Recomandări de bună practică pentru

implementarea S.C.I.M.
Conformitatea cu standardele nu reprezintă singurul „obiectiv” pentru SCIM. Când
discutăm despre cerințele unui SCIM luăm în considerare și recomandări generale:
1) Înțelegerea regulilor privind SCIM. Pentru aceasta trebuie să:
citim cerințele standardelor SCIM pentru o bună înțelegere a lor și a modului de abordare;
implementăm soluțiile rezonabile care au sens pentru activitatea organizației și au la bază
riscurile specifice organizației;
identificăm cerințele legale aplicabile organizației;
2) Dezvoltarea unui management al riscului prin:
determinarea de acțiuni ce trebuie întreprinse în urma riscurilor identificate (tratare sau
acceptare risc);
utilizarea analizei riscurilor pentru a explica principiile și modul de tratare a cerințelor SCIM
și implementare a măsurilor.
3) Pentru un management eficace al riscurilor, identificarea riscurilor trebuie să aibă un caracter
permanent. Identificarea continuă a riscurilor este condiţia necesară racordării la schimbare.
4) Gestionarea riscurilor, prin implementarea unor instrumente de control care să menţină
riscurile în limite tolerabile în cazul în care rotaţia personalului (cu funcţii sensibile) nu se poate
realiza din lipsă de personal calificat în domeniul respectiv, fie ar determina costuri foarte mari.
5) Dezvoltarea și implementarea de proceduri de întreținere a SCIM :
trecerea în revistă a politicilor, procedurilor, formularelor, planurilor de securitatea informației
existente și implementate pentru realizarea conformității cu standardul;
elaborarea și actualizarea procedurilor, formularelor, după cum este necesar;
furnizarea unui acces ușor la proceduri/politici și acces dedicat celor implicați în proceduri,
planuri;
impunerea și constrângerea respectării documentației SCIM prin aplicarea de procesului
disciplinar.
6) Cerințe referitoare la controlul documentelor și controlul înregistrărilor.
7) Dezvoltarea și utilizarea instrumentelor de lucru (metode de măsurare și monitorizare,
formulare).
8) Obiectivele entităţii publice trebuie astfel stabilite încât să răspundă pachetului de
cerinţe S.M.A.R.T.
9) Alocarea de responsabilități prin:
crearea fișelor de post conținând și aspecte legate de SCIM;
numirea prin decizie a unei echipe responsabile cu SCIM;
difuzarea acestei decizii precum și informațiile oficiale a persoanelor din comisia SCIM și
întregului personal.
10) Raportarea și răspunsul la semnalarea neregulilor se realizează cu ajutorul:
unui proces de raportare pentru salariați a neregulilor identificate;
unui formular/raport pentru neregulile identificate;
unei proceduri de răspuns la neregulile identificate și o echipă care să preia și să trateze
aspectele raportate;
unui sistem de încredere care să asigure protejarea/confidențialitatea persoanei care a raportat.
11) Conștientizarea pro -SCIM și instruire prin:
stabilirea unui program formal de instruire pentru SCIM și de conștientizare a importanței
acestuia pentru toți angajații;
realizarea de instruiri specifice activităților și departamentelor din organizație;
documentarea participărilor, conținutul și metodele de instruire și conștientizare (programul
cursurilor, foi prezență, rapoarte de evaluare);
12) Evaluarea SCIM prin:
stabilirea și corelarea indicatorilor de performanță pentru procese, personal și sistem;
stabilirea unui program de audit pentru SCIM implementat;
realizarea de audituri atunci când apare o problema;
det activităților utilizatorilor și evenimentelor care ar putea să genereze o intrare în audit;
implementări de proceduri de analiză periodică și de arhivare;
păstrarea dovezilor de audit în scopuri juridice.
13) Să ne asigurăm de suportul managementului prin:
informarea lui asupra riscurilor;
propunerea de reducere a riscurilor pe baza unor mijloace cu costuri eficiente și cu obținerea
rezultatelor operaționale planificate;
furnizarea de rapoarte cost- beneficii sau calcularea randamentul investiției pt implementarea
măsurilor.
14) În cadrul entităţii publice trebuie întocmit:
inventarul funcţiilor sensibile;
lista cu salariaţii care ocupă funcţiile respective;
planul pentru asigurarea rotaţiei salariaţilor care ocupă funcţii sensibile, astfel încât un salariat
să nu activeze, de regulă, mai mult de 5 ani într-o astfel de funcție.
15) Completarea chestionarului de autoevaluare revine fiecărui compartiment care, conform
organigramei aprobate, nu intră în componenţa unui compartiment de rang superior.
16) Standardele sunt aplicabile fiecărui compartiment din entitate cu excepția standardului
16„Auditul intern”.
17) Actualizarea permanentă a listei actelor normative reprezentative, cuprinse în
componenta "referințe principale" a fiecărui standard, precum și a completării acesteia cu orice
alte reglementări care cuprind prevederi aplicabile fiecărui standard.
18) Implicarea întregului personal în dezvoltarea, menținerea SCIM.
19) Realizarea unui sistem transparent și corect de evaluare a performanţelor salariaților.

Indicatorii negativi (ceea ce nu trebuie să facem) pentru un SCIM pot fi considerați:

Neînțelegerea cerințelor cu adevărat importante prevăzute de standarde cum ar fi evaluarea și
tratarea riscurilor, instruire etc;
Presupunerea că organizația va efectua analiza riscului doar o singură dată;
Rezultatele evaluării riscurilor nu sunt compatibile și reproductibile;
Încercarea de a soluționa toate riscurile fără o prioritizare;
Nedocumentarea deciziilor responsabililor (comisiei) SCIM sau a M organizației;
Căutarea unei soluții „de-a gata” (security in a box) nepersonalizată necesității organizației;
Stabilirea planurilor de tratare a riscurilor fără numirea responsabilităților, fără termene de
realizare a sarcinilor și fără urmărirea acțiunii și a rezultatelor ei;
Lipsa de susținere a acestor planuri de către managementul organizației;
Angajații nu pot indica clar autoritatea pentru SCIM din cadrul organizației;
 Persoanele responsabile cu SCIM (persoanele din comisie) raportează prea jos în organigrama
și nu au autoritatea legală;
Realizarea de programe de instruire pt toți angajații fără o evaluare a necesității de instruire;
Căutarea de vinovați pentru fiecare neregulă semnalată, în loc de a căuta măsuri corective și
preventive;
Crearea unui mediu propriu de intimidare în care angajații se tem să raporteze neregulile;
„Cumpărarea” de proceduri tipizate adăugând doar denumirea organizației;
Nu sunt definite cerințele și criteriile de audit și nu sunt planificate activitățile ce implică
verificarea tuturor compartimentelor organizației;
Verificarea se realizează numai când apar probleme;
Se încearcă păstrarea tuturor dovezilor de audit pe termen nelimitat fără a tine cont de
legislație;
Existența unei proceduri care stabilește că organizația trebuie să dețină planuri pentru
continuitatea activității și în caz de dezastru, dar nu există planuri;
O abordare de tipul „nu s-a întâmplat și nu se va întâmpla niciodată”;
Necorelarea măsurilor de tratare a riscurilor cu obiectivele operaționale;
Managementul organizației face afirmații de genul „Nu trebuie să ne îngrijoram în
legatură cu ............ pentru că .......”;
Elaborarea de politici/proceduri pentru fiecare activitate (de câte proceduri este nevoie cu
adevărat?).

Următoarele puncte ar trebui luate în considerare:

 Entitățile cu un sistem de control intern mai puțin dezvoltat ar trebui să se concentreze în
primul rând pe precondițiile de bază pentru orice sistem de control intern, în special
mediul de control.
 Toate entitățile au elemente ale unui sistem de control intern, acestea ar trebuie acum să
fie structurate și formalizate, îmbunătățite conform nevoilor identificate.
 Sistemul de control intern nu ar trebui să funcționeze separat de operațiunile existente în
organizație, sistemul de control intern ar trebui să fie integrat ciclului de management.
Pentru o mai eficientă implementare a SCIM, consideram oportună elaborarea unor fișe de
implementare si a unui plan de implementare a standardelor deoarece, permit identificarea
necesitaţilor manageriale la nivelul entităţii publice, precum si la nivelul fiecărui compartiment/
birou al acesteia.
Fișele de implementare și planul de implementare ca instrumente de implementare a
SCIM îşi doresc să ghideze şi să concentreze efortul de implementare al directorilor
generali/directorilor în găsirea de soluţii personalizate pentru fiecare compartiment.
Întrebările din fișa de implementare sunt menite să ajute managerii unităţilor în a
identifica necesităţile de îmbunătățire din propriile compartimente. Pe baza răspunsurilor pe care
aceştia sau reprezentaţii lor în grupul de lucru le vor identifica, se vor găsi soluţii personalizate
de implementare pentru fiecare compartiment în parte.

BIBLIOGRAFIE
Analiză comparativă privind SCIM, pp. 62-68
http://www.scmi-educatie.ro/media/2603/analiza-comparativa-SCMI.pdf