternice a investiiilor IT este evident, avnd n vedere c mai mult de 2 din
10 proiecte IT din cadrul unei organizaii eueaz dintr-un numr de motive, printre cele mai comune fiind:
Investiiile IT nu susin strategia afacerii sau nu furnizeaz o valoare ateptat;
Exist proiecte prea multe, ceea ce duce la utilizarea ineficient resurselor;
Proiectele sunt adesea ntrziate, depesc bugetul i/sau nu produc beneficiile necesare;
Exist incapacitatea de a anula proiecte atunci cnd este necesar;
Organizaia are nevoie de resurse pentru a asigura conformitatea cu reglementrile industriei sau
guvernamentale.
55Referinele la afacere n acest standard internaional trebuie interpretate n sens larg pentru a se referi la acele activiti
care sunt eseniale scopului pentru care este nfiinat organizaia.
Pag. 60 din 214
Scopul investiiilor IT este de a permite schimbarea afacerii. Pentru a gestiona schimbarea afacerii bazate
pe IT, investiiile IT trebuie s fie reglementate.
Cu ajutorul cadrului Val IT promovat de ISACA, pot fi luate decizii mai bune privind modul n care s se
investeasc n IT pentru a permite schimbarea afacerii, creterea rentabilitii investiiilor i pentru a
genera valoare adugat, afacerii.
Val IT este un cadru care se concentreaz pe livrare de valoare, unul dintre cele cinci domenii principale
ale guvernrii IT, i ofer asigurarea c investiiile IT sunt gestionate pe ciclul complet al vieii economice.
Prin aplicarea principiilor de management al portofoliului se pot evalua i monitoriza direct, investiiile n IT
pe ntreg ciclul de via economic al acestora.
Obiectivul cadrului de lucru Val IT (care include cercetri, documentaii i servicii suport) este de a ajuta
managementul s se asigure c organizaia realizeaz o valoare optim din investiiile i activitile
bazate pe IT la un cost acceptabil i cu un nivel cunoscut i acceptabil de risc.
Cadrul de lucre Val IT furnizeaz linii directoare, procese i practici care permit nelegerea i ndeplinirea
rolului investiiilor IT. Pentru auditori, Val IT constituie referenialul la care se raporteaz cnd evalueaz
investiiile IT.
n ultimii ani, nivelul investiiilor n IT este semnificativ i continu s creasc. Sunt puine organizaii care
mai pot opera astzi, fr o infrastructur IT proprie.
n acest context, este o cerere din ce n ce mai mare din partea conducerii organizaiilor n ceea ce
privete accesul la cele mai bune practice i la linii directoare care s ghideze procesul decizional referitor
la obinerea beneficiilor pe baza investiiilor n IT. Fr o guvernare efectiv i un bun management,
investiiile IT pot genera, ntr-o msur semnificativ, oportunitatea de a distruge valoarea.
n ultimii ani, sondajele au artat constant c ntre 20-70 % din investiiile IT pe scar larg sunt irosite,
contestate sau nu reuesc s aduc un venit n organizaie. De fapt, un studiu privind evaluarea costurilor
i a valorii a constatat c, n multe ntreprinderi, mai puin de 8% din bugetul IT este, de fapt, cheltuit pe
iniiative care s creeze valoare pentru organizaie.
Un studiu Gartner din anul 2002 a constatat c 20% din toate cheltuielile aferente investiiilor IT
au fost risipite, constatare care reprezint, pe o baz global, o distrugere anual a valorii, n total
de aproximativ 600 miliarde dolari.
Un studiu realizat de IBM n 2004 a constatat c, n medie, 40% din totalul cheltuielilor IT nu au
adus nici un venit organizaiilor.
Un studiu din 2006 realizat de Grupul Standish a constatat c doar 35% din totalul proiectelor IT
s-au finalizat cu succes, n timp ce restul (65%) au fost fie contestate sau au euat.56
n mod evident, investiiile n IT pot aduce beneficii substaniale. Un studiu efectuat la nivel mondial n
cadrul grupului de servicii financiare ING, arat c investiiile IT ar oferi oportunitatea de a furniza rate de
rentabilitate mai mari dect aproape orice alte investiii convenionale. Acest studiu, efectuat la mijlocul
anului 2004, indic faptul c, n comparaie cu afacerile imobiliare comerciale sau cu aciunile cotate la
burs, un portofoliu de investiii IT bine echilibrat poate genera un venit semnificativ mai mare.
Luate mpreun, aceste exemple subliniaz o ntrebare strategic: Ce trebuie fcut pentru a ne asigura
c IT asigur rezultate pozitive sau poate chiar de transformare a valorii afacerii?.
n cadrul de lucru Val IT, valoarea este definit ca totalul beneficiilor nete obinute pe tot ciclul de via,
raportate la costurile aferente, adaptate la risc, i (n cazul valorii financiare) pentru valoarea raportat la
timp a banilor.
Entitile care aplic principiile, procesele i practicile cuprinse n cadrul de lucru Val IT pot realiza
beneficii strategice i pot s creeze niveluri ale valorii al afacerii reale semnificativ mai ridicate. La un nivel
fundamental, acest cadru ajut factorii de decizie s creasc nelegerea naturii valorii i a modului n care
aceasta este creat; s ctige o transparen n ceea ce privete costurile, riscurile i beneficiile, i ca
o extindere a acestora deciziile managementului s fie bazate mult mai mult pe informaie.
Val IT ajut organizaiile s creasc probabilitatea de selecie a investiiilor cu cel mai mare potenial n a
crea valoare. Val IT, de asemenea, crete probabilitatea de succes n executarea investiiilor selectate,
att atunci cnd serviciile IT sunt create sau mbuntite, ct i ulterior livrrii i utilizrii acestor servicii.
Cadrul Val IT reduce costurile i pierderea de valoare, asigurnd c factorii de decizie rmn concentrai
pe ceea ce ei ar trebui s fac i s ia msuri corective la timp cu privire la investiiile care nu furnizeaz
valoare n conformitate cu potenialul ateptat. n acelai timp, cadrul reduce riscul de eec, n special pe
cel cu impact mare i eec vizibil. De asemenea, cadrul reduce surprizele asociate cu costurile IT i de
livrare, i, n acest sens, valoarea afacerii crete, se reduc costurile inutile i crete nivelul general de
ncredere n IT.
Cadrul Val IT susine obiectivul organizaiei de a crea valoare optim din investiiile IT prin achiziii la un
cost accesibil, cu un nivel acceptabil de risc, fiind ghidat de un set de principii aplicate n procesele de
gestionare a valorii, care sunt permise prin practici cheie de management i sunt msurate prin
performana n raport cu obiectivele i indicatorii stabilii.
Principiile cadrului de lucru Val IT sunt:
Investiiile IT vor fi gestionate ca un portofoliu de investiii. Optimizarea investiiilor necesit
abilitatea de a evalua i de a compara investiii, fiind selectate n mod obiectiv cele cu potenialul cel
mai mare de a crea valoare, i de a le gestiona pentru a maximiza valoarea.
Investiiile IT vor include ntreaga sfer de activiti necesare pentru a atinge valoarea afacerii.
Realizarea valorii din investiii IT necesit mai mult dect livrarea de soluii i servicii IT aceasta
necesit, de asemenea, schimbri, cum ar fi: natura activitii n sine; procesele de afaceri, abiliti i
competene, precum i organizarea, toate acestea trebuind s fie incluse n documentaia de fun-
damentare i de realizare privind investiiile (Business Case - BC).
Investiiile IT vor fi gestionate pe ntreg ciclul de via economic. BC trebuie s fie pstrat activ
de la iniierea unei de investiii pn la finalizarea tuturor serviciiilor aferente investiiei. Acest principiu
recunoate c va exista ntotdeauna un anumit grad de incertitudine i c variaia n timp a costurilor,
riscurilor, beneficiilor, strategiei, i a schimbrilor organizaionale i externe trebuie s fie luat n
considerare cnd se stabilete dac finanarea ar trebui s fie continuat, majorat, diminuat sau
oprit.
Practicile de livrare a valorii vor recunoate c exist diferite categorii de investiii care vor fi
evaluate i gestionate n mod diferit. Astfel de categorii s-ar putea baza pe preferina mana-
gementului, pe magnitudinea costurilor, pe tipurile de riscuri, pe importana beneficiilor (de exemplu,
obinerea conformitii cu un cadru de reglementare), precum i pe tipurile i gradul de schimbare a
afacerii.
Practicile de livrare a valorii vor defini i vor monitoriza indicatorii cheie i vor reaciona rapid
la orice modificri sau abateri. Trebuie s fie stabilii i monitorizai cu regularitate indicatori de
performana pentru: (1) portofoliul global, (2) investiiile individuale, incluznd indicatori intermediari i
indicatori finali, (3) serviciile IT, (4), bunurile IT i (5) alte resurse care rezult dintr-o investiie, pentru
a se asigura c valoarea este creat i continu s fie creat pe parcursul ntregului ciclu de via al
investiiei.
Practicile de livrare a valorii vor angaja toate prile interesate i vor atribui responsabiliti
adecvate pentru livrarea facililitilor, precum i pentru realizarea beneficiilor afacerii. Att
funcia IT, ct i alte funcii ale afacerii trebuie s fie angajate i responsabile - funcia IT pentru
faciliti IT i funciile de afaceri pentru facilitile de afaceri necesare pentru a realiza valoare.
Practicile de livrare a valorii vor fi monitorizate, evaluate i mbuntite continuu. Pe msur
ce organizaia ctig experien privind practicile Val IT, aceste practici pot fi aplicate, astfel nct
selectarea investiiilor i gestionarea acestora s se mbunteasc n fiecare an.
Programele de afaceri privind investiiile IT trebuie s fie gestionate ca parte a portofoliului total al
investiiilor, astfel nct toate investiiile ntreprinderii s fie selectate i gestionate pe o baz comun.
Programele din portofoliu trebuie s fie clar definite, evaluate, prioritizate, selectate i gestionate n mod
activ pe ntreg ciclul lor via economic, pentru a optimiza att valoarea programelor individuale ct i a
portofoliului global. Aceasta include optimizarea alocrii resurselor limitate pentru investiii pe care
organizaia le are la dispoziie, managementul de risc, identificarea i corectarea la timp a problemelor
(inclusiv anularea programului, dac este cazul) i supervizarea investiiilor la nivelul conducerii.
Managementul portofoliului recunoate cerina pentru un portofoliu de a fi echilibrat. Recunoate, de
asemenea, c exist diferite categorii de investiii cu niveluri diferite de complexitate i de grade de
libertate n alocarea fondurilor. Exemplele privind aceste categorii ar putea include, dar nu sunt limitate la,
inovare, reforme cu grad ridicat de risc, extinderea afacerii, mbuntirea operaional, ntreinerea
operaional i investiiile obligatorii. Pentru fiecare categorie din portofoliul de investiii ar trebui s fie
stabilite criterii de evaluare cu ponderi adecvate. Decizia de a include un program n portofoliu nu este un
angajament de moment. Portofoliul format din investiii poteniale i aprobate ar trebui s fie gestionat n
mod activ, pe o baz continu i nu doar atunci cnd se solicit aprobarea. n funcie de performanele
relative ale programelor active i de oportunitatea oferit de programele poteniale din cadrul portofoliului,
c) Managementul Investiiilor
Scopul managementului investiiilor (Investment Management - IM) este de a asigura faptul c investiiile
IT individuale ale ntreprinderii contribuie la obinerea valorii optime.
Cnd liderii organizaiei se angajeaz n gestionarea investiiilor ei contribuie la:
Identificarea cerinelor afacerii;
Dezvoltarea unei nelegeri clare a programelor de investiii candidate;
Analiza unor abordri alternative la punerea n aplicare a programelor;
Definirea fiecrui program, precum i documentarea i meninerea unui BC (Business Case)
detaliat pentru acesta, incluznd detalii privind beneficiile pe ntreg ciclul de via economic al
investiiei;
Asignarea unei responsabiliti clare i a unui proprietar, inclusiv n ceea ce privete realizarea
beneficiilor;
Gestionarea fiecrui program pe ntreg ciclul de via economic, inclusiv finalizarea sau stoparea
acestuia;
Monitorizarea i raportarea privind performana fiecrui program.
Componentele cheie ale managementului investiiilor
Exist trei componente-cheie de gestionare a investiiilor: Prima este Business Case (BC), care este
esenial pentru selectarea corect a programelor de investiii i administrarea acestora pe parcursul
executrii lor. A doua este managementul programului, care reglementeaz toate procesele care susin
executarea programelor. A treia este realizarea beneficiilor - un set de sarcini necesare pentru a gestiona
n mod activ realizarea beneficiilor programului.
Un BC cuprinztor este esenial pentru a estima rezultatele programului, dar puine organizaii sunt
adepte ale dezvoltrii i documentrii acestuia.
Un studiu realizat n anul 2006 de Cranfield University School of Management a constatat c, n timp ce
96% din respondeni au dezvoltat BC pentru investiii care implic IT, 69% dintre acetia nu au fost
mulumii cu eficacitatea practic.
BC conine un set de ipoteze cu privire la modul n care va fi creat valoarea, ipoteze care trebuie s fie
bine testate pentru a se asigura c rezultatele ateptate vor fi atinse. BC ar trebui s fie, de asemenea,
bazat pe indicatori calitativi i cantitativi care s justifice aceste ipoteze i s ofere factorilor de decizie o
perspectiv care va sprijini deciziile viitoare de investiii. Documentaia Enterprise Value: Governance of
IT Investments, The Business Case58 ofer ndrumri pentru a crea BC complete i cuprinztoare,
punnd accent deosebit pe evaluarea cuprinztoare i evaluarea valorii poteniale i a riscurilor, precum
i pe definirea unor indicatori cheie, att financiari (valoarea actualizat net, rata intern de rentabilitate
i perioada de amortizare), ct i non-financiari.
BC const n resurse de intrare majore, precum i din cele trei fluxuri de activiti care sunt: capacitile
tehnice de livrare (de exemplu, managementul relaiilor cu clienii (CRM), facilitile operaionale (de
exemplu, utilizatorii au acces la toate informaiile despre clieni) i facilitile de afaceri (de exemplu, infor-
maiile sunt folosite pentru a suporta vnzri ncruciate).
Cele trei fluxuri dinamice pot fi regsite pe ntreg ciclul de via al proceselor sau al sistemului. Ciclul de
via poate fi sintetizat n patru etape: dezvoltarea, implementarea, operarea i scoaterea din funciune.
58 Sursa: ITGI
Pag. 66 din 214
Fiecare dintre aceste fluxuri de lucru trebuie s fie documentat cu date care s susin decizia de investiii
i procesele de management de portofoliu: iniiative, costuri, riscuri, ipoteze, rezultate i indicatori.
BC ar trebui s includ cel puin urmtoarele elemente:
Beneficiile estimate ale afacerii, alinierea lor cu strategia de afaceri i care dintre funciile afacerii
va fi responsabil pentru asigurarea lor;
Schimbrile de afaceri necesare pentru a crea valoare adugat;
Investiiile necesare pentru a face schimbri ale afacerii;
Investiiile necesare pentru a schimba sau aduga noi servicii IT i elemente de infrastructur;
Funionarea continu a sistemului IT i costurile de afaceri relative la funcionarea n contextul
schimbat;
Riscurile inerente referitoare la elementele prezentate mai sus, inclusiv orice constrngeri sau
dependene;
Cine va fi responsabil pentru crearea cu succes a valorii optime;
Cum vor fi monitorizate investiiile i crearea de valoare pe parcursul ciclului de via economic,
precum i indicatorii care urmeaz s fie utilizai.
BC ar trebui s fie dezvoltat dintr-o perspectiv strategic, de tip top-down (de sus n jos), ncepnd cu
o nelegere clar a rezultatelor dorite privind afacerea i progresnd pn la o descriere detaliat a
sarcinilor critice i reperelor, precum i a rolurilor i responsabilitilor cheie.
BC nu este un document static de folosin unic, ci constituie un instrument dinamic operaional, care
trebuie s fie actualizat continuu pentru a reflecta punctul de vedere actual asupra viitorului programului,
astfel nct viabilitatea acestuia s poat fi meninut.
BC trebuie s includ rspunsuri la patru ntrebri, rspunsuri bazate pe informaii relevante focalizate pe
afacere, despre programele poteniale:
Dac facem ceea ce trebuie Ce s-a propus, pentru ce rezultat al afacerii i cu ce contribuie
proiectele n cadrul unui program?
Dac suntem pe calea cea bun - Cum se va desfura i ce trebuie fcut pentru a ne asigura
c programul se va potrivi cu alte faciliti curente sau viitoare?
Dac ceea ce facem este bine Care este planul pentru ndeplinirea lucrrilor i ce resurse i
fonduri sunt disponibile?
Dac aducem beneficii Cum vor fi furnizate beneficiile? Care este valoarea programului?
Structura BC
Situaiile afacerii pentru investiiile IT iau n considerare urmtoarele relaii cauzale:
- Resursele sunt necesare pentru dezvoltare
- Tehnologia / serviciile IT support
- Capabilitatea operaional pe care o va permite
- Capabilitatea afacerii care va fi creat
- Valoarea pentru prile interesate
Aceste relaii implic existena a trei fluxuri de activiti interrelaionate care creeaz capabiliti tehnice,
operaionale i de afacere.
Fiecare dintre cele trei fluxuri de activitate are un numr de componente care sunt eseniale pentru a
evalua complet BC. Aceste componente, mpreun, formeaz baza pentru un model analitic i sunt defi-
nite dup cum urmeaz:
Rezultate - rezultate clare i msurabile vizate, inclusiv rezultate intermediare; aceste rezultate
sunt necesare dar nu suficiente pentru a atinge beneficiile finale. Aceste beneficii pot fi financiare
sau non-financiare.
Val IT ofer linii directoare pentru management pentru a ajuta organizaiile n crearea i administrarea
proceselor de gestionare a valorii n mediul IT.
Pentru fiecare proces Val IT, liniile directoare de gestionare Val IT includ intrri i ieiri, descrieri de
activitate, diagrame RACI59 (Responsabil, Rspunztor, Consultant i Informat) diagrame, obiective i
indicatori pe diferite niveluri.
Val IT definete, de asemenea, un model de maturitate, pentru fiecare dintre cele trei domenii Val IT,
oferind o scala de msurare incremental de la 0 la 5.
Cadrul de lucru Risk IT poate fi considerat ca un cadru de management al riscurilor afacerii legate de
utilizarea IT. Conexiunea la afacere se bazeaz pe principiile pe care este construit cadrul de lucru, pe
primul plan situndu-se guvernarea organizaiei i gestionarea eficient a riscurilor IT:
Managementul riscurilor IT se conecteaz ntotdeauna la obiectivele afacerii;
Aliniaz managementul IT la riscul global al managementului organizaiei;
Echilibreaza costurile i beneficiile aferente gestionrii riscurilor IT;
Promoveaz comunicarea echitabil i deschis a riscurilor IT;
Stabilete modul n care conducerea de vrf definete i atribuie responsabilitile personalului privind
operarea sistemului n limitele stabilite;
Este un proces continuu i o parte a activitilor zilnice.
Cadrul RISK IT acoper decalajul existent ntre cadrele generice de gestionare a riscurilor cum ar fi
COSO ERM i AS/NZS 4360 (care n curnd vor fi nlocuite cu standardul ISO 31000) i echivalentul su
britanic ARMS6 i cadrele de gestionare a riscurilor IT (n primul rnd cele legate de securitate) detaliate.
Documentaia aferent cadrului de lucru Risk IT este compus din dou publicaii importante: The Risk IT
Framework i The Risk IT Practitioner Guide.
Documentaia The Risk IT Framework conine:
Un set de practici de guvernare pentru managementul riscului;
Un cadru de lucru orientat pe procese pentru gestionarea cu succes a riscurilor IT;
O list generic de scenarii de risc comune, potenial adverse, legate de IT, care ar putea
avea un impact important n realizarea obiectivelor afacerii;
Instrumente i tehnici pentru a nelege riscurile concrete ale operaiunilor de afaceri, cum ar
fi liste de verificare generice i cerine de conformitate.
Cadrul de lucru prevede un model de proces global pentru risc IT care se refer la activitile cheie din
cadrul fiecrui proces, responsabilitile pentru fiecare proces, fluxurile de informaii ntre procese i de
management al performanei fiecrui proces. Modelul este mprit n trei domenii, fiecare coninnd, la
rndul su trei procese:
Guvernarea riscului (Risk Governance)
Evaluarea riscului (Risk Evaluation)
Rspunsul la risc (Risk Response).
Cele trei procese asociate domeniilor sunt:
Guvernarea riscului
- Stabilirea i meninerea unei viziuni comune asupra riscului;
- Integrarea cu ERM (Enterprise Risk Management);
- Contientizarea necesitii lurii unor decizii privind riscurile afacerii.
Evaluarea riscului
- Colectarea datelor
- Analiza riscului
- Meninerea profilului de risc
Rspunsul la risc
- Riscul agregat
- Managementul riscurilor
- Reacia la evenimente
Pag. 72 din 214
Documentaia The Risk IT Practitioner Guide este un document de sprijin pentru cadrul de lucru Risk IT
care ofer exemple de tehnici posibile pentru a aborda problemele legate de riscul IT, precum i ndrumri
detaliate cu privire la modul de abordare a conceptelor cuprinse n modelul procesului.
Conceptele i tehnicile explorate n detaliu includ:
Scenarii construite pe baza unui set de generic de scenarii de risc IT;
Construirea unei hri a riscurilor, folosind tehnici pentru a descrie impactul i frecvena scenariilor;
Construirea criteriilor de impact cu relevan pentru afaceri;
Definirea indicatoriilor cheie relevani (Key Relevance Indicators KRIs);
Utilizarea COBIT i Val IT pentru a atenua riscul; legtura ntre Risk IT i obiectivele de contol i
practicile de management cheie din COBIT i Val IT.
Aplicarea bunelor practici de management al riscurilor IT aa cum este descris n Risks IT va oferi
beneficii tangibile pentru afacere, de exemplu, mai puine incidente operaionale i eecuri, creterea
calitii informaiilor, o mai mare ncredere a prilor interesate i reducerea numrului de probleme
referitoare la cadrul de reglementare i de inovare, sprijinirea iniiativelor de noi afaceri.
Dei documentaia referitoare la Risk IT ofer un cadru complet i autonom, ea include referiri la COBIT i
Val IT. The Risk IT Practitioner Guide face referiri extinse la COBIT i Val IT, i recomand ca managerii
i practicienii s se familiarizeze cu principalele principii i cu coninutul acestor dou cadre. Ca i COBIT
i Val IT, Risk IT nu este un standard propriu-zis, ci un cadru flexibil bazat pe cele mai bune practici n
domeniu. Acest lucru nseamn c organizaiile pot i ar trebui s personalizeze componentele din cadrul
entitii lor pentru a se potrivi cu specificul organizaiei.
Prin analogie, auditorii vor personaliza documentele de lucru (liste de verificare, machete, chestionare)
pe baza crora vor efectua evalurile, n funcie de specificul entitii auditate.
ISACA se preocup n continuare de actualizarea i dezvoltarea continu a cadrelor de lucru COBIT, Val
IT i Risk IT, precum i de cadrul de asigurare ITAF (The IT Assurance Framework60) i de securitate a
informaiei BMIS (Business Model for Information Security61).
n seciunea urmtoare sunt prezentate sintetic domeniile, procesele i activitile cadrului de lucru RiskIT.
60 Cadrul de asigurare IT
61 Modelul de afacere al securitii informaiei
Pag. 73 din 214
RG2.3 Adaptarea practicilor de risc IT la practicile de risc pentru ntreprindere
RG2.4 Furnizarea resurselor adecvate pentru managementul riscurilor IT
RG2.5 Furnizarea unei asigurri independente privind managementul riscurilor IT
Procesul RG3 Luarea deciziilor de afaceri contientiznd riscurile
Activiti
RG3.1 Obinerea implicrii efective a managementului pentru abordarea analizei
riscului IT
RG3.2 Aprobarea analizei de risc IT
RG3.3 Incorporarea considerentelor de risc IT n procesul de luare a deciziilor
strategice ale afacerii
RG3.4 Acceptarea riscurilor IT
RG3.5 Prioritizarea activitilor de rspuns la riscurile IT
Standardul internaional ISO/CEI 27001 adopt o abordare bazat pe proces pentru stabilirea,
implementarea, funcionarea, monitorizarea, evaluarea, ntreinerea i mbuntirea SMSI n cadrul unei
organizaii.
Pentru ca o organizaie s funcioneze n mod eficient ea trebuie s identifice i s conduc numeroase
activiti. Orice activitate care folosete resurse i este condus pentru a permite transformarea intrrilor
n ieiri, poate fi considerat un proces. n multe cazuri, o ieire dintr-un process reprezint n mod direct
intrarea ntr-un alt proces.
Abordarea bazat pe proces pentru managementul securitii informaiei prezentat n acest standard
internaional pune accentul pe urmtoarele aspecte:
a) nelegerea cerinelor de securitate a informaiei ale unei organizaii i nevoia de a stabili politici i
obiective pentru securitatea informaiei;
b) Implementarea i utilizarea msurilor pentru a administra riscurile securitii informaiei n
contextul riscurilor de ansamblu ale afacerii;
c) Monitorizarea i evaluarea performanei i eficienei SMSI; i
d) mbuntirea continu bazat pe msurarea obiectiv.
Acest standard internaional adopt modelul "Plan-Do-Check-Act" (PDCA)62, care este aplicat pentru a
structura toate procesele SMSI.
Semnificaia acestor concepte, n viziunea standardului, este urmtoarea:
Plan (stabilirea SMSI) - Stabilirea politicii SMSI, a obiectivelor, proceselor i procedurilor relevante pentru
managementul riscului i mbunatirea securitii informaiei pentru a furniza rezultate n conformitate cu
politicile i obiectivele de ansamblu ale organizaiei.
Do (implementarea i funcionarea SMSI) - Implementarea i funcionarea politicilor SMSI, a msurilor
de securitate, a proceselor i procedurilor.
Check (monitorizarea i revizuirea SMSI) - Evaluarea i, acolo unde este aplicabil, msurarea
performanei procesului n raport cu politica SMSI, obiectivele i experiena practic, precum i raportarea
rezultatelor ctre echipa de management pentru revizuire.
Act (meninerea i mbuntirea SMSI) - Deciderea aciunilor corective i preventive, bazate pe rezul-
tatele auditului SMSI i revizuirile managementului sau pe alte informaii relevante pentru a obine o
mbuntire continu a SMSI.
Obiectivele de control prevzute de standardul ISO/IEC 27001 sunt prezentate sintetic n seciunea
urmtoare. Codificarea este cea prevzut de standard.
A.5 Politica de securitate a informaiei: Asigurarea orientrii generale din partea managementului i
acordarea sprijinului pentru securitatea informaiei n conformitate cu cerinele afacerii, legislaie i
reglementrile aplicabile.
A.6 Organizarea securitii informaiei
A.6.1 Organizarea interna: Administrarea securitii informaiei n cadrul organizaiei.
A.6.2 Pri externe: Meninerea securitii informaiei n cadrul organizaiei i a sistemelor de
procesare a informaiei care sunt accesate, procesate, comunicate ctre sau administrate de pri
externe.
A.7 Managementul resurselor
A.7.1 Responsabilitatea pentru resurse: Obinerea i meninerea unei protecii adecvate a
resurselor organizaionale.
A.7.2 Clasificarea informaiei: Asigurarea c informaia beneficiaz de un nivel de protecie
adecvat.
A.8 Securitatea resurselor umane
A.8.1 naintea angajrii: Asigurarea c angajaii, contractanii i utilizatorii teri neleg respon-
sabilitile care le revin i sunt corespunztori pentru rolurile pentru care sunt alocai, precum i
reducerea riscului de furt, fraud sau de folosire necorespunztoare a sistemelor.
A.8.2 n timpul perioadei de angajare: Asigurarea faptului c toi angajaii, contractanii i
utilizatorii teri sunt contieni de ameninrile privind securitatea informaiei, responsabilitile i
rspunderile juridice ale acestora i sunt pregtii s susin politica de securitate organizaional
pe durata contractului de munc i s asigure reducerea riscului erorilor umane.
A.8.3 ncetarea contractului sau schimbarea locului de munc: Asigurarea faptului c angajaii,
contractanii i utilizatorii teri prsesc organizaia sau schimb locul de munc ntr-o manier
reglementat.
Scenariile de risc constituie instrumente de simulare a unor procese poteniale reale, utilizate n scopul
analizei de risc.
Un scenariu de risc IT este o descriere a unui eveniment legat de IT care poate conduce la un impact
asupra afacerii, la momentul i n cazul n care ar trebui s apar. Pentru, acestea ar trebui s conin
urmtoarele componente:
Evenimentul: divulgare, ntrerupere, modificare, furt, distrugere, proiectare ineficient, execuie
ineficient, reguli i reglementri, utilizare neadecvat
Bunuri /Resurse: personal i organizare, proces, infrastructur (faciliti), infrastructur IT,
informaie, aplicaii
Timp: durat, momentul apariiei (critic/non-critic), timp de detectare
Actori: interni (personal, contractori), externi (competitori, parteneri de afaceri, de reglementare,
de pia)
Tip de ameninare: ru intenionat, accidental/eroare, cdere, cauz natural, cerin extern.
Structura scenariului de risc admite i opereaz cu diferena ntre evenimentele distructive (evenimente
care genereaz un impact negativ), vulnerabiliti sau evenimente generatoare de vulnerabiliti (eve-
nimente care contribuie la amplificarea sau creterea frecvenei de apariie a evenimentelor distructive) i
evenimente care constituie o ameninare (circumstane sau evenimente care pot declana evenimente
distructive). Este important s nu se confunde aceste riscuri sau s nu fie incluse ntr-o list lung de
riscuri cu impact nesemnificativ.
Factorii de risc pot fi, de asemenea, interpretai ca factori de cauzalitate ai scenariului, care se mate-
rializeaz ca vulnerabiliti sau ca puncte slabe. Acetia sunt termeni adesea folosii i n alte cadre de
gestionare a riscurilor.
Pag. 81 din 214
3.1.2 Fluxul de activiti pentru analiza riscurilor
Indicatorii de risc sunt valori capabile s demonstreze c ntreprinderea este supus, sau are o proba-
bilitate mare de a fi supus, unui risc care depete apetitul pentru risc definit. Ei sunt specifici pentru
fiecare organizaie, i selectarea lor depinde de o serie de parametri n mediul intern i extern, cum ar fi
mrimea i complexitatea ntreprinderii, dac acesta funcioneaz ntr-o pia extrem de reglementat,
precum i focalizarea strategiei sale.
Identificarea indicatorilor de risc ar trebui s ia n considerare urmtoarele msuri (printre altele):
Implicarea diferitelor pri interesate n selecia indicatorilor de risc;
Efectuarea unei selecii balansate a indicatorilor de risc, acoperind indicatorii de performan i
tendinele, indicnd ce capabiliti sunt implementate pentru a preveni apariia evenimentelor;
Asigurarea c indicatorii selectai se refer la cauza originii evenimentelor i nu numai la
simptome.
64
n funcie de problematica referit, n cadrul prezentului document se folosesc i variantele distincte audit IT/audit IS, cu
semnificaia corespunztoare, respectiv auditul arhitecturilor i infrastructurilor IT (hardware, software, comunicaii i alte
faciliti utilizate pentru introducerea, memorarea, prelucrarea, transmiterea i ieirea datelor, n orice form), precum i auditul
sistemelor, aplicaiilor i serviciilor informatice.
Pag. 83 din 214
Complexitatea sistemului informatic este conferit de o serie de caracteristici relative la: volumul
tranzaciilor, procedurile de validare a datelor sau a transferurilor de date ntre aplicaii, generarea auto-
mat a tranzaciilor, comunicaia cu alte aplicaii sau sisteme informatice, complexitatea algoritmilor de
calcul, utilizarea unor informaii provenite din surse de date externe (existente la alte entiti) fr
validarea acestora.
Un mediu informatizat poate oferi auditorilor posibilitatea unor prelucrri adiionale, prin furnizarea
informaiilor solicitate n formate cerute de auditor, n scopul interpretrii sau al utilizrii ca date de intrare
pentru programe specializate de audit asistat de calculator. Acest mod de lucru contribuie la creterea
performanei n efectuarea testelor de fond, prin aplicarea unor proceduri analitice automatizate, precum
i a performanei procedurilor de audit, prin utilizarea tehnicilor de audit asistat de calculator.
Sistemele informatice au unele caracteristici inerente care pot afecta att abordarea auditului, ct i
evaluarea efectuat de auditor cu privire la riscul de audit. Unele caracteristici ale sistemului informatic
sporesc acest risc i reclam o atenie special din partea auditorului. n seciunile care urmeaz prezint
scurte rezumate ale acestor caracteristici, accentul fiind pus pe aspectele eseniale care trebuie avute n
vedere: responsabilitatea, vulnerabilitatea la modificri, uurina copierii, riscurile accesului de la distan,
procesare invizibil, existena unui parcurs al auditului, distribuirea datelor, ncrederea n prestatorii de
servicii IT i utilizarea nregistrrilor furnizate de calculator ca prob de audit.
3.2.1 Responsabilitatea
Utilizatorii calculatorului sunt implicit anonimi. Sistemele care nu pot identifica i nregistra aciunile
utilizatorilor individuali nu pot s-i fac ulterior rspunztori de aciunile lor. Utilizatorii sunt mult mai
nclinai s efectueze activiti informatice neautorizate dac nu pot fi identificai i trai la rspundere.
Riscul procesrii de tranzacii neautorizate poate fi redus prin prezena unor controale care identific
precis utilizatorii individuali i nregistreaz aciunile acestora. Deintorii de sisteme IT / IS pot reduce
riscul asociat cu utilizatorii anonimi, n primul rnd, prin atribuirea de coduri unice de identificare
utilizatorilor i, n al doilea rnd, prin obligaia de a-i autentifica identitatea atunci cnd intr n sistem.
Parola este cea mai utilizat metod de autentificare a identitii utilizatorului.
Pentru a crete gradul de rspundere se pot aduga tranzaciilor controale suplimentare, sub form de
semnturi electronice.
n mod normal calculatoarele stocheaz att datele tranzaciei, ct i programul informatic ntr-o form
intangibil pe medii magnetice (discuri i/sau benzi magnetice) sau optice (CD-ROM, DVD). Natura
mediilor magnetice este astfel conceput nct se pot aduce modificri fie datelor, fie aplicaiilor fr a
lsa nici o urm. Auditorii trebuie s evalueze existena i eficiena controalelor care previn efectuarea de
modificri neautorizate. Controale neadecvate pot conduce la situaia ca auditorul s nu poat acorda
ncredere nregistrrilor din calculatoare sau integritii parcursului auditului.
Programele de aplicaie i datele tranzaciei trebuie s fie protejate fa de modificri neautorizate prin
utilizarea de controale adecvate ale accesului fizic i logic. Controalele de acces fizic includ instalarea de
bariere fizice pentru restricionarea accesului n sediu, n cldiri, n slile de calculatoare i la fiecare
component de hardware. Controalele accesului logic sunt restricii impuse de software-ul calculatorului.
Plile prin calculator, precum i transferurile electronice de fonduri permit modificri neautorizate, mult
mai uor dect instrumentele de plat pe hrtie i deci trebuie s aib o protecie adecvat. Integritatea
tranzaciilor electronice poate fi protejat prin tehnici, precum criptarea datelor, semnturi electronice sau
utilizarea unui algoritm de dispersare a datelor.
Copiile datelor informatice pot s fie confundate cu originalul (prin listare, copiere pe supori magnetici sau
optici sau prin transfer electronic). Dac datele au valoare financiar, precum n sistemele de transfer
electronic de fonduri, prevenirea dublrii tranzaciilor este n mod deosebit important. Sistemele
informatice trebuie s ncorporeze controale care s detecteze i s previn procesarea de tranzacii
duble.
Controalele adecvate pot include atribuirea de numere secveniale tranzaciilor i verificarea de rutin a
totalurilor de control. Controalele manuale, precum tampilarea fizic sau anularea formularelor de
introducere n calculator pot de asemenea reduce riscul procesrii duble.
Auditorii trebuie s fie contieni de eventualele probleme n cazul n care instrumente negociabile sunt
stocate i schimbate prin intermediul calculatorului. n astfel de circumstane poate fi adecvat s se
utilizeze intermedierea unei tere pri de ncredere. Tera parte de ncredere va aciona ca registrator i
va ine o eviden a proprietarului nregistrat cu instrumente negociabile particulare. La finalizarea con-
tractului, cumprtorul va atepta confirmarea c vnztorul are drept de proprietate asupra instru-
mentului, nainte de a autoriza plata. Acest aranjament va preveni ca documentele electronice s fie
negociate de dou ori.
Fiierele pe hrtie pot fi uor protejate fa de accesul neautorizat prin instalarea de lacte la ui, fiete,
supraveghere video, alarme anti-efracie i altele. Mijloace similare de protecie pot fi utilizate pentru
protecia dispozitivelor detaabile de stocare de date, precum benzile magnetice i dischetele. Dac
datele sunt accesibile ntr-o reea de calculatoare, atunci poate aprea un grad de incertitudine cu privire
la persoana care are acces la software i la fiierele de date.
Este foarte frecvent cazul entitilor care i conecteaz sistemele de calculatoare la reeaua Internet.
Aceste conectri mresc substanial riscul de acces neautorizat de la distan i de atacuri cu virui i
viermi. Protejarea reelelor conectate la Internet poate fi dificil de realizat i necesit un grad nalt de
cunotine specializate.
Unele sisteme de operare asigur controale ale accesului care limiteaz capacitatea utilizatorilor de la
distan s vad, s modifice, s tearg sau s creeze date. Controalele de acces ale sistemului de
operare pot fi extinse cu controale suplimentare de identificare i autorizare n cadrul fiecrei aplicaii. n
ambele cazuri, eficiena controalelor de acces depinde de existena unor proceduri puternice de iden-
tificare i autentificare i de o bun administrare a sistemelor de securitate.
Procesarea tranzaciilor care are loc in interiorul calculatorului este efectiv invizibil pentru auditor.
Auditorii pot vedea ce informaii intr i ce rezultate sunt obinute, dar au puine cunotine cu privire la ce
se ntmpl pe parcurs. Aceast slbiciune poate fi exploatat prin intermediul unor programe
neautorizate ascunse n programele autorizate. Ameninarea indus de modificrile de program
neautorizate poate fi redus prin adoptarea de proceduri adecvate de control al modificrilor, inclusiv prin
controale de acces eficiente, activiti de nregistrare (logging), revizuirea logurilor respective i o
separare eficient a sarcinilor ntre dezvoltatorii de programe, personalul de operare a calculatoarelor i
utilizatorii finali.
n cazul n care parcursul auditului se bazeaz pe nregistrri stocate pe un calculator, auditorul trebuie s
se asigure c datele privind tranzacia sunt pstrate un timp suficient i c au fost protejate fa de
modificri neautorizate. Capacitatea limitat de stocare a unor calculatoare poate restriciona cantitatea
de date istorice privind tranzaciile, care poate fi pstrat. n aceste cazuri, auditorul poate i trebuie s
insiste s se arhiveze regulat evidenele contabile i s fie pstrate ntr-un mediu sigur. Auditorul poate,
de asemenea, s analizeze impactul posibil al regulilor de arhivare a datelor entitii cnd planific
auditul.
Calculatoarele n reea au capacitatea de a stoca aplicaii financiare i fiiere de date pe orice dispozitive
de stocare din reea. Auditorul se poate afla n faa unui sistem care ruleaz o aplicaie financiar pe un
calculator i stocheaz fiierele cu tranzacii procesate pe un calculator din alt sal, din alt cldire sau
chiar din alt ar.
Procesarea datelor distribuite poate implica creterea resurselor necesare pentru analiza sistemelor
informatice ale entitii auditate i poate complica evaluarea de ctre auditor a controalelor de acces fizic
i logic. Mediul de control poate fi foarte bun ntr-o locaie, dar foarte slab n alt locaie.
Principiile referitoare la probele de audit nu se schimb datorit faptului c auditul se realizeaz ntr-un
mediu informatizat. nregistrrile furnizate de calculator sub form de date pe discuri magnetice sau
discuri optice pot oferi auditorului probe de audit. Auditorul poate, de asemenea, s genereze probe de
audit utiliznd tehnicile de audit asistat de calculator.
Sunt puine precedente care se adreseaz admisibilitii nregistrrilor din calculator la o instan
judiciar. n cazurile n care probele informatice au fost depuse n aciuni judiciare, instanele au luat n
(a) Complexitatea fluxurilor de prelucrare poate genera lipsa formelor intermediare pe care le
parcurge tranzacia, generndu-se n cele mai multe cazuri numai o form final i uneori numai
n format electronic sau disponibil numai pentru o perioad scurt de timp. n lipsa unor
proceduri de validare adecvate, erorile pot fi dificil de detectat prin proceduri manuale, proba de
audit fiind neconcludent.
(b) Alterarea probelor de audit poate fi cauzat de existena unor anomalii sau erori sistematice ale
funcionrii programelor, care afecteaz prelucrarea ntregului fond de date i duc la obinerea
unor rezultate eronate, greu de corectat prin proceduri manuale, avnd n vedere volumul mare
al tranzaciilor i complexitatea algoritmilor de prelucrare.
(c) Concentrarea operrii unor proceduri cu funcionalitate incompatibil la nivelul aceluiai individ,
proceduri care, potrivit legislaiei sau reglementrilor interne privind separarea atribuiilor, ar
trebui operate de ctre persoane diferite, genereaz executarea unor funcii incompatibile i
posibilitatea accesului i alterrii coninutului informaional n funcie de interese personale. O
cerin important legat de operarea sistemului informatic este distribuirea aplicaiilor n cadrul
entitii i alocarea drepturilor de utilizare n conformitate cu necesitatea separrii atribuiilor,
impus de legislaie.
(d) Datorit interveniei umane, care nu are ntotdeauna asociate protecii stricte privind autorizarea
accesului i intervenia asupra fondului de date, n dezvoltarea, ntreinerea i operarea
sistemului informatic, exist un potenial foarte mare de alterare a fondului de date fr o dovad
explicit.
(e) Ca urmare a gestionrii automate a unui volum mare de date, fr implicare uman, exist riscul
nedetectrii pentru o perioad lung de timp a unor erori datorate unor anomalii de proiectare
sau de actualizare a unor componente software.
(f) n cazul unor proceduri sau tranzacii executate n mod automat, autorizarea acestora de ctre
management poate fi implicit prin modul n care a fost proiectat i dezvoltat sistemul informatic
i pentru modificrile ulterioare, ceea ce presupune lipsa unei autorizri similare celei din
sistemul manual, asupra procedurilor i tranzaciilor.
(g) Eficacitatea procedurilor manuale de control este afectat de eficacitatea controalelor IT n si-
tuaia n care procedurile manuale se bazeaz pe documente i rapoarte produse n mod
automat de sistemul informatic.
(i) Efectuarea testelor de control asupra unui volum mare de date, prin utilizarea tehnicilor i
instrumentelor asistate de calculator, este facilitat de existena unor proceduri de prelucrare i
analiz oferite de sistemul informatic.
(j) Evaluarea riscurilor n cazul misiunilor de audit n mediu informatizat trebuie s aib n vedere
probabilitatea obinerii unor informaii eronate cu impact semnificativ asupra auditului ca rezultat
al unor deficiene n funcionarea sistemului informatic,. Aceste deficiene pot fi legate att de
calitatea infrastructurii hardware i/sau software, de dezvoltarea i ntreinerea aplicaiilor, de
operarea sistemului, de securitatea sistemului i a informaiilor, de calitatea personalului implicat
n funcionarea sistemului, de calitatea documentaiei tehnice, ct i de interveniile neautorizate
asupra aplicaiilor, bazelor de date sau condiiilor procedurale impuse n cadrul sistemului.
n proiectarea procedurilor de audit, se vor lua n considerare restriciile impuse de mediul informatic i se
vor alege soluii care s reduc riscul de audit: proceduri manuale de audit, tehnici de audit asistat de
calculator, o soluie mixt, n scopul obinerii unor probe de audit de ncredere.
Acestea sunt trecute n revist pe scurt, urmnd a fi tratate n detaliu n coninutul manualului.
a) Stabilirea obiectivelor i contextului (mediul riscurilor)
Scopul acestei etape a planificrii este nelegerea mediului n care opereaz afacerea, att mediul de
operare extern, ct i cultura intern a organizaiei.
Analiza are n vedere stabilirea contextului strategic, organizaional i de management al riscurilor afacerii
i identificarea constrngerilor i a oportunitilor mediului de operare. n urma analizei efectuate rezult
punctele slabe, oportunitile i prioritile afacerii. De asemenea, se stabilete obiectivul afacerii fa de
care se efectueaz evaluarea riscurilor.
Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt:
analiza unor documentaii relevante ale organizaiei,
examinarea obiectivelor afacerii,
analiza planurilor de afaceri,
analiza managementului riscurilor,
identificarea vulnerabilitilor cu privire la inteniile conducerii n legtur cu atingerea
obiectivelor, analize SWOT65 i PEST66.
b) Identificarea riscurilor
Prin utilizarea informaiilor colectate n legtur cu contextul, se identific riscurile care vor afecta cu cea
mai mare probabililtate ndeplinirea obiectivelor afacerii.
Intrebrile cheie care trebuie formulate pentru a identifica riscurile sunt:
cnd, unde, de ce i cum este probabil apariia riscurilor?
care sunt riscurile asociate cu rezultatele fiecreia dintre prioritile organizaiei?
care sunt riscurile de a nu atinge aceste prioriti?
cine ar putea fi implicat n apariia unor riscuri?
Paii care se parcurg n etapa de identificare a riscurilor sunt: inventarierea riscurilor, identificarea
surselor de risc, identificarea impactului riscului.
Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt:
generarea de scenarii privind posibilele surse de risc
liste de verificare ale posibilelor riscuri ale afacerii sau ale posibilelor riscuri de fraud
d) Evaluarea riscurilor
In procesul de evaluare a riscului este necesar stabilirea nivelului de risc ca fiind acceptabil sau
inacceptabil.
Riscul acceptabil va fi stabilit de raportul dintre importana informaiei i sursele de finanare existente
pentru obinerea i gestionarea acesteia.
Dac riscul este acceptabil nu sunt necesare tratri suplimentare pe lng controalele curente. Riscurile
acceptabile trebuie s fie monitorizate i revizuite periodic pentru a avea asigurarea c rmn
acceptabile.
Dac riscul este inacceptabil este necesar tratarea corespunztoare a acestuia.
Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt:
analize comparative
analize de costuri
modul de percepere a ameninrii
analiza efectelor poteniale.
g) Raportarea riscurilor
Este necesar implementarea unui cadru de lucru care s permit persoanelor responsabile s prezinte
rapoarte privind: riscurile cheie, modul de gestionare a riscurilor, eficacitatea strategiei de tratare, iden-
tificarea unor riscuri noi cu implicaii pentru afacere.
Riscurile neacceptabile i strategiile de tratare a acestora trebuie incluse n planurile de afaceri ale orga-
nizaiei.
3.5.1 Dependena de IT
Dependena de tehnologiile informaiei este un factor cheie n condiiile n care tendina actual este de a
se generaliza utilizarea calculatoarelor n toate domeniile economice i sociale.
n scopul evalurii dependenei conducerii de tehnologiile informaiei, auditorul va examina urmtoarele
aspecte relevante: gradul de automatizare al entitii, complexitatea sistemelor informatice utilizate i
timpul de supravieuire al entitii n lipsa sistemului IT.
Factori de risc
(a) Gradul de automatizare se determin prin inventarierea echipamentelor i tehnologiilor software
existente, aprecierea numrului i importanei sistemelor informatice sau aplicaiilor care funcioneaz i
sunt utilizate n cadrul entitii pentru conducerea proceselor, evaluarea ponderii activitilor informatizate
n totalul activitilor entitii, precum i a gradului de acoperire a necesitilor n compartimentele fun-
cionale i la nivelul conducerii.
Factori de risc
(a) Aptitudinile curente se constituie n cadrul structurii profesionale a angajailor IT prin aciuni care
influeneaz nivelul de pregtire al angajailor IT n raport cu necesitile entitii. Se determin prin
evaluarea personalului IT i prin analiza diseminrii cunotinelor la nivelul ntregului personal. Este de
dorit ca aceste cunotine s nu fie concentrate la nivelul unui numr restrns de personal.
(b) Resursele comparate cu volumul de munc indic gradul de ncrcare a personalului i acoperirea n
raport cu cerinele activitii entitii. Este un factor de risc important ntruct repartizarea dezechilibrat a
sarcinilor poate genera suprasolicitare i, implicit, insatisfacia personalului.
(c) Structura conducerii departamentului IT este determinant n ceea ce privete coordonarea proiectelor
informatice i valorificarea rezultatelor implementrii i utilizrii acestora pentru asigurarea succesului
afacerii.
(d) Fluctuaia personalului se refer la o perioad de un an i este determinat n principal de satisfacia
profesional i material i de moralul personalului IT.
ncrederea actorilor implicai n utilizarea sistemelor informatice sau n valorificarea rezultatelor furnizate
de acestea n cadrul unei entiti (management, utilizatori, auditori) este determinat att de calitatea
informaiilor obinute, ct i gradul n care se asigur utilizarea tehnologiilor informatice ca instrumente
accesibile i prietenoase n activitatea curent.
Factori de risc
(a) Complexitatea sistemului i documentaia disponibil. Sunt apreciate prin percepia privind
complexitatea calculelor i a proceselor controlate de ctre sistemele IT, prin amploarea automatizrii
activitilor desfurate n cadrul entitii, prin calitatea i varietatea interfeelor, prin informaiile docu-
mentare aferente utilizrii aplicaiilor i sistemului. De asemenea, este relevant opinia utilizatorilor despre
dificultatea operrii.
Riscurile asociate unor politici neadecvate n ceea ce privete existena i calitatea documentaiei sunt
generate de practici de lucru neautorizate adoptate de personalul IT, de creterea numrului de erori pro-
duse din aceast cauz de personalul IT, la care se adaug i dificultatea ntreinerii sistemului, precum i
dificultatea diagnosticrii erorilor.
Politica privind documentarea impune n primul rnd pstrarea i utilizarea documentaiei actualizate la
ultima versiune i pstrarea unei copii a documentaiei ntr-un loc sigur n afara sediului entitii.
(b) Integrarea/fragmentarea aplicaiilor. Opinia privind gradul de integrare a aplicaiilor n sistem decurge
din analiza arhitecturii acestuia. n cele mai multe cazuri entitatea nu deine o soluie integrat a siste-
mului informatic, acesta fiind constituit din implementri de aplicaii insularizate, dedicate unor probleme
punctuale (aplicaia financiar-contabil, aplicaii dedicate activitii de baz a entitii etc.). Acest tip de
arhitectur prezint dezavantaje la nivelul utilizrii, precum i o serie de impedimente cum ar fi: difi-
cultatea (sau chiar imposibilitatea) de a asigura interoperabilitatea aplicaiilor i a evita multiplicarea
informaiilor. Tranzaciile sunt procesate n cadrul unor aplicaii informatice distincte, informaiile introduse
n sistem sunt validate ntr-o manier eterogen, respectiv prin proceduri automate combinate cu pro-
ceduri manuale, pentru a se asigura detectarea i corectarea erorilor de intrare, precum i detectarea
inconsistenei sau redundanei datelor. Lipsa unei soluii integrate se reflect de asemenea n existena
unor baze de date diverse, unele instalate pe platforme hardware/software nvechite, existena unor
interfee utilizator diferite i uneori neadecvate, a unor faciliti de comunicaie reduse i a unor probleme
de securitate cu riscuri asociate.
(c) Erori sistematice/intervenii manuale. Pentru a evalua sigurana n funcionare i pentru a detecta
cauzele tipice n situaia fiabilitii sczute a sistemului informatic, este necesar efectuarea unei exa-
minri privind erorile raportate n cadrul utilizrii sistemului i n ce msur este asigurat suportul tehnic
pentru analiza i corectarea acestora n mediul de producie, n ce msur datele generate de sistem
sufer prelucrri manuale adiionale din partea utilizatorilor, precum i problemele de reconciliere ntre
diverse sisteme informatice sau din cadrul sistemului (dac exist). Dup cum am menionat n para-
graful anterior, gradul ridicat de fragmentare al sistemului informatic implic aciuni frecvente ale utili-
zatorului n procesul de prelucrare i influene n ceea ce privete respectarea fluxului documentelor, ceea
ce crete foarte mult riscul de eroare.
(d) Scalabilitatea sistemului. n funcie de soluia arhitectural implementat i de estimrile iniiale privind
dimensiunea bazei de date i complexitatea prelucrrilor, un sistem poate "rezista" sau nu la creteri sem-
nificative ale volumului de tranzacii generate de schimbri majore n activitatea entitii. Estimarea
riscului ca, n viitorul apropiat, sistemul informatic s nu poat suporta creterea volumului de tranzacii
implic decizii importante la nivelul managementului, n sensul reproiectrii acestuia, i, implicit, privind
alocarea unui buget corespunztor.
Cu toate c n urma procesului de dezvoltare un sistem nou a fost acceptat, pe durata sa de via el
trebuie ntreinut, schimbat sau modificat, fapt care are impact asupra controalelor existente i poate
afecta funcionalitatea de baz a acestuia. Revizuirea controalelor schimbrii i schimbarea acestora sunt
necesare pentru a asigura continuitatea sistemelor n ceea ce privete funcionalitatea i modul de
operare.
Factori de risc
Controalele privind schimbarea sunt implementate pentru a asigura c toate schimbrile configuraiilor de
sisteme sunt autorizate, testate, documentate, controlate, c sistemul opereaz potrivit cerinelor i este
implementat un "traseu" adecvat al schimbrilor. Riscurile asociate cu controale ale schimbrii neadec-
vate sunt:
Schimbri neautorizate accidentale sau deliberate ale sistemelor: de exemplu, modificri
neautorizate din partea programatorilor fcute n mediul de producie;
Termene depite pentru implementarea unor probleme: de exemplu, schimbarea nu este
efectuat la timp pentru a satisface cerinele afacerii (o aplicaie privind plata unor taxe la
termene stabilite prin lege);
Raportri i prelucrri eronate: sisteme care nu efectueaz prelucrrile conform cerinelor i
pot genera: pli eronate, raportri confuze etc.;
Insatisfacia utilizatorului: poate genera erori de introducere a datelor, moral sczut al
personalului, scderea productivitii, aciuni sindicale;
Dificulti de ntreinere: calitatea sczut a sistemelor care genereaz cheltuieli mari de
ntreinere, calitatea sczut sau lipsa documentaiei tehnice, schimbrile multiple ale
sistemului fr o gestiune a versiunilor instalate n mediul de producie, lipsa unor proceduri
privind managementul problemelor;
Utilizarea de hardware i software neautorizate: poate conduce la incompatibiliti ntre
diferite pri ale sistemului, sau la incidena cu legislaia referitoare la drepturile de autor;
Probleme privind schimbrile de urgen: schimbrile de urgen necontrolate n mediul de
producie pot conduce la alterarea sau pierderea datelor i a fiierelor.
Pentru evaluarea impactului pe care l au schimbrile sistemului informatic n viaa organizaiei se
examineaz urmtoarele aspecte:
Care sunt nivelul i natura activitii departamentului IT i dac sunt n desfurare proiecte
semnificative.
Dac achiziia i/sau dezvoltarea de programe s-au realizat pe baza cerinelor afacerii.
Care este reputaia furnizorilor externi IT i a sistemelor folosite n cazul achiziiei de
software, precum i metodologia de dezvoltare intern a aplicaiilor.
Dac noua platform hardware/software are n vedere tehnologii de ultim generaie.
n ce msur se vor impune n viitorul apropiat modificri n sistemele IT generate de modi-
ficri structurale ale proceselor afacerii.
Pag. 94 din 214
3.5.5 Externalizarea serviciilor IT
Externalizarea serviciilor se refer la furnizarea unor servicii IT, sau conexe acestora, de ctre o
organizaie independent de entitatea auditat, prin urmtoarele forme: contract cu o ter parte pentru
furnizarea complet a serviciilor IT ctre entitatea auditat (outsourcing), contract cu o ter parte pentru
utilizarea curent i ntreinerea echipamentelor i a aplicaiilor care sunt n proprietatea entitii auditate,
precum i contractarea unor servicii punctuale pe criterii de performan n funcie de necesiti i de
costurile pieei, asociat cu diminuarea sau eliminarea anumitor pri din structura departamentului IT, n
cazul n care externalizarea funciilor aferente acestora este mai eficient.
Contractarea serviciilor IT este folosit pe scar larg n multe organizaii i este n continu cretere.
Principalele argumente pentru susinerea opiunii de externalizare a serviciilor sunt:
costurile: furnizorii de servicii IT ofer servicii mai ieftine dect soluia in-house, prin exploa-
tarea extensiv a configuraiilor proprii;
ealonarea cheltuielilor: nlocuirea unor echipamente costisitoare genereaz cheltuieli
iniiale mari care se vor recupera ntr-un timp ndelungat, n timp ce plata ealonat a
serviciilor este suportat mai uor de ctre entitate;
recrutarea, formarea i meninerea personalului: entitatea elimin sarcinile legate de
managementul resurselor umane;
gestionarea capacitii: furnizorul serviciilor IT este capabil s suplimenteze resursele IT n
situaii de suprancrcare prin realocarea capacitilor disponibile;
furnizarea specialitilor: entitatea poate avea nevoie temporar de specialiti pe anumite
domenii, nejustificndu-se angajarea permanent a acestora;
experiena i expertiza: furnizorii de servicii IT dispun de o larg experien n multe
sectoare de activitate i n multe organizaii, fiind capabili s ofere soluii i idei de
perfecionare pentru serviciile IT, care nu s-ar putea formula dac aceste servicii ar rmne
in house;
responsabilitate: furnizorul este responsabil pentru rezolvarea problemelor care fac obiectul
contractului, pentru livrarea serviciilor la standardele i preurile stabilite;
implementarea mai rapid a noilor sisteme: furnizorii de servicii, datorit resurselor i
experienei personalului implicat n permanen n dezvoltarea sistemelor, sunt capabili s
implementeze la timp sisteme noi i s gestioneze problemele care apar, referitoare la
acestea.
Opiunea privind externalizarea serviciilor IT trebuie s se bazeze pe o bun cunoatere a pieei n scopul
alegerii celei mai adecvate soluii privind: reputaia furnizorilor, costurile corelate cu calitatea serviciilor.
Factori de risc
Evaluarea riscurilor achiziionrii serviciilor IT de la un furnizor de servicii se face n funcie de poziia
entitii auditate n acest proces: entitatea auditat este furnizorul serviciilor IT sau entitatea auditat
achiziioneaz serviciile IT. Examinarea este diferit pentru fiecare caz n parte. Auditorul va revizui
controalele specifice n funcie de unghiul de vedere al auditului: controale de acces logice i fizice,
controale privind managementul schimbrii etc.
(a) Drepturi de acces n auditul extern. Auditorul extern poate avea nevoie s acceseze sistemele
furnizorului de servicii pentru a verifica acurateea prelucrrilor informaiilor entitii auditate i c nu sunt
factori semnificativi care ar putea s afecteze evaluarea auditorului referitoare la fraud sau erori
materiale. Pentru serviciile furnizate intern, evaluarea se va baza pe revizuirea sistemelor de control
Pag. 95 din 214
interne ale entitii auditate. Indiferent de modul de furnizare a serviciilor, auditorul trebuie s neleag
sistemele de control intern i fluxul tranzaciilor n sistem. Dac auditorul extern decide c este necesar
accesul direct la furnizorul de servicii, n contractul semnat cu furnizorul trebuie s existe o clauz n acest
sens.
(b) Prelucrarea erorilor. Pentru asigurarea c prelucrrile efectuate de furnizor sunt corecte i complete,
clientul poate avea nevoie de proceduri de reconciliere a datelor trimise furnizorului cu datele primite dup
ce prelucrarea s-a finalizat. Este necesar stabilirea unei proceduri privind reconcilierea, pentru cazul
cnd sunt depistate erori de prelucrare.
(c) Controlul privind securitatea sistemului. Furnizorul de servicii IT este obligat s menin un nivel de
securitate corespunztor n ceea ce privete informaiile clientului. Exist riscul ca standardele i
procedurile de securitate implementate de furnizor s fie sub nivelul adoptat de client. Pentru a reduce
acest risc n contract trebuie incluse clauze care s stipuleze responsabilitatea furnizorului de a asigura
securitatea datelor clientului n concordan cu un standard specific.
(d) Dependena de furnizorul de servicii IT. Odat cu contractarea furnizrii serviciilor IT, pentru client
exist riscul de a deveni dependent de un anumit furnizor de servicii cel puin pe perioada contractului,
majoritatea expertizei IT interne transferndu-se n serviciile furnizorului. Devine dificil renunarea la
furnizorul de servicii sau trecerea la un alt furnizor n condiii limit (probleme legale, faliment, lichidare).
Pentru a reduce riscul care decurge din dependena de serviciile existente, contractul trebuie s conin
clauze care s protejeze clientul, privind predarea lucrrilor dup rezilierea contractului, pentru a uura
trecerea la alt furnizor i a permite clientului s continue prelucrarea ntr-o manier satisfctoare.
(e) Pierderea flexibilitii. In procesul de contractare, clientul agreeaz cu furnizorul natura serviciilor ce
vor fi furnizate. n cazul schimbrilor survenite n activitatea organizaiei beneficiare, furnizorul nu este
obligat s admit executarea noilor activiti care, de fapt, nu fac obiectul contractului. Acest aspect se
regsete n special n sectorul public unde dinamica schimbrilor este mare, acestea fiind determinate
de schimbri de guvern sau de politic. Pentru reducerea riscului, clientul trebuie s includ n contract
clauze privind schimbarea sistemului n condiiile schimbrii obiectivelor afacerii.
(f) Costul schimbrilor. Dac furnizorul de servicii IT nu are obligaii contractuale n ceea ce privete
schimbarea sistemului n concordan cu noile cerine este necesar ncheierea unui act adiional care n
multe cazuri conine o valoare mare. Clientul trebuie s-i ia msuri pentru a reduce riscul de a fi forat s
plteasc sume mari, ori de cte ori sunt necesare schimbri prin includerea n contract a unor clauze
care s specifice costurile adiionale pentru schimbri ale sistemelor, ale coninutului serviciilor sau pentru
schimbri n ceea ce privete volumul tranzaciilor prelucrate.
(g) Pierderea specialitilor interni proprii i a expertizei n domeniu. Prin contractarea serviciilor IT cu o
ter parte, clientul nu mai are nevoie de specialiti IT la care renun, ceea ce i reduce capacitatea de a
gestiona problemele tehnice i de a le discuta cu furnizorul de servicii. Pierderea expertizei tehnice
determin necesitatea de a reface echipa proprie, ceea ce poate fi dificil de realizat. Acest risc este
asumat din momentul lurii deciziei de externalizare a serviciilor.
(h) Rezistena personalului. n cazul variantei de externalizare pe criterii de performan, exist riscul
reaciilor adverse din partea personalului care este n pericol s-i piard locul de munc. Schimbrile se
reflect n: numrul de ore de munc, condiiile de munc, ealonarea plilor, senzaia de frustrare a
salariailor, i pot conduce la resentimente ale personalului, la scderea productivitii i a performanelor.
Auditorul trebuie s ia n considerare aceste aspecte n evaluarea riscului unor comportamente care s
conduc la activiti neautorizate, fraud sau sabotaj.
Reducerea riscurilor n cazul externalizrii serviciilor IT este asigurat de clauzele contractuale care
protejeaz ambele pri de efecte nerezonabile. Contractele cu furnizorii de servicii includ clauze
referitoare la: durata contractului, condiiile de reziliere, accesul pentru audit, definirea obligaiilor, pena-
liti, drepturile de proprietate intelectual, proprietatea asupra datelor, condiiile de predare la sfri-
tul/ntreruperea contractului, standarde de securitate, natura i nivelul serviciilor, costuri adiionale/ comi-
sioane, controlul schimbrii.
Contractele specific detalii privind serviciile furnizate i trebuie examinate de ctre auditor. Pentru
asigurarea c serviciile sunt livrate n mod satisfctor, clientul trebuie s stabileasc proceduri de
monitorizare care s includ ntlniri periodice i la cerere ntre reprezentanii managementului furni-
zorului i ai clientului pentru a discuta asupra serviciilor livrate i pentru rezolvarea problemelor aprute.
Lansarea unor investiii n IT, efectuat la nceputul unei afaceri sau schimbrile necesare pe parcursul
acesteia vor fi supuse unor analize privind obiectivele investiiilor IT, configuraiile necesare, personalul IT
implicat n proiecte, soluiile de achiziie sau de dezvoltare, finanarea proiectelor etc.
Deciziile luate de managementul de vrf al entitii n legtur cu direciile de dezvoltare n domeniul IT
trebuie formalizate i documentate ntr-un document denumit Strategia IT n care se identific toate
proiectele i activitile IT care vor face obiectul finanrilor.
Deciziile i schimbrile planificate specificate n strategia IT sunt preluate i detaliate n planurile anuale
ale departamentului IT.
Dei strategia are un efect minimal pentru auditul efectuat pentru o perioad de un an, ea ofer o imagine
n legtur cu o perspectiv mai ndelungat (urmtorii ani) i l avertizeaz pe auditor n ceea ce privete
problemele care pot s apar n viitor.
Factori de risc
Adecvarea strategiei IT la obiectivele afacerii este deosebit de important pentru reducerea riscurilor n
atingerea obiectivelor afacerii i are n vedere urmtoarele aspecte:
Strategia IT trebuie s fie o parte a strategiei entitii i s contribuie prin suportul oferit la
atingerea obiectivelor acesteia. Sistemele IT vor fi instalate i utilizate ntruct sunt
necesare, nu n funcie de dorina personalului;
Investiiile IT trebuie s constituie cheltuieli care trebuie justificate prin efectele pe care le au
asupra afacerii;
Strategia IT se refer n general la o perioad de trei ani, fiind dificil de estimat dinamica
schimbrilor tehnologice n domeniu;
Ritmul accelerat al schimbrilor n domeniul IT implic revizuirea anual a strategiei IT i
actualizarea acesteia dac este nevoie;
Personalul trebuie s fie informat asupra principalelor aspecte incluse n strategia IT;
Pag. 97 din 214
Strategia trebuie s includ consideraii despre sistemele financiare;
Strategia trebuie s fie aprobat de ctre managementul de vrf.
Factorii de risc privind focalizarea strategiei IT pe obiectivele afacerii se pot sintetiza astfel:
(a) Corelaia ntre strategia IT i strategia ntregii afaceri. Se examineaz dac obiectivele departa-
mentului IT sunt consistente cu obiectivele ntregii afaceri, dac planificarea anual a departamentului IT
este realizat pe baza prevederilor strategiei.
(b) Contientizarea conducerii fa de riscurile IT. Se analizeaz n ce msur conducerea este
contient de importana sistemelor IT i de riscurile asociate acestora.
(c) Necesiti curente raportate la funcionalitatea IT. Se evalueaz flexibilitatea i adaptabilitatea siste-
melor IT i modul n care sistemele informatice acoper necesitile curente ale afacerii.
Poziia entitii referitoare la securitatea informaiei trebuie exprimat n Politica de securitate IT, care
stabilete cu claritate politicile, principiile i standardele specifice privind securitatea, precum i cerinele
de conformitate cu acestea, controalele detaliate privind securitatea, responsabilitile i sarcinile
personalului n ceea ce privete securitatea IT, modalitile de raportare n caz de incidente.
Politica de securitate se exprim ntr-o form concis, narativ, este aprobat de managementul de vrf,
trebuie s fie disponibil pentru toi funcionarii responsabili cu securitatea informaiei i trebuie s fie
cunoscut de toi cei care au acces la sistemele de calcul.
Politica de securitate trebuie s conin urmtoarele elemente:
O definiie a securitii informaiei, obiectivele sale generale i scopul;
O declaraie de intenie a managementului prin care acesta susine scopul i principiile
securitii informaiei;
O detaliere a politicilor, principiilor i standardelor specifice privind securitatea, precum i a
cerinelor de conformitate cu acestea:
1. conformitatea cu cerinele legale i contractuale;
2. educaie i instruire n domeniul securitii;
3. politica de prevenire i detectare a viruilor;
4. politica de planificare a continuitii afacerii.
O definire a responsabilitilor generale i specifice pentru toate aspectele legate de
securitate;
O descriere a procesului de raportare n cazul apariiei incidentelor privind securitatea.
Entitatea trebuie s implementeze metode de monitorizare a conformitii cu politica de securitate i s
furnizeze asigurarea c politica este de actualitate. Responsabilitatea pentru securitatea IT este asignat
unei funcii de administrare a securitii.
Factori de risc
(a) Motivaia pentru fraud/infraciuni (intern i extern). Se analizeaz care sunt tipurile de informaii
gestionate de ctre sistemele IT, din punctul de vedere al confidenialitii i n ce msur ar fi afectat
reputaia entitii n caz de fraud.
Pag. 98 din 214
(b) Senzitivitatea datelor. Avnd n vedere c tentativele de fraud asupra datelor din sistemul informatic
sunt stimulate de interesul manifestat pentru informaiile confideniale, se apreciaz ct de confideniale
sunt datele gestionate de ctre sistemele IT, pentru a evalua probabilitatea de atac asupra acestora i
pentru a stabili dac controalele implicate de politica de securitate sunt suficient de riguroase.
(c) Legislaie i regulamente. Se evalueaz modul de aliniere a entitii la contextul legislativ i de
reglementare, prin prisma caracterului informaiilor gestionate de sistemele IT (de exemplu, privind
protecia datelor cu caracter personal).
Riscurile asociate cu controale ale accesului logic neadecvate
Cele mai importante riscuri care pot decurge din lipsa controalelor accesului logic sunt:
Dezvluiri neautorizate prin acces la informaii confideniale;
Modificri neautorizate;
Afectarea integritii sistemului.
Dac sistemul este conectat ntr-o reea de arie larg, cum ar fi reeaua Internet, riscurile sunt cu mult mai
mari, iar controalele accesului logic cu mult mai importante pentru a asigura integritatea, disponibilitatea i
confidenialitatea sistemului. Atacatorii pot fi hackeri, funcionari, foti funcionari, competitori, spioni,
vnztori i consultani.
Consecinele violrii securitii accesului logic se pot reflecta ntr-o gam de efecte care pot afecta att
afacerea, ct i opinia de audit. Acestea pot fi:
a) Pierderi financiare: pot fi directe, decurgnd dintr-o fraud sau indirecte, decurgnd din costurile
modificrilor i corectrii datelor i programelor.
b) Obligaii legale: entitatea poate avea obligaii legale privind stocarea i dezvluirea datelor. De
exemplu, informaiile dezvluite pot intra sub incidena legii proteciei datelor cu caracter personal, sau,
pierderea integritii ntr-un mediu bancar poate produce nclcarea regulilor bancare i aciuni
disciplinare pentru aceasta.
c) Pierderi ale aciunilor pe pia i/sau a credibilitii: sunt foarte grave n special n sectorul serviciilor
financiare (bnci, fonduri de investiii) unde pot conduce la pierderea afacerii.
d) Distrugerea activitilor afacerii: de exemplu, dac un hacker ptrunde n sistemul de fabricaie asistat
de calculator al unei organizaii i schimb toate dimensiunile produselor.
e) Calificarea opiniei de audit: intereseaz cel mai mult pe auditorul extern, avnd n vedere c datele din
sistemul informatic nu pot fi auditate, ntruct nu ofer probe de ncredere, i pot conine erori materiale
datorate alterrii lor.
Riscuri asociate reelelor i conexiunilor la Internet
Prin conectarea sistemelor entitii n reea apare potenialul unor riscuri majore generate de accesul unor
utilizatori anonimi externi sau al unor funcionari neautorizai care conduce la:
Pierderea datelor prin tergere intenionat sau n timpul transmisiei;
Alterarea datelor de ctre utilizatori sau datorate erorilor de transmisie;
Fraud generat de surse interne sau externe;
Indisponibilitatea sistemului: legturile n reea pot fi deteriorate cu uurin. Liniile de
comunicaie se extind n general n afara granielor de control ale entitii (de exemplu,
clientul se poate lega pe o reea telefonic local prin linii ISDN (Integrated Services Digital
Network);
Dezvluirea neautorizat a informaiilor confideniale, accidental sau deliberat;
1. Planificarea capacitii: asigurarea c sistemele de calcul vor continua s asigure servicii cu nivel
de performan satisfctor pe o perioad mare de timp. Aceasta implic: personal de operare IT,
capacitate de calcul i de memorare, capacitate de ncrcare a reelei.
2. Monitorizarea performanei: monitorizarea zilnic a performanei sistemului n termenii msurrii
timpului de rspuns.
3. ncrcarea iniial a programelor: iniializarea sistemelor sau instalarea de software nou.
4. Managementul suporilor tehnici: include controlul discurilor, al benzilor, al discurilor compacte (CD
ROM), al dischetelor etc.
5. Programarea proceselor de calcul: include programarea proceselor care se desfoar n paralel
cu programele curente i efectueaz n principal actualizri de fiiere. Acestea se execut n
general periodic (zilnic, sptmnal, lunar, trimestrial sau anual).
6. Salvri i recuperri n caz de dezastru: salvarea datelor i a programelor se efectueaz regulat
de ctre personalul de operare.
7. Asigurarea suportului (Helpdesk) i managementul problemelor: helpdesk reprezint modalitatea
de a face legtura ntre utilizatori i personalul din departamentul IT, ori de cte ori apar probleme
n operarea calculatorului. Problemele pot s apar n programe individuale (aplicaii i sisteme),
hardware, sau telecomunicaii.
8. ntreinerea: se refer att la hardware, ct i la software.
9. Monitorizarea reelei i administrare: majoritatea calculatoarelor utilizate n afaceri sau n admi-
nistraie funcioneaz n reea. Funcia de operare IT presupune responsabilitatea asigurrii c
legturile de comunicaie sunt ntreinute i furnizeaz utilizatorilor accesul n reea la nivelul
aprobat. Reelele sunt n mod special importante cnd clientul utilizeaz schimburi electronice de
date.
Riscuri asociate
(a) Aplicaiile nu se execut corect: decurge din operarea greit a aplicaiilor sau utilizarea unei versiuni
incorecte, a unor parametri de configurare incoreci introdui de personalul de operare (de exemplu,
ceasul sistemului i data setate incorect pot genera erori n calculul dobnzilor, al penalitilor, al
salariilor etc.).
(b) Pierderea sau alterarea aplicaiilor financiare sau a fiierelor de date: poate rezulta dintr-o utilizare
greit sau neautorizat a unor programe utilitare.
Pag. 101 din 214
(c) Personalul IT nu tie s gestioneze rezolvarea problemelor sau raportarea erorilor: ncercarea de a
le rezolva singuri poate provoca pierderi i mai mari;
(d) ntrzieri i ntreruperi n prelucrare: sunt alocate prioriti greite n programarea unor sarcini date;
(e) Lipsa salvrilor i a planificrii incidentelor probabile: crete riscul incapacitii de a continua
prelucrarea n urma unui dezastru.
(f) Lipsa capacitii (resurselor) sistemului: sistemul poate fi incapabil de a prelucra tranzaciile
deoarece este suprancrcat.
(g) Timpul mare al cderilor de sistem pn la remedierea erorii: cnd sistemele sunt indisponibile se
poate construi un jurnal provizoriu care s conin tranzaciile netransmise.
(h) Probleme ale utilizatorilor nerezolvate datorit funcionrii defectuoase a facilitii Helpdesk.
Dezvoltrile efectuate de utilizatori ntr-un mediu informatizat este o activitate dificil de controlat, ntruct
utilizatorii nu adopt standardele sau bunele practici utilizate de specialitii din departamentul IT. Acest
mediu necontrolat poate conduce la consum de timp, efort i costuri suplimentare, precum i la riscuri
majore n cazul n care utilizatorii care dezvolt programe prelucreaz i tranzacii financiare.
n ceea ce privete dezvoltarea de sisteme informatice de ctre utilizatori, auditorul va evalua riscurile
care decurg din dezvoltarea intern a sistemelor informatice (resurse de dezvoltare / implementare /
colarizare etc.). Se vor trata difereniat cazurile n care entitatea are un departament IT care are ca
atribuii dezvoltarea de sisteme i aplicaii, de cele n care dezvoltrile se fac ad-hoc, fr utilizarea unui
suport metodologic adecvat i fr participarea unor specialiti cu atribuii definite n acest domeniu.
Factori de risc
(a) Dezvoltarea programelor de ctre utilizatori este realizat de personal lipsit de experien, neinstruit n
dezvoltarea de sisteme software i lipsit de asisten de specialitate din partea departamentului IT, ceea
ce genereaz n mod tipic urmtoarele probleme:
Sisteme nesigure care nu efectueaz prelucrrile n conformitate cu cerinele;
Sisteme care nu includ controale privind: integritatea datelor, intrrile, prelucrrile sau
ieirile;
Sisteme netestate i cu rezultate imprevizibile;
Sisteme nedocumentate, dificil de ntreinut, dependente de persoana care le-a realizat;
Sisteme supuse unor schimbri necontrolate, fr gestionarea versiunilor;
Incompatibilitatea i fragmentarea informaiei n cadrul sistemului entitii.
(b) Duplicarea efortului rezult din efectuarea unor sarcini care se execut i n departamentul de
informatic pentru rezolvarea aceleiai probleme, n lipsa unei coordonri unitare. Din acest punct apar
probleme adiionale privind renunarea la una dintre variante, dublarea efortului de ntreinere i
documentare, sau, n unele cazuri, obinerea de rezultate diferite n urma prelucrrii datelor.
(c) Inconsistena datelor provine din utilizarea sistemului distribuit care prelucreaz date inconsistente din
departamente diferite (tarife de plat pentru colaboratori, uniti de msur, costuri unitare, regii) care, n
lipsa unificrii la nivelul departamentului IT, sunt preluate n prelucrri ca atare.
(h) Virusarea calculatoarelor. Calculatoarele personale ale utilizatorilor pot infecta programele de pe
servere i celelalte calculatoare din reeaua entitii, fiind o surs potenial de virui preluai de pe supori
tehnici de arhivare a datelor, neprotejai de un program antivirus (floppy disk, CD ROM etc.) sau din
reeaua Internet.
(i) Securitatea accesului logic sau fizic. Majoritatea calculatoarelor personale utilizeaz sisteme de
operare proiectate pentru utilizatori individuali, i, n consecin, cu restricii limitate privind controalele
accesului logic, cunoscute, n cele mai multe cazuri de ctre utilizator i posibil de depit de utilizatori
neautorizai, cu cunotine n domeniul IT. Accesul fizic la calculatoarele personale, este mai puin
controlat. Sistemul informatic al entitii (servere i minicalculatoare) funcioneaz, de regul, ntr-un
mediu controlat, cu acces restricionat prin chei, carduri de acces etc., ceea ce nu se ntmpl n cazul
calculatoarelor personale. Datele sunt n general memorate pe dischete sau pe CD ROM, putnd fi uor
copiate, editate sau terse de utilizatori neautorizai.
Managementul serviciilor IT. Infrastructura IT este destinat furnizrii serviciilor IT care s satisfac
diferite cerine legate de necesitile afacerii. Aceste servicii pot varia de la aplicaii simple, pn la
sisteme complexe, cum ar fi automatizarea ntreprinderii. Serviciile pot fi distribuite pe un numr mare de
sisteme hardware, software i de comunicaii i pot fi furnizate intern, de ctre organizaii externe, prin
externalizare, precum i ntr-o manier eterogen.
Modelul de management al riscurilor prezentat n acest capitol ia n considerare opt arii de risc,
corespunztoare arhitecturii de referin privind furnizarea serviciilor IT, elaborate de INTOSAI Standing
Committee on IT Audit:
1 Managementul de vrf
2 Strategii i politici
3 Operare
4 Externalizarea serviciilor
5 Servicii suport
6 Cerine externe, constrngeri i reglementri formale
7 Interaciunea utilizatorilor cu serviciile electronice
8 Consecinele furnizrii serviciilor IT asupra instituiilor publice, mediului de afaceri i cetenilor
Planificare
Obiectiv: Managementul de vrf trebuie s dezvolte un plan strategic, ca parte integrant a strategiei
organizaiei, n scopul utilizrii eficace i eficiente a infrastructurii IT, i s se asigure c acest plan este
implementat i produce efecte n sensul atingerii obiectivelor generale ale organizaiei.
Elaborarea planului strategic presupune:
Recunoaterea oportunitilor i problemelor cu care se confrunt organizaia, n cadrul crora utilizarea
serviciilor IT se poate face, n general, cu costuri adecvate;
Identificarea resurselor necesare pentru a furniza serviciile IT solicitate;
Formularea de strategii pentru achiziionarea resurselor necesare;
Stabilirea unor obiective realiste (fezabile) i msurabile.
Risc Impact
2. Funcia IT este privit ca o funcie de excelen i a. Exagerarea alocrii fondurilor pentru investiii IT
nu ca o funcie suport asociate unor faciliti care exced funcionalitatea
aferent obiectivelor afacerii
b. Investiiile nu sunt adecvate sau necesare pentru
furnizarea serviciilor IT
4. Domeniile de activitate privind serviciile IT nu sunt a. Sunt neglijate sau nu sunt gestionate suficient zone
definite, sau examinarea acestora nu este finalizat importante (de exemplu, cnd se dezvolt un sistem,
conducerea nu ia n considerare reglementri externe
Alocarea suportului economic, uman i tehnologic sau nu evalueaz consecinele pe care sistemul le-ar
este inadecvat avea asupra societii)
Organizare
Obiectiv: Managementul de vrf trebuie s asigure organizarea eficient i eficace a serviciilor IT pentru a
permite ndeplinirea obiectivelor organizaionale stabilite.
Tabelul 2
Risc Impact
Conducere
Obiectiv: Managementul de vrf trebuie s asigure direcionarea dezvoltrii serviciilor IT necesare pentru
crearea unui mediu adecvat, capabil s susin prosperitatea, performana i creterea.
Tabelul 3
Risc Impact
1. Motivaie slab a personalului n ceea ce privete a. Obiective conflictuale ale managementului conduc la
receptivitatea fa de serviciile IT performana sczut a salariailor
b. Reducerea capacitii de a ndeplini obiectivele cheie
2. Personalul ezit s participe la instruiri sau a. Lipsa abilitilor IT adecvate n cadrul organizaiei
programe de instruire pentru a-i perfeciona
abilitile IT b. Reducerea abilitilor de a ndeplini obiectivele cheie
Tabelul 4
Risc Impact
2. Managementul de vrf nu vede importana sau a. Actori responsabili ar putea implementa proceduri
beneficiile oferite de utilizarea procedurilor formale de individuale sau managementul riscurilor ar putea fi
management al riscurilor informal
Ar putea s nu existe deloc proceduri pentru
monitorizarea efectiv a riscurilor aferente ariilor de
activitate.
b. Lipsa contientizrii i o probabilitate mare de a nu
realiza un management echilibrat al entitii.
Semnale din multiple surse i motivare sczut n
cadrul organizaiei.
6. Managerii de vrf sau, cel mai probabil, mijlocii nu a. Managementul IT se focalizeaz pe livrarea serviciilor
au abiliti de management financiar adecvate IT fr a lua n considerare aspectele financiare
8. Lipsa sau aplicarea unor proceduri neadecvate ntrzierea sau lipsa informrii.
pentru instituii bugetare i raportare a costurilor Personalul exagereaz n mod deliberat sau
subestimeaz cerinele de finanare. Aceasta poate
Pag. 107 din 214
conduce la stabilirea incorect a costurilor i beneficiilor
proiectului, i la prioritizarea incorect a proiectelor
Managementul schimbrilor
Obiective:
1. nelegerea clar a obiectivelor afacerii i a rolului pe care serviciile IT l au n atingerea
acestora
2. nfiinarea unei structuri de management pentru implementarea, monitorizarea costurilor i
actualizarea planului strategic IT
3. Identificarea standardelor, metodelor i instrumentelor software care s susin aplicarea
planului strategic
4. Revizuirea periodic a rezultatelor planului strategic IT i operarea ajustrilor necesare
Tabelul 5
Risc Impact
1. Unul sau mai multe servicii IT noi nu sunt livrate a. Eec n ndeplinirea obligaiilor statutare sau
la timp contractuale
b. Pierderea unor oportuniti de afaceri
c. Eec n aplicarea la timp a politicii guvernamentale
2. Costurile de dezvoltare a noului serviciu/ale noilor a. Investii inutile (abandonarea posibil a proiectului)
servicii depesc justificarea bugetar sau
economic b. Deturnarea fondurilor limitate de la proiecte de succes
c. Lipsa funcionalitii eseniale a serviciilor datorat
necesitii unor economii neprevzute
5. Noul serviciu IT nu este prietenos i este dificil de a. Costuri de operare mai mari, datorate productivitii
utilizat sczute
b. Rat de eroare nalt
c. Moral sczut al personalului
e. Serviciul IT este sub-utilizat sau ignorat de public
(avnd ca rezultat pierderea investiiilor, eecul aplicrii
politicii guvernamentale etc.)
6. Noul serviciu IT nu este disponibil n mod a. Nevoia de timp de lucru suplimentar excesiv,
continuu materializat n costuri de operare mari
b. Serviciul IT este sub-utilizat sau ignorat de public
(avnd ca rezultat pierderea investiiilor, eecul aplicrii
politicii guvernamentale etc.)
c. Cderi ale serviciului datorate suprancrcrii
7. Noul serviciu/noile servicii IT nu ofer satisfacie a. Moral sczut al personalului (de exemplu, datorit
n ceea ce privete disponibilitatea i/sau utilitatea incapacitii sistemului de a susine activitatea, i, nevoii
constante de a rezolva situaii neprevzute)
10. Noul serviciu / noile servicii IT nu este/nu sunt a. Spargerea, deteriorarea, cderea serviciului
sigure
b. Frauda
c. Indivizi susceptibili de riscuri personale (de exemplu,
prin securitate neadecvat a informaiei sau erori
software)
Investiii pierdute (de exemplu, publicul ignor serviciul
din cauza motivelor de securitate)
3.6.3 Operare
Tabelul 6
Risc Impact
c. Pierderea credibilitii
Intern
Extern
Tabelul 7
Risc Impact
1. Organizaia nu are ncredere n aspecte legate a. Pierderi ale afacerii. Dac sunt expuse secrete
de securitate industriale s-ar putea ajunge, n cazul cel mai ru, la
compromiterea afacerii
Obiectiv: Obinerea nivelului de mentenan cerut pentru a asigura continuitatea serviciilor IT.
Tabelul 8
Risc Impact
Obiectiv: Asigurarea unui suport tehnic suficient pentru a permite organizaiei s utilizeze serviciile IT
furnizate.
Tabelul 9
Risc Impact
Obiectiv: Asigurarea c sunt suficiente resurse umane pentru a dezvolta i ntreine infrastructura.
Tabelul 10
Risc Impact
4. Utilizarea neeficace a resurselor datorit lipsei a. Lipsa credibilitii din cauz c utilizatorii nu
abilitilor utilizatorilor consider serviciile utile
b. Decizie luat greit datorit utilizrii incorecte
c. Resursele IT consum prea mult timp pentru a
rezolva erori cauzate de lipsa abilitilor utilizatorilor
Obiectiv: Organizaia trebuie s primeasc fonduri suficiente pentru a permite dezvoltarea infrastructurii
IT, astfel nct s se ating obiectivele organizaionale.
Tabelul 11
Risc Impact
2. Dificulti n obinerea acceptrii utilizatorului (de a. Pierderi ale afacerii sau clieni nesatisfcui
exemplu, beneficiile sunt dificil de msurat sau nu
sunt obinute rapid) b. Dificulti cu acceptana utilizatorilor finali
c. Productivitate sczut i scderea moralului
personalului
3. Rata de nlocuire a personalului mai mare dect a. Planurile dezvoltrii infrastructurii IT sunt ntrziate
poate tolera organizaia pentru a asigura sau abandonate
continuitatea
b. Creterea incertitudinii n livrarea serviciului IT
c. Costuri mai ridicate, datorit instruirii continue a noilor
angajai
d. Productivitate sczut i scderea moralului
personalului datorit lipsei de continuitate
Obiectiv: Organizaia trebuie s exploateze oportunitile oferite de noua tehnologie n scopul atingerii
obiectivelor organizaionale ntr-o manier eficient i eficace.
Tabelul 12
Risc Impact
2. Noile investiii IT sunt coordonate i conduse de a. Risipirea investiiilor pe technic la mod n locul
personalul IT celor legitimate de necesitile afacerii
n societate exist o serie de factori externi care influeneaz dezvoltarea i utilizarea serviciilor IT:
(a) politica Guvernului de utilizare a serviciilor informatice n administraie (de exemplu, modernizarea
Guvernului prin intermediul IT), (b) competiia organizaiilor n dezvoltarea IT i (c) universitile i alte
instituii de cercetare care dezvolt bune practici n dezvoltarea infrastructurii IT. Managementul trebuie s
promoveze o politic de analiz a reglementrilor care s se focalizeze pe identificarea reglementrilor
care au impact asupra serviciilor IT.
Tabelul 13
Risc Impact
3. Eec n interpretarea i n nelegerea factorilor de a. Deciziile privind serviciile IT nu sunt luate sau se
risc extern identificai bazeaz pe informaie nesigur
b. Deciziile necorespunztoare despre strategiile i
politicile legate de infrastructura IT operaional se
reflect n infrastructur operaional IT i suport
insuficiente
Obiectiv: Asigurarea c utilizatorii interni i externi sunt capabili s acceseze infrastructura de servicii IT.
Tabelul 14
Risc Impact
2. Eec n furnizarea de servicii IT accesibile, a. Serviciul este sub-utilizat din cauza lipsei de
focalizate pe utilizator nelegere asupra a ceea ce se urmrete s se obin.
n particular:
5. Livrarea serviciilor electronice poate deveni a. Eec n optimizarea oportunitilor i a ncasrilor din
obiectul comparaiei cu alte dezvoltri (nefavorabile) livrarea serviciilor IT
b. Comentarii publice nefavorabile
c. Dificulti politice
Obiectiv: Asigurarea c utilizatorii interni i externi primesc un nivel adecvat al suportului pentru utilizarea
serviciilor i pot utiliza serviciul eficace i eficient.
Tabelul 15
Risc Impact
1. Utilizatorii nu sunt capabili s utilizeze un serviciu a. Productivitate sczut / standard sczut al serviciului
ntr-o manier eficace i eficient datorit lipsei
instruirii sau a unei instruiri neadecvate b. Utilizatorii evit s utilizeze serviciul, rezultnd
pierderi ale investiiei
c. Performan sczut n atingerea obiectivelor
organizaiei
d. Dificulti politice
Obiectiv: Asigurarea c dialogul ntre utilizatori i serviciul IT are calitatea corespunztoare n cadrul
comunicrii.
Tabelul 16
Risc Impact
Gestiunea informaiei
Obiectiv: Asigurarea c organizaia recunoate c informaia este o resurs vital i o gestioneaz n
condiii de securitate i cu cel mai bun efect.
Tabelul 17
Risc Impact
Managementul schimbrii
Obiectiv: Asigurarea c schimbrile asupra serviciului electronic sunt implementate ntr-o manier care s
nu genereze probleme.
Schimbarea gestionat defectuos poate induce probleme n ceea ce privete funcionalitatea i n modul
n care rspunde serviciul electronic, probleme care se manifest prin rate ridicate de eroare i de cdere.
Tabelul 18
Risc Impact
Obiectiv: Protejarea confidenialitii, integritii i disponibilitii pentru utilizarea datelor organizaiei ntr-o
manier a eficienei costurilor capabil s inspire ncredere n rndul comunitii utilizatorilor.
O securitatea a informaiei ineficace poate avea un impact dramatic asupra operaiilor afacerii. Poate
avea, de asemenea, un impact semnificativ asupra percepiei publicului n ceea ce privete serviciile
electronice (n mod particular, atunci cnd implic fraud), avnd drept consecin o pierdere general a
ncrederii.
Risc Impact
Obiectiv: Promovarea unei productiviti ridicate i a principiilor morale prin dezvoltarea unui mediu de
lucru sigur i sntos.
Risc Impact
Tabelul 21
Risc Impact
5. Cadrul de Interoperabiliate a sistemelor este sau Informaia nu poate fi schimbat prompt n i ntre
devine ineficace diferite organizaii ale sectorului public
c. Neplceri politice
Armonizarea abordrilor cu tendinele strategice stabilite la nivelul INTOSAI, precum i stabilirea direciilor
strategice n domeniul auditului IT / IS n cadrul Curii de Conturi a Romniei se raporteaz att la
abordrile instituiilor supreme de audit de prestigiu din cadrul INTOSAI i ale unor instituii cu tradiie n
auditul extern, ct i la cerinele standardelor i bunelor practici internaionale (INTOSAI, ISA, ISO 27000,
ISACA, COBIT, ITIL). Abordarea auditului IT / IS n cadrul Curii de Conturi a Romniei este n
concordan cu direciile de dezvoltare incluse n Planul de lucru pentru perioada 2008-2011 al Grupului
de lucru EUROSAI IT-WG i, implicit, n conformitate cu abordarea impus de cadrul de auditare
INTOSAI. De asemenea, aceast abordare este consistent cu obiectivele strategice ale CCR i
contribuie la realizarea acestora.
Cadrul conceptual, metodologic i procedural pentru auditul IT / IS implementat n cadrul Curii de Conturi
a Romniei este armonizat cu punctul de vedere asupra auditului n medii informatizate, formulat de
Grupul special de lucru EUROSAI IT Working Group, care acord o atenia special auditului sistemelor
IT i problematicii asociate i recomand ca auditul IT s devin o parte integrant a tuturor auditurilor
desfurate de Instituiile Supreme de Audit.
Potrivit cadrului INTOSAI, obiectul auditului sistemelor informatice poate fi focalizat pe programe,
proiecte, sisteme informatice sau resurse informatice create sau utilizate n instituiile publice. Acestea pot
fi auditate la nivel strategic, operaional sau la nivel de aplicaie. Auditarea se poate desfura pe ntreg
ciclul de via al sistemului sau numai pe anumite etape: proiectare, dezvoltare, implementare, producie,
livrare, interoperabilitate, acces, utilizare. Auditarea include, de asemenea, i evaluarea conformitii cu
legislaia n vigoare.
Principalele constatri, concluzii i recomandri formulate pe parcursul misiunii de audit vor fi sintetizate i
vor fi naintate conducerii entitii auditate, constituind obiectul valorificrii raportului de audit. Modul de
implementare a recomandrilor i stadiul implementrii acestora vor fi revizuite periodic, la termene
comunicate entitii auditate.
Curtea de Conturi desfoar urmtoarele tipuri de audit IT:
Evaluarea unui sistem informatic n scopul furnizrii unei asigurri rezonabile privind
funcionarea acestuia, asigurare necesar inclusiv misiunilor de audit financiar sau de audit al
performanei la care este supus entitatea;
Evaluarea performanei implementrii i utilizrii sistemelor informatice;
Misiuni de audit mixte, prin integrarea celor trei tipuri de audit: auditul financiar, auditul
performanei i auditul IT / IS, acestea urmnd a se desfura n cadrul unor misiuni comune,
n funcie de obiectivele stabilite;
Auditul unor soluii informatice dezvoltate i implementate pentru a contribui la prevenirea i
combaterea corupiei i a evaziunii fiscale;
Constituia Romniei;
Legea nr. 94/1992 privind organizarea i funcionarea Curii de Conturi, cu modificrile i
completrile ulterioare;
Regulamentul privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum
i valorificarea actelor rezultate din aceste activiti;
Cadrul metodologic i procedural elaborat de structura de specialitate a Curii de Conturi a
Romniei, convergent cu standardele de audit generale i specifice adoptate de Curtea de
Conturi, n baza standardelor internaionale de audit INTOSAI, ISA, ISACA i a standardelor de
securitate.
Cadrul conceptual, metodologic i procedural pentru auditul IT / IS implementat n cadrul Curii de
Conturi a Romniei este armonizat cu punctul de vedere asupra auditului n medii informatizate,
formulat de Grupul special de lucru EUROSAI IT Working Group, care acord o atenia special
auditului sistemelor IT i problematicii asociate i recomand ca auditul IT s devin o parte
integrant a tuturor auditurilor desfurate de Instituiile Supreme de Audit;
Manualul de auditul performanei, elaborat de Curtea de Conturi a Romniei, ediia 2005.
Obiectivele misiunii de audit au un rol determinant n abordarea auditului, din acestea decurgnd cerine
i restricii privind desfurarea activitilor n toate etapele misiunii de audit: planificarea auditului,
efectuarea auditului, raportare, revizuire.
Abordarea general a auditului IT / IS se bazeaz pe evaluarea riscurilor. Pentru auditul performanei
implementrii i utilizrii sistemelor informatice se asociaz i abordarea pe rezultate. Auditul se poate
efectua pentru ntreg ciclul de via al sistemelor i aplicaiilor informatice sau se poate raporta numai la
anumite componente specificate sau la anumite etape de dezvoltare a sistemului.
Formularea obiectivelor generale se face n funcie de scopul evalurii: evaluarea performanei unei
activiti bazate pe tehnologia informaiei, evaluarea unui program sau a unui sistem bazat pe tehnologia
informaiei, evaluarea tehnic a unui sistem sau a unor aplicaii, evaluarea unor componente ale
sistemului dintr-un punct de vedere precizat.
Scopul generic al misiunilor de audit al sistemelor informatice este obinerea unei asigurri rezonabile
asupra implementrii i funcionrii sistemului, n conformitate cu prevederile legislaiei n vigoare, cu
reglementrile n domeniu, cu standardele internaionale i ghidurile de bune practici, precum i evaluarea
sistemului din punctul de vedere al furnizrii unor servicii informatice de calitate sau prin prisma
performanei privind modernizarea administraiei i asigurarea ncrederii n utilizarea mijloacelor
electronice.
n funcie de tematica auditului, auditorul public extern are sarcina de a clarifica obiectivele auditului, de a
identifica referenialul pentru efectuarea auditrii (standarde, bune practici, reglementri, reguli, proceduri,
dispoziii contractuale etc.) i de a examina gradul n care cerinele care decurg sunt aplicate i contribuie
la realizarea obiectivelor entiti.
n principiu, exist dou categorii de probleme care pot constitui obiective generale ale auditului:
stabilirea conformitii rezultatelor entitii cu un document de referin, conformitate asupra
creia trebuie s se pronune auditorul;
evaluarea eficienei cadrului procedural i de reglementare i a focalizrii acestuia pe obiectivele
entitii.
Pornind de la obiectivul general, se formuleaz obiective specifice care determin direciile de audit,
cerinele concrete i criteriile care vor sta la baza evalurilor. Ca obiective specifice generice, se vor avea
n vedere:
Evaluarea soluiilor arhitecturale i de implementare a sistemului informatic;
Evaluarea infrastructurii hardware i software: echipamente, sisteme, aplicaii;
Evaluarea implicrii managementului de la cel mai nalt nivel n perfecionarea guvernanei IT;
Evaluarea calitii personalului utilizator al sistemelor i aplicaiilor informatice;
Evaluarea securitii sistemului informatic;
Evaluarea disponibilitii i accesibilitii informaiilor;
Evaluarea managementului schimbrilor i al continuitii sistemului;
Evaluarea sistemului de management al documentelor;
Evaluarea utilizrii serviciilor electronice disponibile;
Evaluarea schimbului de informaii i a comunicrii cu alte instituii;
Conformitatea cu legislaia n vigoare;
Identificarea i analiza riscurilor decurgnd din utilizarea sistemului informatic, precum i a
impactului acestora;
Evaluarea efectelor implementrii i utilizrii infrastructurii IT n modernizarea activitii entitii
auditate.
Misiunea de audit al sistemelor informatice are n vedere urmtoarele criterii de evaluare generice:
Dac sistemul informatic asigur un cadru adecvat, bazat pe integrarea tehnologiilor informatice
pentru desfurarea continu a activitii;
Dac activitile desfurate pe parcursul derulrii proiectelor IT / IS sunt conforme cu obiectivele
i termenele de realizare, aprobate la nivel instituional, la fundamentarea acestora;
Dac pe parcursul proiectelor s-au nregistrat dificulti tehnice, de implementare sau de alt
natur;
Dac implementarea proiectelor conduce la modernizarea activitii entitii, contribuind la
integrarea unor noi metode de lucru, adecvate i conforme cu noile abordri pe plan european i
internaional;
Dac soluia tehnic este fiabil i susine funcionalitatea cerut n vederea creterii calitii
activitii;
Dac sistemul informatic funcioneaz n conformitate cu cerinele programelor i proiectelor
informatice privind integralitatea, acurateea i veridicitatea, precum i cu standardele specifice de
securitate;
Dac pregtirea utilizatorilor atinge nivelul performanei cerute de aceast nou abordare,
analizat prin prisma impactului cu noile tehnologii;
Dac exist i au fost respectate standarde privind calitatea suportului tehnic i metodologic.
Aceste criterii vor fi utilizate pe parcursul misiunii de audit IT, din perspectiva crerii, la nivelul instituiilor
auditate, a unor arhitecturi de sistem coerente, bazate pe creterea partajrii informaiei i a sistemelor n
administraia public, reducerea costurilor totale prin reutilizare i evitarea duplicrii aplicaiilor i
sistemelor, reducerea timpului de implementare a proiectelor, mbuntirea manierei de administrare a
proiectelor i de implementare a soluiilor (portofoliul de proiecte), stabilirea politicilor de migrare pentru
proiectele existente.
Criteriile de audit pot fi diferite de la un audit la altul, n funcie de obiectivele specifice ale misiunii de
audit.
Natura i volumul procedurilor de audit necesare pentru evaluarea controalelor aferente mediului
informatizat variaz n funcie de obiectivele auditului i de ali factori care trebuie luai n considerare:
natura i complexitatea sistemului informatic al entitii, mediul de control al entitii, precum i conturile i
aplicaiile semnificative pentru obinerea situaiilor financiare.
Auditorul public extern cu atribuii de evaluare a sistemului IT i auditorul public extern cu atribuii de
auditare a situaiilor financiar contabile trebuie s coopereze pentru a determina care sunt activitile care
vor fi incluse n procesul de revizuire. Cnd auditul sistemului informatic este o parte din misiunea de
audit financiar, evaluarea controalelor IT face parte dintr-un efort consistent att de evaluare a
controalelor, ct i de evaluare a fiabilitii datelor financiare raportate.
Misiunile de audit financiar au un rol central n furnizarea unor informaii financiare mai fiabile i mai utile
factorilor de decizie i n perfecionarea sistemului de control intern pentru a fi adecvat cu sistemele de
management financiar. Controalele IT reprezint un factor semnificativ n atingerea acestor scopuri i n
nelegerea de ctre auditor a structurii controlului intern al entitii. Acestea trebuie luate n considerare
pe parcursul ntregului ciclu de via al auditului.
Planificarea este prima etap din ciclul de via al auditului, corectitudinea acesteia asigurnd eficiena i
execuia efectiv a tuturor celorlalte etape ale auditului. Planificarea presupune obinerea de informaii
privind entitatea auditat i de informaii despre sistemul de control intern al acesteia. De asemenea, i
foarte important, planificarea trebuie s includ o evaluare a riscurilor care decurg din funcionarea
acestor sisteme.
Planificarea auditului are la baz o strategie de audit, care se formuleaz pornind de la definirea abordrii
auditului i precizeaz elemente legate de coordonarea misiunii de audit, echipa implicat n aceast
misiune, atribuiile n cadrul echipei, orizontul de timp i direciile principale de aciune.
Scopul planificrii auditului IT / IS este acela de a obine o nelegere a mediului n care funcioneaz
sistemul informatic n cadrul entitii auditate, de a evalua riscul de eroare sau de fraud, de a elabora o
abordare eficient a auditului prin care s se colecteze probe suficiente i de ncredere n scopul formrii
unei opinii, i de a aloca resursele necesare pentru realizarea acestor activiti. Planificarea activitilor
are n vedere minimizarea costurilor auditului.
Planificarea auditului sistemelor informatice trebuie s includ toate fazele necesare atingerii obiectivelor
misiunii auditului, respectiv: documentarea privind activitatea auditat, programul sau sistemul care face
obiectul auditului, stabilirea strategiei de audit, stabilirea procedurilor de audit i a tehnicilor aferente, a
metodelor de sintetizare, analiz i interpretare a probelor de audit, identificarea i evaluarea riscurilor
generate de furnizarea serviciilor electronice.
n cazul auditrii sistemelor informatice financiar-contabile, trebuie analizat impactul acestor sisteme
asupra planului misiunii de audit. Aceast analiz are la baz urmtoarele activiti:
cunoaterea relaiei dintre situaiile financiare i sistemele informatice care le susin;
evaluarea necesitii implicrii n audit a specialitilor n audit IT / IS;
luarea n considerare a impactului implementrii i utilizrii sistemului informatic asupra riscului,
att la nivelul entitii ct i pentru domeniul financiar-contabil;
luarea n considerare a posibilitilor de utilizare a tehnicilor de audit asistat de calculator pentru
susinerea auditului, inclusiv identificarea celor mai adecvate mijloace de accesare i analiz a
datelor aferente tranzaciilor;
analiza modului de includere a evalurii controalelor IT n abordarea auditului;
identificarea sistemelor informatice financiar-contabile n curs de dezvoltare care vor necesita
implicarea auditului.
n anul 1992, The Committee of Sponsoring Organizations of the Treadway Commission (COSO) a
identificat urmtoarele componente interrelaionate ale sistemului de control intern care au fost adoptate
de AICPA67:
Mediul de control, care include: integritatea, valorile etice i competena personalului entitii;
viziunea managementului i stilul de operare i modul n care managementul i manifest
autoritatea, i organizeaz i dezvolt resursele umane.
Evaluarea riscurilor: identificarea i analiza riscurilor relevante pentru atingerea obiectivelor
entitii, n scopul formrii unei baze pentru determinarea modului n care acestea pot fi
gestionate.
Activitile de control: politicile i procedurile care ofer asigurarea c deciziile manage-
mentului sunt aduse la ndeplinire. Acestea includ activiti care presupun: aprobri, verificri,
reconcilieri, revizuiri ale performanei i separarea atribuiilor.
Informarea i comunicarea, care presupun identificarea, capturarea i comunicarea
informaiei pertinente ctre indivizi, ntr-o form adecvat i ntr-un timp care s le permit
ndeplinirea responsabilitilor.
Monitorizarea: se refer la activitile viitoare care presupun evaluarea continu a perfor-
manei controlului intern i asigurarea c deficienele identificate sunt raportate manage-
mentului de vrf.
Atunci cnd evalueaz sistemul de control intern, auditorul trebuie s ia n considerare factorii specifici
mediului informatizat. De exemplu, auditorul trebuie s ia n considerare atitudinea i contientizarea
managementului n ceea ce privete operaiile informatizate:
Considerarea riscurilor i beneficiilor aplicaiilor informatice;
Comunicarea politicilor privind funciile informatizate i responsabilitile;
Supervizarea politicilor i procedurilor referitoare la dezvoltarea, modificarea, ntreinerea i
utilizarea programelor i fiierelor, precum i pentru controlul accesului la acestea;
Considerarea riscului inerent i a riscului de control aferente calculatoarelor i datelor
electronice;
Reacia la recomandrile i cerinele anterioare;
Planificarea operativ i eficace a activitilor IT / IS;
Contientizarea dependenei de sistemul informatic n luarea deciziei.
Riscurile generice asociate sistemului informatic, detectate pe parcursul unei misiuni de audit al
sistemelor informatice vor fi clasificate n trei categorii:
a) Riscuri privind planificarea, dezvoltarea i introducerea sistemelor i serviciilor informatice
Aceste riscuri decurg din:
Lipsa unei planificri strategice;
Insatisfacia utilizatorilor; ignorarea explorrii profilului utilizatorilor;
Neglijarea aspectelor legate de asigurarea calitii;
Lipsa unor evaluri privind eficacitatea costurilor;
Nendeplinirea atribuiilor privind crearea cadrului necesar legal i organizaional;
Implicarea sporadic i inconsecvent n elaborarea i implementarea reglementrilor i
standardelor IT i de securitate;
Furnizarea neadecvat a infrastructurii tehnice;
Dependena de companiile IT;
Utilizarea sistemului informatic se realizeaz n cadrul unei structuri clar definite; conducerea la
cel mai nalt nivel este informat despre activitatea IT i este receptiv la schimbare; gestionarea
resurselor umane se face eficient; monitorizarea cadrului legislativ i a contractelor cu principalii
furnizori se desfoar corespunztor; are loc revizuirea funcionalitii, operrii i dezvoltrilor de
componente, astfel nct acestea s fie n concordan cu necesitile activitii entitii i s nu
expun entitatea la riscuri nejustificate.
Accesul neautorizat la datele sau programele critice este prevenit i controlat; mediul n care
opereaz sistemele este sigur din punct de vedere al confidenialitii, integritii i credibilitii.
Aplicaiile sunt disponibile atunci cnd este nevoie, funcioneaz conform cerinelor, sunt fiabile i
au implementate controale sigure asupra integritii datelor.
Sunt luate msurile necesare pentru diminuarea riscului deteriorrii (accidentale sau deliberate)
sau al furtului echipamentelor IT, se acioneaz corespunztor pentru reducerea probabilitii
apariiei unor defeciuni majore i sunt stabilite msurile necesare pentru ca, n cazul
indisponibilizrii facilitilor de procesare, entitatea s i reia n mod eficient activitatea, ntr-o
perioad de timp rezonabil.
Sistemul este conform cu reglementrile legale n vigoare.
n evaluarea riscurilor IT se va utiliza Lista de verificare privind evaluarea riscurilor generate de
funcionarea sistemului informatic. Aceasta conine urmtoarele categorii de probleme generatoare de
riscuri:
Aceast list nu exclude adugarea altor categorii de probleme considerate semnificative de ctre
auditor, n funcie de obiectivele specifice ale auditului.
Descrierea riscurilor identificate de auditorii publici externi trebuie s includ informaii privind cauzele i
impactul posibil al acestora, precum i nivelul de risc (mic, mediu sau mare) evaluat de auditorul public
extern pe baza raionamentului profesional.
Planul de audit ofer cadrul general pentru atingerea obiectivelor auditului ntr-un mod eficient i oportun.
Pe parcursul desfurrii auditului, se admit ajustri ale planului de audit, justificate de apariia unor
elemente noi fa de evaluarea contextului iniial, care necesit adncirea unor investigaii i aplicarea
unor proceduri de audit mai detaliate.
Planul de audit conine informaii privind natura, durata i programarea procedurilor de audit, precum i
resursele necesare (de personal, financiare, tehnice, documentare etc.).
Elaborarea planului de audit se concentreaz pe urmtoarele direcii: definirea ariei de acoperire a
auditului, descrierea modului n care se va desfura auditul, furnizarea unui mijloc de comunicare a
informaiilor despre audit ntregului personal implicat n auditare.
Planul de audit conine urmtoarele seciuni:
1. Informaii despre entitatea auditat: obiective, structur, dotare hardware i software,
volumul operaiilor prelucrate automat;
2. Stabilirea obiectivelor auditului: abordarea auditului, aria de acoperire a auditului, rolul
auditorului IT;
3. Evidenierea domeniilor critice care vor fi examinate: ariile cu riscul cel mai ridicat;
4. Criteriile de audit stabilite;
5. Etapele misiunii de audit i tipurile de evaluri aferente: procedurile de audit prin care se
obin probele de audit, metodele i tehnicile de analiz, sintez i interpretare a probelor de
audit;
6. Resurse necesare: personal, timp, resurse tehnice i financiare.
Planul de audit se avizeaz de directorul din cadrul departamentului de specialitate / directorul adjunct al
camerei de conturi i se aprob de eful de departament / directorul camerei de conturi.
Planul de audit al sistemelor informatice poate fi actualizat pe parcursul desfurrii misiunii de audit de
ctre membrii echipei, cu aprobarea conducerii structurilor de specialitate ale Curii de Conturi, n situaii
temeinic justificate.
Auditorii publici externi trebuie s comunice cu entitatea auditat ntr-o manier constructiv, pe tot
parcursul desfurrii misiunii de audit, prin organizarea unor ntlniri sau prin mijloace electronice.
In scopul ndeplinirii obiectivelor din Planul de audit, auditorii publici externi vor elabora proceduri de audit
pentru categoriile de probleme specifice sistemelor informatice: evaluarea calitii managementului,
Pag. 138 din 214
securitatea fizic i controalele de mediu, securitatea informaiei i a sistemului informatic, continuitatea
sistemului, managementul schimbrii i al dezvoltrii sistemului, funcionalitatea aplicaiilor, calitatea
auditului intern cu privire la sistemul informatic, evaluarea riscurilor generate de funcionarea sistemului
informatic. Aceste proceduri au asociate instruciuni metodologice, liste de verificare, machete i
chestionare, dup caz.
Procedurile de audit se refer la obinerea probelor de audit, la analiza probelor de audit i la sintetizarea
rezultatelor.
Auditorii publici externi vor face o evaluare a sistemelor informatice i a aplicaiilor, prin analiza,
interpretarea i sinteza informaiilor obinute n cadrul interviurilor sau colectate din sursele documentare
i prin intermediul machetelor, chestionarelor i listelor de verificare.
Aceste operaiuni se bazeaz n principal pe elaborarea i/sau utilizarea unor tabele sintetice, repre-
zentri grafice, indicatori de performan, matrici de corelaie etc. n acest scop se utilizeaz, pe scar din
ce n ce mai larg, instrumentele i tehnicile bazate pe calculator.
Evaluarea i revizuirea sistemului informatic se fac prin analiza constatrilor rezultate i interpretarea
acestora. n funcie de impactul pe care l au neconformitile constatate, se formuleaz recomandri
pentru remedierea acestora i reducerea nivelului riscurilor. Aceste recomandri reflect opiniile
auditorului asupra entitii auditate prin prisma obiectivelor misiunii de audit. Sintetic, constatrile se vor
referi la urmtoarele aspecte: evaluarea complexitii sistemelor informatice, evaluarea general a
riscurilor entitii n cadrul mediului IT, evaluarea riscurilor n cadrul fiecrei aplicaii, precum i un punct
de vedere al auditorului privind fezabilitatea unui demers de audit bazat pe controale.
Raportarea are ca scop punerea n eviden a punctelor slabe ale controalelor, identificate de auditor i
aducerea lor la cunotina entitii auditate prin intermediul raportului de audit i al unei scrisori care
conine sinteza principalelor constatri i recomandri.
Raportul de audit identific aria de cuprindere, obiectivele, perioada, planificarea n timp i aria de
acoperire ale activitii de auditare efectuate.
Raportul de audit este elaborat de auditorii publici externi pentru fiecare misiune de audit i va include
cele mai semnificative constatri, recomandri i concluzii care au rezultat n cadrul misiunii de audit cu
privire la stadiul i evoluia implementrii i utilizrii sistemelor informatice existente n entitatea auditat.
Raportul va include, de asemenea, opinia auditorilor cu privire la natura i extinderea punctelor slabe ale
controlului intern n cadrul entitii auditate i impactul posibil al acestora asupra activitii entitii.
Recomandrile formulate n raportul de audit nu trebuie s detalieze modul de implementare, aceasta
fiind o responsabilitate a managementului entitii auditate.
Raportul de audit al sistemelor informatice trebuie s fie obiectiv i corect, s cuprind toate constatrile
relevante, inclusiv cele pozitive, s fie constructiv i s prezinte concluziile i recomandrile formulate de
echipa de audit.
Pentru punerea de acord cu entitatea auditat cu privire la proiectul raportului de audit, are loc recon-
cilierea care const ntr-o dezbatere ntre echipa de audit i conducerea entitii auditate cu privire la
constatrile, concluziile i recomandrile formulate n cadrul misiunii de audit. Proiectul raportului de audit,
mpreun cu anexele la acesta, se transmit entitii auditate, nsoit de o adres de naintare n care se
precizeaz data la care va avea loc reconcilierea. Alturi de echipa de audit, la conciliere poate participa
i conducerea departamentului / camerei de conturi.
Entitatea auditat formuleaz punctul de vedere cu privire la constatrile i recomandrile coninute n
proiectul raportului de audit i l transmite, n termen de 10 zile, structurii care a efectuat auditul.
n situaia n care exist diferene de opinii ntre auditorii publici externi i conducerea entitii auditate cu
privire la coninutul proiectului raportului de audit al sistemelor informatice, care nu pot fi soluionate cu
ocazia reconcilierii, echipa de audit prezint n raportul de audit al sistemelor informatice, punctul de
vedere al entitii auditate i explic cu claritate motivele care au stat la baza nensuirii acestora, dac
este cazul.
Dup discuiile purtate cu entitatea auditat, auditorii publici externi pot modifica proiectul raportului de
audit al sistemelor informatice, dac entitatea auditat aduce probe de noi care s justifice modificarea
constatrilor.
Raportul de audit al sistemului informatic sau o sintez a principalelor constatri, concluzii i recomandri
ale acestuia pot fi transmise, dup caz, i instituiilor publice interesate, Guvernului, comisiilor de
specialitate din cadrul Parlamentului, prin intermediul departamentului n a crui competen de verificare
intr domeniul respectiv.
n situaia n care misiunea de audit al sistemelor informatice este coordonat de ctre un departament de
specialitate, aspectele semnificative cuprinse n rapoartele de audit al sistemelor informatice ntocmite la
nivelul camerelor de conturi vor fi incluse n raportul de audit al sistemelor informatice ntocmit la nivelul
departamentului coordonator.
Valorificarea constatrilor consemnate n raportul de audit al sistemelor informatice i n anexele la acesta
se face prin emiterea unei decizii de ctre eful de departament / directorul camerei de conturi, potrivit
competenelor stabilite n Regulamentul privind organizarea i desfurarea activitilor specifice Curii de
Conturi, precum i valorificarea actelor rezultate din aceste activiti. Decizia va conine msurile propuse
de Curtea de Conturi pentru intrarea n legalitate, conform procedurii prevzute la pct. 171 din
Regulamentul privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i
valorificarea actelor rezultate din aceste activiti, precum i pentru creterea performanei programului /
proiectului / procesului / activitii auditat (e). Recomandrile formulate de auditorii publici externi vor sta
la baza formulrii msurilor din decizie.
Revizuirea auditului se realizeaz n cadrul unei noi misiuni de audit, care are ca obiectiv evaluarea
modului n care au fost implementate recomandrile formulate n raportul de audit anterior aferent misiunii
de audit al sistemelor informatice. Rezultatele se consemneaz ntr-un nou raport de audit care conine
concluzii, constatri i recomandri relative la stadiul implementrii recomandrilor formulate n raportul
de audit iniial.
n conformitate cu standardul ISA 400, Evaluarea Riscului i Controlului Intern, auditorul va analiza dac
mediul de control i procedurile de control aplicate de entitate activitilor proprii desfurate n mediul
informatizat, n msura n care acestea sunt relevante pentru aseriunile situaiilor financiare, este un
mediu sigur. n cazul sistemelor informatice, atunci cnd procedurile sunt automatizate, cnd volumul
tranzaciilor este mare sau cnd probele electronice nu pot fi urmrite pe tot parcursul fluxului de
prelucrare, auditorul poate decide c nu este posibil s reduc riscul de audit la un nivel acceptabil dect
prin utilizarea testelor detaliate de audit. n astfel de cazuri sunt frecvent utilizate tehnici de audit asistat
de calculator.
De asemenea, pentru sistemele informatice financiar-contabile sunt deosebit de importante urmtoarele
aspecte ale controlului intern: (a) meninerea integritii procedurilor de control n mediul informatizat i
(b) asigurarea accesului la nregistrri relevante pentru a satisface necesitile entitii, precum i n
scopul auditului.
Auditorul va analiza exhaustivitatea, acurateea i autorizarea informaiilor furnizate pentru nregistrarea i
procesarea nregistrrilor financiare ale entitii (integritatea tranzaciei). Natura i complexitatea
aplicaiilor influeneaz natura i amploarea riscurilor referitoare la nregistrarea i procesarea tranzaciilor
electronice.
Procedurile de audit referitoare la integritatea informaiei, aferente tranzaciilor electronice, se axeaz n
mare parte pe evaluarea credibilitii sistemelor utilizate pentru prelucrarea tranzaciilor. Utilizarea
serviciilor informatice iniiaz, n mod automat, alte secvene de prelucrare a tranzaciei fa de sistemele
tradiionale. Procedurile de audit pentru sistemele informatice trebuie s se concentreze asupra
controalelor automate referitoare la integritatea tranzaciilor, pe msur ce acestea sunt nregistrate i
apoi procesate imediat.
ntr-un mediu informatic, controalele referitoare la integritatea tranzaciei sunt n majoritatea cazurilor
proiectate pentru a asigura, printre altele: validarea intrrilor i prevenirea duplicrii sau a omiterii
tranzaciilor.
n general, tranzaciile electronice nu au asociate nregistrri scrise i pot fi mult mai uor de distrus sau
de alterat dect cele scrise, fr a lsa nici o urm a distrugerii sau alterrii. Auditorul trebuie s
stabileasc dac politicile de securitate a informaiei i controalele de securitate ale entitii sunt
implementate adecvat pentru prevenirea modificrilor neautorizate ale nregistrrilor contabile, ale
sistemului contabil sau ale sistemelor care furnizeaz date sistemului contabil. Aceasta se poate realiza
prin testarea controalelor automate, cum ar fi verificrile de integritate a datelor, tampile de dat
electronic, semnturi digitale i controale de versiune n vederea stabilirii autenticitii i integritii
probelor electronice. n funcie de estimrile cu privire la aceste controale, auditorul poate considera
necesar efectuarea unor proceduri suplimentare, cum ar fi confirmarea detaliilor tranzaciilor sau a
soldurilor conturilor cu tere pri68.
Utilizatorii sistemului informatic sunt, implicit, anonimi. Sistemele care nu pot identifica i nregistra
aciunile utilizatorilor individuali nu pot s-i fac ulterior rspunztori de aciunile lor. Utilizatorii sunt mult
mai nclinai s efectueze activiti informatice neautorizate daca nu pot fi identificai i fcui rspunztori.
Riscul procesrii de tranzacii neautorizate poate fi redus prin prezena unor controale care identific
utilizatorii individuali i ntreprind aciuni de contracarare a eventualelor aciuni ostile ale acestora. Riscul
poate fi redus prin obligativitatea autentificrii la accesarea sistemului i prin introducerea unor controale
suplimentare, sub form de semnturi electronice.
Plile prin calculator, ca i transferurile electronice de fonduri, sunt mult mai uor de modificat dect
instrumentele de plat pe hrtie i de aceea trebuie sa aib o protecie adecvat. Integritatea tranzaciilor
electronice poate fi protejat prin tehnici precum criptarea datelor, semnturi electronice sau prin
utilizarea unui algoritm de dispersare a datelor.
Dac datele au valoare financiar, prevenirea dublrii tranzaciilor prin copiere este n mod deosebit
important. Sistemele utilizatorului trebuie s ncorporeze controale care s detecteze i s previn
procesarea de tranzacii duble.
Controalele pot include atribuirea de numere secveniale tranzaciilor i verificarea de rutin a totalurilor
de control.
Fiierele pe hrtie pot fi uor protejate fa de accesul neautorizat prin implementarea unor controale ale
accesului fizic. Mijloace similare de protecie pot fi utilizate pentru protecia dispozitivelor de stocare a
datelor (CD-ROM, benzi magnetice i dischete). Dac datele sunt accesibile pe o reea de calculatoare,
atunci apare un grad de incertitudine cu privire la cine are acces la software i la fiierele de date.
Conectarea sistemelor de calculatoare la reeaua global Internet mrete substanial riscul de acces
neautorizat de la distan i de atacuri cu virui sau alte forme de alterare a informaiei sau de distrugere
a unor sisteme informatice. Protejarea reelelor conectate la Internet poate fi dificil de realizat i necesit
controale de nivel nalt, specializate.
Unele sisteme de operare asigur controale ale accesului care limiteaz capacitatea utilizatorilor de la
distan s vad, s modifice, s tearg sau s creeze date. Controalele de acces ale sistemului de
operare pot fi mrite prin controale suplimentare de identificare i autorizare n cadrul fiecrei tranzacii. n
ambele cazuri, eficiena controalelor de acces depinde de proceduri de identificare i autentificare i de o
bun administrare a sistemelor de securitate.
Procesarea tranzaciilor care are loc n interiorul calculatorului este invizibil pentru auditor. Auditorii pot
vedea ceea ce intr i ceea ce iese, dar au puine informaii cu privire la ceea ce se ntmpl pe parcurs.
Aceast slbiciune poate fi exploatat de programe neautorizate ascunse n programele autorizate.
Ameninarea modificrilor neautorizate poate fi redus prin adoptarea de proceduri adecvate de control al
modificrilor, inclusiv controale eficiente de acces, activarea i revizuirea jurnalelor de operaii, precum i
o separare eficient a sarcinilor ntre actorii implicai n sistem.
n cazul tranzaciilor electronice, n care parcursul auditului se reconstituie din nregistrri stocate pe un
calculator, auditorul trebuie s se asigure c datele privind tranzaciile sunt pstrate un timp suficient i c
au fost protejate fa de modificri neautorizate. Capacitatea limitat de stocare a unor calculatoare
poate restriciona cantitatea de date istorice aferente tranzaciilor care trebuie pstrate. n aceste cazuri,
auditorul trebuie s impun arhivarea regulat a evidenelor contabile i acestea s fie pstrate ntr-un
mediu sigur. Auditorul poate, de asemenea, s analizeze impactul posibil al regulilor de arhivare a datelor
clientului atunci cnd planific auditul.
Calculatoarele n reea au capacitatea de a stoca aplicaii financiare i fiiere de date pe orice dispozitive
de stocare din reea. Auditorul se poate afla n faa unui sistem care ruleaz o aplicaie financiar pe un
calculator i stocheaz fiierele cu tranzacii procesate pe un calculator din alt sal, din alt cldire sau
Pag. 146 din 214
chiar din alt ar. Procesarea datelor distribuite complic evaluarea de ctre auditor a controalelor de
acces fizic i logic. Mediul de control poate fi foarte bun ntr-un anumit loc, dar foarte slab n alt loc, iar
eterogenitatea mediului informatic crete riscul de audit.
Principiile referitoare la probele de audit nu se schimb datorit faptului c auditul se realizeaz ntr-un
mediu informatic. nregistrrile din calculator furnizeaz auditorului o asigurare de audit. Auditorul poate,
de asemenea, s genereze probe de audit utiliznd tehnicile de audit asistat de calculator.
Din studiul literaturii de specialitate, rezult c sunt puine precedente care s ilustreze admisibilitatea
nregistrrilor din calculator la o instan de judecat. n cazurile n care probele informatice au fost
depuse n aciuni judectoreti, instanele au luat n considerare o expertiz cu privire la eficiena mediului
de control IT, nainte de a evalua fiabilitatea datelor informatice.
Auditorul va avea n vedere faptul c tranzaciile sau imaginile de documente provenind de la calculator
pot s nu fie admisibile ca probe n justiie dac nu se poate demonstra c exist controale destul de
puternice care s nlture dubiul rezonabil privind autenticitatea i integritatea datelor coninute n sistem.
n ceea ce privete tranzaciile electronice, aceste controale sunt deosebit de complexe.
Evaluarea sistemelor IT cuprinde trei pri:
A Colectarea informaiilor de fond privind sistemele IT ale entitii auditate impun auditorului
sa culeag informaii de fond privind sistemele IT hardware i software ale clientului. Informaii
privind dimensiunea, tipul i complexitatea tehnic a sistemelor informatice permit auditorilor s
evalueze dac este necesar sprijinul unui auditor IT specialist. De asemenea, auditorul identific
sistemele financiare n curs de dezvoltare, care necesit n continuare implicarea auditului.
Colectarea informaiilor de fond privind sistemele IT ale entitii auditate trebuie s fie finalizat
nainte ca auditorul s realizeze o evaluare a mediului de control IT sau a procedurilor de control
ale aplicaiei.
B Evaluarea mediului de control IT i evaluarea riscului entitii este utilizat pentru a
evalua controalele i procedurile care opereaz n cadrul mediului de control IT. Punctele slabe
identificate n mediul de control IT pot submina eficacitatea procedurilor de control n cadrul
fiecrei aplicaii financiare.
C Evaluarea controalelor aplicaiei i evaluarea riscului zonei contabile: auditorul trebuie
s utilizeze evaluarea controalelor aplicaiei i evaluarea riscului zonei contabile pentru a examina
procedurile de control, sistemele de control intern i riscurile de audit n cadrul fiecrei aplicaii
financiare.
Prima parte a evalurii sistemelor informatice se refer la colectarea informaiilor de fond privind sistemele
IT ale entitii auditate. Aceast etap va fi finalizat nainte de evaluarea detaliat a controalelor IT,
informaiile colectate fiind utilizate de auditorul care va realiza analiza mediului de control IT i a
procedurilor de control ale aplicaiei.
Pe baza acestei analize, auditorul obine o nelegere preliminar a situaiei cu care va fi confruntat pe
parcursul evalurii IT. De asemenea, sunt furnizate indicaii cu privire la documentaiile tehnice care
trebuie consultate nainte de vizitarea entitii auditate, de exemplu documentaii privind sistemele de
operare i aplicaiile de contabilitate.
Evaluarea controalelor IT generale vizeaz identificarea punctelor tari, a punctelor slabe i a riscurilor n
cadrul mediului general de control IT. Riscurile identificate n mediul general de control IT pot submina
eficiena controalelor n aplicaiile care se bazeaz pe acestea i deci pot fi descrise ca riscuri la nivelul
entitii. Evaluarea IT va fi utilizat de auditor pentru a identifica extinderea i natura riscurilor generale de
audit IT asociate cu utilizarea de ctre client a sistemelor informatice n domeniul financiar-contabil.
Evaluarea ncepe cu ntrebri privind cadrul procedural implementat de entitatea auditat. Aceasta
permite auditorului s examineze oportunitatea strategiei IT, a managementului, auditului intern i
politicilor de securitate ale clientului. Rspunsurile la aceste ntrebri n faza iniial vor da auditorului o
vedere preliminar rezonabil asupra mediului de control IT. Experiena a artat c entitile cu reguli IT
puine sau necorespunztoare nu sunt n msur s aib un mediu de control intern adecvat.
Analiza include, de asemenea, o evaluare a controalelor generale n cadrul departamentului IT, referitoare
la configuraia hardware, software i de comunicaii, precum i la resursele umane care au atribuii n
domeniul IT: controlul privind accesul fizic, controlul privind accesul logic, controlul operaional,
procedurile de management al schimbrilor, planificarea recuperrii dup dezastru, utilizarea de prestatori
externi de servicii IT, controlul asupra aplicaiilor dezvoltate i rulate de utilizatorii nii, separarea
sarcinilor.
Punctele slabe identificate n mediul general de control IT vor influena eficacitatea tuturor controalelor din
cadrul aplicaiilor care ruleaz pe configuraia respectiv. De exemplu, auditorul acord puin ncredere
comenzilor de intrare pentru o tranzacie rulat de aplicaie chiar n situaia n care baza de date suport a
fost neprotejat fa de modificrile neautorizate.
Odat finalizat, analiza va permite auditorului s fac o evaluare a riscurilor n cadrul mediului general
de control IT al clientului. n general, pentru o entitate cu un mediu de control IT insuficient, evaluarea
riscurilor IT va conduce n mod normal la o concluzie de risc nalt de audit. Dac mediul general de
control IT este evaluat ca insuficient, poate fi nc posibil s se acorde o oarecare ncredere controalelor
de compensare sau controalelor foarte puternice n cadrul aplicaiilor. Este de asemenea posibil ca o
aplicaie financiar s aib controale foarte slabe cu toate c mediul de control IT suport are controale
puternice.
Controalele de aplicaie
Aplicaiile reprezint unul sau mai multe programe de calculator care realizeaz o funcionalitate orientat
ctre un scop precizat. Aplicaiile pot fi dezvoltate special pentru un client, respectiv sisteme la comand,
sau pot fi cumprate sub form de pachete / soluii software de la furnizorii externi.
Cele mai rspndite pachete de aplicaii ntlnite de auditorii financiari sunt: pachete integrate de
contabilitate, sisteme state de plat / personal / pensii, registre de active fixe, sisteme de management al
mprumuturilor nerambursabile.
Toate aplicaiile financiare trebuie s conin controale proprii care s asigure integritatea, disponibilitatea
i confidenialitatea, att a datelor tranzaciei, ct i a datelor permanente. n realitate, sistemele nu conin
toate controalele posibile pentru fiecare component. Entitatea trebuie s evalueze riscurile pentru fiecare
aplicaie i s aib instalate controale adecvate, eficiente din punct de vedere al costurilor pentru a
reduce riscurile la un nivel acceptabil. Acest principiu trebuie avut n vedere cnd se formuleaz
recomandrile auditului.
Pag. 150 din 214
Controalele de aplicaie sunt particulare pentru o aplicaie i pot avea un impact direct asupra prelucrrii
tranzaciilor individuale.
Ele se refer, n general, la acele controale incluse n aplicaie pentru a asigura c numai tranzaciile
valide sunt prelucrate i nregistrate complet i corect n fiierele aplicaiei, precum i la controalele
manuale care opereaz n corelaie cu aplicaia.
O mare parte a controalelor de aplicaii sunt versiuni automatizate ale controalelor manuale. De exemplu,
autorizarea prin intermediul calculatorului de ctre supervizor este similar cu utilizarea semnturii pe
documente tiprite.
Exist i controale de aplicaie manuale, cum ar fi: analiza formatelor rapoartelor de ieire, inventarierea
situaiilor de ieire etc..
Controalele de aplicaie sunt proceduri specifice de control asupra aplicaiilor, care furnizeaz asigurarea
c toate tranzaciile sunt autorizate i nregistrate, prelucrate complet, corect i la termenul stabilit.
Controalele de aplicaie pot fi constituite din proceduri manuale efectuate de utilizatori (controale utilizator)
i din proceduri automate sau controale efectuate de produse software.
n special n cazul aplicaiilor financia re exist trei tipuri de utilizatori: proprietarii aplicaiei, administratorii
i utilizatorii aplicaiei care ndeplinesc urmtoarele sarcini:
Proprietarii aplicaiilor sunt n mod normal coordonatorii administrativi ai departamentului n
care funcioneaz aplicaia i au responsabilitatea privind contribuia strategic a sistemului de a
satisface obiectivele afacerii. Proprietarii aplicaiei fac parte din managementul entitii i asigur,
de asemenea, funcionarea sistemului n concordan cu cerinele i operarea acestuia de ctre
personalul desemnat
Administratorul aplicaiei are urmtoarele sarcini tipice: menine lista utilizatorilor autorizai ai
aplicaiei, adaug sau terge utilizatori din profilele de securitate a aplicaiei, asigur c
departamentul IT a salvat datele n concordan cu politicile de back-up, rezolv cerine ale
utilizatorilor aplicaiei, identific, monitorizeaz i raporteaz proprietarului aplicaiei sau
departamentului IT problemele semnificative care apar, deine i distribuie documentaia
aplicaiei, menine legtura cu departamentul IT, cu ali administratori de aplicaii sau cu furnizori
de software. n cazul aplicaiilor financiar-contabile, administratorul nu trebuie s fac parte din
acest departament, dect numai dac nu are cunotine despre procedurile manuale specifice
domeniului, avnd n vedere principiul separrii atribuiilor.
Utilizatorii aplicaiei asigur operarea zilnic a aplicaiei avnd acces numai la acele resurse ale
sistemului aferente sarcinilor proprii. Instruirea lor privind sistemul este limitat, de asemenea, la
funciile necesare realizrii sarcinilor proprii.
n etapa de studiu preliminar, auditorul trebuie s obin o nelegere suficient a sistemului pentru a
determina dac sistemul de control intern este de ncredere i furnizeaz informaii corecte despre
acurateea nregistrrilor. n cazul n care sistemul nu pare a fi suficient de robust, auditorul trebuie s
testeze controalele pentru a evalua riscul asupra obiectivelor auditului.
n acest scop auditorul poate utiliza tehnici i metode de testare variate. Acestea pot fi bazate pe
programe de test al conformitii care conin informaii privind: descrierea controlului care va fi testat,
Pag. 151 din 214
proba de audit estimat pentru satisfacerea condiiilor, teste extinse (inclusiv bazate pe eantionare),
descrierea funcionrii eronate a controlului, cte eecuri pot fi tolerate. Probele de audit se colecteaz
prin combinarea unor tehnici cum ar fi observarea, interviul, examinarea i eantionarea, cu tehnici de
auditare asistat de calculator.
Problemele care pot aprea cu privire la ncrederea n controalele de aplicaie se pot sintetiza
astfel:
(a) Controalele IT nu furnizeaz un istoric al operrii din cauza scufundrii lor n corpul aplicaiei
i, n consecin, nu furnizeaz probe de audit explicite.
(b) Perioada de timp n care acioneaz controalele de aplicaie IT este limitat, acestea
acionnd pe o durat foarte scurt a ciclului de via al tranzaciei (de exemplu, pe durata
introducerii datelor).
(c) Rezervele auditorilor fa de controalele de aplicaie IT, datorate eventualitii ca acestea s
fie alterate de ctre persoane interesate n inducerea n eroare a auditorului.
(d) Rezervele auditorilor fa de controlul preventiv asigurat, decurgnd din natura controalelor IT,
care nu prezint garanii privind funcionarea corect.
Relaia ntre controalele generale i controalele de aplicaie
O modalitate de a privi relaia dintre controalele generale i cele de aplicaie este aceea de a aloca
adecvat controalele generale pentru a proteja aplicaiile i bazele de date i pentru a asigura resursele
necesare funcionrii continue.
Cele mai uzuale controale de aplicaie
n cazul unei aplicaii financiar-contabile sistemul de controale are urmtoarele nivele:
Examinarea situaiilor financiare pentru a determina dac reflect corect operaiile efectuate
asupra tranzaciilor: nregistrarea corect n conturi a unor tranzacii de test, reflectarea
acestor tranzacii n situaiile contabile, respectarea formatelor cerute de lege pentru situaiile
contabile etc.
Controale ale ieirilor, care au ca scop verificarea c fiierele temporare generate pentru
listare (n spooler) naintea transmiterii ctre imprimant pot fi alterate, n lipsa unei protecii
adecvate, nainte de a fi listate.
Controale ale prelucrrilor, care sunt implementate pentru verificarea prelucrrii corecte a
ratelor de schimb, a comisioanelor, a aplicrii unor cote de regie, a utilizrii unor tarife etc..
Controale ale intrrilor, care au ca scop verificarea c documentele contabile se refer la
perioada contabil aferent, c se utilizeaz corect planul de conturi, c aplicaia permite
efectuarea automat a egalitilor contabile etc.
Prevenirea accesului neautorizat n sistem
Asigurarea c pe calculatoare este instalat versiunea corect a programului de contabilitate
i nu versiuni netestate care pot conine erori de programare.
Controale privind sistemul de operare, care asigur verificarea c accesul la aplicaia
financiar-contabil este controlat i autorizat pentru utilizatorii care o opereaz.
Controale ale accesului n reea, care asigur c utilizatorii neautorizai nu pot avea acces n
sistemele conectate la reea.
Auditarea sistemului de securitate al sistemelor i al conexiunilor la Internet, care verific
existena i atribuiile ofierului de securitate al sistemelor, precum i sistemul de controale
a) Densitatea informaiei este mult mai mare dect n sistemele clasice, bazate pe hrtie.
b) Absena documentelor de intrare datele pot fi introduse n sistem fr a avea la baz documente
justificative este cazul tranzaciilor din sistemele on-line.
c) Lipsa unor urme vizibile ale tranzaciilor Dei n practica prelucrrii manuale orice tranzacie poate fi
urmrit plecnd de la documentul primar, apoi n registrele contabile, conturi n prelucrarea automat
traseul unei tranzacii poate exista o perioad limitat, ntr-un format electronic.
d) Lipsa unor ieiri vizibile anumite tranzacii sau rezultate, n special cnd acestea reprezint detalii, se
pot regsi memorate doar n fiierele aplicaiei (nu i ntr-o form tiprit).
e) Transparena documentelor privind desfurarea unor operaiuni. Dischetele, discurile optice i alte
suporturi moderne ce sunt utilizate pentru salvarea acestui volum mare de informaii, nsumnd zeci de
mii de pagini de hrtie, pot fi subtilizate mult mai discret genernd astfel fraude sau cel puin afectnd
confidenialitatea acestor informaii.
f) Autorizarea tranzaciilor. ntr-un mediu informatizat se poate include i capacitatea calculatorului de a
iniia i executa automat unele tranzacii; altfel spus, este vorba de modul de proiectare a aplicaiei
informatice care poate avea ncorporate anumite autorizri implicite i funcii de generare automat.
g) Procesarea uniform a tranzaciilor. O aplicaie informatic proceseaz n mod uniform tranzacii
similare, pe baza acelorai instruciuni program. n felul acesta, erorile de redactare a documentelor
asociate unei procesri manuale sunt n mod virtual eliminate. n schimb, erorile de programare pot
conduce la procesarea incorect a tranzaciilor, astfel nct auditorii i vor concentra atenia asupra
acurateei i consistenei ieirilor.
h) Accesul neautorizat la date i fiiere se poate efectua cu o mai mare uurin, ceea ce implic un mare
potenial de fraud i eroare.
i) Remanena suporturilor de memorare a datelor, dup ce au fost terse, poate constitui o cale sigur ca
persoane interesate, neautorizate s intre n posesia unor informaii de valoare.
j) Agregarea datelor. Noile sisteme de prelucrare automat a datelor, precum sunt cele de asistare a
deciziei, au condus la valorificarea unor informaii importante ale entitii, genernd prognoze i strategii
ntr-un anumit domeniu. Astfel, informaiile capt valene suplimentare.
Evoluia tehnologiei informaiei a cunoscut n ultimii ani un ritm accelerat, dar nu acelai lucru se poate
spune despre progresele nregistrate n domeniul securitii datelor.
Integrarea puternic a sistemelor apare ca o consecin a mbuntirii formelor de comunicaie i a
proliferrii reelelor de calculatoare. Aplicaiile de comer electronic sunt doar un exemplu n acest sens,
dar se poate afirma c aceast evoluie a deschis i mai mult apetitul specialitilor n ceea ce privete
frauda informaional.
Lipsa urmelor eventualelor atacuri criminale constituie un alt element ngrijortor al noului mediu de lucru;
n acest sens modificarea datelor, adugarea sau chiar tergerea lor au devenit operaii mult mai uor de
realizat, dar, n acelai timp, destul de greu de depistat.
Obiectivul unei analize a riscurilor informaionale (riscuri IT) este de a identifica modalitile prin care
datele i, implicit, sistemul informatic care le conine, sunt expuse la risc. Elementele prezentate n
paragraful anterior conduc la ideea c mediul informatizat genereaz noi riscuri i c orice organizaie, n
vederea asigurrii unei protecii eficiente a informaiilor, este necesar s dezvolte un proces complex de
studiu i analiz a riscurilor.
Pag. 155 din 214
Riscul implicat de utilizarea tehnologiei informaiei se manifest prin intermediul componentelor proprii ale
acestei tehnologii: ameninri, vulnerabiliti i impact. Ameninrile exploateaz vulnerabilitile unui
sistem cauznd impactul i, n esen, combinaia celor trei elemente determin mrimea riscului. Riscul
la nivelul unei organizaii nu poate fi eliminat, el va exista ntotdeauna, managementul organizaiei fiind
responsabil de reducerea acestuia la un nivel acceptabil.
Aplicaiile nu se execut corect datorit operrii greite a aplicaiilor sau utilizrii unor versiuni
incorecte, precum i datorit unor parametri de configurare incoreci introdui de personalul de
operare (de exemplu, ceasul sistemului i data setate incorect pot genera erori n calculul
dobnzilor, al penalitilor, al salariilor etc.).
Pierderea sau alterarea aplicaiilor financiare sau a fiierelor de date poate rezulta dintr-o utilizare
greit sau neautorizat a unor programe utilitare.
Personalul IT nu tie s gestioneze rezolvarea sau escaladarea problemelor sau raportarea
erorilor, iar ncercarea de a le rezolva pe cont propriu poate provoca pierderi i mai mari;
ntrzieri i ntreruperi n prelucrare din cauza alocrii unor prioriti greite n programarea
sarcinilor;
Lipsa salvrilor i a planificrii reaciei la incidentele probabile crete riscul de pierdere a capacitii
de a continua prelucrarea n urma unui dezastru;
Lipsa capacitii (resurselor) sistemului, sistemul devenind incapabil de a prelucra tranzaciile din
cauza suprancrcrii;
Timpul mare al cderilor de sistem pn la remedierea erorii;
Probleme ale utilizatorilor nerezolvate datorit funcionrii defectuoase a facilitii de asisten
tehnic (Helpdesk).
Sistemele informatice financiar-contabile n curs de dezvoltare ale entitii auditate nu sunt susceptibile s
aib un impact asupra auditului situaiilor financiare curente. ns, un sistem financiar greit conceput sau
implementat ar putea conduce la un audit al evidenelor informatizate scump sau imposibil de realizat n
anii urmtori. Aceast seciune trateaz implicarea auditorilor externi n formularea unor cerine pentru
sistemele financiare care urmeaz s fie achiziionate de la furnizori sau dezvoltate n cadrul entitii.
Revine entitii auditate, i n particular auditului intern, s stabileasc dac demersul de dezvoltare
propus de auditor este susceptibil s conduc la un sistem care s satisfac necesitile activitii. Nu
este rolul auditorilor s avizeze demersul sau aspectele particulare ale acestuia. Trebuie, ns, ca
auditorul intern s fac observaii asupra aspectelor demersului care ar putea duce la dificulti n
emiterea unei opinii asupra situaiilor financiare i pentru a putea evita dificultile de audit extern
ulterioare.
Auditul sistemelor financiare n curs de dezvoltare este o zon cu caracter tehnic, complex i care
comport multe aspecte care necesit o analiz.
n cadrul misiunii de audit IT, n mod uzual, se solicit urmtoarele documente i informaii privind
sistemele, proiectele i aplicaiile existente n cadrul entitii auditate.
Scop: Scopul acestei evaluri este de a obine informaii privind mrimea, tipul i complexitatea
sistemelor financiare informatizate ale clientului. Auditorul poate apoi clasifica sistemele dup
complexitate i aprecia dac evaluarea IT trebuie realizat de un auditor IT specialist.
Auditorul va obine informaii din analizele anterioare, avnd ca surs rapoarte de audit, cunotine
anterioare i fiiere curente de audit, sau pe baza unei documentri preliminare, privind natura activitilor
entitii supuse auditului. Pentru colectarea datelor se poate folosi Macheta 1.
De asemenea, se vor analiza urmtorii indicatori de baz:
- Pli / cheltuieli anuale;
- ncasri / venituri anuale;
- Total active;
- Valoarea activelor IT;
- Bugetul anual IT;
Auditorul va obine informaii din analizele anterioare, avnd ca surse rapoarte de audit sau referiri la
scrisori ctre conducere, evaluri ale sistemelor contabile, evaluri ale riscurilor i altele.
Auditorul va obine informaii legate de principalele proiecte de dezvoltare a sistemelor IT: cnd vor intra
n exploatare, locul instalrii, dac au fost identificate probleme, ce efecte ar putea avea noile sisteme
asupra activitii de audit prezente i viitoare. n situaia n care apar probleme tehnice dificil de neles i
tratat, auditorul trebuie s aib n vedere contactarea unui auditor IT specialist (utilizat de regul n faza
de specificare a sistemelor sau nainte de intrarea n funcie a sistemelor).
Pentru colectarea datelor auditorul poate folosi Machetele 2, 3 i 4 care pot fi adaptate n funcie de
complexitatea i specificul sistemului informatic, ntruct n instituiile publice exist o mare diversitate de
configuraii IT, pornind de la entiti (de exemplu, primrii) care au n dotare un singur calculator i
ajungnd la entiti cu sisteme complexe i configuraii mari, desfurate la nivel naional.
Auditorul va colecta informaii privind:
Echipamentul informatic (hardware) i de comunicaii (topologie, cablare, protocol de comunicaii,
modem-uri, gateways, routere);
Auditorii trebuie s decid dac ei nii au abiliti IT i de audit IT necesare i suficiente pentru a realiza
evaluarea la un standard adecvat de competen. Factorii luai n considerare n acest sens includ:
mrimea departamentului IT care face obiectul auditului, utilizarea reelelor de comunicaii n cadrul
entitii auditate, procesarea de date distribuite, utilizarea de tehnologii noi, sisteme n curs de dezvoltare,
cunoaterea problemelor IT anterioare ale clientului i dac este de dorit o abordare a auditului bazat pe
controale.
Auditorul va inventaria care sunt sistemele / componentele / serviciile informatice care trebuie s fie
evaluate n funcie de obiectivele auditului i va decide asupra cerinelor pentru auditul IT.
Conducerea entitii va stabili persoanele de contact din cadrul entitii auditate, din domeniile financiar i
IT (nume, funcie, locaie, nr. telefon), care vor colabora cu auditorul pe parcursul misiunii de audit.
Scop: Identificarea naturii i impactului riscurilor generate de utilizarea de ctre entitate a tehnologiei
informaiei asupra situaiilor financiare ale organizaiei, precum i a capacitii auditorilor de a le evalua. O
evaluare a controalelor IT la nivelul entitii este realizat prin derularea unei evaluri a mediului
informatic n care se afl aplicaiile financiare. Punctele slabe ale mediului informatic pot afecta negativ
integritatea i viabilitatea tuturor aplicaiilor informatice i a datelor contabile prelucrate de acestea.
Obiectivul unei evaluri a mediului de control IT este de a examina i de a evalua riscurile, controalele i
procedurile care exist n cadrul mediului IT al unei entiti. O evaluare a mediului de control IT este
focalizat pe controalele care asigur integritatea i disponibilitatea programelor i aplicaiilor financiare,
n timp ce evaluarea unei aplicaii se concentreaz pe integritatea i disponibilitatea tranzaciilor
procesate de respectiva aplicaie.
Termenul de mediu de control IT se refer la configuraia hardware, la programele informatice de sistem,
la mediul de lucru. Dimensiunea unei configuraii IT poate varia de la un sistem mare, amplasat ntr-o
construcie special destinat, deservit de un personal numeros, pn la un simplu calculator personal
(PC) din cadrul unui birou de contabilitate.
Mediul de control IT trebuie s aib controale adecvate pentru:
a asigura un mediu de procesare sigur i sistematic;
a proteja aplicaiile i fiierele de date de baz fa de acces, modificare sau tergere
neautorizate;
Pag. 160 din 214
a asigura c pierderea facilitilor de calcul nu afecteaz capacitatea organizaiei de a
produce situaii financiare care pot fi supuse auditului.
Auditorul trebuie s determine ce controale ar fi rezonabile n cadrul fiecrei configuraii de calcul. Cnd
evalueaz un mediu de control IT auditorul trebuie s aib n vedere diferii factori, inclusiv natura
activitii clientului, mrimea departamentului IT, istoricul erorilor i ncrederea acordat sistemelor
informatice.
Auditorul poate obine informaii privind mediul general IT prin interviuri i discuii cu personalul implicat,
prin analize ale documentaiei sistemului, precum i prin legtura cu auditul intern i observaia direct.
Pentru evaluarea controalelor IT generale se folosete Lista de verificare privind evaluarea controalelor
generale IT.
n seciunile urmtoare sunt prezentate proceduri reprezentative pentru auditul sistemelor informatice.
Pe baza testelor efectuate asupra controalelor implementate n cadrul entitii se poate aprecia dac
utilizarea tehnologiilor informaiei de ctre entitatea auditat se desfoar n cadrul unei structuri bine
definite, dac este efectuat o informare operativ a conducerii legat de activitatea IT i conducerea este
receptiv la schimbare, dac funcionarea sistemului informatic este eficient din punct de vedere al
costurilor i al gestionrii resurselor umane, dac monitorizarea cadrului legislativ i a contractelor cu
principalii furnizori se desfoar corespunztor.
B.1.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind
managementul i organizarea departamentului IT al entitii (responsabilitatea de ansamblu, structura
formal, organizarea i desfurarea activitii IT, implicarea conducerii entitii auditate n coordonarea
activitilor legate de funcionarea sistemului informatic)
Examinarea controalelor privind managementul i organizarea departamentului IT al entitii presupune
urmtoarele activiti din partea auditorului:
Revizuirea modului n care se regsete domeniul IT n structura organizaional de ansamblu i
dac unul dintre membrii conducerii are responsabiliti IT;
Verificarea existenei unei structuri organizatorice formale n care tot personalul s-i cunoasc
rolurile i responsabilitile, pe baza fielor de descriere a postului, scrise i semnate;
Evaluarea formelor de implicare a conducerii entitii n coordonarea activitilor legate de
funcionarea sistemului informatic i a faptului c msurile corective sunt adecvate i sunt aplicate
consecvent. Se va verifica de asemenea dac au loc ntlniri regulate cu persoanele cu atribuii n
implementarea, utilizarea, administrarea i ntreinerea sistemului, dac este stabilit o direcie
unitar de dezvoltare, cu precizarea clar a obiectivelor, dac se asigur elaborarea unor linii
directoare;
Evaluarea implicrii conducerii n elaborarea i implementarea unei politici formale, consistente
privind serviciile informatice i n comunicarea acesteia utilizatorilor;
Revizuirea modului n care se realizeaz managementul riscurilor: identificarea, planificarea i
managementul riscurilor implicate de implementarea i utilizarea sistemului IT, analiza beneficiilor
poteniale;
Verificarea implicrii conducerii n elaborarea strategiilor i politicilor bazate pe o evaluare a
riscurilor (riscuri n etapa de implementare, riscuri n etapa de furnizare a serviciilor informatice), a
implicrii conducerii instituiei n coordonarea activitilor IT - ntlniri regulate ntre conducerea
instituiei i persoanele cu atribuii n implementarea, administrarea i ntreinerea sistemului,
precum i n analiza activitilor n raport cu strategia de implementare.
Pag. 161 din 214
Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu conducerea entitii i cu
persoanele implicate n coordonarea operativ a sistemului informatic i pe baza analizei documentelor
privind ntlnirile organizate de conducerea entitii (minute, procese verbale, adrese etc.).
Auditorul va evalua soluia organizatoric prin prisma criteriilor menionate i va colecta probe privind:
subordonarea departamentului IT, nivelele de monitorizare a proiectului, existena unei politici de angajri,
instruirea profesional i evaluarea periodic a performanei personalului tehnic implicat proiect i a
utilizatorilor sistemului, analiza dependenei de persoanele cheie. Pentru personalul implicat n activiti
legate de sistemul informatic, va verifica existena fielor de post semnate i dac acestea conin
atribuiile specifice utilizrii tehnologiilor informaiei.
B.1.2 Aspectele care se iau n considerare atunci cnd se examineaz controalele referitoare la
planificarea activitilor privind utilizarea tehnologiilor informaiei
B.1.3 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind
managementul costurilor
Elaborarea unei strategii de finanare pentru proiectele aferente serviciilor IT, astfel nct nivelele
de finanare s fie consistente cu obiectivele;
Existena unui buget separat pentru investiii i cheltuieli legate de IT. Stabilirea responsabilitilor
privind ntocmirea, aprobarea i urmrirea bugetului;
Implementarea sistemelor pentru monitorizarea i calculul cheltuielilor;
Efectuarea analizei activitilor fa de Strategia IT a entitii.
B.1.5 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind calitatea
serviciilor furnizate utilizatorilor interni (care se reflect n succesul proiectului, un obiectiv important al
conducerii, avnd efecte inclusiv n planul ncrederii personalului n noile tehnologii)
Nivelul calitii serviciilor furnizate utilizatorilor interni se menioneaz ntr-un document care
prevede clauzele referitoare la acestea - SLA (Service Level Agreement).
Auditorul va face evaluarea pe baza concluziilor rezultate n urma interviurilor cu persoanele implicate n
managementul proiectelor i pe baza analizei documentelor privind clauzele referitoare la asigurarea
calitii pentru ntreg ciclul de via al proiectului (specificarea cerinelor, dezvoltarea sistemului,
implementarea sistemului, elaborarea i predarea documentaiei, instruirea personalului la toate nivelurile,
ntreinerea sistemului, asigurarea suportului tehnic etc.), care trebuie s fac parte din contractele cu
furnizorii.
B.1.6 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind
respectarea reglementrilor n domeniu i a cerinelor proiectului
Stabilirea responsabilitii pentru asigurarea c sistemul implementat este actualizat n
conformitate cu ultima versiune furnizat, c pachetele software au fost furnizate conform
clauzelor contractuale, c au fost furnizate licenele n cadrul contractelor, c documentaia a
fost furnizat conform contractului.
Auditorul va face evaluarea pe baza concluziilor rezultate n urma interviurilor cu persoanele implicate n
managementul proiectelor i pe baza analizei documentelor care se refer la existena unor politici sau
proceduri formale prin care se atribuie responsabilitatea monitorizrii mediului legislativ care poate avea
impact asupra sistemelor informatice, precum i a asigurrii conformitii cu clauzele contractuale privind:
Auditorul trebuie s determine prin interviu, prin observare direct i prin analiza documentelor relevante
(organigram, fia postului, decizii ale conducerii, contracte etc.) dac personalul IT are responsabiliti n
departamentele utilizatorilor, dac funciile IT sunt separate de funciile de utilizare (financiar, gestiunea
stocurilor etc.) pentru a nu se opera schimbri neautorizate, de obicei dificil de detectat, dac alte funcii
incompatibile, potrivit aspectelor menionate mai sus, sunt separate.
Pag. 165 din 214
PROCEDURA B3 - Securitatea fizic i controalele de mediu
Obiectivul controalelor fizice i de mediu este de a preveni accesul neautorizat i interferena cu serviciile
IT n scopul diminurii riscului deteriorrii accidentale sau deliberate sau a furtului echipamentelor IT i al
informaiilor. Aceste controale trebuie s asigure, pe de o parte, protecia mpotriva accesului personalului
neautorizat, iar pe de alt parte, protecia n ceea ce privete deteriorarea mediului n care funcioneaz
sistemul (cauzat de foc, ap, cutremur, praf, cderi sau creteri brute ale curentului electric).
n concordan cu rezultatele raportate de ISACA (Information Systems Audit and Control Association),
cauzele generatoare de erori produse de dezastre naturale se plaseaz pe locul 2 (erorile produse de
utilizatori pe locul 1, frauda pe locul 3 i cderile hardware pe locul 4).
Restricionarea accesului la sistemul de calcul se poate realiza pe baza a dou tipuri de controale,
privitoare la accesul fizic i, respectiv, la accesul logic.
Controale fizice:
Asigurarea securitii zonei (delimitarea clar a perimetrului afectat facilitilor IT i informarea
personalului n legtur cu "graniele" acestuia);
Accesul n aria securizat trebuie controlat pe nivele de control, prin controale fizice explicite: chei,
card-uri de acces, trsturi biometrice (amprent, semntur, voce, imagine etc.), coduri de acces
sau implicite: atribuii specificate n fia postului, care necesit prezena n zona de operare IT.
Controalele administrative:
B.3.2 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind protecia
mediului
Securitatea informaiei i a sistemelor se realizeaz prin implementarea unor proceduri care s previn
obinerea accesului neautorizat la date sau programe critice i s asigurare confidenialitatea, integritatea
i credibilitatea n mediul n care aceste sisteme opereaz.
Controalele privind securitatea informaiei i a sistemelor sunt urmtoarele:
B.4.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind Politica
de securitate
Auditorul trebuie s determine prin interviu, prin analiza politicii de securitate i a procedurilor asociate i
prin observare direct dac Politica de securitate este distribuit tuturor utilizatorilor, dac utilizatorii au
semnat c au luat cunotin de politica de securitate IT, dac exist o persoan care este responsabil
de actualizarea acestei politici, dac s-au aplicat msuri pentru a crete contientizarea n cadrul entitii
cu privire la securitate (cursuri, prezentri, mesaje pe e-mail).
Aspectele care se iau n considerare atunci cnd se examineaz controalele privind controlul accesului
logic:
Administrarea utilizatorilor
o Existena unei proceduri pentru administrarea drepturilor utilizatorilor. Se verific modul de
implementare;
o Includerea n procedura de mai sus a msurilor ce trebuie luate n cazul n care un angajat pleac
din cadrul instituiei;
Pag. 170 din 214
o Existena unui document (formular pe hrtie sau n format electronic) pentru crearea i tergerea
conturilor de utilizator i pentru acordarea, modificarea i revocarea drepturilor de acces care s
fie aprobat de conducere;
o Acordarea tuturor drepturilor de acces, n baza acestui formular;
o Verificarea periodic a utilizatorilor activi ai sistemului n concordan cu lista de angajai furnizat
de departamentul resurse umane.
Acces IT
o Verificarea drepturilor de acces la datele reale pentru programatori;
o Verificarea drepturilor de acces la datele celorlalte structuri ale entitii pentru compartimentul
IT.
Not: Atributele tipice privind accesul la fiiere sau la alte resurse ale sistemului sunt:
citire, scriere, creare, actualizare, tergere, execuie i copiere.
Alte controale ale accesului logic sunt: limitarea numrului de sesiuni concurente, limitarea intervalului
de lucru (ntre anumite ore), blocarea accesului la introducerea repetat a parolei greite, ieirea
automat din sistem dac ntr-un interval de timp nu s-a detectat nici o activitate, restricionarea accesului
pentru anumite terminale specificate.
Jurnalele de operaii ale sistemului
Controalele menionate n seciunea anterioar au un caracter preventiv, fiind proiectate pentru a asigura
c accesul persoanelor neautorizate n sistem este prevenit.
O alt categorie de controale presupune detectarea tentativelor i a activitilor de acces neautorizat.
Aceste evenimente sunt nregistrate automat n jurnalele de operaii ale sistemului: jurnalul de operaii
privind securitatea i jurnalul de operaii al tranzaciilor.
Jurnalul de operaii privind securitatea conine informaii privind: accesul nereuit, utilizarea sistemelor
utilitare i a aplicaiilor, identificarea utilizatorului care a iniiat accesul.
ntruct nregistrarea tuturor evenimentelor privind securitatea presupune un efort i un consum de
resurse semnificative, iar efortul de revizuire a acestora este mare consumator de timp, maniera de
tratare a evenimentelor constituie obiectul unei decizii care trebuie s aib la baz balana ntre
evenimentele legate de securitate i senzitivitatea sistemului. O soluie eficient n acest caz este
utilizarea unor instrumente de raportare prin excepie a celor mai semnificative evenimente.
De asemenea, trebuie implementate controale privind protecia jurnalului de operaii pentru a preveni
tergerea sau suprascrierea acestuia n scopul distrugerii dovezilor n cazul tentativelor de fraud.
Jurnalul de operaii al tranzaciilor nregistreaz traseul tranzaciilor n procesul de prelucrare, n inte-
riorul sistemului.
Auditorul trebuie s determine prin consultarea documentelor, prin interviu i prin observare direct (la
staiile de lucru) dac este implementat cadrul procedural pentru asigurarea controlului accesului logic i
modul de monitorizare a acestuia:
trebuie s verifice modul de implementare a regulamentului de control al accesului i dac acesta
este documentat i actualizat.
trebuie s evalueze msurile de acces logic existente pentru a restriciona accesul la sistemul de
operare, la fiierele de date i la aplicaii i s aprecieze dac acestea sunt corespunzatoare:
meniuri restricionate pentru utilizatori, coduri unice de identificare i parole pentru utilizator,
revizuirea drepturilor de acces ale utilizatorului, profilul utilizatorului i al grupului.
B4.3 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind
administrarea securitii
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este implementat
cadrul procedural pentru asigurarea controlului administrrii securitii (examinarea documentelor din care
rezult responsabilitile i sarcinile cu privire la administrarea securitii IT, separarea atribuiilor,
reflectarea acestora n politica de securitate).
B.4.4 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind
conexiuni externe
Controale de acces slabe mresc riscul atacurilor din partea hackerilor, al viermilor i al viruilor care
afecteaz integritatea i disponibilitatea evidenelor financiare.
Managementul inadecvat al reelei poate expune organizaia ameninrilor interne i externe cu privire la
integritatea datelor. O reea slab securizat poate, de exemplu, s fie vulnerabil la difuzarea viruilor
informatici.
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este implementat
cadrul procedural pentru asigurarea controlului reelei: existena unei persoane desemnate pentru
administrarea reelei IT, msurile luate pentru monitorizarea securitii reelei, pentru protejarea
conexiunilor externe mpotriva atacurilor informatice (virui, acces neautorizat), reglementarea accesului
Pag. 173 din 214
la sistem din partea unor organizaii externe (de exemplu, Internet, conexiuni on-line), existena unor
proceduri de control privind accesul de la distan i msurile de securitate aplicate.
B.4.5 Aspectele care se iau n considerare atunci cnd se examineaz controalele de reea i de
utilizare a Internetului
ntruct conectarea sistemelor n reele comport riscuri specifice, reeaua trebuie controlat astfel nct
s poat fi accesat numai de ctre utilizatorii autorizai, iar datele transmise s nu fie pierdute, alterate
sau interceptate.
n ultimii ani, extinderea reelei Internet a scos n eviden i a impus cerine, concepte i riscuri noi, care
au avut consecine privind securitatea sistemelor i controalele asociate.
a) Controalele privind erorile de transmisie i de comunicaie: se refer la erorile care pot s apar n
fiecare stadiu al ciclului comunicaiei, de la introducerea datelor de ctre utilizator, continund cu
transferul pn la destinaie.
Controalele de reea cele mai relevante pe care entitile trebuie s le implementeze, sunt:
Politica de securitate a reelei, care poate face parte din politica general de securitate IT;
Standardele de reea, procedurile i instruciunile de operare, care trebuie s se bazeze pe
politica de securitate a reelei i s fie documentate. Copii ale acestei documentaii trebuie s fie
disponibile pentru personalul implicat n securitatea sistemului;
Documentaia reelei, care descrie structura logic i fizic a reelei;
Controalele accesului logic: procedura de conectare, reguli privind parolele, permisiile de acces
la resursele sistemului;
Restriciile privind utilizarea resurselor externe (de exemplu este restricionat accesul n reeaua
Internet);
Reeaua trebuie s fie controlat i administrat de personal cu instruire i experien adecvate,
monitorizat de management;
Anumite evenimente trebuie nregistrate automat n jurnalele de operaii de ctre sistemul de
operare al reelei. Jurnalele de operaii trebuie revizuite periodic pentru a se depista activitile
neautorizate;
Utilizarea unor instrumente utilitare pentru managementul i monitorizarea reelei (pachete
software sau echipamente hardware), disponibile pentru administratorii de reea. Acestea pot
monitoriza utilizarea reelei i a capacitii acesteia i pot inventaria produsele software utilizate
de ctre fiecare utilizator;
Accesul furnizorilor de servicii i al consultanilor trebuie s fie monitorizat;
Terminalele pot fi restricionate prin intermediul codurilor de terminal sau a al adresei de reea;
Criptarea datelor pentru protejare n cazul interceptrii n reea;
Utilizarea liniilor private sau dedicate pentru reducerea riscului de intercepie;
Utilizarea comunicaiei digitale n locul celei analoge. Legturile digitale au o capacitate mai
mare, nu au nevoie de modem-uri i nu au erori din cauza conversiei digital - analog.
b) Controalele Internet
Implicaiile privind securitatea i controlul, care decurg din conectarea la Internet a unei entit sunt:
Implicaiile privind securitatea decurg dintr-o serie de caracteristici ale comunicaiei n reeaua
Internet, care pot genera riscuri majore pentru securitatea sistemului entitii. Cele mai importante
sunt: caracterul anonim al unor utilizatori care vor s contravin principiilor accesului n Internet,
vulnerabilitatea confidenialitii prin interceptarea parolei cu ajutorul unor programe specializate
Pag. 174 din 214
n cursul nregistrrii pe anumite site-uri, aciunile hackerilor, pirateria i pornografia, software ru
intenionat (virui, programe "cal troian").
Protecia securitii are aspecte specifice acestui tip de comunicaie: educarea utilizatorilor proprii
privind consecinele unui comportament neadecvat sau ale neglijrii unor precauii legate de
utilizarea reelei Internet, utilizarea serviciilor unui provider n locul conexiunii fizice la Internet, n
scopul evitrii expunerii directe a sistemului de calcul propriu la atacuri din reeaua Internet.
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este implementat
cadrul procedural pentru asigurarea c reeaua este controlat astfel nct s poat fi accesat numai de
ctre utilizatorii interni sau externi autorizai, iar datele transmise s nu fie pierdute, alterate sau
interceptate: implementarea unei politici de securitate a reelei, utilizarea standardelor de reea, a
procedurilor i a instruciunilor de operare asociate acestei politici, existena i disponibilitatea
documentaiei aferente cadrului procedural i a documentaiei reelei (care descrie structura logic i
fizic a reelei), implementarea controalelor accesului logic (procedura de conectare, reguli privind
parolele, permisiile de acces la resursele sistemului), stabilirea unor reguli privind utilizarea resurselor
externe, existena unui personal cu instruire i experien adecvate, nregistrarea automat n jurnalele de
operaii i revizuirea periodic a acestora pentru a se depista activitile neautorizate, utilizarea unor
instrumente software/hardware pentru managementul i monitorizarea reelei, monitorizarea accesului
furnizorilor de servicii i al consultanilor, criptarea datelor.
Controale de baz n reeaua Internet
Cea mai bun politic pentru minimizarea consecinelor negative generate de conexiunea direct la
Internet conine urmtoarele aspecte:
Izolarea fizic a calculatorului de sistemul de calcul al entitii;
Desemnarea unui administrator cu experien i de ncredere pentru supravegherea
calculatoarelor cu acces la Internet;
Prevenirea accesului anonim sau, dac trebuie s fie permis, eliminarea efectelor negative ale
acestuia;
tergerea de pe calculatorul cu acces la Internet a tuturor datelor i programelor care nu sunt
necesare;
Monitorizarea atacurilor prin nregistrarea lor;
Transferul fiierelor din sistemul informatic al entitii pe calculatorul legat la Internet dup ce
acesta a fost verificat cu atenie i innd seama de faptul c fiierele pot fi transferate utiliznd
serviciul de e-mail;
Crearea unui numr ct mai mic posibil de conturi de utilizator pe calculatorul cu acces la
Internet i schimbarea regulat a parolelor.
Protecii "Firewall". Dac necesitile cer conectarea direct la Internet cu riscuri minime, se utilizeaz
includerea n configuraie a unei protecii de tip "firewall" pentru a facilita controlul traficului ntre reeaua
entitii i Internet i pentru a stopa penetrarea pachetelor externe neautorizate.
Acesta const ntr-o combinaie de calculatoare (router i gateway) care asigur i servicii adiionale
privind: autentificarea, ncriptarea i nregistrarea n jurnalul de operaii.
Politica privind parolele. O politic adecvat privind parolele poate avea o contribuie semnificativ
pentru securitatea calculatoarelor conectate la Internet. Politicile privind parolele aferente calculatoarelor
neconectate la Internet rmn valabile i pentru acest tip de acces.
Controlul accesului conine, n afara politicilor privind parolele aferente calculatoarelor neconectate la
Internet, proceduri specifice: utilizarea parolelor ascunse, utilizarea unui algoritm nestandard de ncriptare
a parolelor.
Pag. 175 din 214
Criptarea este o form de protecie asigurat prin codificarea informaiilor transmise n reeaua Internet.
Serviciile de pot electronic perfecionate sunt dezvoltate pentru a asigura confidenialitatea i
integritatea mesajelor transmise, prin ncriptare i prin semnare.
Instrumentele de evaluare a securitii sunt instrumente disponibile pe Internet utilizate pentru analiza
i evaluarea securitii reelelor, raportnd slbiciunile acestora n ceea ce privete controlul accesului
sau regulile pentru parole.
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este implementat o
politic pentru minimizarea consecinelor negative generate de conexiunea direct la Internet, care s
abordeze aspectele prezentate mai sus: protecie firewall, administrator cu experien i de ncredere
pentru supravegherea calculatoarelor cu acces la Internet, politica privind parolele, ncriptarea,
Instrumentele de evaluare a securitii utilizate, serviciile de pot electronic perfecionate, monitorizarea
atacurilor.
Managementul continuitii sistemelor are ca obiectiv principal meninerea integritii datelor entitii prin
intermediul unor servicii operaionale i al unor faciliti de prelucrare i, dac este necesar, furnizarea
unor servicii temporare pn la reluarea serviciilor ntrerupte.
n scopul eliminrii riscului unor defeciuni majore generate de sistemul IT, trebuie implementate controale
adecvate, astfel nct entitatea s poat relua n mod eficient operaiunile, ntr-o perioad de timp
rezonabil, n cazul n care funciile de prelucrare nu mai sunt disponibile. Aceasta presupune, n
principal, ntreinerea i gestionarea copiilor de siguran ale datelor i sistemelor, implementarea unor
politici pentru managementul problemelor, planificarea continuitii, protecia mpotriva viruilor.
Schimbarea sistemului pe durata ciclului su de via are un impact semnificativ asupra controalelor
existente i poate afecta fundamental funcionalitatea sistemului.
Controalele schimbrii sunt necesare pentru a asigura continuitatea sistemului n conformitate cu cerinele
impuse i pot varia considerabil de la un tip de sistem la altul.
Schimbrile se refer la hardware (calculatoare, periferice, reele), la software (sisteme de operare,
utilitare) i la aplicaiile individuale. Scara schimbrilor poate diferi considerabil: de la proceduri aferente
unor funcii dedicate, la instalarea unor versiuni noi de aplicaii sau sisteme de operare. Indiferent de
mrimea sau scara schimbrilor, efectele asupra operrii sistemului trebuie s fie minime pentru a nu
perturba activitatea curent a entitii.
Controalele managementului schimbrilor sunt implementate pentru a se asigura c modificrile aduse
unui sistem informatic sunt corespunztor autorizate, testate, acceptate i documentate. Controalele
slabe pot antrena din schimbri care pot conduce la modificri accidentale sau de rea credin aduse
programelor i datelor. Schimbrile de sistem insuficient pregtite pot altera informaiile financiare i pot
ntrerupe parcursul de audit.
Elaborarea sistemului de proceduri de control al schimbrii trebuie pregtit prin colectarea, inventarierea
i clasificarea cerinelor privind schimbarea, urmat de acordarea unor prioriti care semnific urgena
care se impune pentru fiecare schimbare n parte. Prioritate schimbrii este determinat prin evaluarea
costurilor schimbrii i a impactului asupra afacerii i a resurselor aferente acesteia.
Categoriile tipice de schimbri sunt:
Schimbrile de urgen: se refer la cderea complet a sistemului, astfel nct trebuie
asigurate funciile critice (indisponibile) ale afacerii;
Schimbri cu impact potenial asupra tuturor utilizatorilor sistemului: pot fi generate de
nlocuirea sistemului sau de instalarea unei noi versiuni a sistemului de operare;
Schimbri cu impact potenial asupra tuturor utilizatorilor unui serviciu sau a unei aplicaii:
pot fi generate de instalarea unei noi versiuni a unei aplicaii;
Schimbri cu impact potenial asupra tuturor utilizatorilor unui serviciu: se refer la
reorganizarea unei baze de date sau corectarea unei erori;
Schimbri minore care necesit reiniializarea sistemului: sunt schimbri de configuraie
(adugare de noi componente n sistem), potrivirea ceasului electronic;
Schimbri minore: se refer, de exemplu, la schimbarea definiiilor reelei, la iniializarea unui
nou hard disk.
n urma aprobrii de ctre management, gestionarea schimbrii trebuie transferat ctre personalul tehnic
(programatori, operatori, tehnicieni pentru reele etc.) pentru a asigura implementarea acesteia.
n cazul schimbrilor aplicaiilor, programatorii vor face dezvoltrile ntr-un mediu de dezvoltare
controlat, la care are acces numai personalul autorizat pentru efectuarea schimbrii. Versiunea modificat
i documentat este transferat pentru validare n mediul de test. Transferul programelor actualizate n
mediul de producie este realizat de o alt echip, nu de ctre programatorii sau analitii care au participat
la dezvoltare sau testare.
Orice schimbare a sistemului software necesit actualizarea documentaiei n concordan cu schimbrile
operate.
Dup o perioad predefinit, schimbarea trebuie revizuit pentru a determina:
Dac schimbarea s-a finalizat cu rezultatele planificate;
Dac utilizatorii sunt mulumii n ceea ce privete modificarea produsului;
Dac au aprut probleme sau efecte neateptate;
Dac resursele cerute pentru implementarea i operarea sistemului actualizat au fost cele
planificate.
Schimbrile de urgen sunt schimbri care sunt necesare n anumite situaii neprevzute, nu pot
atepta parcurgerea fluxului normal al procedurilor de control al schimbrii i trebuie implementate cu o
ntrziere minim. Pentru acestea trebuie utilizate proceduri de control al schimbrilor de urgen.
Natura schimbrilor de urgen se reflect n timpul necesar efecturii i testrii schimbrii.
Auditorul va verifica dac aceste proceduri sunt rezonabile i includ forme de control suficiente i
adecvate.
Avnd n vedere c acest tip de schimbri se realizeaz sub presiune, trebuie avute n vedere riscurile
generate care sunt majore n astfel de cazuri.
Controlul versiunilor
Procedurile de control al versiunilor sunt foarte importante pentru a asigura utilizatorul c opereaz
asupra versiunii de program corecte. Creterea gradului de distribuire a sistemelor implic o dificultate
crescut a gestiunii versiunilor, ceea ce implic necesitatea implementrii unor proceduri de control al
versiunilor.
Pe baza acestor premise, managementul schimbrii i al dezvoltrii sistemului se poate sintetiza dup
cum se descrie n continuare:
Dezvoltatorii de software utilizeaz pe scar larg instrumente automate de control al versiunilor pentru a
nregistra schimbrile succesive efectuate asupra programelor surs.
Managementul schimbrii i al dezvoltrii sistemului are ca obiectiv important implementarea unor
politici, proceduri i controale n scopul asigurrii c sistemele sunt disponibile cnd sunt necesare,
funcioneaz conform cerinelor, sunt fiabile, controlabile i necostisitoare, au un control sigur al integritii
datelor i satisfac nevoile utilizatorilor.
Utilizarea unor proceduri inadecvate de control al modificrilor poate crete riscul ca sistemul s nu
proceseze corect tranzaciile financiare. Fr o testare adecvat, att conducerea entitii, ct i auditorii
au o asigurare slab c sistemul va efectua ceea ce s-a intenionat. Implicarea neadecvat a utilizatorilor
crete riscul ca informaiile rezultate din aplicaii s nu corespund cu realitatea. Documentaia
neadecvat face ca sistemul s fie dificil de ntreinut. Fr standarde adecvate, poate fi dificil s se
respecte documentaia.
O documentare bun a schimbrilor poate ajuta la identificarea erorilor sistemului. Utilizarea meto-
dologiilor standard de proiectare reduce riscul ca un sistem nou s nu corespund cerinelor utilizatorului.
Modificrile de urgen care nu au fost aprobate pot cauza probleme neprevzute n alte zone ale
sistemului informatic.
Existena unor controale neadecvate poate conduce la utilizarea n mediul de producie a unor programe
neautorizate. Modificrile neautorizate n sistem pot fi utilizate pentru fraudarea clientului. Acestea pot de
asemenea s afecteze disponibilitatea sistemelor i pot deforma datele financiare. Utilizarea neautorizat
Auditul intern trebuie s se concentreze asupra existenei i eficacitii controalelor specializate IT pentru
toate categoriile menionate mai sus, n concordan cu specificul activitii i n scopul evitrii expunerii
afacerii la riscuri nejustificate.
Specializarea unor auditori n domeniul auditului IT i utilizarea unor metodologii adecvate sau includerea
unor experi n domeniu n echipa de audit, n situaii n care se justific prezena acestora, reprezint o
cerin pentru evaluarea unor sisteme informatice complexe.
n funcie de stadiul n care acioneaz, exist trei categorii de controale:
Controale preventive proiectate pentru a preveni producerea de erori, omisiuni sau aciuni ru
intenionate. Un exemplu de control preventiv este utilizarea parolelor pentru accesul n sistem.
Controale de detectare proiectate pentru a detecta erori, omisiuni sau aciuni ru intenionate
care au loc i pentru a raporta apariia acestora. Un exemplu de control detectiv este meninerea
jurnalelor de operaii ale sistemului i ale aplicaiilor.
Controale corective proiectate pentru a reduce impactul sau pentru a corecta erorile odat ce
au fost detectate. Planul de continuitate a afacerii este considerat cel mai semnificativ control
corectiv.
Tehnicile de auditare asistat de calculator utilizate cel mai frecvent n auditul financiar se mpart n dou
categorii:
(a) tehnici pentru regsirea datelor
prin interogarea fiierelor de date;
prin utilizarea unor module de audit incluse n sistemul informatic auditat.
n ambele cazuri se pun urmtoarele probleme: (1)- identificarea informaiilor care vor fi necesare pentru
prelucrare n scopul obinerii probelor de audit, (2)- obinerea datelor ntr-un format adecvat pentru a fi
prelucrate, (3)- stocarea datelor ntr-o structur care s permit prelucrrile impuse de necesitile
auditului.
Utilizarea tehnicilor de auditare asistat de calculator presupune:
cunoaterea scopului care trebuie atins;
nelegerea modului n care opereaz sistemul (identificarea fiierelor care conin datele de
interes i a structurii acestora);
cunoaterea structurii nregistrrilor, pentru a le putea descrie n programul de interogare;
formularea interogrilor asupra fiierelor / bazelor de date;
cunoaterea modului de operare a sistemului;
determinarea criteriilor de selecie a nregistrrilor n funcie de metoda de eantionare i de
tipurile de prelucrri;
interogarea sistemului i obinerea probelor de audit.
Pentru a determina rspunderea utilizatorilor n ceea ce privete operaiile efectuate asupra tranzaciilor,
sistemele informatice trebuie s fie capabile s identifice ce utilizator a efectuat o anumit operaie i
cnd. Implementarea unor controale care identific i raporteaz aciunile utilizatorilor i nregistreaz
informaiile ntr-un registru de audit, fac ca astfel de utilizatori s fie mai reticeni n realizarea de operaii
neautorizate.
nregistrarea activitilor utilizatorilor n registrul de audit este, prin ea nsi, insuficient pentru a reduce
riscul realizrii de activiti neautorizate. Conducerea trebuie s examineze n mod regulat rapoartele de
excepii extrase din registrul de audit i s ia msuri de urmrire ori de cte ori sunt identificate
discrepane.
Registrele de audit sunt utile numai dac nu pot fi modificate. Trebuie s existe controale adecvate pentru
a asigura c personalul care introduce sau proceseaz tranzacii nu poate s modifice i nregistrrile
aferente activitilor lor. Integritatea registrelor de audit poate fi asigurat prin criptarea datelor sau prin
copierea registrului ntr-un director sau fiier protejat.
Auditorul va verifica dac exist controale adecvate pentru a asigura c personalul care introduce sau
proceseaz tranzacii nu poate s modifice i dac sunt nregistrate activitilor lor.
O bun documentaie a aplicaiei reduce riscul comiterii de greeli de ctre utilizatori sau al depirii
atribuiilor autorizate. Documentaia trebuie s fie cuprinztoare, actualizat la zi, pentru ca examinarea
acesteia s ajute auditorul s obin o nelegere a modului n care funcioneaz fiecare aplicaie i s
identifice riscurile particulare de audit. Documentaia trebuie s includ:
prezentarea general a sistemului;
specificaia cerinelor utilizatorului;
descrierea i listingul programului surs (dup caz);
descrierile intrrilor / ieirilor;
descrierea coninutului fiierelor;
manualul utilizatorului;
instruciuni de operare.
Auditorul va evalua dac documentaia aplicaiei este adecvat, este cuprinztoare i actualizat, dac
personalul ndreptit are copii ale documentaiei relevante sau acces la aceasta, dac exist instruciuni
de lucru pentru procedurile zilnice i pentru rezolvarea unor probleme frecvente, dac se pstreaz copii
de rezerv ale documentaiei aplicaiei n scopul recuperrii dup dezastru i al relurii rapide a
procesrii.
Dup evaluarea controalelor generale IT, auditorul va trebui s obin o nelegere a controalelor asupra
accesului la calculatoarele pe care funcioneaz aplicaiile, n condiiile n care utilizatorii selecteaz o
aplicaie anume. O analiz a securitii aplicaiei ia n considerare controalele de acces ca fiind o faz
anterioar operrii aplicaiei i vizeaz modul n care sunt controlai utilizatorii cnd acceseaz o anumit
aplicaie. De exemplu, tot personalul din departamentul finane va avea acces, prin controalele sistemului,
la aplicaia financiar online. Pentru controlul accesului la diferite categorii de informaii (la registrul de
vnzri, la registrul de cumprri, la statele de plat etc.) se introduc controalele de aplicaie suplimentare
care reglementeaz drepturile de acces la fiecare categorie n parte.
Auditorul va evalua proteciile fizice n vigoare pentru a preveni accesul neautorizat la aplicaie sau la
anumite funcii ale acesteia, n funcie de atribuii, pentru punerea n aplicare a separrii sarcinilor i a
respectrii atribuiilor. De asemenea, va evalua controalele existente n cadrul aplicaiei pentru
identificarea aciunilor utilizatorilor individuali (utilizarea de identificri unice, jurnale de operaii, utilizarea
semnturii electronice).
Auditorul va testa controalele logice de acces utilizate pentru a restriciona accesul la aplicaie sau la
anumite funcii ale acesteia pentru punerea n aplicare a separrii sarcinilor i a respectrii atribuiilor,
precum i controalele logice existente pentru restricionarea activitii utilizatorilor dup ce a fost obinut
accesul la o aplicaie (de exemplu, meniuri restricionate).
n vederea prelucrrii, datele pot fi introduse ntr-o varietate de formate. Pe lng informaiile introduse
direct de la tastatur, aplicaiile informatice accept pe scar din ce n ce mai larg documente electronice
provenind din prelucrri anterioare n alte sisteme sau create prin utilizarea dispozitivelor electronice de
recunoatere a caracterelor. Oricare form de introducere a datelor ar fi utilizat, obiectivele generale ale
controlului intrrii rmn aceleai. Acestea trebuie s asigure c:
Pag. 190 din 214
toate tranzaciile sunt introduse exact i complet;
toate tranzaciile sunt valabile;
toate tranzaciile sunt autorizate;
toate tranzaciile sunt nregistrate n perioada financiar corect.
Controalele fizice i logice de acces trebuie s ofere asigurarea c numai tranzaciile valabile sunt
acceptate pentru introducere.
Controalele fizice de acces includ mecanisme de acces protejate la uile ctre biroul financiar i
terminalele calculatorului (nchidere cu mecanisme de blocare sau cu cheia).
Controalele logice de acces se refer la capacitatea sistemelor informatice de a identifica utilizatorii
individuali i de a raporta identitatea lor fa de o list predeterminat de funcii pe care fiecare dintre
acetia este autorizat s le execute.
Dup identificare i autentificare, aplicaia poate fi n msur s controleze drepturile fiecrui utilizator.
Aceasta se realizeaz pe baza profilului i a drepturilor i privilegiilor de acces necesare pentru fiecare
utilizator individual sau grup de utilizatori. De exemplu, unui utilizator i se poate atribui profilul de operator
n registrul de vnzri i ca atare acestuia i va fi interzis s realizeze activiti n registrul de cumprri
sau n orice alt modul din cadrul aplicaiei.
O asigurare suplimentar poate fi obinut prin separarea sarcinilor impus prin calculator. Utilizatorii pot
avea un profil care s asigure c sistemul va procesa datele introduse numai dup ce au fost autorizate
de un alt membru nominalizat al personalului. Profilul utilizatorului trebuie s fie suficient de detaliat
pentru a asigura c un membru al personalului nu poate accesa sau procesa o tranzacie financiar de la
nceput la sfrit.
Asigurarea c introducerea datelor este complet poate fi obinut prin gruparea tranzaciilor pe loturi i
verificarea numrului i valorii tranzaciilor introduse cu totalurile calculate independent.
Dac aplicaiile nu utilizeaz controalele de lot pentru a introduce tranzacii, auditorul trebuie s caute alte
dovezi ale completitudinii. Se poate include o examinare a documentelor surs pentru a se confirma c
acestea au dat natere datelor de intrare.
Aplicaiile pot confirma validitatea intrrii prin compararea datelor introduse, cu informaii deja deinute in
sistem (de obicei din nomenclatoare sau cataloage). De exemplu, un sistem utilizat de validare a
adreselor dintr-un registru de vnzri sau cumprri implic introducerea numrului cldirii i a codului
potal. Calculatorul va cuta adresa n fiierele sale i apoi operatorul o compar cu adresa din
documentele de intrare.
Numerele de cont i alte cmpuri cheie pot ncorpora cifre de control. Cifrele de control sunt calculate prin
aplicarea unui algoritm la coninutul cmpului i pot fi utilizate pentru a verifica dac acel cmp a fost
introdus corect.
Cmpurile financiare pot face obiectul verificrii unui set de date pentru a evita introducerea de sume
neautorizate sau nerezonabile. Datele introduse care ncalc limitele prestabilite vor fi respinse i
evideniate ntr-un registru de audit.
Utilizarea numerelor de ordine ale tranzaciilor poate releva tranzaciile lips, ajut la evitarea tranzaciilor
duble sau neautorizate i asigur un parcurs de audit.
Controalele precizate mai sus nu sunt valide n condiiile n care este posibil ca acestea s fie ocolite prin
aciuni de introducere sau modificare a datelor, din afara aplicaiei.
Auditorul va evalua procedurile/controalele existente care s asigure c introducerea datelor este autorizat
i exact, precum i controalele care asigur c toate tranzaciile valabile au fost introduse (verificri de
completitudine i exactitate), c exist proceduri pentru tratarea tranzaciilor respinse sau eronate. Va
verifica aciunile care se ntreprind de ctre conducere pentru monitorizarea datelor de intrare.
Sistemele informatice sunt conectate fie la reeaua local, fie la alte reele externe (LAN sau WAN), care
le permit s primeasc i s transmit date de la calculatoare aflate la distan. Cele mai utilizate medii de
transmitere a datelor includ liniile telefonice, cablurile coaxiale, unde infraroii, fibre optice i unde radio.
Indiferent de mijloacele de transmisie utilizate, trebuie s existe controale adecvate care s asigure
integritatea datelor tranzaciei transmise.
Aplicaiile care transmit informaii prin reele pot fi supuse urmtoarelor riscuri:
datele pot fi interceptate i modificate fie n cursul transmisiei, fie n cursul stocrii n site-uri
intermediare;
n fluxul tranzaciei se pot introduce date neautorizate utiliznd conexiunile de comunicaii;
datele pot fi deformate n cursul transmisiei.
Auditorul trebuie s se asigure c exist controale care s previn i s detecteze introducerea de
tranzacii neautorizate. Aceasta se poate realiza, de exemplu, prin controlul asupra proiectrii i stabilirii
legturilor de comunicaii, sau prin ataarea semnturilor digitale la fiecare transmisie.
Integritatea datelor transmise poate fi compromis datorit defectelor de comunicaie. Auditorul trebuie s
se asigure c funcioneaz controale adecvate, fie n cadrul reelei, fie n aplicaiile financiare, pentru
detectarea datelor deformate. Este posibil ca protocolul de comunicaii al reelei, respectiv regulile
predeterminate care determin formatul i semnificaia datelor transmise, s ncorporeze faciliti
automate de detecie i corecie.
Avnd n vedere uurina interceptrii datelor transmise n reelele locale sau n alte reele externe,
protecia neadecvat a reelei mrete riscul modificrii, tergerii i dublrii neautorizate a datelor. Exist
un numr de controale care pot fi utilizate pentru a trata aceste probleme:
se pot utiliza semnturi digitale pentru a verifica dac tranzacia provine de la un utilizator
autorizat i coninutul tranzaciei este intact;
se pot utiliza tehnici de criptare a datelor pentru a preveni interpretarea i / sau modificarea
tranzaciilor interceptate;
secvenierea tranzaciilor poate ajuta la prevenirea i detectarea tranzaciilor dublate sau
terse i pot ajuta la identificarea tranzaciilor neautorizate.
Auditorul va evalua controalele implementate pentru asigurarea c transferul de date n reea este att
complet ct i exact (utilizarea semnturii digitale, criptarea datelor, secvenierea tranzaciilor), precum i
metodele de identificare i tratare a riscurilor asociate transferului de date n reea (adoptate de
organizaie).
Controalele prelucrrii n cadrul unei aplicaii informatice trebuie s asigure c se utilizeaz numai date i
versiuni de program valabile, c procesarea este complet i exact i c datele prelucrate au fost
nscrise n fiierele corecte.
Asigurarea c prelucrarea a fost complet i exact poate fi obinut prin efectuarea unei comparaii a
totalurilor deduse din tranzaciile introduse cu totalurile din fiierele de date meninute de calculator.
Auditorul trebuie s se asigure c exist controale pentru detectarea procesrii incomplete sau inexacte a
datelor de intrare.
Procesele aplicaiei pot s efectueze i alte validri ale tranzaciei, prin verificarea datelor cu privire la
dublarea unor tranzacii i la concordana cu alte informaii deinute de alte componente ale sistemului.
Procesul poate s verifice integritatea datelor pe care le pstreaz prin utilizarea sumelor de verificare
deduse din date. Scopul acestor controale este de a detecta modificrile externe aduse datelor datorit
anomaliilor sistemului sau a utilizrii neautorizate a unor faciliti de modificare ale sistemului, precum
editoarele.
Sistemele informatice financiar-contabile trebuie s menin un registru al tranzaciilor procesate.
Registrul de tranzacii, care poate fi denumit fiierul parcursului de audit, trebuie s conin informaii
suficiente pentru a identifica sursa fiecrei tranzacii i fluxul de prelucrare al acesteia.
n mediile care se prelucreaz loturi de date, erorile detectate n cursul procesrii trebuie s fie aduse la
cunotina utilizatorilor. Loturile respinse trebuie nregistrate i napoiate expeditorului. Sistemele online
trebuie s ncorporeze controale de monitorizare i raportare a tranzaciilor neprocesate sau neclare
(precum facturi pltite parial). Trebuie s existe proceduri care s permit conducerii s identifice i s
examineze toate tranzaciile neclarificate peste un anumit termen.
Aplicaiile trebuie sa fie proiectate pentru a face fa perturbaiilor, precum cele cauzate de defecte de
alimentare cu curent electric sau de echipament (salvarea strii curente n caz de incident). Sistemul
trebuie sa fie capabil s identifice toate tranzaciile incomplete i s reia procesarea acestora de la
punctul de ntrerupere.
Auditorul va evalua controalele existente care s asigure c toate tranzaciile au fost procesate, pentru a
reduce riscul de procesare a unor tranzacii incomplete, eronate sau frauduloase, controalele existente
care s asigure c sunt procesate fiierele corecte (controalele pot fi de natur fizic sau logic i previn
riscul de procesare necorespunztoare a unor tranzacii), precum i existena controalelor care s
asigure exactitatea procesrii i a controalelor pentru detectarea / prevenirea procesrii duble.
Se va verifica, de asemenea, modul n care aplicaia i personalul trateaz erorile de procesare.
Pentru a obine o asigurare c avut loc o prelucrare complet i exact, se implementeaz un mecanism
de raportare a tuturor mesajelor de eroare detectate n cursul procesrii sau de furnizare a unor totaluri de
control care s se compare cu cele produse n cursul introducerii, pus la dispoziia persoanelor
responsabile cu introducerea i autorizarea datelor tranzaciei. Aceasta poate lua forma unui registru de
operaii.
Completitudinea i integritatea rapoartelor de ieire depinde de restricionarea capacitii de modificare a
ieirilor i de ncorporarea de verificri de completitudine, cum ar fi numerotarea paginilor, i de
prezentarea unor sume de verificare.
Fiierele de ieire trebuie s fie protejate pentru a reduce riscul modificrilor neautorizate. Motivaii
posibile pentru modificarea datelor de ieire includ acoperirea procesrii neautorizate sau manipularea
rezultatelor financiare nedorite. De exemplu, fiierele de ieire neprotejate n cadrul unui sistem de plat a
notelor de plat ar putea fi exploatate prin alterarea sumelor cecurilor sau a ordinelor de plat i a
detaliilor beneficiarului. O combinaie de controale fizice i logice poate fi utilizat pentru protejarea
integritii datelor de ieire.
Datele de ieire dintr-un sistem IT pot constitui date de intrare n alt sistem, nainte ca acestea s fie
reflectate n situaiile financiare; de exemplu, datele de ieire dintr-un sistem care transfer statele de
plat, ca date de intrare, n registrul general. Acolo unde se ntlnete acest caz, auditorul trebuie s
verifice existena controalelor care s asigure c datele de ieire sunt transferate exact de la o faz de
procesare la alta. Un alt exemplu ar fi n cazul n care datele de ieire dintr-o balan de verificare sunt
utilizate ca date de intrare ntr-un pachet de procesare de tabele care reformateaz datele pentru a
produce situaiile financiare.
Auditorul va verifica existena controalelor care s asigure c ieirile de la calculator sunt stocate corect
i, atunci cnd sunt transmise, acestea ajung la destinaie, va verifica existena controalelor
corespunztoare privind caracterul rezonabil, exactitatea i completitudinea ieirilor.
n cadrul entitilor auditate, sistemele informatice care fac obiectul evalurii sunt utilizate ca suport pentru
asistarea deciziei, constituind sisteme IT utilizate pentru evidena, prelucrarea i obinerea de rezultate,
situaii operative i sintetice la toate nivelele de raportare.
Din acest motiv, o categorie special de controale IT se refer la conformitatea sistemului informatic cu
cerinele impuse de cadrul legislativ i de reglementare.
Cerinele legislative i de reglementare variaz de la o ar la alta. Acestea includ:
Legislaia privind protecia datelor private i legislaia privind protecia datelor personale;
Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii informatice;
Reglementri financiare i bancare;
Legile cu privire la proprietatea intelectual.
Respectarea reglementrilor n domeniu se refer la existena unor politici sau proceduri formale prin
care se atribuie responsabilitatea monitorizrii mediului legislativ care poate avea impact asupra
sistemelor informatice, precum i responsabilitatea asigurrii conformitii cu clauzele contractuale privind:
Responsabilitatea asigurrii c sistemul implementat este actualizat n conformitate cu
ultima versiune furnizat;
Respectarea termenelor privind distribuirea ultimelor versiuni de echipamente, software,
documentaie;
Livrarea i instalarea configuraiilor hardware / software pe baza unui grafic, conform
clauzelor contractuale, pe etape i la termenele stabilite;
Respectarea obligaiilor privind instruirea i suportul tehnic, stabilite prin contract;
Furnizarea pachetelor software conform clauzelor contractuale. Verificarea existenei i
valabilitii licenelor furnizate n cadrul contractului;
Asigurarea suportului tehnic (prin telefon, e-mail sau utiliznd un portal; portalul poate
avea seciuni distincte foarte utile pentru suport tehnic specializat pe categorii relevante
de probleme/anomalii sau pentru instruirea continu a utilizatorilor;
Existena unor proceduri scrise privind analiza i acceptarea produselor i serviciilor
furnizate n cadrul contractului, precum i recepia cantitativ i calitativ;
Furnizarea documentaiei tehnice conform contractului: coninutul (lista, numrul
manualelor, limba) i formatul (tiprit, n format electronic, on-line);
n etapa de studiu preliminar, auditorul trebuie s obin o nelegere suficient a sistemului pentru a
determina dac sistemul de controale interne este de ncredere i furnizeaz informaii corecte despre
acurateea nregistrrilor. n cazul n care sistemul de controale interne nu pare a fi suficient de robust,
auditorul trebuie s testeze controalele pentru a evalua riscul asupra obiectivelor auditului.
n acest scop, auditorul poate utiliza tehnici i metode de testare variate. Acestea pot fi bazate pe
programe de test al conformitii care conin informaii privind: descrierea controlului care va fi testat,
proba de audit estimat pentru satisfacerea condiiilor, teste extinse (inclusiv bazate pe eantionare),
descrierea funcionrii eronate a controlului, cte eecuri pot fi tolerate. Probele de audit se colecteaz
prin combinarea unor tehnici tradiionale, cum ar fi observarea, interviul, examinarea i eantionarea, cu
tehnici de auditare asistat de calculator.
Problemele care pot aprea cu privire la ncrederea n controalele de aplicaie se pot sintetiza astfel:
(a) Controalele IT nu furnizeaz un istoric al operrii din cauza scufundrii lor n corpul aplicaiei i, n
consecin, nu furnizeaz probe de audit explicite.
(b) Perioada de timp n care acioneaz controalele de aplicaie IT este limitat, acestea acionnd, n
general, pe o durat foarte scurt a ciclului de via al tranzaciei (de exemplu, pe durata introducerii
datelor).
(c) Rezervele auditorilor fa de controalele de aplicaie IT datorate eventualitii alterrii acestora de
ctre persoane interesate n inducerea n eroare a auditorului.
(d) Rezervele auditorilor fa de controlul preventiv asigurat, decurgnd din natura controalelor IT, care nu
prezint garanii privind funcionarea corect.
Majoritatea ntreprinderilor folosesc produse informatice pentru gestiune i contabilitate. Ca urmare a
cerinelor impuse informaiei contabile de ctre utilizatorii acesteia, produsele informatice trebuie s
ndeplineasc, la rndul lor, o serie de cerine specifice. In Romnia exist o multitudine de dezvoltri ale
unor astfel de produse, care ar trebui s se raporteze la o serie de criterii i cerine minimale
reglementate, n principal, prin norme metodologice ale Ministerului Finanelor Publice. Aceste norme se
refer n principal la urmtoarele aspecte:
Aceast list nu este exhaustiv. n funcie de obiectivele auditului i de specificul sistemului / aplicaiei
auditate, auditorul poate decide efectuarea i a altor teste care pot furniza concluzii relevante pentru
formularea unei opinii corecte.
Pentru obinerea probelor de audit se vor utiliza liste de verificare, machete i, dup caz, chestionare i
se vor realiza interviuri cu: persoane din conducerea instituiei auditate, personalul de specialitate IT,
utilizatori ai sistemelor/aplicaiilor.
Machetele constituie suportul pentru colectarea informaiilor cantitative referitoare la infrastructura IT.
Acestea sunt transmise entitii auditate, spre completare.
n condiiile n care se colecteaz informaii care reflect performana sistemului, se utilizeaz chestionare
proiectate de auditor, pe baza crora, n urma centralizrii i prelucrrilor statistice vor rezulta informaii
legate de satisfacia utilizatorilor, modernizarea activitii, continuitatea serviciilor, creterea calitii
activitii ca urmare a informatizrii i altele.
Machetele i chestionarele completate vor fi semnate de conducerea entitii i predate echipei de audit.
Machetele utilizate pentru colectarea datelor referitoare la infrastructura IT i la personalul IT sunt
urmtoarele:
Macheta 1 - Bugetul privind investiiile IT;
Macheta 2 - Sisteme / aplicaii utilizate;
Macheta 3 - Evaluarea infrastructurilor hardware, software i de comunicaie;
Macheta 4 - Informaii privind personalul implicat n proiectele IT.
Listele de verificare constituie un suport valoros pentru realizarea interviurilor. Aceste documente de
lucru, respectiv listele de verificare, nu se pun la dispoziia entitii auditate. n timpul interviului, auditorul
consemneaz rspunsurile celui intervievat, precum i comentarii personale i alte constatri.
Cele mai importante liste de verificare specifice auditului IT / IS, sunt:
Lista de verificare pentru evaluarea controalelor generale IT
Lista de verificare pentru evaluarea riscurilor IT
Lista de verificare privind evaluarea controalelor de aplicaie (pentru sistemele informatice
financiar-contabile)
Lista de verificare pentru evaluarea site-urilor web
Aceste liste de verificare sunt aplicabile pentru auditul n medii informatizate, n cadrul misiunilor de audit
financiar sau de audit al performanei, pentru evaluarea controalelor generale IT i a riscurilor generate de
funcionarea sistemului informatic. n cazul misiunilor de audit financiar, care presupun evaluarea
sistemului informatic financiar-contabil, pentru a formula o opinie privind ncrederea n informaiile
furnizate de sistemul informatic auditorul public extern va utiliza lista de verificare pentru testarea
controalelor IT specifice aplicaiei financiar-contabile.
n cazul n care sistemul nu pare a fi suficient de robust, auditorul trebuie s evalueze riscul funcionrii
necorespunztoare a sistemului asupra obiectivelor misiunii de audit financiar.
n cadrul entitilor auditate, sistemele informatice care fac obiectul evalurii sunt utilizate ca suport pentru
asistarea deciziei, constituind sisteme IT/IS utilizate pentru evidena, prelucrarea i obinerea de rezultate,
situaii operative i sintetice la toate nivelele de raportare. Din acest motiv, o categorie special de
controale IT se refer la conformitatea sistemului informatic cu cerinele impuse de cadrul legislativ i de
reglementare.
Pag. 199 din 214
Cerinele legislative i de reglementare includ:
Legislaia din domeniul finanelor i contabilitii;
Legislaia privind protecia datelor private i legislaia privind protecia datelor personale;
Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii informatice;
Reglementri financiare i bancare;
Legislaia cu privire la proprietatea intelectual.
n cazul sistemelor complexe sau desfurate la scar naional (de exemplu, Sistemul Electronic
Naional) se folosesc liste de verificare specializate elaborate n cadrul Curii de Conturi a Romniei:
- Lista de verificare pentru evaluarea guvernrii IT, personalizat pentru sistemele de tip
e-guvernare;
- Lista de verificare pentru evaluarea portalului web;
- Lista de evaluare a perimetrului de securitate;
- Liste de verificare pentru evaluarea serviciilor electronice;
- Liste de verificare pentru evaluarea cadrului de interoperabilitate,
precum i alte liste de verificare a cror necesitate decurge din obiectivele auditului.
Auditul performanei implementrii i utilizrii sistemelor informatice va lua n considerare urmtoarele
aspecte:
Modul n care funcionarea sistemului contribuie la modernizarea activitii entitii;
Modul n care managementul adecvat al configuraiilor IT contribuie la creterea valorii adugate
prin utilizarea sistemului informatic, reflectat n economii privind costurile de achiziie i creterea
calitii serviciilor;
Creterea semnificativ a productivitii unor activiti de rutin foarte mari consumatoare de timp
i resurse, care, transpuse n proceduri electronice (tehnoredactare, redactarea automat a
documentelor, cutri n arhive electronice, reutilizarea unor informaii, accesarea pachetelor
software legislative), se materializeaz n reduceri de costuri cu aceste activiti;
Scurtarea timpului de prelucrare prin reducerea numrului de erori i evitarea relurii unor
proceduri pentru remedierea acestora;
Eliminarea paralelismelor i integrarea proceselor care se reflect n eficientizarea activitii prin
eliminarea redundanelor;
Scderea costurilor serviciilor, creterea disponibilitii acestora i scderea timpului de rspuns;
Creterea gradului de instruire a personalului n utilizarea noilor tehnologii i dezvoltarea de noi
aptitudini;
Reducerea costurilor administrative.
Pentru evaluarea gradului n care implementarea i utilizarea sisemului informatic a produs efecte n
planul modernizrii activitii, n creterea calitii serviciilor publice i n ceea ce privete satisfacia
utilizatorilor se pot proiecta i utiliza chestionare prin intermediul crora se vor colecta informaii care s
reflecte reaciile actorilor implicai (management, funcionari publici, utilizatori, personal IT, ceteni).
Prezentarea coninutului machetelor i listelor de verificare pentru ntreg fluxul aferent misiunii de audit va
fi detaliat n ghidul asociat acestui manual.
Referine tehnice
[1] ISACA, IS Standards, Guidelines and Procedures for Auditing and Control
Professionals, ediia februarie 2010, www.isaca.org
[5] ITGI, Aligning COBIT 4.1, ITIL V3, ISO/IEC 27001 for Business Benefit, www.isaca.org
[6] ITGI, Implementation Guide: Using COBIT and Val IT, 2nd Edition.
[13] ITGI, The Business Case Guide: Using Val IT 2.0, www.isaca.org
[15] The Institute of Internal Auditors, Applying COSOs Enterprise Risk Management -
Integrated Framework, Executive summary, September, 2004, www.theiia.org
[19] INTOSAI, INTOSAI GOV 9100 Guidelines for Internal Control Standards for the Public
Sector, 2004
[20] ISA, Declaraia internaional privind practica de audit 1008 - Evaluarea riscurilor i
controlul intern caracteristici i considerente privind CIS
[21] ISA, Declaraia internaional privind practica de audit 1009 - Tehnici de audit asistat
de calculator
[23] THE IIA, Systems Assurance and Control (SAC), The IIA Research Foundation,
http:/www.theiia.org/eSAC
[24] NIST, NIST 800-30 Risc Management Guide for Information Technology Systems,
http://www.csrc.nist.gov/publications
[25] www.isaca.org/cobit
[26] www.isaca.org/valit
[27] www.isaca.org/riskit
[28]www.itgi.org
HG nr. 271/ 2001 privind nfiinarea grupului de lucru "Grupul de Promovare a Tehnologiei
Informaiei n Romnia"
HG nr. 1259/2001 privind aprobarea Normelor tehnice i metodologice pentru aplicarea Legii nr.
455/2001 privind semnatura electronic
Legea nr. 677/ 2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter
personal i libera circulaie a acestor date
Legea nr. 161/ 2003 privind unele msuri pentru asigurarea transparenei n exercitarea
demnitilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea
coruptiei - TITLUL II: Transparena n administrarea informaiilor i serviciilor publice prin mijloace
electronice
Legea nr. 161/ 2003 privind unele msuri pentru asigurarea transparenei n exercitarea
demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea
coruptiei - TITLUL III: Prevenirea i combaterea criminalitatii informatice.
HG nr. 1085/ 2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind unele msuri
pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul
de afaceri, prevenirea i sancionarea coruptiei, referitoare la implementarea Sistemului
Electronic Naional
HG nr. 538/ 2004 privind modificarea i completarea Hotrrii Guvernului nr. 1.085/2003 pentru
aplicarea unor prevederi ale Legii nr. 161/2003 privind unele msuri pentru asigurarea
transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri,
prevenirea i sancionarea coruptiei, referitoare la implementarea Sistemului Electronic Naional
OMF nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele de
management/control intern la entitatile publice i pentru dezvoltarea sistemelor de control
managerial
Legea 121/2006 pentru modificarea i completarea Legii nr. 365/2002 privind comerul electronic
OMF nr. 847/2009 pentru modificarea i completarea Ordinului ministrului economiei i finanelor
nr. 858/2008 privind depunerea declaraiilor fiscale prin mijloace electronice de transmitere la
distan
HG nr. 201/2010 privind organizarea i funcionarea Punctului de Contact Unic electronic (PCU
electronic),
INTOSAI
Metodologia
de revizuire
a Securitii
Sistemelor Informatice
IN TO S A I P ro f es si o n al St a n d a rd s C o mm i tt ee
PSC-
Secretariat
INTOSAI
EXPERIENTIA MUTUA
OMNIBUS PRODEST
2
INTOSAI
Emis de
Commitetul de Audit pentru Prelucrarea
Datelor Electronice
Organizaia International a Instituiilor
Supreme de Audit
Octombrie 1995
3
Cuprins
Volumul 1: Prezentare.............................................................................................................. 6
1.9 Cnd i cum se pot folosi metodele de securitate a informaiilor detaliate .............. 13
4
2.4.1 Evaluarea ameninrilor i a riscurilor .............................................................. 19
3.2 Infrastructura.................................................................................................... 72
5
Metodologie de revizuire a securitii sistemelor informatice
Volumul 1: Prezentare
6
1.1 Prezentare
Utilizatorii ar trebui s citeasc aceast prezentare nainte de a se referi la alte volume
referitoare la ghidul metodologic de revizuire a Sistemului de Securitate a Informaiei (SSI),
publicat de INTOSAI.
Scopul acestei prezentri de ansamblu este de a explica modul n care aceast metodologie
este organizat i n ce mprejurri poate fi folosit:
Nivelul 2 furnizeaz o metod mult mai sofisticat, bazat pe valoarea financiar a expunerilor
asociate cu securitatea informaiei (Volumul 3).
Obiectivul principal al acestui ghid este de a asista ISA care au un astfel de mandat pentru a
revizui programele implementate de diferite organizaii guvernamentale, sub aspectul
sistemului de securitate a informaiei. Acesta poate fi, de asemenea, utilizat de ctre ISA
pentru a stabili programe de securitate eficiente i cuprinztoare, care s acopere sistemele
informatice cheie n propria organizaie (ISA). Acesta nu este un ghid detaliat de audit de
securitate: este o descriere a unei abordri structurate pentru evaluarea i gestionarea
riscurilor n sistemele informatice.
Un bun program de securitate a informaiilor implic dou elemente majore: analiza de risc i
managementul riscurilor.
7
Pentru a fi eficace, eficient i pentru a reflecta acceptarea unor semnificaii comune,
managementul riscurilor trebuie s se fac ntr-un cadru de securitate, caz n care msurile de
securitate a informaiei sunt completate de msuri referitoare la calculatoare, personal,
activitatea administrativ, precum i msuri privind securitatea fizic (a se vedea Figura 1).
Multe metodologii formale de analiz de risc existente pe pia necesit expertiz tehnic n
domeniul tehnologiei informaiei i al controalelor relevante, precum i n ceea ce privete
disponibilitatea spectrului de ameninri specifice, care ar putea fi dincolo de cunoaterea din
cadrul multor oficii de audit, cel puin la nceput. Obiectivul este de a constitui, de-a lungul
timpului, expertiza necesar i resursele.
Sisteme
informatice
Hardware / Software
Administrativ
Nivel fizic
8
securitate i Comitetul de direcie pentru sisteme informatice. Un program de securitate a
informaiilor ar trebui s includ toate aspectele legate de sensibilitatea informaiilor
organizaiei, inclusiv confidenialitatea, integritatea i disponibilitatea. Trebuie s existe un
program de contientizare privind securitatea, care s informeze ntreg personalul cu privire la
riscurile posibile i la expuneri, precum i la responsabilitile care i revin n calitate de
deintor al informaiilor organizaiei.
1
Aceast abordare este rezultatul unui efort comun depus de NAO-UK (National Audit Office of the UK) i de Oficiul
Auditorului General al Canadei.
2 Securitatea este n mare msur de natur preventiv, cum ar fi asigurarea auto. Chiar dac cei mai muli oameni nu a fost
implicai niciodat ntr-un accident de masina grav, ei nc au asigurare auto. Beneficiile nu sunt niciodat pe deplin realizate
pn cnd nu are loc un accident. Securitatea "este o cheltuial legitim i necesar serviciilor de gestionare a informaiilor, i
guvernul ar trebui s ia n considerare att costul de punere n aplicare a controalelor ct i costul potenial de a nu face acest
lucru. Costurile de securitate ar trebui s fie proporionale cu necesitatea, i incluse n costurile ciclului de via al oricrui
sistem informatic". (Oficiul Auditorului General al Canadei, Raport anual, 1990, capitolul 9, auditul securitii informaiilor).
9
Avnd n vedere resursele limitate ale multor instituii supreme de audit, se propune ca ISA s
utilizeaz nti o viziune top-down manual de management al securitii informaiei. ISA
trebuie s treac la a doua faz, o analiz foarte detaliat care vizeaz o evaluare financiar a
expunerii la risc a informaiei, numai n cazul n care managementul are nevoie de precizie
financiar pentru a susine deciziile sale sau dac expunerile tehnice specifice sunt n curs de
examinare. Ambele metode de includ elemente de analiz a riscurilor i de gestionare a
riscurilor (a se vedea Figura 2).
Nu
Recomandri de securitate generale
Costuri nete detaliate necesare?
i msuri specifice
Nu
Analiz suplimentar
Expertiz i resurse diponibile
necesar (cuantificat)?
Da
Faza de implementare
Aceast abordare pe dou niveluri furnizeaz Instituiilor Supreme de Audit opiuni n alegerea
metodologiilor i o cale de migrare treptat de la o metodologie mai puin sofisticat la una
foarte formalizat i consumatoare de resurse.
Metoda top-down este simpl, dar complet i poate ajuta Instituiile Supreme de Audit s
ajung la concluzii cu privire la expunerile sistemului de securitate a informaiilor n curs de
revizuire. Este nevoie de o perspectiv de sus n jos, top-down, a securitii informaiilor
deoarece aceasta reflect: perspectiva conducerii de vrf asupra informaiei n ceea ce
privete valoarea acesteia pentru organizaie, riscurile i expunerile sistemului de securitate i
recomandrile care ar trebui s fie fcute. Aceast abordare permite auditorilor s-i
concentreze atenia asupra sistemelor informatice cheie, n special asupra celor care prezint
preocupri speciale de securitate.
n abordarea pe dou niveluri propus, privind securitatea sistemului informatic, metoda top-
down este vzut ca un punct de decizie n cadrul metodei de ansamblu. n funcie de
circumstanele revizuirii, SAI-urile pot fi satisfcute de rezultatele revizuirii sau pot decide s
continue revizuirea cu proceduri mult mai sofisticate, n domenii de interes special sau n cazul
n care msurile de securitate foarte tehnice sau foarte costisitoare ar putea s necesite
justificarea managementului.
3Spre deosebire de metoda top-down, metodologiile detaliate, utilizate n al doilea nivel al abordrii propuse de acest ghid, cuantific ntr-o
manier foarte detaliat ameninrile la adresa platformei de calculatoare pe care se execut sistemele informatice.
11
Volumul 3 descrie o versiune manual a unei metode detaliate de securitate a informaiei 4.
Obiectivul este de a oferi SAI-urilor o imagine de ansamblu a unei metode care este cea mai
utilizat i are ca suport un pachet de programe software.
Cele mai multe dintre metodele de pe pia sunt n natur pe dou niveluri i variaz de la
una la alta n concordan cu modul n care au fost obinute probabilitile, costurile i pierderile
anuale cumulate anticipate. Alte diferene pot fi uurina n utilizarea metodei i tipul de suport
oferit de ctre vnztor. Acestea sunt unele dintre problemele pe care aceast abordare pe
dou niveluri ncearc s le abordeze.
Planificare. Planificarea revizuirii securitii este cheia succesului aciunii. Aceasta ar trebui s
acopere urmtoarele elemente principale:
Cunoaterea clientului i a mediului informatizat;
Domeniul care face obiectul revizuirii: care sunt sistemele informatice, care sunt
limitele logice, fizice sau geografice;
Resurse disponibile: personal calificat sau consultani, bugete, termene;
Disponibilitatea unor statistici fiabile privind ameninrile i a unor date referitoare la
costuri, adecvate pentru condiiile locale; adaptarea valorilor implicite, dac este
necesar;
Cerinele de raportare: destinatarii raportului, contextul revizuirii (raportul anual,
rapoartele speciale de uz intern/ extern etc), tipul recomandrilor necesare;
Metoda de revizuire: abordarea top-down (de sus n jos), analize detaliate sau o
combinaie a celor dou.
4
Dezvoltat de the National Audit Office of the UK
12
1.8 Cnd i cum se utilizeaz abordarea revizuirii
top-down
Abordarea top-down este metoda preferat utilizat pentru revizuire, deoarece satisface
nevoile i capacitile multor instituii supreme de audit.
Volumul 2 conine o descriere a metodei, inclusiv finalizarea pas cu pas a revizuirii securitii. O
serie de formulare este prezentat n anexe. Formularele pot fi utilizate n form tiprit sau pe
un calculator5.
Cele mai importante formulare sunt Declaraia privind sensibilitatea informaiilor i clasificarea
securitii (Anexa C), precum i formularul Impactul asupra afacerii i evaluarea ameninrilor
(Anexa E).
n funcie de circumstanele de revizuire a securitii, versiunile pe suport de hrtie ale acestor
formulare pot fi completate de ctre proprietarii / utilizatorii de sisteme informatice n curs de
revizuire i semnate de un funcionar desemnat de conducere. Acestea se constituie n
documentaia permanent de evaluare a securitii pentru aceste sisteme. Disponibilitatea
formularelor electronice simplific i uureaz adaptarea acestora la nevoile locale.
Alte formulare, n cea mai mare parte foile de calcul, sunt folosite pentru a sintetiza rezultatele
pentru mai multe sisteme informatice, pe un format centralizator.
Exist circumstane n care se impun revizuiri ale securitii informaiei mult mai detaliate i mai
cuantificate. Acest lucru se va ntmpla n cazul n care instituiile supreme de audit dispun de
resursele bugetare, tehnice i de personal necesare pentru a desfura analize detaliate sau n
cazul n care cerinele de raportare dicteaz acest mod de abordare.
nainte de a ncerca utilizarea unei metode de securitate a informaiilor detaliate, se recomand
ca ISA s acorde o atenie deosebit urmtoarelor aspecte:
Disponibilitatea expertizei sau accesul uor la expertiza din domeniul tehnologiei
informaiei i al securitii informaiei;
Disponibilitatea unei metodologii adecvate;
Disponibilitatea unui pachet software suport bun: metodele de risc cantitative sunt
foarte cuprinztoare i implic metodologii detaliate, care impun utilizarea unui
calculator; pe de alt parte, pachetul software suport introduce, de obicei, complexitate
inerent, care transform revizuirea detaliat a securitii ntr-o sarcin extrem de
dificil;
Bugetele pentru adaptarea sau personalizarea pachetului pentru mediul supus
revizuirii: cteva luni de efort nu constituie o exagerare;
Bugetele pentru instruire, avnd n vedere curba de nvare care poate fi destul de
abrupt i costisitoare, mai ales n cazul n care trebuie s fie utilizai consultanii;
Resurse financiare i de timp: revizuirile de securitate detaliate sau de amploare tind
s fie de lung durat i consumatoare de resurse, i,
Nevoia pentru o astfel de revizuire detaliat: exist o argumentaie care s susin c
revizuirile detaliate, cantitative de securitate nu pot fi justificate pentru sistemele
5 Formularele sunt disponibile n format electronic i pot fi uor importate ntr-un mediu Windows.
13
informatice comerciale sau guvernamentale care nu sunt nici complexe, nici extrem de
sensibile.
Instituii supreme de audit, cum ar fi Oficiul Naional de Audit din Marea Britanie i Oficiul de
Audit din Noua Zeeland au deja o lung experien n dezvoltarea i utilizarea metodelor de
gestionare a riscurilor de securitate detaliate. Celelalte instituii supreme de audit pot dori s se
consulte cu acestea nainte de a merge n aceast direcie.
Pentru a utiliza aceste metode n mod eficient, instituiile supreme de audit trebuie s aib
acces la personal calificat sau consultani n domeniul tehnologiei informaiei i n conceptele
de securitate a informaiilor. La nivel mondial, sunt comercializate de ctre o serie de firme de
consultan, pachete comerciale de gestionare a riscurilor, mpreun cu instruirea aferent n
utilizarea metodologiei de baz.
Exist mai multe pachete bine cunoscute de management al riscurilor. CRAMM, de exemplu, a
fost dezvoltat pentru guvernul britanic, iar acum este comercializat ntreaga lume, prin diverse
firme de consultan. n S.U.A., RiskWatch este un pachet bine cunoscut care utilizeaz un
software de tip sistem expert pentru a efectua analiza i managementul riscurilor.
Departamentul de Energie al SUA a dezvoltat pachetul Los Alamos Vulnerability Assessment
(LAVA). Noua Zeeland are n curs de dezvoltare programul CATALYST, ntr-un mediu
Windows, pentru a rspunde propriilor nevoi de analiz a securitii. Selecia unui astfel de
pachet poate fi o chestiune de disponibilitate local, cost, suport tehnic dup cumprare,
resurse necesare pentru personalizare la condiiile locale.
Costul unuia dintre aceste pachete comerciale pentru o instituie suprem de audit este de
aproximativ 6000 sau 10.000 USD. Acesta poate include, de asemenea, instruirea pentru
una sau dou persoane.
n toate cazurile, instituia suprem de audit trebuie s se asigure c statisticile de baz
utilizate de ctre pachetul selectat sunt adecvate pentru condiiile locale. n alte cazuri,
rezultatele ar putea reflecta condiiile existente numai n Europa sau n America de Nord.
14
Metodologie de revizuire a securitii sistemelor informatice
15
2.1 Introducere
Scopul acestui ghid este de a furniza o metodologie eficient pentru a asista n revizuirea sau
n stabilirea unor politici i msuri de securitate adecvate n cadrul unei organizaii.
Recunoscnd c cerinele de securitate trebuie s fie actualizate n mod regulat, ghidul
furnizeaz, de asemenea, o documentaie simpl privind actualizarea i de raportarea.
Ghidul descrie evaluarea securitii informatice din perspectiva managementului ntr-o
organizaie guvernamental6. Organizaiile pot utiliza acest ghid pentru a fi asistate la
elaborarea unui "inventar" de aplicaii informatice utilizate, la evaluarea sensibilitii i
clasificrii securitii informaiilor i la finalizarea evalurii impactului riscurilor ameninrilor
asupra afacerii. Persoana nsrcinat cu securitatea7 utilizeaza acest ghid ca o baz pentru
evaluarea general a politicii i msurilor de securitate i pentru a face recomandri.
Instituiile supreme de audit (ISA) pot utiliza ghidul n dou moduri: pentru scopuri interne, de a
crea un proces de evaluare a securitii n propria organizaie sau n scopuri externe, pentru a
ajuta la revizuirea procesului de evaluare a securitii n alte organizaii guvernamentale.
Acest ghid conine o abordare top-down la nivel nalt pentru securitatea informaiilor. Accentul
se pune pe informaia transmis de diverse dispozitive electronice. n conformitate cu aceast
abordare la nivel nalt, acest ghid calific ameninrile generate de cauze generale n locul
rezultatelor acestora, cum ar fi cutremurele n loc de distrugerea pe care o pot aduce. O
abordare bottom-up (de jos n sus) a securitii informaiilor, pe de alt parte, tinde s
examineze fiecare activ de tip calculator pentru a detecta slbiciunile care pot crea expuneri
avnd ca efect pierderile de informaii generate sau transportate de ctre aceste active.
Avantajul folosirii abordrii top-down este acela c ajut managementul s se focalizeze i s
se concentreze pe zonele cu probleme pentru aciunile viitoare. n unele cazuri, aceasta poate
indica nevoia de munc suplimentar pentru a construi un studiu de fezabilitate pentru msurile
de securitate extinse sau costisitoare.
6 n acest document organizaie se refer la orice departament sau agenie guvernamental sau de stat. "Aplicaie
informatic" i "sistem informatic" sunt folosite alternativ.
7 A se vedea Anexa I pentru mai multe detalii privind infrastructura de securitate tipic pentru organizaiile guvernamentale.
16
strategice a informaiei (Anexa A). Provocrile induse de tehnologie i de securitate sunt
minimizarea timpului i efortului cheltuite n fiecare etap i trecerea prin etape, ct mai bine
posibil.
n etapa de management al tehnologiilor automatizate, utilizatorii nu au ncredere n mod
semnificativ n aplicaiile de pe calculator, dar ating o eficien notabil. La a treia etap,
managementul resurselor informaionale ale organizaiei, securitatea informaiei devine o
preocupare major din cauza dependenei semnificative de informaiile bazate pe calculator i
a expunerilor generate de concentrarea informaiilor ntr-un singur loc (pe calculator).
2.2.4 Procesul
Politicile de securitate sunt proiectate pentru a proteja informaiile n conformitate cu expunerile
informaiilor. Msurile de securitate (standarde, proceduri, i instrumente) sunt baraje pentru
protejarea informaiilor.
Pentru a determina care sunt msurile specifice necesare, se desfoar procesul de evaluare
a securitii sistemelor informatice (Anexa B), care implic:
Declaraia de sensibilitate
Evaluarea senzitivitii programului i aplicaiilor administrative (sisteme informatice)
utilizate i determinarea clasificrii securitii n cadrul organizaiei.
17
Evaluarea impactului asupra afacerii
Aplicaiile sunt deinute de un grup sau de un individ. n cazul n care exist puine interaciuni
ntre aplicaii, utilizatorii ieirilor din sistem pot fi uor de identificat. n sistemele puternic
integrate, trebuie s fie convenit o grani artificial agreat de toate prile, inclusiv de
managementul de vrf.
18
asigurarea c toate evalurile reflect valoarea real a sistemului informatic pentru organizaie,
ca ntreg.
Acolo unde este cazul, i o dat finalizate, declaraiile individuale de sensibilitate sunt
recuperate de conducerea de la nivelul grupului sau de la nivelul organizaiei ntr-o Descriere
sumar a sistemelor informatice (Anexa D). Aceasta furnizeaz managementului o imagine de
ansamblu asupra sistemelor aflate n responsabilitatea sa i asupra valorii informaiilor pe care
acestea le vehiculeaz.
Ameninri. Ce s-ar putea ntmpla. Ameninrile posibile sunt enumerate n Anexa E. O list
mai detaliat, mpreun cu sugestiile pentru msuri de contracarare, este, de asemenea,
disponibil n Anexa H. Anchetele privind securitatea raporteaz c peste 80% dintre
ameninrile experimentate pe informaiile din calculator provin din interiorul organizaiei,
defalcat dup cum urmeaz: 24% ca urmare a neateniei n aplicarea procedurilor, 26% din
cauza instruirii neadecvate, iar 30% din cauza angajailor necinstii.
Ar trebui s se acorde grij condiiilor locale, n cazul n care natura i importana ameninrii
pot diferi considerabil de la o ar la alta. n unele cazuri, acest lucru poate nsemna o
concentrare mai mare pe anumite tipuri de ameninri, definind n continuare unele dintre
ameninri i contramsurile de adaptare la condiiile locale.
Deciziile de afaceri trebuie s fie fcute n raport cu valoarea informaiei. Pentru scopuri de
securitate, aceste valori ale afacerii sunt exprimate ca impact asupra organizaiei n cazul n
care informaiile au fost dezvluite, integritatea acestora a fost compromis sau a existat o
ntrerupere de servicii. Impacturile posibile asupra afacerii sunt enumerate n Anexa E. n
funcie de condiiile locale, pot fi determinate impacturi adiionale asupra afacerii. Pentru fiecare
impact asupra afacerii, se iau decizii presupunnd c, n cazul n care a avut loc, consecinele
ar fi foarte grave, grave sau mai puin grave. Sunt evaluate numai acele impacturi asupra
afacerii legate de informaii. Dup ce au fost evaluate toate impacturile posibile, se face o
evaluare global pentru aplicaii.
Fiecare dintre aceste evaluri reprezint o judecat de valoare subiectiv a severitii fiecrui
impact individual asupra organizaiei ca ntreg. n mod similar, dup evaluarea impacturilor
individuale asupra organizaiei n cazul n care informaiile au fost divulgate, compromise sau
devin indisponibile, se face evaluarea unui impact global de afaceri, dar nu pe baza unui cumul
exact al acestor impacturi individuale, ci pe baza unei judeci de valoare a efectului de
ansamblu asupra organizaiei. Aceste judeci de valoare sunt construite prin consens ntre
diferitele pri interesate cheie.
Primul pas este de a evalua expunerea total pentru aplicaii ca un ntreg, n formularul
Evaluarea ameninrilor i a impactului asupra afacerii (Anexa E).
20
expunerii ar trebui s ne determine mai nti, s selectm cifra "4" ca intersecie. Acest lucru
se traduce ntr-o rat medie de expunere. A se vedea legenda din Diagrama ratei expunerii
pentru a observa cum clasificarea expunerii poate fi regrupat n rate de expunere sczute,
medii sau ridicate.
Ca un al doilea pas i pentru a identifica pentru care riscuri ale ameninrilor i impacturi
asupra afacerii ar putea s fie direcionate aciunile managementului, se calculeaz o rat de
expunere pentru aceste impacturi de afaceri care au fost evaluate. Acest lucru se face prin
utilizarea Diagramei ratei expunerii, pentru a combina impactul individual al ratei de afaceri cu
riscul de ansamblu identificat al ameninrii. Numerele obinute din Diagrama ratei expunerii
sunt afiate pe liniile impactului relevant, n zona evalurii expunerii din Formularul E. Pentru
claritate, numerele sunt afiate n coloanele Max, Med sau Low (maxim, mediu, sczut)
corespunztoare. Ratele individuale de expunere la securitate medii sau ridicate ar putea
deveni obiectul recomandrilor ctre conducere cu privire la reevaluarea impactului asupra
afacerii sau la reducerea riscului de ameninare global, astfel nct s se reduc expunerea la
securitate a organizaiei. Aceast evaluare constituie legtura dintre expunerile la securitate i
deciziile i aciunile necesare privind securitatea.
21
2.6 Decizii privind securitatea i aciuni recomandate
Pentru fiecare evaluare a expunerii (formularul Evaluarea ameninrilor i a impactului asupra
afacerii), se formuleaz o decizie de securitate i o recomandare de aciune pentru
management. Relaia dintre o expunere o decizie de securitate i o aciune recomandat este
descris n tabelul urmtor.
n cazul n care trebuie s fie recomandate msuri specifice, Anexa H ofer o list
cuprinztoare de aciuni care ar putea fi ntreprinse. Utilizat mpreun cu raionamentul
profesional din punctul de vedere al costurilor, lista poate oferi baza pentru recomandarea
controalelor specifice i a msurilor de securitate.
22
1. Pentru aplicaiile proprii, fiecare grup organizaional evalueaz informaiile sale
referitoare la sensibilitate i clasificarea securitii,
sau, alternativ,
sau, alternativ,
8
Dei dezvoltate ca foi de calcul, aceste formulare pot fi uor utilizate pe suport de hrtie.
23
Anexa E Evaluarea ameninrilor i a impactului asupra afacerii - Foaie
de calcul
24
ANEXA A Evoluia managementului informaiei
Stadiul 4
Performana
global Managementul Utilizrii strategice
a afacerii
a informaiei
Stadiul 3
Managementul resurselor de
informaie la nivel de corporaie
Stadiul 2
Eficien
Funcia de Funcia de
suport al management
operaiilor strategic
25
ANEXA B Procesul de evaluare a securitii
sistemelor informatice
Declaraia de Evaluarea impactului Evaluarea ameninrilor Evaluarea expunerii Decizia privind securitatea
senzitivitate asupra afacerii i a riscurilor
(incluznd costurile (foarte important; (nivel ridicat (Hi); (nivel ridicat (Hi); Aciunea recomandat
asociate oportunitilor important; mediu (Med); mediu (Med);
de nlocuire) mai puin important) cobort (Low) cobort (Low)
Actualizare periodic
Fluxul procesului
26
ANEXA C - Declaraia privind sensibilitatea
informaiilor i clasificarea securitii
Introducere
Acest document poate fi utilizat n form tiprit sau ca un document Word, n funcie de
circumstanele locale.
n revizuirea top-down a securitii sistemelor informatice, acest document este utilizat n faza
de analiz de risc, pentru a documenta sistemele informatice. Se completeaz un document
per sistem.
Mediu informatizat:
Micro _________ Mini _________ Calculatoare mari _____ Birou de service ________
1. Numele filialei i, dac este cazul responsabilul Grupului pentru informaii (de
exemplu, proprietarul)
2. n cazul n care aplicaiile au fost grupate, se va sri peste ntrebarea "Nr. total de
tranzacii. n cazul n care este aplicabil, furnizai o descriere general a aplicaiei,
incluznd sursa informaiilor, volumul i complexitatea prelucrrilor.
27
Volum Surse volume de informaii
% din totalul
informaiilor Clieni sau
organizaiei ________________ beneficiari externi ________________
Program _____ Administrator _____ Guvern _____ Public _____ Alii _____
28
Comentarii
Proceduri Manuale Informatizate (Natura procedurilor
Da / Nu Da / Nu principale)
nainte de prelucrare
n timpul procesrii
dup prelucrare
29
3. Compromiterea 3. Perturbarea serviciilor
informaiilor confideniale ale ctre guvern
organizaiei
6. Compromiterea
informaiilor de interes
naional
7. Implicaii juridice /
rspunderea pentru daune
compensatorii i punitive
Alte metode
8. Care este perioada de recuperare maxim pe care organizaia o poate tolera pentru
indisponibilitatea aplicaiei sau a serviciului (n cazul n care este limitat pentru
anumite perioade, indicai)?
(DISPONIBILITATE)
Comentariu:
30
10. Estimai costurile de oportunitate a nlocuirii informaiilor, att directe, ct i
indirecte (ore, cheltuieli)
% informaii
_______________________Standarde de securitate de baz (neprecizate)
_______________________Protejate (desemnate)
_______________________Clasificate
100%
________________________________
31
ANEXA F Diagrama ratei expunerii
Impact
Foarte grav Grav Mai puin grav
Probabilitate
MARE (High)
9 8 4
MEDIE (Med)
7 6 3
SCZUT (Low)
5 2 1
32
ANEXA H - Ameninri de baz i msuri de securitate
La sfritul listei a fost inclus un index pentru toate activele sau termenii pentru care au fost
prezentate ameninrile i contramsurile.
T = Amenintare
C = Contramsur (control sau msur de securitate)
33
Cuprins (ANEXA H)
Pagina
Hardware 37
Comunicaii 37
Linii telefonice 37
Porturi de intrare / ieire 37
Modemuri 37
Pot electronic 38
Buletin electronic informativ 38
Serviciul potal 38
Cablajul reelei 39
Calculatoare 39
Terminale 39
Microcalculatoare 40
Staii de lucru fr disc 41
Servere de fiiere 41
Minicalculatoare i calculatoare mari 41
Dispozitive de intrare 42
Scanere 42
Dispozitive de ieire 42
Generale 42
Burster 42
Enveloper 43
Imprimant cu laser 43
Imprimant de impact 43
Plotter 43
Cozi de ieire 44
Monitor pentru afiaj vizual 44
Fotocopiator 44
Main de scris 44
Medii de memorare 44
Fiiere de hrtie 44
Medii magnetice amovibile 44
Medii magnetice fixe 45
Medii optice amovibile 46
Medii optice fixe 46
Microfilm / microfi 47
34
Resurse umane 47
Personal propriu 47
General 47
Personal cheie 48
Personal pentru introducere date 48
Personal pentru interogri 48
Personal pentru manipularea ieirilor 48
Programatori 49
Analiti 49
Personal pentru asigurarea suportului tehnic 50
Programatori de sistem 50
Personal pentru controlul schimbrilor 51
Bibliotecar pentru mediile de stocare 51
Personal pentru controlul accesului logic 51
Personal pentru controlul accesului fizic 51
Auditori 51
Proprietarii datelor 52
Utilizatorii datelor 52
Custozi ai datelor 52
Personal contractual 53
Personal de ntreinere 53
Consultani 53
Persoane externe 53
Vizitatori 53
Intrui 54
Bunuri fizice 54
Cldiri 54
Locaia / Sediul 54
Camere cheie 55
Introducere date / actualizare 55
Prelucrare 55
Imprimare 56
Stocare 56
Interogare 56
Comunicaii 57
Operarea aplicaiilor sistemului n mediul de producie 57
Dezvoltarea aplicaiilor 58
Funcii de sistem 58
Instalaii 58
Papetrie 58
Gtitul i fumatul 59
Papetrie valoroas 59
Documentaie 59
Software 59
Hardware 59
Proceduri 60
35
Planul de urgen 60
Planurile etajelor 60
Diagramele de cablare 60
Dicionarul de date 61
Mediu 61
Aer condiionat 61
Putere electric 61
Ap 61
Iluminat 62
Deeuri 62
Hrtie 62
Suporturi magnetice de 62
Medii optice 62
Papetrie 62
INDEX ALFABETIC 63
36
Hardware
Comunicaii
Linii telefonice
Modemuri
37
T Modemurile pot fi utilizate pentru transferul neautorizat de informaii n afara
organizaiei.
C Pstrai numrul de modem-uri la un nivel minim, monitorizai folosirea liniilor pentru
care modemurile sunt ataate, dezactivai liniile de modem n afara orelor de program.
Pota electronic
C Pstrai copii ale tuturor mesajelor de pot electronic trimise i pstrai nregistrrile
aferente expeditorului i destinatarului.
Nu facei verificri la faa locului cu privire la coninutul mesajelor de pot electronic.
[Avertisment: n unele ri, cenzurarea potei electronice poate fi ilegal sau poate face
obiectul legislaiei speciale].
Serviciul Potal
38
Cablajul reelei
T Cablurile de reea pot fi exploatate pentru a fura informaii sau pentru a introduce
mesaje ilicite.
C Nu dirijai traseul cablurilor de reea prin zonele accesibile publicului. Luai n
considerare utilizarea de conducte de cablu blocate. Examinai ntotdeauna lungimile
de cablu, care au fost meninute de ingineri. Luai n considerare utilizarea criptrii
pentru anumite pri din reea care transport informaii sensibile.
T Reelele pot fi vulnerabile la eec n cazul n care o seciune a cablrii acestora este
rupt.
C Proiectai reeaua pentru a minimiza impactul eecului oricrei lungimi de cablu. Luai
n considerare duplicarea cablrii pentru legturile cheie.
Calculatoare
Terminale
T Un terminal care este lsat conectat la un sistem este o invitaie pentru cineva de a se
substitui n operatorul care a fost conectat.
C Procedurile ar trebui s considere ca fiind o abatere disciplinar prsirea un terminal
deblocat, conectat i nesupravegheat. Sistemul de operare / aplicaiile software ar
trebui s deconecteze terminalele dup o scurt perioad de inactivitate sau s le
blocheze automat, astfel nct orice activitate ulterioar s necesite reintrarea cu
identificare i detalii de autentificare.
39
T Datele cu caracter critic pot fi modificate prin orice conexiune local sau prin modem la
sistemul informatic.
C Controalele de identificare i de autentificare contribuie ntr-o oarecare msur la
reducerea riscului de modificri neautorizate ale datelor critice. Modificrile datelor
cheie ar trebui s fie supuse confirmrii unui supraveghetor, n plus fa de controalele
normale.
Microcalculatoare
40
T Microcalculatoarele sunt utilizate i ntreinute de ctre utilizatori, mai degrab dect de
personal de specialitate. Rezultatul este c nevoia de salvare i de securitate este
adesea trecut cu vederea.
C Cumprai benzi de volum mare pentru calculatoarele utilizate, pentru a stoca volume
mari de informaii volatile.
Implementai proceduri de sensibilizare i organizai cursuri de formare pentru a
contientiza personalul n legtur cu necesitatea copiilor de siguran, cu manipularea
corect a echipamentelor i cu regulile privind securitatea.
Servere de fiiere
Dispozitive de intrare
41
Scanere
T Imaginile scanate ale documentelor sensibile pot rmne stocate n unitile de scaner
partajate.
C Sfritul unei sesiuni de scanare prin scanarea unei pagini goale sau a unui document
care nu este sensibil. Utilizatorii ar trebui s fie familiarizai cu funciile software-ului de
scanare. tergerea fiierelor temporare create n timpul procesului de scanare, de
exemplu, fiierele de pe hard disk care au fost copiate pe o dischet.
Dispozitive de ieire
Generale
T Dac dispozitivele de ieire sunt vizibile dintr-o zona public, atunci informaiile pot fi
divulgate.
C Evitati poziionarea dispozitivelor de ieire, astfel nct personalul neautorizat / din
exterior s nu poat citi ieirile.
Burster9
T Papetria (hrtia) stricat poate fi utilizat pentru un ctig financiar sau ca mijloc de a
transmite informaii sensibile la exterior.
C Introducei un sistem de eviden pentru papetria sensibil. Exemplarele deteriorate
ar trebui s fie semnate de ctre supervizor i trimise pentru distrugere / evacuare
securizat.
9
Burster dispozitiv care rupe o hrtie continu de imprimant n pagini individuale (separator de hrtie continu
cu perforaii laterale)
42
Enveloper10
T Enveloper-ul trebuie s fie setat la nceputul fiecrei execuii. Exist riscul ca papetria
deteriorat s poat fi folosit pentru ctiguri financiare sau pentru a transmite
informaii ctre exterior.
C Introducei un sistem de eviden pentru papetria sensibil. Ieirile stricate ar trebui
s fi semnate de ctre un supervizor i mrunite. Cererile pentru duplicarea ieirilor
stricate ar trebui s fie semnate de ctre supervizor.
Imprimanta cu laser
T Imprimantele laser pot fi setate pentru a imprima copii duplicat. Acest lucru poate fi
nedorit n cazul n care informaia de ieire este sensibil.
C Asigurai-v c software-ul stabilete numrul de exemplare nainte de tiprirea fiecrei
pagini.
Imprimanta de impact
Plotter
T Plotterele pot produce informaii care induc n eroare n cazul n care peniele sunt
uzate, lipsesc sau sunt ncrcate incorect.
C Asigurai-v c este desemnat personalul responsabil pentru punerea n funciune i
meninerea plotterelor.
Personalul desemnat trebuie s fie responsabil pentru controlul calitii produciei.
Cozi de ieire
43
Monitor pentru afiaj vizual
Fotocopiator
T Fotocopiatoarele constituie un mijloc simplu pentru personalul intern sau pentru cei
interesai din afar, s poat face copii neautorizate ale informaiilor sensibile.
C Introducei proceduri care s considere drept o abatere disciplinar copierea fr
autorizare a ieirilor sensibile.
Limitai numrul i locaia copiatoarelor ocazionale, astfel nct s poat fi
monitorizat utilizarea. Ele nu ar trebui s fie situate n zonele n care sunt deinute
informaii sensibile. Acestea ar trebuie s fie plasate ntr-o zon unde orice persoan
care utilizeaz copiatorul s fie vizibil pentru restul personalului.
Main de scris
T Panglicile pentru mainile de scris pot reine o imagine a ceea ce a fost scris.
C Folosii numai maini de scris desemnate pentru materiale sensibile i trimitei
panglicile pentru incinerare.
Medii de memorare
T Suporturile magnetice pot fi folosite pentru a transfera volume mari de date n afara
organizaiei.
C Utilizai suporturi magnetice care poart sigla companiei. Implementai proceduri
pentru toate mediile magnetice care urmeaz s fie introduse n /i /sau scoase n
afara locaiei. Manipularea si depozitarea benzilor, dischetelor i hard-discurilor trebuie
s fie supus unor proceduri similare cu cele referitoare la documentele pe hrtie.
44
Implementai proceduri care s considere infraciune disciplinar sustragerea de
suporturi magnetice din locaie sau introducerea de suporturi magnetice n locaie, fr
autorizaie.
T Discurile floppy utilizate pstreaz informaiile chiar i atunci cnd fiierele sunt terse
sau discurile reformatate.
C Dac dischetele sau cartuele de band sunt folosite pentru a stoca informaii
sensibile, atunci ele ar trebui s fie marcate corespunztor i tratate ca un fiier
nregistrat pe hrtie. Mediile magnetice, care au fost folosite pentru a stoca informaii
sensibile ar trebui s fie "demagnetizate" / terse n condiii de securitate, nainte de a
fi folosite pentru alte lucrri. Dac mediile magnetice se deterioreaz n timp ce
depoziteaz date sensibile, atunci ele ar trebui s fie tratate ca deeuri confideniale i
mrunite sau arse.
T Hard discurile pot conine cantiti foarte mari de informaii. Este uor s uitm c
exist printre acestea i fiiere sensibile.
C Cnd un hard disk este folosit prima dat avnd destinaia de a conine informaii
sensibile, acesta ar trebui s fie nregistrat. Acesta nu ar trebui s fie scos din registrul
cu informaii sensibile pn cnd nu a fost inspectat de ctre un membru al
personalului care asigur suport tehnic. Toate fiierele coninnd informaii sensibile
trebuie s fie terse n condiii de securitate.
T Controlul accesului la microcalculatoare este mult mai puin riguros dect pentru un
sistem n reea. Dac hard discurile microcalculatorului sunt folosite pentru a stoca
informaii sensibile, exist un risc considerabil de modificare sau dezvluire
neautorizat.
C Blocai microcalculatoarele atunci cnd acestea nu sunt n uz. Meninei nivelul de
securitate al locaiei pentru a restriciona accesul la camerele n care sunt instalate
microcalculatoarele.
Luai n considerare instalarea pachetelor de control al accesului i al pachetelor de
criptare a datelor pe calculatoarele folosite pentru a stoca informaii deosebit de
sensibile.
Luai n considerare utilizarea discurilor schimbabile, care pot fi nchise atunci cnd
calculatorul nu este n uz.
45
C Dac un hard disk care deine informaii sensibile se defecteaz, atunci ar trebui s fie
distrus, n cazul n care nu poate fi ters n condiii de securitate.
T Discurile fixe se defecteaz. n cazul n care acestea stocheaz cantiti mari de date
volatile, pierderile pot fi foarte serioase.
C Salvarea unui hard disk mare pe floppy disk-uri este att de consumatoare de timp,
nct este puin probabil care personalul s o fac n mod regulat. Banda de backup de
mare capacitate face copia rapid i uor. Instalai benzi de mare capacitate (tape
streamer) pe calculatoarele care conin un volum mare de informaii volatile pe hard
diskuri. Benzile de backup ar trebui s fie realizate n trei exemplare.
Cel puin o copie de rezerv ar trebui s fie pstrat n afara locaiei.
Aceasta ar trebui s fie rennoit ciclic.
Benzile de backup ar trebui s fie stocate n siguran i marcate ca necesitnd condiii
de securitate speciale, pentru a reflecta coninutul lor.
T Discurile optice sunt uor de ascuns i pot deine cantiti foarte mari de informaii.
C Discurile optice care dein informaii sensibile trebuie s fie numerotate n serie i
nregistrate. Singura modalitate sigur de a le distruge este incinerarea.
T Pierderea parial sau total a datelor pe discuri optice poate aprea dac oricare
suprafa a discului este zgriat
C Toate discurile optice ar trebui s fie manipulate cu grij extrem pentru a preveni
zgrieturile care pot afecta calitatea de reflexie a discului i pot "ascunde" o mare parte
a datelor. n cazul n care tabelul de alocare a fiierelor discului este afectat, discul
ntreg poate deveni imposibil de citit.
T Discurile optice conin un volum mare de informaii i de multe ori nu pot fi terse.
C Dac un disc optic se deterioreaz, acesta ar trebui s fie distrus.
T Volumele mari de date coninute pe discuri optice pot pune probleme pentru backup.
C Cu excepia cazurilor n care discurile optice dein date critice care nu se mai regsesc
n alt parte, ele nu trebuie s fie duplicate sau salvate. Discurile optice dein, de
obicei, informaii statice, cum ar fi materiale de referin sau programe software care
sunt deja duplicate sau exist pe copiile de siguran. Dac nu acesta este cazul, iar
informaia este critic, pot fi obinute duplicate sau informaiile pot fi puse pe discuri
optice reinscriptibile. Copiile pot fi, de asemenea, fcute pe band, n mod obinuit.
Sistemele moderne de backup pe band pot oferi acum backup-uri de ncredere de
ordinul gigabyte. Strategiile normale de back-up se aplic pentru exemplarul stocat n
alt locaie.
46
Microfilm / microfi
T Filmul i fia pot fi uor distruse de incendiu i pot fi pierdute sau furate.
C Nu v bazai niciodat pe o singur copie de film / fi a datelor cheie. Pstrai copiile
arhivei ntr-o locaie la distan.
Tratai fia / filmul n acelai mod cu fiierele nregistrate. Pstrai-le stocate n
siguran i nregistrai data, ora i numele operatorului pentru cazul n care ar aprea
probleme.
Resurse umane
Personal propriu
General
T Este mult mai probabil ca personalul s fac erori sau s-i depeasc limitele de
autoritate n cazul n care rspunderea este inadecvat.
C Asigurai-v c sistemele dumneavoastr de informaii furnizeaz suficiente restricii
pentru identificare, autentificare i logare pentru a putea fi stabilit rspunderea.
47
T Persoanele aflate n poziie de autoritate pot transfera subordonailor sarcinile
referitoare la autorizarea tranzaciilor n mediul informatizat, n condiiile n care
acestea nu ar putea face acest lucru ntr-un sistem manual.
C Stabilirea schemelor adecvate de autorizare pentru documentele electronice.
mbuntirea mediului de controale generale cu programe de educaie i de
sensibilizare care mbuntesc contientizarea, implicarea managementului i
supervizarea.
Personal cheie
T Personalul cheie, care joac un rol important datorit funciilor sau aptitudinilor
speciale pe care le deine, poate absenta pentru o perioad lung de timp.
C Luai n considerare alocarea unui personal alternativ sau de rezerv pentru a nlocui
personalului cheie n caz de nevoie.
T Exist riscul ca personalul care manipuleaz ieirile din calculator s copieze ieirea,,
s le piard sau s le dirijeze ctre personalul neautorizat / extern.
C Toate ieirile sensibile ar trebui s fie dirijate prin seciuni independente de manipulare
a ieirilor, iar personalul implicat n manipularea ieirilor ar trebui s nu aib acces la
copiatoare i nici dreptul s iniieze ieiri. Rolul unic al acestora ar trebui s fie acela
de a nregistra producerea de ieiri sensibile i de a le dirija ctre destinatarul corect.
48
Programatori
Analiti
Programatori de sistem
50
Toate modificrile la software-ul sistemului de operare ar trebui s fie ntreprinse
ntr-un mediu de dezvoltare i ar trebui s fie supuse unei revizuiri.
n cazuri rare, cnd schimbrile de urgen trebuie s fie fcute fr un control de
calitate formal, procesul de revizuire ar trebui s aib loc dup eveniment.
.
Personal pentru controlul schimbrilor
T Agenii de paz trebuie neaprat s aib acces la zonele sigure n afara orelor de
program. Exist riscul c vor abuza de acest privilegiu.
C Personalul de securitate ar trebui s nu aib nici un drept de acces la sistemele
informatice.
Ieirile sensibile ar trebui s fie ncuiate departe n afara orelor de program i toate
terminalele deconectate i oprite.
51
Auditori
T Auditorii cer s aib acces extins la sistemele informatice i la registrele de operaii ale
sistemului. Exist pericolul ca auditorii s compromit integritatea sistemului, n mod
intenionat sau accidental.
C Auditorii nu ar trebui s aib acces la scriere n alte zone dect n cea alocat lor.
Acetia ar putea s aib acces n alte zone doar la citire, n funcie de nevoile de
cunoatere.
Proprietarii datelor
T Proprietarii unui set de informaii sau de date ar trebui s fie personalul care este
responsabil pentru meninerea acestora. Proprietarii ar trebui s fie responsabili, n
primul rnd, pentru asigurarea securitii datelor acestora. Exist riscul ca proprietarii
s abuzeze de privilegiile lor.
C Separarea atribuiilor pentru personalul care cuprinde proprietarii ar trebui s asigure
faptul c modificarea, distrugerea, crearea de ieiri sau de informaii sensibile necesit
o cooperare a mai multor persoane.
Utilizatorii datelor
Custozi ai datelor
T Custozii de date sunt cei responsabili pentru meninerea infrastructurii care susine
accesul la informaii i msurile de securitate prevzute de ctre proprietari. Exist
riscul ca acetia s-i depeasc autoritatea prin distrugerea accidental sau
deliberat, ca i prin dezvluire sau modificare a informaiilor aflate n grija lor.
C Custozii ar trebui s aib drepturi minime de acces la informaiile aflate n grija lor.
Personalul de operare nu trebuie s fie capabil s citeasc sau s modifice informaii,
n scopul de a menine accesul la acestea. Ei au nevoie doar s tie c procesul X, are
nevoie de seturile de date A, B i C care sunt stocate pe dispozitivul Q. Nu este
necesar sau de dorit pentru ei ca s cunoasc detalii cu privire la funcia procesului pe
care acestea l susin. Clase speciale de custozi, cum ar fi programatorii de sistem,
administratorii de date i administratorii de reea ar putea avea nevoie de acces la
citire sau scriere pentru datele din mediul de producie. Informaiile deosebit de
sensibile ar trebui s fie criptate, astfel ca acestea s nu fie dezvluite personalului
care asigur suportul tehnic pe parcursul monitorizrii reelei sau al ntreinerii
sistemului.
Este recomandabil s se evite angajarea de personal n domeniul operrii care are
cunotine de programare de sistem sau de aplicaii. Persoanele cu cunotine de
52
programare n cod main sunt deosebit de periculoase, deoarece acestea ar putea
dezvolta programe mici, fr a utiliza un asamblor sau compilator.
n cazul n care este posibil, facei imposibil pentru personalul de operare crearea
unui fiier executabil. Aceasta este doar o opiune n cazul n care sistemul de operare
poate distinge executabilul de alte fiiere, iar sistemul de control al accesului poate
controla capacitatea utilizatorilor de a schimba statusul fiierelor pe care le creeaz
sau le modific.
Personal contractual
Personal de ntreinere
Consultani
Persoane externe
Vizitatori
53
Intrui
Bunuri fizice
Cldiri
Locaia / Sediul
T Locaiile care sunt folosite pentru a sprijini funciile critice, i care sunt bine
mediatizate sunt deosebit de vulnerabile.
C Pstrai activele care susin funciile critice n locuri care nu atrag atenia. ncercai s
evitai publicitatea inutil.
n cazul n care detaliile din locaie devin cunoscute, sunt necesare msuri mai extinse
de securitate pentru a compensa riscurile sporite.
T Locaiile din apropierea zonelor dens populate sunt mult mai susceptibile de a suferi de
pe urma efectelor perturbaiilori civile.
C Locaia care gzduiete sistemul informatic cheie ar trebui s fie situat departe
aglomeraiile urbane, dac este posibil.
54
T Locaiile educaionale sunt deosebit de vulnerabile la furt i la tentativa de penetrare a
sistemului.
C Controalele fizice i logice de acces sunt adesea slabe n locaiile educaionale.
Asigurai-v c zonele care conin bunuri care sunt atractive i portabile sunt garantate
pentru un nivel mai ridicat dect nivelul de baz. Rspunderii privind controalele ar
trebui s i se acorde o prioritate nalt pentru sistemele cheie accesibile din locaiile
educaionale.
Camere cheie
T Zonele n care informaiile sunt introduse sau meninute sunt puncte focale pentru
ameninrile la confidenialitatea i integritatea sistemelor informatice.
C Zonele de introducere a datelor ar trebui, n cazul n care este posibil, s fie
inaccesibile personalului care nu are o nevoie legitim de a merge acolo.
Terminalele cu acces la facilitile restricionate referitoare la actualizarea informaiilor
critice, nu ar trebui s fie vizibile din zonele publice. Ele nu ar trebui s fie lsate
nesupravegheate i conectate.
Aplicaiile care actualizeaz informaii cheie ar trebui s nchid sesiunile n cazul n
care nu a existat nici o activitate la tastatur timp de cteva minute.
n cazul n care informaiile au implicaii pentru sistemele informatice cheie, aplicaia ar
trebui s repete la intervale regulate identificarea i s fac verificri de autentificare
iar toate modificrile care sunt fcute s fie nregistrate n jurnalul de operaii al
sistemului. Pentru informaii deosebit de sensibile, luai n considerare ca la instalarea
aplicaiei s se includ setri adecvate, astfel nct schimbrile s nu poat fi finalizate
fr confirmarea din partea unei persoane autorizate.
Prelucrare
T Zonele n care informaiile sunt procesate pot oferi oportuniti extinse de a corupe,
perturba sau de obinere a accesului la sistemele informatice.
C Restricionai accesul prin punerea n aplicare a procedurilor de separare a atribuiilor,
acolo unde este posibil.
55
Imprimare
T Ieirile sensibile ar trebui s fie dirijate prin zone sigure, astfel nct s poat fi
monitorizate i, eventual, nregistrate n jurnalul de operaii al sistemului. n cazul
materialelor financiare mobile, pierderea ar putea aprea de la furtul ieirii. n cazul n
care valoarea ieirii const n necesitatea confidenialitii, de pierderi poate s fie
responsabil cineva care a vzut pur i simplu ieirea, fr a o fi extras neaprat.
C Accesul la camerele utilizate pentru producia de informaii valoroase sau sensibile ar
trebui s fie limitat la personalul care manipuleaz ieiri. Controlul accesului fizic i
logic ar trebui s pun n aplicare separarea sarcinilor ntre cei responsabili pentru
manipularea i nregistrarea ieirilor i cei responsabili pentru iniierea sau autorizarea
acestora.
Stocare
T Zonele n care informaia este stocat pot prezenta o int atractiv pentru cineva care
ncearc s obin acces neautorizat, deoarece o mulime de informaii sunt colectate
mpreun.
C Informaiile sensibile ar trebui s fie stocate n arhive securizate / biblioteci.
Accesul ar trebui s fie limitat la bibliotecari, care ar trebui s verifice autorizarea
personalului care solicit accesul, iar informaiile emise s fie nregistrate n jurnalul de
operaii al sistemului.
Interogare
56
Rspunderea este un aspect esenial al controlului interogrilor. Poate fi la fel de
important s se poat stabili ce au fcut indivizii i s se restricioneze activitile pe
care acetia le pot ntreprinde.
Aceasta poate reduce ameninrile la adresa confidenialitii n cazul n care facilitile
de interogare sunt dispersate fizic. De exemplu, stabilii un grup de personal
responsabil pentru a rspunde la toate interogrile referitoare la persoane fizice ale
cror nume de familie ncep cu litere ntre A i D i alte grupuri responsabile pentru
alte litere. Fragmentnd capacitatea de a accesa informaii i de a le aranja n ordine,
se poate reduce vulnerabilitatea la abuzuri.
Informaiile deosebit de sensibile, trebuie s solicite autorizarea de la un al doilea
operator / supervizor, nainte de a fi dezvluite. Terminalele de interogare trebuie s fie
situate astfel nct s nu poat fi privite din zonele publice i astfel nct operatorii s
nu poat citi ecranele unii altora.
Comunicaii
57
Dezvoltarea aplicaiilor
Funcii de sistem
Instalaii
Papetrie
T Formularele goale pot fi eseniale pentru operarea continu a unor sisteme. Licenele
i certificatele sunt dou exemple. Distrugerea stocurilor ar perturba serviciul.
C Pstrarea copiilor backup ale formularelor eseniale ar trebui s se fac n orice locaie
de prelucrare aflat la distan i la o locaie alternativ n cadrul locaiei principale.
Stocurile ar trebui s fie inute la acelai nivel de securitate ca stocul principal i
depozitarul ar trebui s verifice periodic exhaustivitatea / gradul de utilizare pentru
stocurile de rezerv.
58
Gtitul i fumatul
Papetrie valoroas
T Papetria care poate fi utilizat pentru un ctig financiar sau ca baz pentru a obine
drepturi, cum ar fi permisele de trecere n alb, ordinele de plat sau cecurile, reprezint
o int atractiv pentru furt.
C Papetria sensibil ar trebui s fie numerotat n serie i pstrat ntr-un depozit
ncuiat. Depozitarii ar trebui s rspund pentru orice probleme, inclusiv pierderi.
Depunei eforturi pentru a se asigura c poate fi ntreprins o reconciliere, care s
stabileasc rspunderea pentru toate utilizrile, n ceea ce privete emiterea autorizat
i alterarea.
Camerele de depozitare pentru papetria valoroas ar trebui s fie securizate i
accesibile numai personalului responsabil desemnat.
Documentaie
Software
T Documentaia este esenial n cazul n care software-ul trebuie s fie meninut. Exist
riscul ca aceasta s fie pierdut, distrus sau furat. Ar putea fi o motivaie puternic
pentru furt n cazul n care software-ul efectueaz funcii care au o valoare comercial
sau pentru divulgarea informaiilor brevetate sau sensibile.
C Documentaia ar trebui s fie examinat ca parte a procedurilor de control al calitii.
Odat ce a fost aprobat, copiile nregistrate ar trebui s fie ndosariate de ctre
personalul de control al schimbrii.
Copiile de siguran ale documentaiei sistemului din mediul de producie trebuie s fie
inute ntr-o locaie aflat la distan.
Documentaia sistemelor sensibile trebuie s fie tratat similar cu un fiier nregistrat.
Copiile ar trebui s fie numerotate, copierea interzis, iar emiterile s se fac n funcie
de nevoia de cunoatere. Copiile ar trebui s fie ncuiate atunci cnd nu sunt utilizate.
Hardware
T Activele de tip sistem informatic sunt adesea atractive, portabile i uor de deteriorat.
C Un inventar complet al tuturor activelor materiale ale sistemului informatic ar trebui s
fie pstrat, meninut i auditat.
59
T Manuale pentru hardware sunt rar necesare, dar eseniale n ocaziile n care acestea
sunt necesare. Acestea sunt adesea dificil de nlocuit i pot conine informaii care ar fi
de folos unei persoane care intenioneaz s se infiltreze sistem.
C Pstrai manualele hardware n biblioteci ncuiate sau n zone sigure. Problemele
legate de manuale ar trebui s fie nregistrate, n special n cazul n care se acord
aprobarea de a lua manualul n alt camer dect aceea care adpostete
echipamentul. Pstrai copii ale manualelor hardware eseniale ntr-o locaie la
distan.
Proceduri
Planul de urgen
T Prin natura lor, planurile de urgen sunt necesare rar i ntr-un moment cnd
organizaia este sub stres. Exist un risc ca acestea s devin perimate sau pot fi
indisponibile atunci cnd apare o situaie de urgen. n plus, acestea pot fi de folos
pentru cineva care intenioneaz s perturbe serviciile.
C Planurile de urgen ar trebui s fie revizuite i testate la intervale regulate, n fiecare
an n cele mai multe situaii, dar mai frecvent n cazul n care disponibilitatea este
foarte critic. Copii ale seciunilor relevante ar trebui s fie inute n siguran n
locaiile de backup.
Planurile etajelor
Diagramele de cablare
60
Accesul la diagramele de cablare ar trebui limitat la personalul cu un interes legitim n
managementul cablrii / administrarea reelei.
Dicionarul de date
Mediu
Aer condiionat
T Calculatoarele mari i perifericele lor au adesea cele mai exigente cerine de mediu.
Lipsa asigurrii condiiilor de mediu specificate de productor poate duce la
indisponibilizarea calculatoarelor i la dispute legate de ntreinere.
C Configurarea un program de ntreinere periodic a echipamentelor eseniale de aer
condiionat.
Luai n considerare necesitatea echipamentelor de aer condiionat de rezerv, pentru
cazul n care activele cheie ar putea fi afectate devenind indisponibile.
Putere electric
T Sisteme informatice pot fi afectate negativ de reducerea sau creterea tensiunii sau a
frecvenei surselor de alimentare.
C Toate calculatoarele trebuie s fie protejate prin prevenirea excesului de putere.
Activele cheie ar trebui s fie protejate prin surse nentreruptibile.
Ap
61
Iluminat
Deeuri
Hrtie
Suporturi magnetice
T Suporturile magnetice pstreaz fragmente ale fiierelor care au fost copiate chiar i
dup ce fiierele au fost terse.
C Deeurile de suporturi magnetice ar trebui s fie terse n condiii de securitate,
demagnetizate sau distruse.
Medii optice
Papetrie
62
____________________
INDEX
Pagina
Aer condiionat 61
Analiti 49
Ap 61
Auditori 51
Bibliotecar pentru mediile de stocare 51
Buletin electronic informativ 38
Bunuri fizice 54
Burster 42
Cablajul reelei 39
Calculatoare 39
Camere cheie 55
Cldiri 54
Comunicaii 37
Consultani 53
Cozi de ieire 43
Custozi ai datelor 52
Deeuri 62
Dezvoltarea aplicaiilor 58
Diagramele de cablare 60
Dicionarul de date 61
Dispozitive de ieire 42
Dispozitive de intrare 42
Documentaie 59
Documentaie hardware 59
Documentaie software 59
Enveloper 43
Fiiere de hrtie 44
Fotocopiator 44
63
Funcii de sistem 58
Gtitul i fumatul 59
Hrtie 62
Hardware 37
Iluminat 62
Imprimant cu laser 43
Imprimant de impact 43
Imprimare 56
Instalaii 58
Interogare 56
Introducere date / actualizare 55
Intrui 54
Linii telefonice 37
Locaia / Sediul 54
Main de scris 44
Medii de memorare 44
Medii magnetice amovibile 44
Medii magnetice fixe 45
Medii optice 62
Medii optice amovibile 46
Medii optice fixe 46
Mediu 61
Microcalculatoare 40
Microfilm / microfi 47
Minicalculatoare i calculatoare mari 41
Modemuri 37
Monitor pentru afiaj vizual 44
Operarea aplicaiilor sistemului n mediul de producie 57
Papetrie deeuri 62
Papetrie 58
Papetrie valoroas 59
Persoane externe 53
Personal cheie 48
64
Personal contractual 53
Personal de ntreinere 53
Personal pentru asigurarea suportului tehnic 50
Personal pentru controlul accesului fizic 51
Personal pentru controlul accesului logic 51
Personal pentru controlul schimbrilor 51
Personal pentru introducere date 48
Personal pentru interogri 48
Personal pentru manipularea ieirilor 48
Personal propriu 47
Planul de urgen 60
Planurile etajelor 60
Plotter 43
Porturi de intrare / ieire 37
Pot electronic 38
Prelucrare 55
Proceduri 60
Programatori 49
Programatori de sistem 50
Proprietarii datelor 52
Putere electric 61
Resurse umane 47
Scanere 42
Servere de fiiere 41
Serviciul potal 38
Software documentaie 59
Staii de lucru fr disc 41
Stocare 56
Suporturi magnetice de 62
Terminale 39
Utilizatorii datelor 52
Vizitatori 53
65
ANEXA I - Cteva definiii
Clasificarea informaiilor
Informaii desemnate: informaii, alte dect cele referitoare la interesul naional, care
sunt desemnate ca avnd nevoie de protecie.
"Aplicaia aferent unui software specific care este destinat desfurrii unor lucrri specifice.
Orice set de pai urmat de desfurarea unor activiti financiare, administrative sau privind
programul." De exemplu, un sistem de conturi pentru pli.
Software-ul folosit, cum ar fi programele CAAT, Lotus, sau WordPerfect, nu ar trebui s fie
confundat cu aplicaiile software-ului eantionarea n audit.
Numele unei aplicaii este de obicei o combinatie a software-ului utilizat i a aplicaiei
dezvoltate, cum ar fi: CAAT pentru audit, analiza financiar Lotus etc.
Controlul accesului logic, folosind ID-urile i parolele, impune accesul limitat la date pe
baza utilizatorului individual. Acest lucru este realizat printr-un sistem de securitate care
determin ceea ce utilizatorul poate accesa i poate face, meninnd rspunderea prin crearea
unei piste de audit care nregistreaz utilizarea calculatorului de ctre utilizator.
Controlul accesului, ca orice alt control, nu este considerat eficace i fiabil, cu excepia cazului
n care poate fi demonstrat c acesta funcioneaz n concordan cu scopul pentru care a fost
implementat i poate fi monitorizat. O pist de audit servete ca dovad c msurile de control
al accesului lucreaz aa cum s-a intenionat i ofer mijloacele de a investiga neregulile i de
a identifica domeniile n care controalele ar putea fi mbuntite. ntr-un sistem de securitate
66
informatic, pista de audit este un fiier istoric creat i protejat de sistemul auditat prin
controale bazate pe parol i criptare. Utilizarea unei piste de audit este transparent pentru
utilizator. n cadrul multor sisteme de securitate, administratorul de securitate are acces la
fiierele istorice coninnd pista de audit, ale tuturor utilizatorilor. Utilizatorii individuali au acces
n citire numai la fiierul propriu coninnd pista de audit.
Sensibilitatea informaiilor:
O evaluare a expunerii securitii este rezultatul combinrii unui studiu de impact asupra
afacerii cu riscul unei ameninri / evaluarea probabilitii. O evaluare a expunerii securitii
este clasificat ca:
67
Infrastructura de securitate
De obicei, n multe organizaii guvernamentale, sub titluri similare sau diferite, administrarea
securitii este delegat n felul urmtor:
Echipa de securitate: O echip format din persoane fizice construit, dac este
posibil, ca o seciune transversal a organizaiei. Echipa are nevoie de sprijinul deplin
i angajamentul conducerii superioare s efectueze examinarea securitii i s obin
acceptarea rezultatelor sale. De exemplu, este de preferat ca reprezentantul
utilizatorilor s fie un membru influent al comunitii utilizatorilor i s fie liderul echipei.
Este mult mai probabil ca utilizatorii i conducerea superioar s accepte
recomandrile privind securitate de la echip, ntruct acetia sunt de obicei suspicioi
n ceea ce privete rapoartele elaborate de "specialiti tehnici".
2. Protecia securitii ar trebui s nsoeasc datele ori de cte ori acesta sunt
transferate sau prelucrate; i
68
Aceste principii sunt implementate prin determinarea sensibilitii datelor din punctul de vedere
al integritii, confidenialitii i disponibilitii i prin aplicarea unor elemente specifice unei
scheme de securitate, care include persoane, dispozitive fizice, practici i proceduri, hardware,
software, aplicaii, i elemente de protecie de tip back-up.
69
Metodologie de revizuire a securitii sistemelor informatice
70
3.1 Prezentare
3.1.1 Obiectivul unui program de securitate a sistemului informatic este de a reduce riscul de
pierdere a confidenialitii, integritii i disponibilitii informaiilor la un nivel
acceptabil.
3.1.2 Scopul unei metode de securitate a sistemului informatic este de a facilita stabilirea
unui program de securitate cuprinztor i eficient, care s acopere toate sistemele
informatice cheie. Metoda ar trebui s ajute utilizatorii s stabileasc un nivel de
securitate proporional cu cerinele lor.
Gsirea unui nivel adecvat de securitate implic analiza de risc i managementul
riscurilor11.
3.1.3 Analiza de risc este utilizat pentru a stabili gradul n care sistemele informatice sunt
expuse la riscuri. Aceasta presupune examinarea ameninrilor cu care se confrunt
sistemele informatice, estimarea frecvenei cu care acestea sunt de ateptat s apar
i apoi evaluarea impactului pe care organizaia l-ar suferi dac ameninrile ar aprea.
"Expunerea" este calculat prin combinarea evalurii a impactului i a frecvenei
estimate a ameninrii.
3.1.4 Managementul riscului implic alegerea celei mai ieftine contramsuri care reduce
expunerea organizaiei la risc la un nivel acceptabil. Contramsurile sunt msurile luate
de ctre organizaie pentru a reduce frecvena unei ameninri sau pentru a reduce
impactul ameninrilor atunci cnd apar.
3.1.5 Evaluarea este cheia pentru stabilirea unui nivel corespunztor de securitate, iar
utilizatorii sunt eseniali pentru evaluare. Rezult c grupurile de utilizatori trebuie s fie
stabilite ntr-un stadiu incipient. Fiecare sistem poate fi evaluat fcnd referire la
utilizatorii si. Un sistem cu nici un utilizator sau unul n care utilizatorii nu acord nici o
valoare informaiilor primite, nu are nici o valoare i nu merit s fie meninut, cu att
mai puin securizat.
11
Adaptat dup o metodologie elaborat de Oficiul Naional de Audit, Marea Britanie, acest document are ca scop numai de a
oferi o descriere general a unei metode cantitative detaliate de analiz a riscurilor care este utilizat n diverse moduri de cele
mai multe pachete de analiz de risc comerciale. Este recomandat folosirea unui pachet software mpreun cu aceast
metod de analiz detaliat a riscului.
71
confidenialitii, integritii sau disponibilitii sistemelor informatice. Acest lucru
implic identificarea tuturor componentelor care trebuie s fie n funciune, n cazul n
care utilizatorii trebuie s continue s primeasc un serviciu de ncredere i apoi caut
evenimentele care ar putea afecta n mod negativ fiecare component. Aceasta
implic, de asemenea, identificarea modalitilor de scurgere a informaiilor din fiecare
component a sistemului informatic.
3.1.7 Odat ce valoarea unui sistem i ameninrile cu care acesta se confrunt au fost
stabilite poate fi formulat o cerin de securitate. Aceasta va lua forma unei liste de
msuri care sunt necesare pentru a reduce riscurile cu care se confrunt utilizatorii, la
un nivel acceptabil. Punerea n aplicare a acestor msuri i meninerea lor este sarcina
personalului care alctuiete infrastructura de securitate.
3.2 Infrastructura
3.2.1 Politica de securitate ar trebui s reflecte strategia legat de sistemul informatic, care
ar trebui s se bazeze pe misiunea i obiectivele identificate n declaraia de politic
corporativ. Nu este oportun s se nceap proiectarea unei strategii de securitate a
sistem informatic naintea strategiei corporative sau a celei a sistemelor informatice.
Consiliul de conducere ar trebui s elaboreze o politic de securitate. Politica ar trebui
s fie aprobat de ctre eful organizaiei. Un ofier de securitate (CIO) ar trebui s fie
numit pentru a supraveghea implementarea politicii de securitate.
3.2.2 Dac avei, sau planificai a avea, sisteme informatice extinse ar trebui s se nfiineze
un Comitet director pentru sisteme informatice. Un membru al consiliului de conducere
ar trebui s prezideze acest comitet. Rolul comitetului director pentru sisteme
informatice este de a asigura c strategia sistemului informatic se dezvolt n
conformitate cu obiectivele corporative i faptul c strategia de securitate trebuie
meninut actualizat. Ar trebui s fie desemnat un ofier de securitate al sistemului
informatic i s se ia n considerare instituirea unui Grup de securitate a sistemului
informatic. Securitatea sistemului informatic este o specialitate. Rolul grupului de
securitate este de a aciona ca un punct central pentru activitatea de dezvoltare a
sistemului de securitate.
3.2.3 Declaraia privind politica de securitate ar trebui s ofere un cadru pentru programele
de securitate cu care se confrunt fiecare sistem informatic important.
72
Organizaiile mari produc adesea linii directoare de securitate, care stabilesc n detaliu
standardele de securitate. Liniile directoare sunt menite s ajute personalul s traduc
cerinele politicii de securitate ntr-un program de securitate pentru sistemele proprii.
3.2.4 Procedurile de operare pentru securitate (POS) iau forma unor manuale care ofer
detalii cu privire la procedurile necesare pentru a sprijini programul de securitate. POS
sunt deosebit de importante, ntruct multe msuri de securitate sunt ineficiente, cu
excepia cazului n care personalul nelege i respect procedurile suport.
3.3 Limite
3.3.1 Prima etap n orice revizuire de securitate a sistemului informatic este de a stabili
limitele sistemului supus revizuirii. Acest lucru poate fi realizat prin identificarea unei
comuniti de utilizatori.
3.3.2 n cazul n care exist o interaciune redus ntre sistemele informatice, este destul de
uor ca utilizatorii ieirilor din sistem s poat fi identificai. n sistemele puternic
integrate trebuie agreat o grani artificial, n scopul meninerii revizuirii la o scar
rezonabil.
3.3.4 n mod ideal, ar trebui s se nceap cu un model complet al informaiei din organizaie
pe baza cruia s aib loc revizuirea. Acest model ar trebui s prezinte fluxul de
informaii att n cadrul organizaiei ct i ntre organizaie i cei din afar. Acest model
poate aciona ca baz pentru un program de securitate a sistemului informatic, care va
acoperi toate sistemele cheie atunci cnd se va finaliza.
3.4 Echipa
73
3.4.2 n cazul n care constatrile unei revizuiri trebuie s fie acceptate n ntreaga
organizaie, este important s se asigure c echipa de securitate este construit, pe
ct posibil, ca o seciune extins, transversal a organizaiei. Acest lucru este deosebit
de important dac efectuai revizuirea din poziia unui consultant extern.
3.4.3 Echipa de audit intern ar trebui s aib o nelegere profund asupra sistemelor
informatice din cadrul organizaiei i va avea un rol important n garantarea faptului c
recomandrile de securitate sunt implementate n mod eficient. Echipa de securitate
poate fi capabil s foloseasc dosarele de lucru de audit intern pentru a nelege
sistemele informatice din cadrul organizaiei, dar este puin probabil c membrii
structurii de audit intern vor dori s joace un rol activ ntruct acest lucru ar compromite
independena lor n etapa de revizuire.
3.4.4 Utilizatorii unui sistem informatic au un rol cheie n explicarea modului n care sistemul
funcioneaz i n valorificarea informaiilor obinute de la acesta.
Cooperarea utilizatorilor este esenial pentru ca programul de securitate a informaiilor
s fie implementat cu succes. Este mult mai probabil ca utilizatorii s accepte
recomandrile privind securitatea, n cazul n care un membru influent al comunitii
utilizatorilor este un membru al echipei. Reprezentantul utilizatorilor este, de multe ori,
un ef de echip bun, pentru a da asigurri att conducerii, ct i utilizatorilor care sunt
adesea profund suspicioi fa de rapoartele elaborate de "specialiti tehnici".
3.4.5 n cazul n care sistemul informatic este puternic, atunci ar trebui s fie inclus n echip
un analist de sistem, pentru a ajuta la explicarea modului n care funcioneaz sistemul
informatic i pentru a consilia cu privire la o metod clar i consecvent de
documentare a fluxurilor de informaii.
3.5.1 Prima etap n evaluarea ameninrilor cu care se confrunt un sistem este de a stabili
lanul de active care sunt implicate n furnizarea informaiilor, pentru fiecare utilizator
major. Amintii-v obiectivele de securitate a informaiilor (de confidenialitate,
integritate i disponibilitate) i gndii-v la toate punctele din sistem n care oricare
dintre aceste obiective ar putea fi compromise.
Lista activelor va fi mai lung pentru o aplicaie n reea dect pentru un calculator
neconectat. Un procesor de texte funcional pe un calculator neconectat va fi vulnerabil
prin ecran, imprimant, tastatur i prin orice dispozitiv de stocare, cum ar fi floppy
discuri, benzi sau hrtie. Un sistem n reea ar putea fi vulnerabil n multe alte puncte,
inclusiv terminale, imprimante, echipamente de telecomunicaii legate la reea, cablajul
reelei, discurile centrale i locale.
3.5.2 Creai un formular pentru fiecare activ sau grup de active pe care le identificai i apoi
ntocmii o list a tuturor evenimentelor care ar putea compromite integritatea,
74
disponibilitatea sau confidenialitatea sistemelor informatice care sunt conectate la
activ. Pentru fiecare eveniment va trebui s facei o estimare a probabilitii
evenimentului care ar putea avea loc. Acest lucru poate fi foarte dificil, dac nu au
existat evenimente n istoria sistemelor informatice ale organizaiei. Statistici
actuariale12 din companiile de asigurri v pot ajuta s facei o estimare realist a
frecvenei evenimentelor neobinuite. Indiferent de abordarea adoptat, va exista un
element de incertitudine. nregistrrile din experiena trecut se refer numai la
evenimentele detectate, privind securitatea sistemului; securitatea sistemului ar fi putut
fi compromis, fr a fi fost detectate evenimente. n plus, nu exist nici o garanie c
evenimentele vor avea loc cu aceeai frecven pe care au avut-o n trecut.
3.6 Evaluare
3.6.2 Valorile pe care utilizatorii le identific pentru impactul fiecrei ameninri vor fi utilizate
ca parte a justificrii costurilor msurilor de securitate. Este important ca efectele s
poat fi exprimate n termeni financiari i s fie evaluate pe o baz consistent. Multe
efecte care pot rezulta din compromiterea unui sistem informatic nu au un impact
financiar direct. n aceste cazuri este necesar s se construiasc scale care pot fi
folosite pentru a traduce impactul non-financiar n termeni financiari.
3.6.3 Distribuiile pe o scal cheie a pierderilor financiare ar putea arta ca mai jos:
75
Pierdere13 Puncte
10m+ (14 10
4m-10m 9
2m-4m 8
1m-2m 7
500,000-1m 6
250,000-500,000 5
100,000-250,000 4
50,000-100,000 3
10,000-50,000 2
1,000-10,000 1
Rezultat Puncte
3.6.5 Scalele de mai sus sunt cu titlu de exemplu. Ar putea fi construite mai mule, cum ar fi:
rspunderea juridic, disconfort politic i ntreruperi organizaionale. Scalele pe care le
construii ar trebui s fie n concordan unele cu altele i ar trebui s le acopere pe
toate cele cu impact semnificativ care ar putea rezulta din pierderi ale sistemelor
informatice ale organizaiei.
13
n acest document, simbolul lira sterlin poate fi substituit cu orice unitate monetar naional. Domeniile de scar se pot
adapta la moneda fiecrei ri iar nivelele de semnificaie pot fi convenite.
14
mai mult de 10 milioane
76
numai 5.000 alte cheltuieli, atunci ar trebui s nscriei 4 pe scara de siguran
personal, care ar fi echivalat cu o valoare de 175,000 pe scara pierderilor
financiare. Adugarea de alte cheltuieli de 5000 la aceste valori, va conduce la o
pierdere total, n termeni financiari de 180,000 , echivalent cu un scor total de 4 pe
scara pierderilor financiare.
3.6.7 Cnd ai intervievat utilizatorili cheie ai sistemului, ai avut o serie de scoruri. Scorurile
ar putea avea nevoie s fie ajustate de ctre managementul de vrf, n cazul n care
impacturile identificate de ctre utilizatori sunt considerate nerezonabile. Scorul pentru
un eveniment poate fi apoi stabilit prin compilarea unei liste a tuturor impacturilor
identificate de ctre utilizatori pentru fiecare eveniment.
3.7.1 Cerina de securitate este o declaraie care exprim ct de mare este valoarea
cheltuielilor pentru protecia fiecrui activ n sistem. Acest lucru este derivat din
evaluarea i frecvena evalurilor pentru fiecare eveniment advers. Evalurile
utilizatorului ar trebui s fie transformate n valori financiare, prin utilizarea punctului de
median al scalei financiare. Frecvenele ar trebui s fie exprimate n termenii numrului
de ori n care evenimentul este de ateptat s apar n fiecare an. Acesta va fi mai mic
dect unu, n cazul n care un eveniment este rar. Colectai toate efectele identificate
de ctre utilizatori pentru fiecare eveniment i excludei dublurile. Dac adugai apoi
valorile financiare ale impacturilor i nmulii cu frecvena evenimentului vei obine
ateptarea privind pierderile anuale (APA), pentru un eveniment particular, care
afecteaz un activ particular.
3.7.2 Calculul APA trebuie s fie repetat pentru fiecare eveniment care ar putea afecta
negativ, n mod semnificativ, fiecare activ care este conectat la oricare dintre sistemele
informatice n curs de revizuire. Atunci cnd acest proces a fost finalizat, activele pot fi
sortate dup APA. Lista sortat ar trebui s constituie baza pentru un plan de aciune
pentru dezvoltarea programului de securitate.
3.8 Contramsuri
3.8.1 Cerina de securitate va evidenia activele care reprezint un risc semnificativ pentru
confidenialitatea, integritatea sau disponibilitatea sistemelor informatice n curs de
revizuire. Contramsurile sunt msurile luate pentru a reduce frecvena ameninrilor
asupra activelor sistemului informatic sau a impactului, atunci cnd apar ameninri.
3.8.2 Ar trebui s ncepei prin instalarea contramsurilor pentru a proteja activele cu cea
mai mare APA. Luai n considerare msurile care ar putea fi aplicate pentru a reduce
frecvena sau impactul evenimentelor cu potenial de a avea cel mai mare impact.
Detectai costurile acestora, inclusiv cele cu formarea, ntreinerea i perturbaiile pe
care le-ar putea cauza. Dup ce ai evaluat msurile care pot fi introduse, evaluai
reducerea APA care ar fi de ateptat s fie atins.
77
3.8.3 O singur contramsur, cum ar fi introducerea unui agent de paz la intrarea n
locaie, poate reduce APA asociat cu multe evenimente care ar afecta un numr mare
de active. Va trebui s v asigurai c toate beneficiile asociate msurii sunt reflectate
n cazul introducerii fiecrei msuri. Pentru fiecare contramsur pstrai o list a
impactului evenimentelor/activelor ale cror APA sunt afectate i amploarea
schimbrilor preconizate.
3.8.4 Odat ce ai identificat contramsurile care ar reduce cel mai mare APA la nivelul
urmtorului APA, ar trebui s comutai atenia la urmtorul eveniment / activ din list.
3.8.5 De fiecare dat cnd selectai o contramsur, va trebui s adaptai indicatorii APA la
orice alte evenimente / active, care sunt afectate de contramsur. Pe msur ce v
deplasai n jos n list, valorile APA rmase vor fi tot mai mici. Ar trebui s v oprii
atunci cnd APA rmase sunt sub pragul pe care credei c l va accepta
managementul.
3.9.1 Odat ce o list de msuri de contracarare a fost agreat, acestea vor trebui s fie
transferate n programele de securitate i procedurile de securitate operaionale.
Grupul de securitate a sistemului informatic ar trebui s fie responsabil pentru
implementarea contramsurilor selectate.
3.9.3 Programul i procedurile de securitate vor trebui s fie actualizate pentru a ine seama
de schimbrile intervenite n mediul de securitate i al sistemelor informatice. Grupul
de securitate a sistemului informatic ar trebui s se informeze cu privire la evoluiile din
domeniul securitii sistemul informatic i s fie informat cu privire la toate evoluiile
semnificative n sistemele informatice ale organizaiei. Acesta ar trebui s monitorizeze
n permanen necesitatea actualizrii programului de securitate.
78
Glosar succint
Contramsur (C): Un control care este conceput pentru a spori securitatea sau
pentru reducerea ameninrii, reducerea impactului, detectarea unei bree de
securitate sau recuperarea dup un incident de securitate.
Ameninare (T): Orice eveniment sau act potenial nedorit i care poate avea un
impact asupra unui sistem informatic, cum ar fi un incendiu, catastrofe naturale, acces
neautorizat etc.
15Terminologia referitoare la riscul privind securitatea poate varia foarte mult n funcie de diferite coli de gndire. n mod
similar, n funcie de metodologia utilizat, impactul i vulnerabilitile pot fi evaluate n prezena unor protecii existente sau n
absena oricror protecii.
79