Suport Curs Audit IT Vers3

AUDITUL
SISTEMELOR IT
pentru ”non-IT-iști”
- 2015 -
Tomoială Marius, CIA(Certified Internal Auditor)

Material cu drept de autor. Nicio parte din acest document nu poate fi
reprodusă, stocată sau transmisă în orice formă, ori prin orice mijloc
electronic, mecanic, fotocopiere, înregistrare sau altfel, fără permisiunea
prealabilă, în scris, a autorului.
Detalii: mtomo74@yahoo.com
Necesitatea auditării
sistemelor IT
By Tomoială Marius 2
(mtomo74@yahoo.com)
Necesitatea auditării sistemelor IT (1)
1. Obligație legală a auditorilor: (art. 13 din Legea nr. 672/2002 privind
auditul intern): Auditorii interni au obligaţia auditării sistemelor IT.
Art. 13
(1) Auditul public intern se exercită asupra tuturor activităţilor desfăşurate
într-o entitate publică, inclusiv asupra activităţilor entităţilor
subordonate, aflate în coordonarea sau sub autoritatea altor entităţi
publice.
(2) Compartimentul de audit public intern auditează, cel puţin o dată la 3
ani, fără a se limita la acestea, următoarele:
a) activităţile financiare sau cu implicaţii financiare desfăşurate de
entitatea publică din momentul constituirii angajamentelor până la
utilizarea fondurilor de către beneficiarii finali, inclusiv a fondurilor
provenite din finanţare externă;
b)[........];
j) sistemele informatice.
(mtomo74@yahoo.com)
a) Sistemele IT prezintă riscuri foarte mari, îndeosebi de
întrerupere a activității, eroare, fraudă
b) Sistemele IT sprijină desfășurarea tuturor
proceselor/activităților dintr-o entitate
c) Asigură mai rapid informația necesară luării deciziilor
d) Elemente ale sistemului IT sunt greu de evaluat
monetar (un soft, mentenanța acestuia)
e) Anumite softuri pot determina entitatea să devină un
utilizator ”captiv”
(mtomo74@yahoo.com)
a) Sistemele IT sunt prezentate uneori ca fiind strict
apanajul unor ”inițiați”, existând tendința de a nu se
acorda atenția necesară
b) Riscuri ca urmare a externalizării acestor servicii
c) Tendința specialiștilor IT de a se orienta pe partea
tehnică
d) Pentru aplicarea dictonului ”Numai ceea ce se verifică
se și face”
e) Este obligatoriu să audităm sistemul IT chiar dacă nu
avem cunoștințe IT sau nu dispunem de un auditor IT.
(mtomo74@yahoo.com)
a) Dificultatea ținerii sub control a riscurilor din domeniul

sistemului informatic cauzată de:
a)Soluțiile mobile (laptop-uri, telefoane mobile, tablete etc.)
b)Rețelele sociale
c)Cloud computing
(mtomo74@yahoo.com)
De ce trebuie să ne preocupe auditul IT?
 Sistemele IT reprezintă viitorul auditului intern (audit bazat pe
rețea)
 IT-ul influențează radical modul de realizare a auditului intern
(auditul bazat pe IT)
 Auditul online, auditul continuu și auditul de la distanță
(”auditul din birou”)
 Programe informatice cu modul pentru auditori (pistă de audit,
generare automată situații de audit la efectuarea operațiunilor,
verificarea online a unor operațiuni, recalcularea online etc.)
 Tranzacțiile/operațiunile suspicioase sau riscante sunt raportate
de sistem direct către auditorii interni (de exemplu,
stornări>5.000 lei individual sau cumulat)
7
By Tomoială Marius
(mtomo74@yahoo.com)
Informația – cel mai
important activ al
entității
(mtomo74@yahoo.com)
Informația
– Informația reprezintă o resursă

– Se apreciază că informația este cel mai important
activ al unei instituții
– Informația este facilitată de sistemele informatice
Sursa: The Institute of Internal Auditors UK and Ireland - John Silltow – Business
Information Systems Auditing/2006 (mtomo74@yahoo.com)
Protejarea informațiilor
– Confidențialitatea informațiilor: Restricționarea accesului la informațiile
sensibile numai persoanelor autorizate (principiul ”nevoia de a cunoaște” - "need-to-
know„)
– Integritatea: Informația este precisă, de încredere și nu a fost alterată sau
schimbată de o persoană neautorizată. Integritatea include:
Autenticitatea: Abilitatea de a verifica faptul că nu a fost schimbat conținutul
fără autorizare
Non-repudierea & Răspunderea: Originea oricărei acțiuni în sistemul
informatic poate fi verificată și asociată unui utilizator
– Disponibilitatea: Informația este accesibilă pentru desfășurarea activităților
instituției atunci când este nevoie (informația nu este indisponibilă nu numai când
este pierdută sau distrusă, ci și atunci când accesul la informație este interzis sau
întârziat)
Sursa: Information Security Handbook - By Tomoială Marius 10
http://ishandbook.bsewall.com/risk/Methodology/CIA.html (mtomo74@yahoo.com)
Riscuri și controale privind protejarea
informațiilor
Element Riscuri Controale
Confidențialitate  Diseminarea  Criptare
neautorizată a datelor  Autentificare
 Acces neautorizat la  Controale de acces
informații
 Furtul de identitate
Integritate  Informația nu mai este  Jurnale de audit
precisă sau de
încredere
 Fraudă
Disponibilitate  Întreruperea activității  Planuri de continuitate
 Pierderea încrederii și testarea lor
 Pierderea unor resurse  Salvarea datelor
Sursa: Information Security Handbook - By Tomoială Marius 11

http://ishandbook.bsewall.com/risk/Methodology/CIA.html (mtomo74@yahoo.com)
Sediul materiei privind protejarea
informațiilor unei instituții publice
– Legea nr. 182/2002 privind protecția informațiilor

clasificate, cu modificările și completările ulterioare
– Hotărârea Guvernului nr. 585/2002 pentru aprobarea

Standardelor naționale de protecție a informațiilor
clasificate în România
(mtomo74@yahoo.com)
Elementele unui
sistem IT
(mtomo74@yahoo.com)
Elementele principale ale unui sistem IT
Hardware Programe Date

(Infrastructura) (Aplicațiile) (Informațiile)
Proceduri Resursa umană
(mtomo74@yahoo.com)
Prezentarea schemei IT în cadrul unei
organizații
15
By Tomoială Marius
Sursa: The Institute of Internal Auditors - GTAG 4 – Management of IT Auditing/2013
(mtomo74@yahoo.com)
Managementul funcției IT
– Include angajații, politicile, procedurile și procesele
privind funcția IT:
• Monitorizarea sistemului IT
• Programare
• Planificare
• Management furnizori
• Managementul problemelor și incidentelor
• Managementul proiectelor IT
• Managementul securității etc.
Sursa: The Institute of Internal Auditors - GTAG 4 – Management of IT Auditing/2013 (mtomo74@yahoo.com)
Infrastructura tehnică
– Se referă la tehnologia care permite aplicațiilor să
funcționeze:
• Sistemele de operare: acțiunile executate la nivel de sistem de operare
trec peste controalele care există la nivel de proces.
• Fișiere și baze de date: toate datele care sunt în fișiere
• Rețele: componente fizice (cabluri), echipamente, programe care
controlează mișcarea datelor
• Centre de date: locația echipamentelor (centre de date, camera
serverelor etc.)
Aplicații
– Programele care execută sarcini specifice privind
activitățile entității:
• Aplicație privind operațiunile/tranzacțiile: programe
informatice care procesează și înregistrează
operațiunile/tranzacțiile derulate în entitate (Exemplu: înregistrarea
în registrul jurnal).
• Aplicație suport: programe specializate care nu procesează
tranzacții ci facilitează activitățile entității (exemple: programul de
email)
Standarde, criterii și
ghiduri privind
auditul IT
(mtomo74@yahoo.com)
COBIT
– cadru internațional recunoscut global pentru
guvernanța și administrarea tehnologiei informației
– În prezent există COBIT 5
– Emis de ISACA (Asociația de Audit și Control
privind Sistemele Informatice)
(mtomo74@yahoo.com)
Standardele din seria ISO/IEC 27000
 ISO/IEC 27000:2014 – caracteristici generale şi vocabular
 ISO/IEC 27001:2013 – sistemul de management al securității
informaționale
 ISO/IEC 27002:2013 –cod de bune practici (obiectivele de control în
domeniul SMSI şi măsurile de securitate)
 ISO/IEC 27003:2010 –ghid pentru implementarea ISO/IEC 27001.
 ISO/IEC 27004:2009 –indicaţii privind aplicarea indicatorilor de
securitate.
 ISO/IEC 27005:2011 – riscurile de securitate.
 ISO/IEC 27006:2011 – cerinţe pentru organismele de certificare a
sistemelor de management ale securităţii informaţiei.
 ISO/IEC 27007:2011 – stabileşte regulile de auditare a SMSI
 ISO/IEC 27008:2011 – ghid pentru auditori privind instrumentele de
control referitoare la securitatea informației
(mtomo74@yahoo.com)
Alte standarde ISO/IEC
ISO/IEC 38500:2015 – Tehnologia informației

- Guvernanța IT privind organizația
ISO/IEC 2382:2015 – Tehnologia informației

– Vocabular
………………………………….
(mtomo74@yahoo.com)
IIA Practice Guides —
Global Technology Audit Guides (GTAG)
Sursa: The Institute of Internal Auditors (mtomo74@yahoo.com)
StandardeIe ISSAI şi INTOSAI GOV 9100
– La nivelul INTOSAI este adoptată ca reprezentativă
arhitectura de auditare ISACA şi recomandată în
consecinţă (standarde, ghiduri de aplicare și resursele
COBIT)
– Standardul INTOSAI GOV 9100 – Îndrumare privind
Standardele de Control Intern în Sectorul Public face
trimitere expresă la cadrul de lucru şi la documentaţiile
pentru audit IT furnizate de ISACA (COBIT)
– Poate fi utilizat drept criteriu pentru constatările
auditului intern
24
By Tomoială Marius
Sursa: Curtea de Conturi a României – Auditul sistemelor informatice/2012
(mtomo74@yahoo.com)
ISSAI 3000 - Anexa 5 – Auditul
Performanţei şi Tehnologia Informaţiei
 Auditul performanţei are ca obiect auditul eficienţei,
eficacităţii şi economicităţii şi are următoarele arii de
audit:
(a) auditul economicităţii activităţilor administrative, în concordanţă cu
principii şi practici administrative solide, precum şi cu politicile
managementului;
(b) auditul eficienţei utilizării resurselor umane, financiare şi a altor
resurse, inclusiv examinarea sistemului informatic, al cadrului de
măsurare a performanţei şi de monitorizare şi al procedurilor urmărite
de entităţile auditate pentru remedierea deficienţelor identificate;
(c) auditul eficacităţii, în legătură cu atingerea obiectivelor entităţii
auditate, precum şi auditul impactului activităţilor actuale comparat cu
impactul previzionat.
25
By Tomoială Marius
Sursa: Curtea de Conturi a României – Auditul sistemelor informatice/2012
(mtomo74@yahoo.com)
Cadrul normativ național în legătură cu
domeniul IT
 Observație: nu există un un cod

IT/standarde IT pentru sectorul public din
România (de exemplu, obligația existenței
unui proiect/documentații a rețelei)
26
By Tomoială Marius
(mtomo74@yahoo.com)
Cadrul normativ național în legătură cu
domeniul IT
 Cadrul normativ care poate fi folosit drept criteriu pentru
constatările de audit intern:
 Codului controlului intern/managerial al entităţilor publice aprobat
prin OSGG 400/2015
 prevederilor pct. F - Criteriile minimale privind programele
informatice utilizate în activitatea financiar-contabilă din Normele
generale de întocmire și utilizare a documentelor financiar-contabile
aprobate prin Ordinul ministerului finanțelor publice nr. 2634/2015
privind documentele financiar-contabile
 Legislație specifică pe domenii de activitate (exemplu):
 (domeniul medical): OMS nr. 1571/2010 pentru aprobarea
măsurilor de punere în aplicare a strategiei e-România și e-
Sănătate și implementarea proiectelor informatice SIUI
27
By Tomoială Marius
(mtomo74@yahoo.com)
Criteriile minimale privind programele
informatice utilizate în activitatea
financiar-contabilă – OMFP 2634\cont.
55. Sistemul informatic de prelucrare automată a datelor la nivelul
fiecărei entităţi trebuie să asigure prelucrarea datelor înregistrate în
contabilitate în conformitate cu reglementările contabile aplicabile,
controlul şi păstrarea acestora pe suporturi tehnice.
56. Programele informatice utilizate în activitatea financiar-

contabilă trebuie să asigure listarea în orice moment a
documentelor financiar-contabile solicitate de organele de control.
28
By Tomoială Marius
(mtomo74@yahoo.com)
57. La elaborarea şi adaptarea programelor informatice vor fi avute
în vedere următoarele:
a) cuprinderea în procedurile de prelucrare a reglementărilor în
vigoare şi a posibilităţii de actualizare a acestor proceduri, în
funcţie de modificările intervenite în legislaţie (clauză obligatorie
în contractul de furnizare\închiriere soft – drept de utilizare);
b) gestionarea pachetelor de produse-program, asigurarea protecţiei
lor împotriva accesului neautorizat, realizarea confidenţialităţii
datelor din sistemul informatic (clauze obligatorii în contract);
c) stabilirea tipului de suport pentru păstrarea datelor de intrare,
intermediare sau de ieşire;
d) soluţionarea eventualelor erori care pot să apară în funcţionarea
sistemului informatic (clauze în contractul de furnizare și de
mentenanță sau de modernizare);
29
By Tomoială Marius
(mtomo74@yahoo.com)
e) verificarea completă sau prin sondaj a modului de
funcţionare a procedurilor de prelucrare prevăzute de
sistemul informatic (testarea – responsabilități privind
recepția softului sau hardware-lui);
f) verificarea totală sau prin sondaj a operaţiunilor
economico-financiare înregistrate în contabilitate, astfel
încât acestea să fie efectuate în concordanţă strictă cu
prevederile actelor normative care le reglementează;
g) verificarea prin teste de control a programului
informatic utilizat. 30
By Tomoială Marius
(mtomo74@yahoo.com)
58. Sistemele informatice de prelucrare automată a datelor în domeniul
financiar-contabil trebuie să răspundă la următoarele criterii considerate
minimale:
a) să asigure concordanţa strictă a rezultatului prelucrărilor informatice cu
prevederile actelor normative care le reglementează;
b) să precizeze tipul de suport care asigură prelucrarea datelor în condiţii de
siguranţă;
c) fiecare dată înregistrată în contabilitate trebuie să se regăsească în
conţinutul unui document, la care să poată avea acces atât beneficiarii, cât şi
organele de control;
d) să asigure listele operaţiunilor efectuate în contabilitate pe bază de
documente justificative, care să fie numerotate în ordine cronologică,
interzicându-se inserări, intercalări, precum şi orice eliminări sau adăugări
ulterioare;
e) să asigure reluarea automată în calcul a soldurilor conturilor obţinute
anterior;
31
By Tomoială Marius
(mtomo74@yahoo.com)
f) să asigure conservarea datelor pe o perioadă de timp care să
respecte prevederile legii contabilităţii;
g) să precizeze procedurile şi suportul magnetic extern de arhivare
a produselor-program, a datelor introduse, a situaţiilor financiare
sau a altor documente, cu posibilitatea de reintegrare în sistem a
datelor arhivate;
h) să nu permită inserări, modificări sau eliminări de date pentru o
perioadă închisă;
i) să asigure următoarele elemente constitutive ale înregistrărilor
contabile:
- data efectuării înregistrării contabile a operaţiunii;
- jurnalul de origine în care se regăsesc înregistrările contabile;
- numărul documentului justificativ sau contabil (atribuit de
emitent); 32
By Tomoială Marius
(mtomo74@yahoo.com)
Criteriile minimale privind programele informatice utilizate în
activitatea
j) să asigure confidenţialitatea şi protecţia informaţiilor şi a programelor prin parole,
cod de identificare pentru accesul la informaţii, copii de siguranţă pentru programe şi
informaţii;
k) să asigure listări clare, inteligibile şi complete, care să conţină următoarele
elemente de identificare, în antet sau pe fiecare pagină, după caz:
- tipul documentului sau al situaţiei;
- denumirea entităţii;
- perioada la care se referă informaţia;
- datarea listărilor;
- paginarea cronologică;
- precizarea programului informatic şi a versiunii utilizate;
l) să asigure listarea ansamblului de situaţii financiare şi documente de sinteză
necesare conducerii operative a entităţii;
m) să asigure respectarea conţinutului de informaţii prevăzut pentru documente;
n) să permită, în orice moment, reconstituirea conţinutului conturilor, listelor şi
informaţiilor supuse verificării; toate soldurile conturilor trebuie să fie rezultatul unei
liste de înregistrări şi al unui sold anterior al acelui cont; fiecare înregistrare trebuie
să aibă la bază elemente de identificare a datelor supuse prelucrării;
33
By Tomoială Marius
(mtomo74@yahoo.com)
o) să nu permită:
- deschiderea a două conturi cu acelaşi simbol;
- modificarea simbolului de cont în cazul în care au fost înregistrate date în acel
cont;
- suprimarea unui cont în cursul exerciţiului financiar curent sau aferent exerciţiului
financiar precedent, dacă acesta conţine înregistrări sau sold;
- editarea a două sau a mai multor documente de acelaşi tip, cu acelaşi număr şi
conţinut diferit
de informaţii în cadrul aceluiaşi exerciţiu financiar;
p) să permită suprimarea unui cont care nu are înregistrări pe parcursul a cel puţin 2
ani (exerciţii financiare), în mod automat sau manual;
q) să prevadă în documentaţia produsului informatic modul de organizare şi tipul
sistemului de prelucrare:
- monopost sau multipost;
- monosocietate sau multisocietate;
- reţea de calculatoare;
- portabilitatea fişierelor de date; By Tomoială Marius
34
(mtomo74@yahoo.com)
r) să precizeze tipul de organizare pentru culegerea datelor:
- preluări pe loturi cu control ulterior;
- preluări în timp real cu efectuarea controlului imediat;
- combinarea celor două tipuri;
s) să permită culegerea unui număr nelimitat de înregistrări
pentru operaţiunile contabile;
t) să posede documentaţia tehnică de utilizare a programelor
informatice necesară exploatării optime a acestora;
u) să respecte reglementările în vigoare cu privire la
securitatea datelor şi fiabilitatea sistemului informatic de
prelucrare automată a datelor.
35
By Tomoială Marius
(mtomo74@yahoo.com)
59. Contractele care stau la baza achiziţiei de programe informatice
utilizate în activitatea financiar-contabilă trebuie să prevadă clauze
privind întreţinerea şi adaptarea produselor livrate, precum şi
clauze care să ateste că programele informatice nu permit
modificarea procedurilor de prelucrare automată a datelor de către
utilizatori.
60. Utilizatorul trebuie:
- să se asigure de perenitatea documentaţiei, a diferitelor versiuni
ale produsului-program;
- să organizeze arhivarea datelor, programelor sau produselor de
prelucrare astfel încât informaţiile să poată fi reprocesate;
- să deţină la sediul său, pe perioadă neprescrisă, manualul de
utilizare complet şi actualizat al fiecărui produs-program utilizat.
36
By Tomoială Marius
(mtomo74@yahoo.com)
60. Utilizatorul trebuie:
- să se asigure de perenitatea documentaţiei, a diferitelor versiuni ale produsului-
program;
- să organizeze arhivarea datelor, programelor sau produselor de prelucrare astfel
încât informaţiile să poată fi reprocesate;
- să deţină la sediul său, pe perioadă neprescrisă, manualul de utilizare complet şi
actualizat al
fiecărui produs-program utilizat.
61. Pe perioada neprescrisă se va organiza o gestiune a versiunilor, modificărilor,
corecturilor şi schimbărilor de sistem informatic, produse-program şi sistem de
calcul.
Dacă entitatea, în cursul acestei perioade, a schimbat sistemul de calcul, respectiv de
prelucrare a datelor, trebuie să se efectueze o reconciliere între datele arhivate şi
versiunile noi ale produselor-program şi ale echipamentelor de calcul.
Arhivele pe suport magnetic trebuie actualizate periodic pentru a asigura
accesibilitatea datelor
37
By Tomoială Marius
(mtomo74@yahoo.com)
Pași privind auditarea sistemului
informatic
(mtomo74@yahoo.com)
Sursa imaginii: https://www.executiveboard.com/blogs/why-internal-audit-needs-to-tread-lightly/
Etape generale privind auditarea
sistemului IT
Planificarea
Organizarea Funcționarea Evaluarea
dezvoltării
sistemului sistemului sistemului
sistemului
IT IT IT
IT
(mtomo74@yahoo.com)
Activități (domenii)
auditabile posibile Organizare
privind auditul sistem IT
sistemului IT
Adaptare după: Curtea de Conturi a României –
Auditul sistemelor informatice/2012
Monitorizare Planificare
și evaluare sistem IT
Funcționare Achiziție
și suport sistem IT
40
By Tomoială Marius
(mtomo74@yahoo.com)
Stabilirea obiectivelor misiunii de
audit a sistemului IT (exemple)
• Evaluarea conformității implementării și funcționării sistemului
informatic al entității X cu cerințele legale în domeniul…….și
standardele internaționale (audit de regularitate)
• Evaluarea economicității, eficienței și eficacității utilizării fondurilor
publice în domeniul tehnologiei informatice (auditul performanței)
• Evaluarea respectării integrității, disponibilității și confidențialității
datelor prelucrate sau stocate în sistemul informatic raportat la
cerințele legale în domeniu (audit de regularitate)
• Evaluarea conformității și performanței activităților de achiziție,
implementare, funcționare și suport privind programul informatic
ABBA (audit de sistem)
• Evaluarea conformității și performanței activităților de achiziție,
implementare, funcționare și suport privind modernizarea rețelei IT
(audit de sistem)
(mtomo74@yahoo.com)
Documente care pot fi solicitate
Exemple posibile/1
• Strategie IT
• Planurile în domeniul IT
• Procedurile operaționale în domeniul IT
• Fișe de post (relevante pentru auditarea sistemului IT)
• Registrele de riscuri (din perioada auditată)
• Planuri de măsuri privind gestionarea/răspunsul la risc
(mtomo74@yahoo.com)
Documente care pot fi solicitate
Exemple posibile/2
• Situația contractelor cu furnizorii/prestatorii IT

• Documentația rețelei/sistemului IT
• Situația softurilor din contabilitate (cont. 208, 205…..)
• Situația achizițiilor IT
• Corespondența cu furnizorii/prestatorii IT
• Rapoarte de necesitate în domeniul IT
• Documente privind intervențiile la sistemul IT
(mtomo74@yahoo.com)
Studiul preliminar
Caracterizarea generală a entităţii/structurii auditate

Entitatea X reprezintă……Misiunea entităţii este…
Departamentul IT asigură ………
Obiectivele entităţii/structurii auditate, precum şi

strategia şi politicile în domeniul auditabil
Principalele obiective ale entităţii X sunt.: ……
Obiectivele Departamentului IT sunt: ….
Strategia atingerii acestor obiective presupune……etc.
(mtomo74@yahoo.com)
Studiul preliminar (cont.)
Analiza domeniului auditabil (procese, responsabili,
factori de influenţă, cadrul normativ şi metodologic specific,
gestionarea riscurilor, asigurarea calităţii şi politica de
îmbunătăţire şi dezvoltare a activităţilor domeniului
auditabil etc.)
Cadrul normativ aplicabil Departamentului IT include:….
OMFP 2634……Etc.
Cadrul metodologic aplicabil Departamentului IT include:.
În domeniul IT, principalele activităţi, operaţiuni şi
responsabili sunt:
………………………….
(mtomo74@yahoo.com)
Studiul preliminar (cont.)
Analiza structurii şi pregătirii personalului
Departamentul IT are prevăzute 8 funcţii…..
Gradul de încadrare cu personal este de 70%.
Personalul nu are competenţe în domeniul IT, aceasta
nefiind condiţie esenţială pentru angajare.
Evoluţia fluctuaţiei personalului în perioada 20XX-20ZZ
este prezentată în tabelul următor:………………..
Asigurarea şi disponibilitatea resurselor financiare
necesare realizării activităţilor auditabile
Fondurile solicitate şi cele alocate prin buget activităţii de
IT sunt prezentate în tabelul următor:…..
(mtomo74@yahoo.com)
Întrebări posibile în chestionarul de luare la cunoștință
(CLC) - extras
Nr. OBSER
ÎNTREBĂRI FORMULATE DA NU
- VAŢII
crt.
1 Cunoaşterea funcționării structurii auditate
1.1. Prezentați lista programelor informatice
utilizate pe categorii (sisteme de operare,
aplicații…, soluții antivirus, utilitare etc.)
conform modelului din anexa nr. 1
1.2. Ce activități, evidențe și documente sunt
realizate prin sistemul informatic?
1.3. Bugetul alocat activității IT a fost suficient?
Detaliați.
1.4. Care sunt programele informatice create ”in-
house” ? (prezentați o situație pe tipuri
conform anexei nr. 2)
(mtomo74@yahoo.com)
Întrebări posibile în chestionarul de luare la cunoștință
(CLC) – extras (cont.)
Nr. OBSER
- VAŢII
crt.
1 Cunoaşterea funcționării structurii auditate
1.1. Prezentați strategiile IT din perioada…
1.2. Prezentați o schemă a rețelei/rețelelor
1.3. Prezentați organizarea Departamentului IT
1.4. Prezentați principalele situații de reorganizare
a Departamentului IT în perioada …….
1.5. Care a fost fluctuația personalului
Departamentului IT în perioada…..
48
Adaptare după: GAO – Federal Information System Controls Audit Manual
By Tomoială Marius
(mtomo74@yahoo.com)
Întrebări posibile în chestionarul de control intern
(CCI) – extras
Nr. OBSER
- VAŢII
crt.
1.1. Ce legislație există care impune controale IT?
1.2. A stabilit managementul entității măsurile
necesare pentru asigurarea conformității cu
această legislație?
1.3. Au fost delimitatea toate atribuțiile și sarcinile
în domeniul IT prin fișa postului?
1.4. Sarcinile din fișele postului asigură separarea
atribuțiilor?
1.5. Ce date privind funcționarea sistemului
informatic sunt comunicate conducerii
(securitatea sistemului informatic, căderea în
funcționare etc)?
49
Adaptare după: IIA – The IIA’s CIA Learning System
By Tomoială Marius
(mtomo74@yahoo.com)
Situația angajaților din Departamentul IT pe categorii
Nr. Număr angajați

Categorie Obs.
crt. Necesar Încadrat
1.1. Management 3 1
1.2. Securitate sistem
2 1
informatic
1.3. Administrare rețea 2 2
1.4. Administrare baze
1 -
de date
1.5. Introducere date 2 1
1.6. ………….
1.7. Total
Adaptare după: GAO – Federal Information System Controls Audit Manual (mtomo74@yahoo.com)
Analiza structurii cheltuielilor planificate și
efectuate cu sistemul IT
(mtomo74@yahoo.com)
Date sintetice privind funcția IT
 Plăţi totale anuale în domeniul IT (% din total plăți)

 Total active de natura IT
 Valoarea activelor IT (% din total activ)
 Bugetul anual solicitat în domeniul IT (% din total)
 Bugetul anual alocat în domeniul IT (% din total)
52
By Tomoială Marius
Preluare sau adaptare după: Curtea de Conturi a României – Auditul sistemelor informatice/2012 (mtomo74@yahoo.com)
Planificarea
sistemului
informatic
(mtomo74@yahoo.com)
Exemple de riscuri privind Planificarea sistemului
informatic
 Dezvoltarea sistemului informatic nu are la bază o analiză
pertinentă a nevoilor informaționale ale entității, respectiv ale
utilizatorilor (Standardul 12 – Informarea și comunicarea din
Codul controlului intern/managerial din sectorul public: ce
informații sunt necesare, în ce format, cum circulă în entitate
etc.)
 Proiectul sistemului informatic satisface doar necesități de
moment și nu are în vedere necesități viitoare în domeniul
informațional
 Utilizarea în proiect a unor soluții perimate și prezentate drept
”ultimul răcnet”
 Proiectul sistemului informatic nu este adecvat (ex.: nr.
insuficient de servere)
(mtomo74@yahoo.com)
Exemple de riscuri privind Planificarea sistemului
informatic (cont.)
 Nu există planificare a sistemului informatic, care se dezvoltă pe
principiul ”am primit o sumă, trebuie să o cheltui pentru că altfel o
pierd” (de exemplu, se fac achiziții pentru dezvoltarea sistemului fără
proiect)
 Planurile strategice ale entității nu includ obiective strategice în
domeniul IT
 În planificarea dezvoltării sistemului informatic nu se ține cont de
analizele trecute privind funcționarea acestuia (cauzele căderii în
funcționare), posibilități de reducere a costurilor , probleme semnalate
cauzate de soluția utilizată etc.
 Nu există o documentație actuală a sistemului informatic care să
stea la baza planificării dezvolatării acestuia (dispunere, cablare,
compunere, softuri utilizate, caracteristici, schema rețelei etc.)
(mtomo74@yahoo.com)
Test – extras
Planificarea sistemului informatic
Nr. Elemente de verificat Respectat
crt. Da Nu Nu
este
cazul
A fost elaborată o strategie în domeniul IT care să reflecte
obiectivele și prioritățile conducerii entității în domeniul
tehnologiei informației?
Strategia în domeniul IT a fost transpusă în planuri de
implementare?
Planificarea dezvoltării sistemului informatic este în
concordanţă cu strategia şi obiectivele entității auditate?
Au fost fundamentate și identificate resursele necesare
pentru asigurarea serviciilor IT solicitate?
Au fost stabilite obiective SMART privind domeniul IT?
56
By Tomoială Marius
Preluare sau adaptare după: Curtea de Conturi a României – Auditul sistemelor informatice/2012
(mtomo74@yahoo.com)
Exemplu de FIAP privind
Planificarea activității în
domeniul tehnologiei
informației
(mtomo74@yahoo.com)
FIAP privind strategia IT
Problema:
La nivelul entității auditate nu a fost elaborată o
strategie IT care să reflecte obiectivele și
prioritățile conducerii entității în domeniul
tehnologiei informației.
(mtomo74@yahoo.com)
FIAP privind strategia IT/2
Constatarea:
Potrivit prevederilor standardului 5 – Obiective, ”conducerea entităţii
publice defineşte obiectivele determinante, legate de scopurile
entităţii, precum şi pe cele complementare, legate de fiabilitatea
informaţiilor, conformitatea cu legile, regulamentele şi politicile
interne, şi comunică obiectivele definite tuturor salariaţilor şi terţilor
interesaţi”.
De asemenea, Codul controlului intern/managerial al entităţilor
publice, aprobat prin Ordinul Secretariatului General al Guvernului
nr. 400/2015 definește strategia ca fiind documentul ce cuprinde
”ansamblul obiectivelor majore ale organizaţiei pe termen lung,
principalele modalităţi de realizare, împreună cu resursele alocate, în
vederea obţinerii avantajului competitiv potrivit misiunii
organizaţiei…”.
(mtomo74@yahoo.com)
Raportat la prevederile menționate, echipa de audit a

constatat faptul că entitatea auditată nu a elaborat o strategie
IT care să reflecte obiectivele și prioritățile conducerii
entității în domeniul tehnologiei informației.
De asemenea, strategia entității auditate nu include
prevederi referitoare la sistemele informatice, existând riscul
ca obiectivele strategice în domeniu IT să nu fie îndeplinite.
Astfel, strategia entității nu menționează rolul funcției IT în
îndeplinirea scopurilor organizației sau în sprijinirea
operațiunilor curente ale organizației.
(mtomo74@yahoo.com)
Cauze:
A. (DE CE nu a fost elaborată strategia?) Nu au fost

implementate, la nivelul Direcției informatice, prevederile
standardului 5 – Obiective din Codului controlului
intern/managerial al entităţilor publice, în sensul stabilirii
obiectivelor strategice privind sistemul informatic;
(mtomo74@yahoo.com)
Cauze:
B. (DE CE nu au fost implementate prevederile
standardului 5 la nivelul Direcției informatice?) Nu a fost
implementată o procedură operațională privind modul de
îndeplinire a atribuțiilor Direcției informatice menționate la
art. 20, pct. 1 din Regulamentul de organizare și funcționare
al entității auditate, care prevăd stabilirea direcțiilor
strategice de dezvoltare în domeniul sistemelor informatice
(deficiență de implementare a standardului 9 – Proceduri la
Direcția informatică)
(mtomo74@yahoo.com)
Cauze:
C. (DE CE nu a fost elaborată o procedură operațională
privind îndeplinirea atribuțiilor referitoare la stabilirea
direcțiilor strategice?) Serviciul Dezvoltare IT din cadrul
Direcției informatice nu a fost încadrat cu personal, fapt ce a
determinat preluarea atribuțiilor de către persoane care nu
dețineau cunoștințe IT (deficiență de implementare a
standardului 3 – Competența, performanța la Direcția
informatică).
(mtomo74@yahoo.com)
Consecinţe:
• riscul ca sistemul informatic să determine neîndeplinirea
sau afectarea unor obiective ale organizației;
• riscul ca dezvoltarea sistemului informatic să se realizeze
sub impulsul unor necesități de moment.
(mtomo74@yahoo.com)
Recomandări:
•Recomandăm reluarea demersurilor pentru încadrarea
posturilor Serviciului Dezvoltare IT din cadrul Direcției
informatice cu persoane având competențe în domeniul IT, în
special referitoare la planificarea în acest domeniu;
•Elaborarea și implementarea unei proceduri operaționale
privind modul de îndeplinire a atribuțiilor Direcției
informatice menționate la art. 20, pct. 1 din Regulamentul de
organizare și funcționare al entității auditate referitoare la
stabilirea direcțiilor strategice de dezvoltare în domeniul
sistemelor informatice, care să includă termene,
responsabilități și machete de documente;
(mtomo74@yahoo.com)
Recomandări:
•Elaborarea unei strategii în domeniul IT care să reflecte
obiectivele și prioritățile conducerii entității în domeniul
tehnologiei informației și să stea la baza planurilor elaborate
în acest domeniu.
(mtomo74@yahoo.com)
Organizarea
sistemului
informatic
(mtomo74@yahoo.com)
Organizarea sistemului informatic
- Resursa umană în IT -
 CIO – (Chief information officer) – directorul IT:

 Operațiuni:
 Help desk (reduce erorile de semnalate de utilizatori privind
sistemul informatic)
 Bibliotecarul (păstrează versiunilor originale ale aplicațiilor)
 Persoanele care introduc datele/operatori
Adaptare după: IIA – The IIA’s CIA Learning System (mtomo74@yahoo.com)
- Resursa umană în IT – (cont.)
 Suport tehnic:
 Administrator rețea: monitorizează utilizarea și asigură
întreținerea rețelei
 Administrator WEB: dezvoltă site-ul WEB, îl monitorizează și îi
asigură disponibilitatea
 Instruire utilizatori
 Date:
 Administrator baze de date: proiectează, implementează și
întreține baza de date
 Administrator de date: monitorizează utilizarea datelor și setul
de politici și proceduri pentru păstrarea datelor, arhivare etc.
- Resursa umană în IT – (cont.)
 Dezvoltarea sistemelor și aplicațiilor:

 Analist de sistem: planifică modernizarea și dezvoltarea internă a
sistemului informatic (hard și soft) și cerințele necesare în termeni de
rezultate
 Programatori: creează/adaptează aplicații pe baza cerințelor analiștilot
de sistem
 Tester: testează codul
 Securitate și calitate IT:
 Administrare securitate: supraveghează amenințările externe, parole,
politici de securitate
 Asigurarea calității: stabilește dacă sistemul IT îndeplinește nevoile
utilizatorilor și conducerii
Exemple de riscuri privind Organizarea sistemului
informatic
 Nu există o structură organizațională în domeniul IT, contrar
prevederilor standardului 4 – Structura organizatorică din Codul
controlului intern/managerial
 Structura organizatorică existentă nu este adecvată raportat la
atribuțiile stabilite în domeniul IT (consecințe: activități
conflictuale între compartimente, administrare defectuoasă a
resurselor etc.)
 Infrastructura IT și aplicațiile sunt foarte complexe și
neverificate
 Utilizarea unei tehnologii perimate sau neverificate
 Datele nu sunt standardizate sau distribuite (consecință:
dublare operațiuni, ineficiență)
71
By Tomoială Marius
Adaptare după: The Institute of Internal Auditors – GTAG 17/Auditing IT Governance
(mtomo74@yahoo.com)
Exemple de riscuri privind Organizarea sistemului
informatic
 Angajații nu dețin studiile/competențele necesare

 Număr insuficient de angajați
 Grad redus de încadrare cu personal
 Fluctuație ridicată a personalului
 Comunicarea cu dificultate între directorul IT și managerul
entității
72
By Tomoială Marius
(mtomo74@yahoo.com)
Test – extras
crt. Da Nu Nu
este
cazul
Structura organizațională în domeniul IT este adecvată și
bine definită?
Există un canal de comunicare între directorul IT și
managerul entității? Când a avut loc ultima
întâlnire/ședință?
Infrastructura/aplicațiile IT sunt foarte complexe?
Costul cu activitatea IT sunt mai mari decât în entități
similare?
Costul cu activitatea IT sunt cunoscute și monitorizate?
Datele sunt distribuite între departamente?
Datele sunt standardizate?
73
By Tomoială Marius
(mtomo74@yahoo.com)
Programele
informatice
(mtomo74@yahoo.com)
Necesitatea auditării programelor
informatice utilizate
– Cerințele beneficiarului sau utilizatorului pot fi ignorate sau
poate fi impus un program informatic fără a se discuta, analiza,
testa, prezenta etc.
– Entitatea poate deveni utilizator ”captiv” pentru programele
utilizate
– Programele utilizate pot întârzia, întrerupe sau eficientiza
activitățile entității
– Softurile implică alocarea unor resurse importante, iar o decizie
eronată poate fi costisitoare
– Presiuni posibile pentru adoptarea unor anumite softuri
(mtomo74@yahoo.com)
Programele informatice
Aspecte care trebuie avute în atenție
 Situația programelor informatice pe tipuri

 Situația programelor informatice create ”in-house” (prezintă risc
mare pentru că nu au fost testate independent)
 Existența/valabilitatea licențelor
 Managementul licențelor (cum este mai economic să se realizeze
licențierea, licențiere pe volum?)
 Actualizările de programe informatice
 Dependența de un singur furnizor de programe
 Sponsorizări de softuri urmate de contracte de actualizare,
mentenanță, modernizare soft etc.
(mtomo74@yahoo.com)
Riscuri care trebuie avute în atenție
 Nu există o evidență a programelor informatice utilizate
 Instalarea de softuri fără licență
 Actualizarea cu întârziere a aplicației
 Dependența de un singur furnizor de programe
 Nu există o metodologie de achiziție a softurilor care să
includă o analiză cost-beneficiu
 Softul creat in-house nu este testat
 Algoritmii/formulele utilizate dau erori
(mtomo74@yahoo.com)
Licențierea softurilor
 Sistemul de licențiere este adecvat și asigură economicitatea și
eficiența cheltuielilor?
 Utilizatorii au instalat sau au determinat instalarea de soft fără
licență cu posibile implicații juridice?
 Au fost încălcate clauzele/restricțiile acordului de licențiere?
 Licențiere pe:
 Server
 Calculator
 Locație
 Număr de utilizatori
 Frecvența utilizării etc.

Licențierea softurilor (cont.)
 Există o listă a softurilor aprobate a fi utilizate? (se compară
cu ce există în realitate pe PC)
Disfuncții posibile privind programele informatice
 Nu există manualul/documentația de utilizare a programului

informatic
 Utilizatorii nu au fost instruiți cu privire la programul
informatic
 La o versiune nouă nu se actualizează manualul de utilizare
 La un program nou nu se preia/importă baza de date veche și
se lucrează cu două programe diferite pe perioade de timp
 Nu se fac actualizări la timp/nu există resursele financiare
necesare actualizărilor și anumite calcule se fac ”manual” pe
foi de calcul (ex.: modificarea TVA)
(mtomo74@yahoo.com)
Disfuncții posibile privind programele informatice
- cont. -
 Suportul tehnice inexistent pentru soft sau asigurat cu
întârziere
 Nu există o procedură de semnalare a neconformităților soft
de către utilizatori
 Neutilizarea unui soft achiziționat
 Lucru în paralel cu două sau mai multe softuri pentru aceeași
operațiune
(mtomo74@yahoo.com)
Spețe posibile privind softurile
– Nu există o analiză a cerințelor beneficiarilor pentru
achiziția\elaborarea softului:
• Riscuri:
– Utilizarea neadecvată, dublarea softurilor
– Erori în aplicare (exemplu – solduri de materiale negative)
– Costuri crescute cu adaptarea ulterioară la nevoile
beneficiarului
– Indisponibilitatea unor date (celor anterioare softului, care
erau ținute în alt program)
(mtomo74@yahoo.com)
Spețe posibile privind softurile (cont.)
– Datele anterioare nu sunt integrate: de exemplu, se introduc manual,
a doua oară, furnizorii
• Riscuri:
– Se lucrează în două programe diferite
– Imposibilitatea unei analize privind cele două perioade
integrate pentru că un program poate emite un anumit format,
celălalt un alt format, care nu sunt compatibile
– Erori ca urmare a introducerii manuale a datelor
(mtomo74@yahoo.com)
– Programe achiziționate și neutilizate deloc sau la întreaga capacitate
• Riscuri:
– Cheltuieli neeconomicoase
– Perimare
– Plata unor alte softuri cu aceleași funcții
(mtomo74@yahoo.com)
– Softul funcționează greoi iar suportul\mentenanța lipsește
• Riscuri:
– Erori
– Întârzieri ale unor activități
– Ineficiență
(mtomo74@yahoo.com)
– Softuri achiziționate la un preț supraevaluat
• Riscuri:
– Fraudă și corupție
– Neutilizare la capacitate
– Ineficiență
– Costuri mari cu întreținerea
– Obligarea angajaților să-l utilizeze pentru a-l justifica
(mtomo74@yahoo.com)
– Utilizator captiv de soft
• Riscuri:
– Furnizorul dictează condițiile și prețul
– Preț ridicate pentru servicii și modernizare
– Nu se cunoaște ”prețul corect”
(mtomo74@yahoo.com)
(mtomo74@yahoo.com)
FIAP privind program neutilizat
Problema:
Programul informatic E-AchizițieIT în valoare de
500.000 lei, procurat în anul 2013 de la
operatorul economic AFINUL SRL nu a fost
utilizat timp de 18 luni, iar în prezent nu sunt
funcționale 2 module din cele 4 prevăzute în
contractul de achiziție a softului, în condițiile în
care softul a fost recepționat și plătit în totalitate.
(mtomo74@yahoo.com)
FIAP privind program neutilizat/1
Din analiza situației softurilor existente, echipa de audit a
constatat faptul că entitatea auditată a achiziționat în anul 2013
programul informatic E-AchizițieIT în valoare de 500.000 lei de
la operatorul economic AFINUL SRL, prin procedura de
atribuire licitație deschisă.
Din referatul de necesitate a rezultat că achiziția programului
menționat crește performanța Departamentului Achiziții și ar
asigura interoperabilitatea cu Departamentul Plăți și
Departamentul Contabilitate, prin preluarea automată a
propunerilor de angajare a unei cheltuieli și a ordonanțărilor de
plată, documentelor de recepție, angajamentelor legale încheiate,
stocuri etc.
(mtomo74@yahoo.com)
Programul informatic E-AchizițieIT conținea 4 module, respectiv:
•Modulul Program de Achiziție
•Modulul Contract
•Modulul Plăți
•Modulul Evidență
Din analiza prin sondaj a funcționalității modulelor, echia de audit a
constatat că Modulul Plăți și Modulul Evidență nu au fost instalate,
fiind utilizate doar primele două module, în condițiile în care
programul informatic a fost recepționat și plătit.
Totodată, s-a constatat faptul că recepția și plata s-au efectuat în data
de 31.01.2013, iar programul nu a fost utilizat timp de 18 luni,
perioadă în care evidența achizițiilor a fost ținută în programul de
calcul tabelar Excel.
(mtomo74@yahoo.com)
Acest fapt contravine prevederilor art. 52 alin.(5) din Legea
nr.500/2002 privind finanțele publice, cu modificările și completările
ulterioare, care menționează că ”Instrumentele de plată trebuie să fie
însoţite la ordonatorul de credite de ordonanţarea la plată, la care se
anexează documentele privind recepţia cantitativă şi calitativă a
bunurilor/serviciilor/lucrărilor, după caz, în conformitate cu
prevederile din angajamentele legale încheiate, care certifică sumele
de plată”.
Astfel, în contractul încheiat (Z 1001/2013) se prevedea la recepție
faptul că operatorul economic are obligația instalării tuturor modulelor
și efectuarea de teste privind funcționarea lor.
(mtomo74@yahoo.com)
Cauze:
A. În comisia de recepție nu au fost incluse persoane având

cunoștințe în domeniul IT (deficiență privind standardul 2 –
Atribuții, funcții, sarcini și standardul 3 – Competența,
performanța)
(mtomo74@yahoo.com)
Consecinţe:
•riscul producerii unor prejudicii ca urmare a plății celor 2
module care nu au funcționat, precum și a nefuncționării
softului timp de 18 luni;
•Întârzierea, în perioada neutilizării, a termenelor stabilite
pentru derularea procedurilor de atribuire cu perioade
cuprinse între 1 și 4 luni (de exemplu,…..).
(mtomo74@yahoo.com)
Recomandări:
•Conducătorul entiății va desemna o comisie care să
cerceteze posibilul prejudiciu generat de neutilizarea softului;
•Actualizarea procedurii operaționale privind recepțiile, astfel
încât să prevadă obligativitatea includerii în comisiile de
recepție a unor specialiști în domeniile în care se desfășoară
achiziția.
(mtomo74@yahoo.com)
Înregistrarea în
contabilitate în
domeniul IT
(mtomo74@yahoo.com)
Legea nr. 15/1994 privind amortizarea capitalului
imobilizat în active corporale şi necorporale
Art. 3.
..............................
Sunt considerate mijloace fixe obiectul sau complexul de obiecte ce se
utilizează ca atare şi îndeplineşte cumulativ următoarele condiţii:
a) are o valoare de intrare mai mare decât limita stabilită prin hotărâre a
Guvernului....
b) are o durată normală de utilizare mai mare de un an.
Pentru obiectele care sunt folosite în loturi, seturi sau care formează un
singur corp, la încadrarea lor ca mijloace fixe se are în vedere valoarea
întregului corp, lot sau set.
Art. 4.
Sunt, de asemenea, considerate mijloace fixe supuse amortizării:.......d)
investiţiile efectuate la mijloacele fixe, în scopul îmbunătăţirii parametrilor
tehnici iniţiali, prin majorarea valorii de intrare a mijlocului fix.
(mtomo74@yahoo.com)
Spețe posibile - 1
 Înregistrarea unor elemente de rețea ca activ fix – clasa 2 (de
regulă rețeaua inițială), iar a altor elemente de rețea (de regulă
adăugate ulterior) ca materiale de natura obiectelor de inventar
(clasa 3):
 Rețeaua funcționează unitar (ca și un singur corp), dar nu este reflectată
în mod corespunzător în contabilitate (activele sunt diminuate)
 Amortizarea nu este realizată pentru toată rețeaua care funcționează
unitar
 Se achiziționează eronat elemente ale rețelei de la titlul 20 ”Bunuri și
servicii” în loc de la titlul 71 ”Cheltuieli de capital”
 Nu se prelungește durata normală de funcționare a rețelei, astfel că
”aparent este perimată”
 Listă de investiții?
(mtomo74@yahoo.com)
Spețe posibile - 2
 Înregistrarea modernizării rețelei/unor elemente de rețea ca
reparație/mentenanță:
 Rețeaua/calculatorul își îmbunătățește parametrii tehnici inițiali dar
operațiunea este reflectată ca o reparație
 Activul este diminuat
 Toate elementele montate se trec pe cheltuieli și se scad din evidență ca și
piese de schimb
 Amortizarea nu este realizată pentru majorarea valorii mijlocului fix
 Se achiziționează eronat de la titlul 20 ”Bunuri și servicii” în loc de titlul
71 ”Cheltuieli de capital”
 Nu se prelungește durata normală de funcționare a rețelei, astfel că
”aparent este perimată”
 Listă de investiții?
(mtomo74@yahoo.com)
Spețe posibile - 3
 Asamblarea in-house a sistemelor de calcul:
 Se achiziționează piese/componente de calculatoare și se montează în
cadrul entității de către un specialist
 Dacă se depășește valoare de referință pentru activ fix sau se constituie o
rețea, se achiziționează eronat elemente ale rețelei de la titlul 20 ”Bunuri
și servicii” în loc de la titlul 71 ”Cheltuieli de capital”
 Prin ROF nu se prevede abilitatea instituției de a asambla calculatoare,
iar prin fișa postului persoana care realizează asamblarea nu este
abilitată în acest sens. Se execută o activitate care nu intră în obiectul de
activitate al instituției
 Se reflectă operațiunea în contabilitate? Transformarea unor piese de
schimb/materiale în active?
 Cine și pe ce document a dat aprobarea?

(mtomo74@yahoo.com)
Spețe posibile - 4
Achiziționarea pe piese/componente a unor sisteme de
calcul:
Se cumpără sistemele gata asamblate dar se plătesc
componente
Operațiunea este reflectată eronat în contabilitate
Componentele se trec pe cheltuieli și se scad
Se achiziționează eronat de la titlul 20 ”Bunuri și servicii” în
loc de titlul 71 ”Cheltuieli de capital”
Listă de investiții?

(mtomo74@yahoo.com)
Legea nr. 15/1994 privind amortizarea capitalului
imobilizat în active corporale şi necorporale (cont.)
Art. 6.
Nu sunt considerate mijloace fixe: a) motoarele, aparatele şi alte
subansambluri ale mijloacelor fixe, procurate în scopul înlocuirii
componentelor uzate cu ocazia reparaţiilor de orice fel, care nu
modifică parametrii tehnici iniţiali ai mijlocului fix;
Art. 7.
Activele necorporale aferente capitalului imobilizat cuprind:.......e) alte
imobilizări necorporale, inclusiv programe informatice create de
agenţii economici sau achiziţionate de la terţi.

(mtomo74@yahoo.com)
Cum se deosebește modernizarea de
reparație/mentenanță?
 Decizia este în funcție de modificarea parametrilor tehnici inițiali ai
rețelei/sistemului de calcul:
 Exemplu: Modernizare sau reparație?
 Achiziționez un hard-disk de 3TB, 7200 rpm pentru a înlocui un HDD de 500
GB, 5400 rpm?
 Achiziționez un hard-disk de 1TB, 7200 rpm pentru a înlocui un HDD de
1TB, 7200 rpm care s-a defectat?
 Achiziționez un hard-disk de 1TB, 5400 rpm pentru a înlocui un HDD de
500GB, 5400 rpm care nu se mai fabrică sau este mai scump?
 Documentul cheie îl reprezintă constatarea privind necesitatea reparației (ce s-a
defectat)?
(mtomo74@yahoo.com)
Întrebare privind softul
Se achiziționează un soft în valoare totală de

100 de lei:
În ce cont se înregistrează?
De la ce titlu se plătește (20 – Bunuri și servicii sau 71
– Investiții)?

(mtomo74@yahoo.com)
Spețe posibile - 5
Reflectarea eronată a softurilor în evidență:
Softul nu este înregistrat în contul 208 ci este reflectat în
valoarea totală a sistemului de calcul, care nu este activ ci
material de natura obiectelor de inventar
Amortizarea nu este realizată
Se achiziționează eronat elemente ale rețelei de la titlul 20
”Bunuri și servicii” în loc de la titlul 71 ”Cheltuieli de capital”
Softul sub valoarea de referință este înregistrat ca ”material”-
clasa 3

(mtomo74@yahoo.com)
Spețe posibile - 6
Neînregistrarea softurilor în evidență:

Entitatea deține softuri create in-house pe care nu le
înregistrează
Entitatea deține softuri utilizate pe care nu le
înregistrează
Entitatea plătește cheltuieli de mentenanță pentru
softuri ”care nu există”
(mtomo74@yahoo.com)
Proiectele în
domeniul IT

(mtomo74@yahoo.com)
Proiectele în domeniul IT
 Implementarea proiectului în domeniul IT s-a realizat

conform cerințelor contractuale
 A fost elaborată și predată documentația rezultată în urma
implementării proiectului
 Este asigurat suportul tehnic
 A fost instruit personalul
 Este asigurată întreținerea sistemului implementat prin
proiect
 Toate elementele proiectului au fost furnizate
Sursa: Curtea de Conturi a României – Auditul sistemelor informatice/2012 (mtomo74@yahoo.com)
Proiectele în domeniul IT
Aspecte care trebuie avute în atenție (cont.)
 Livrarea şi instalarea configuraţiilor hardware / software conform

clauzelor contractuale, la termenele stabilite;
 Proceduri privind analiza şi acceptarea produselor şi serviciilor
furnizate în cadrul contractului, precum şi recepţia cantitativă şi
calitativă;
 Furnizarea documentaţiei tehnice conform contractului: conţinutul
(lista, numărul manualelor, limba) şi formatul (tipărit, în format
electronic, on-line);
 Existenţa specificaţiilor funcţionale, a manualelor de utilizare şi
administrare pentru proiectele de dezvoltare software;
 Existenţa manualelor de utilizare pentru echipamentele livrate.

Separarea
atribuțiilor în
domeniul IT

(mtomo74@yahoo.com)
Separarea atribuțiilor în domeniul IT
 personalul din departamentul IT să nu aibă sarcini şi în

departamentul financiar-contabil sau HR
 Separarea atribuțiilor pentru:
 Proiectarea şi programarea sistemelor;
 Întreţinerea sistemelor;
 Operaţii IT de rutină;
 Introducerea datelor;
 Securitatea sistemelor;
 Administrarea bazelor de date;
 Managementul schimbării şi al dezvoltării sistemului informatic.

Separarea atribuțiilor în domeniul IT
Aspecte care trebuie avute în atenție (cont.)
 Interdicţia ca programatorii să aibă acces la mediul de

producţie (introducere de date, fişiere permanente date de
ieşire, programe etc.) pentru a-şi îndeplini sarcinile.
 Interdicţia ca personalul care face programare să aibă
permisiunea de a transfera software nou între mediile de
dezvoltare, testare şi producţie.
 Interdicţia ca personalul cu cunoştinţe de programare să aibă
atribuţii de operare care să permită efectuarea de modificări
neautorizate în programe.

Mentenanța
sistemului
informatic

(mtomo74@yahoo.com)
Mentenanța sistemului IT
Disfuncții posibile privind activitatea de service IT
 Contracte fictive de service pentru programele informatice
 Contracte de service/actualizare programe la prețuri
nejustificat de mari în raport cu beneficiile aduse
utilizatorilor
 Furnizare software/hardware gratuit urmată de contract de
service/mentenanță de tip ”utilizator captiv” care acoperă
costul de achiziție
 Neefectuarea activității de service la sistemul IT sau la părți
din acesta conform prevederilor contractuale, dar care se
plătesc
 Nu se întocmesc procese verbale de recepție la serviciile de
mentenanță/actualizare/etc. privind sistemul IT
(mtomo74@yahoo.com)
Mentenanța sistemului IT
Disfuncții posibile privind activitatea de service IT
-cont. -
 Nu se poate verifica/demonstra pentru anumite contracte de service IT prestarea
serviciilor în condițiile efectuării plății
 Încheierea de contracte de service IT pe probleme mărunte (reglare imprimante,

înlocuire tonere, devirusare, salvare date etc.) la prețuri mari și neincluderea
altor servicii de mentenanță care necesită expertiză deosebită
 Contracte de service/actualizare programe la prețuri nejustificat de mari în

raport cu beneficiile aduse utilizatorilor
 Furnizare software/hardware gratuit urmată de contract de service/mentenanță

de tip ”utilizator captiv” care acoperă costul de achiziție
 Neefectuarea activității de service la sistemul IT sau la părți din acesta conform

prevederilor contractuale, dar care se plătesc
 Nu se întocmesc procese verbale de recepție la serviciile de

mentenanță/actualizare/etc. privind sistemul IT
(mtomo74@yahoo.com)
Managementul
continuității
activității în
domeniul
tehnologiei
informației

(mtomo74@yahoo.com)
Definirea Managementului Continuității
Activității
proces prin care entitatea se pregătește

pentru posibile incidente viitoare care pot
afecta misiunea de bază a organizației și
funcționarea pe termen lung
117
By Tomoială Marius
Sursa: The Institute of Internal Auditors – GTAG/Business Continuity Management (mtomo74@yahoo.com)
Necesitatea Managementului Continuității
Activității în domeniul IT
a) cerință a standardului CIM nr. 11 – Continuitatea activității

b) cerință a Normele metodologice de întocmire și utilizare a
documentelor financiar-contabile aprobate prin OMEF nr.
3512/2008
c) întreruperea funcționării sistemului IT determină pierderi pentru
entitate
d) scopul MCA este să permită organizației să restabilească
procesele importante/critice după ce a fost declarat un dezastru
e) MCA este corelat cu managementul riscului
118
By Tomoială Marius
Exemplu privind un dezastru IT
- Blocarea la sol a tuturor zborurilor pe aeroportul
LA (2007) -
a) cca. 1.700 de aeronave au fost blocate la sol

b) cauza: problemă de soft la sistemul IT de la vamă
c) problema cauzată de o placă de rețea minoră care în loc să
fie oprită a continuat să transmită date eronate în afara rețelei
până au blocat rețeaua IT de la vamă
d) consecința: nimeni nu a primit permisiunea să intre sau să
iasă din SUA prin aeroport, timp de 8 ore

Sursa: Colin Baker – Top 10 worst IT disasters of all time – www. zdnet.com/article (mtomo74@yahoo.com)
Componentele Managementului Continuității
Activității
a) Sprijinul conducerii (alocare resurse)
b) Analiza și Gestionarea riscurilor: riscuri tip ”dezastru”
c) Analiza Impactului Activității: procesele care sunt esențiale pentru
funcționarea entității în caz de dezastru și stabilește cât de rapid trebuie repuse în
funcțiune
d)Strategia de Recuperare și Continuitate a Activității: etape și resurse
necesare
e)Planuri de continuitate a activității
f)Conștientizare și Instruire
g) Exerciții/Simulare
h) Mentenanță/Revizuire
120
By Tomoială Marius
Ce trebuie să facă directorul de audit intern cu
privire la Managementul Continuității Activității
a) MCA poate fi afectat de:

a) Management neinformat în acest domeniu (dezastre)
b) Decizii legate de reducerea costurilor
b) Directorul de audit intern trebuie evalueze MCA, să

formuleze recomandări și să comunice disfuncțiile
identificate
c) MCA este o prioritate în entitate? (nu doar declarativ)
121
By Tomoială Marius
Sursa: The Institute of Internal Auditors – GTAG/Business Continuity Management
(mtomo74@yahoo.com)
Programul privind Managementul Urgențelor
• Răspunsul la urgență: prima acțiune, salvare vieți,
limitare pierderi
• Managementul crizei: gestionarea comunicării în
entitate și a actului de management la vârful entității
• Continuitatea activității: recuperarea proceselor critice
pentru a minimiza impactul întreruperii
122
By Tomoială Marius
Întreruperea activității IT
– Evenimente naturale tip dezastru (Ex.:

cutremur, incendiu)
– Acte deliberate
– Acte accidentale (ex.: incompatibilitate
soft-hard
123
By Tomoială Marius
(mtomo74@yahoo.com)
Test – extras
Managementul Continuității Activității
(dezastrele)
crt. Da Nu Nu
este
cazul
A fost elaborat un plan de intervenție la dezastre?
Au fost stabilite aplicațiile critice?
Planul elaborat de intervenție la dezastre oferă asigurare
pentru toate accidentele (inundație, incendiu, cutremur,
scurgere de lichid de la duze de incendiu etc.?
Planul a fost testat?
……………..
124
By Tomoială Marius
(mtomo74@yahoo.com)
Managementul continuității
activității în domeniul
tehnologiei informației

(mtomo74@yahoo.com)
FIAP privind salvarea datelor
Problema: La nivelul entității auditate nu se asigură

continuitatea sistemelor informatice, nefiind
organizat un proces de salvare periodică (back-up)
a datelor procesate în sistemul informatic, contrar
cerințelor standardului de control intern/managerial
11 și a prevederilor Normelor metodologice de
întocmire și utilizare a documentelor financiar-
contabile.

(mtomo74@yahoo.com)
FIAP privind salvarea datelor/2
Constatarea:
În conformitate cu cerințele standardului 11 – Continuitatea
activității din Codului controlului intern/managerial al
entităţilor publice, aprobat prin Ordinul Secretariatului
General al Guvernului nr. 400/2015 conducerea entităţii
publice are obligația de a acţiona în vederea asigurării
continuităţii activităţii prin măsuri care să prevină apariţia
situaţiilor de discontinuitate, un exemplu fiind
implementarea de proceduri pentru administrarea situaţiilor
care pot afecta continuitatea operaţională şi a tranzacţiilor
financiare relevante.
(mtomo74@yahoo.com)
De asemenea, potrivit prevederilor pct. 59 lit. g) din Normele
metodologice de întocmire și utilizare a documentelor financiar-
contabile aprobate prin Ordinul ministerului economiei și
finanțelor nr. 3512/2008 privind documentele financiar-
contabile, cu modificările și completările ulterioare, un criteriu
minimal pe care trebuie să-l îndeplinească sistemele informatice
de prelucrare automată a datelor în domeniul financiar contabil îl
reprezintă faptul că trebuie ”să precizeze procedurile și suportul
magnetic extern de arhivare a produselor program, a datelor
introduse, a situațiilor financiare sau a altor documente, cu
posibilitatea de reintegrare în sistem a datelor arhivate”.

(mtomo74@yahoo.com)
Raportat la cerințele menționate mai sus, echipa de audit a
constat faptul că la nivelul entității X nu se asigură continuitatea
sistemelor informatice, nefiind organizat un proces de salvare
periodică (back-up) a datelor procesate în sistemul informatic pe
copii de siguranță, care să permită reintegrarea în sistem a
datelor arhivate sau recuperarea datelor în cazul unei căderi în
funcționare a sistemelor de calcul.
Referitor la acest fapt, din testul nr.__ a rezultat faptul că
salvarea datelor se realizează la nivelul departamentelor, de către
fiecare utilizator, pe o partiție a rețelei, fără a exista o
periodicitate stabilită. De regulă, perioada la care s-a realizat
salvarea datelor a fost trimestrial.
(mtomo74@yahoo.com)
Au fost identificate 4 situații în anul anterior (20XX), în
care 3 stații de lucru pe care se introduceau date financiar-
contabile au căzut, datele introduse anterior fiind pierdute.
În condițiile în care ultima salvare se realizase cu 3 luni
anterior, personalul din compartimentele respective a fost
nevoit să reintroducă (manual) datele financiar/contabile,
desfășurând, în acest sens, cca. 300 de ore peste programul
normal de lucru. De asemenea, deficiența menționată a
cauzat depunerea, de către entitatea auditată, cu o întârziere
de 20 de zile, a situației financiare trimestriale la
ordonatorul secundar de credite, față de termenul stabilit de
acesta.
(mtomo74@yahoo.com)
Cauze:
A.Nu au fost implementate, la nivelul departamentului informatic,
prevederile standardului 11 – Continuitatea activității din Codului
controlului intern/managerial al entităţilor publice, în sensul
identificării principalelor amenințări cu privire la continuitatea
sistemului informatic (DE CE 1?);
B.(DE CE 1?) Nu este stabilită o structură organizatorică în acest
domeniu, atribuțiile fiind îndeplinite prin cumul de persoane din secția
A, nefiind astfel implementate adecvat cerințele standardului 4 –
Structura organizatorică din Codului controlului intern/managerial al
entităţilor publice, în sensul că structura organizatorică stabilită nu
servește realizării în condiții de eficiență, eficacitate și economicitate a
obiectivelor stabilite;
(mtomo74@yahoo.com)
Cauze:
C. (DE CE 1?) Nu au fost elaborate și implementate proceduri de
sistem privind salvarea datelor și de recuperare a sistemului informatic
în cazul unei căderi în funcționare, contrar cerințelor standardului 9 –
Proceduri din Codului controlului intern/managerial al entităților
publice (DE CE 2?);
D. (DE CE 2?) Persoanele care îndeplinesc atribuțiile în domeniul
tehnologiei informației nu au studii superioare în acest domeniu și nici
experiența necesară, contrar cerințelor standardului 4 – Structura
organizatorică din Codului controlului intern/managerial al
entităţilor publice care prevede ”Încadrarea cu personal […] se
realizează cu respectarea concordanţei dintre natura posturilor şi
competenţele profesionale şi manageriale necesare îndeplinirii
sarcinilor fixate titularilor de posturi”.
(mtomo74@yahoo.com)
Consecinţe:
•riscul întârzierii unor activități sau neîndeplinirii unor
obiective generate de pierderea datelor sau repunerea în
funcțiune, cu întârziere, a sistemului informatic;
•riscuri de eficiență ca urmare a reintroducerii datelor
pierdute;
•riscul pierderii datelor.

(mtomo74@yahoo.com)
Recomandări:
•Recomandăm conducerii entităţii auditate reanalizarea structurii
organizatorice din punct de vedere al adecvării acesteia pentru
îndeplinirea în condiții de eficiență, eficacitate și economicitate a
obiectivelor stabilite în domeniul tehnologiei informației. În acest
sens, recomandăm stabilirea unei microstructuri organizaționale
de specialitate în domeniul tehnologiei informației (Cauza B);
•Pentru posturile din cadrul microstructurii stabilite în domeniul
tehnologiei informației se vor stabili, prin fișa postului,
cunoștințele, deprinderile și studiile specifice necesare pentru
îndeplinirea atribuțiilor entității în acest domeniu (Cauza D);

(mtomo74@yahoo.com)
Recomandări:
•Implementarea, la nivelul departamentului informatic, a prevederile
standardului 11 – Continuitatea activității din Codului controlului
intern/managerial al entităţilor publice, în sensul identificării
principalelor amenințări cu privire la continuitatea sistemului
informatic și elaborarea unui plan de continuitate în acest domeniu
(Cauza A);
•Elaborarea și implementarea unor proceduri de sistem privind, cel
puțin, următoarele aspecte:
– Procedură de salvare a datelor (back-up), care să menționeze, cel
puțin, modul de realizare a salvărilor (manual/automat),
frecvența, suportul de arhivare a datelor, modul de stocare a
copiilor de siguranță etc.;
– Procedură de recuperare/restaurare a datelor (Cauza C).
(mtomo74@yahoo.com)
Protecţia
antivirus

(mtomo74@yahoo.com)
Virușii informatici
Reprezintă programe care se instalează
singure, fără cunoștința\acceptul utilizatorului
și pot provoca pagube atât sistemului de
operare, elementelor de soft, datelor, cât și
componentelor (elementelor hardware)
Sursa: Dumitru Oprea – Protecția și securitatea informațiilor, Editura Polirom, 2007 By Tomoială Marius 137
https:ro.m.wikipedia.org (mtomo74@yahoo.com)
Aspecte privind virușii informatici
– pot avea efecte distructive deosebite, ireaparabile
– au proprietatea de autocopiere, cu scopul de a infecta alte
sisteme
– se multiplică exponențial și au viteză mare de propagare
– pot sta ascunși\inactivi o perioadă mare de timp și să se
activeze la anumite momente
– au nevoie de un program\fișier acceptat de utilizator, în
spatele căruia se ascund pentru a pătrunde în sistemul
informatic
Efectele virușilor
– Pot șterge toate datele de pe un hard-disc
– Pot bloca traficul într-o rețea pentru câteva ore
– Pierderi estimate la 8,5 miliarde $ în anul 2008
– Pot întrerupe aparatura importantă a entității care este
acționată\dirijată prin intermediul sistemului informatic
– Se pot sustrage informații și date confidențiale fără ca utilizatorul
să știe
– Pot distruge componente hardware (de exemplu, hard-discul)
– Etc.
Sursa: Jonathan Strickland – 10 worst computer viruses of all time\ By Tomoială Marius 139
www.howstuffworks.com (mtomo74@yahoo.com)
Exemple privind cei mai distructivi viruși
Melissa (1999):
• Cel care a creat virusul i-a dat numele după o dansatoare
exotică
• Se răspândea prin mesaje (căsuța de email)
• Tenta utilizatorii să-l deschidă prin mesajul ”Aici este
documentul solicitat, nu-l arătați nimănui”
• Când se activa, virusul se multiplica și se trimitea primilor 50
de persoane din căsuța de email
• Este poate primul virus care a atras atenția la nivel global cu
privire la efectele distructive ale acestora
ILOVEYOU (2000):
–Tip ”vierme” – program care se auto-multiplică
–Inițial a fost transmis prin email
–În subiectul emailului se spunea că mesajul reprezenta o scrisoare de dragoste de la
un admirator secret
–Un atașament la email provoca următoarele probleme:
• Se autocopie de mai multe ori și aceste copii se ascund în câteva directoare pe hard-discul
victimei
• Adaugă noi fișiere în regiștri
• Înlocuiește anumite fișiere cu copii ale virusului
• Se autotrimite prin email
• Descarcă un fișier numit WIN-BUGFIX.EXE de pe internet și îl execută. Programul
respectiv este o aplicație pentru furtul parolelor care sunt transmise prin email către o adresa.
Sursa: www.computer.stuffworks.com By Tomoială Marius 141

(mtomo74@yahoo.com)
CERNOBYL – W95\CIH (------):
–După accidentul centralei nucleare

–Se propagă pe principiul bombei logice (în ziua și luna
accidentului – 26 aprilie) dar produce efecte în fiecare zi de
26 a lunii
–Suprascrie flash-ul BIOS-ului sau tot hardiscul cu fișiere
fără utilitate
–Nu mai poate porni sistemul de operare
(mtomo74@yahoo.com)
Programe antivirus
– Calculator fără un program antivirus actualizat
permanent reprezintă o ”sinucidere informatică”
– Tendința de a ocoli antivirusul din motive de
încetinire a sistemului de calcul, necunoaștere sau
grabă
– Problemă: anumiți viruși nu sunt detectați sau
”anihilați” de programul antivirus
Analiza riscurilor
(de către auditor)
în domeniul
tehnologiei
informației

(mtomo74@yahoo.com)
Riscuri în domeniul IT
 Pierderea sau deteriorarea unor echipamente (de

exemplu cauzată de un virus)
 Întreruperea unor activităţi desfăşurate pe baza
sistemelor de calcul
 Utilizarea neautorizată a echipamentelor de către alte
persoane (inclusiv angajaţi)
 Modificarea neautorizată a unor informaţii (intenţionat
sau accidental)

Sursa: Dumitru Oprea – Protecţia şi securitatea sistemelor informatice/2007 (mtomo74@yahoo.com)
Riscuri în domeniul IT (cont.)
 Modificarea neautorizată a softurilor

 Utilizarea neautorizată a softului
 Pierderea unor informaţii (intenţionat sau accidental)
 Utilizarea neautorizată a informaţiilor (de către un
angajat) – de exemplu, transmiterea bazei de date cu
furnizorii şi preţurile atribuite în urma achiziţiei)

Controale în domeniul IT
 Modificarea neautorizată a softurilor

 Utilizarea neautorizată a softului
 Pierderea unor informaţii (intenţionat sau
accidental)
 Utilizarea neautorizată a informaţiilor (de către
un angajat) – de exemplu, transmiterea bazei de
date cu furnizorii şi preţurile atribuite în urma
achiziţiei)

Auditarea
achizițiilor
în domeniul
tehnologiei
informației

(mtomo74@yahoo.com)
Necesitatea auditării achizițiilor în
domeniul IT
– Reprezintă poate cea mai riscantă activitate auditabilă din punct de vedere a
impactului financiar
– Mulți aprobă fără rezerve|verificări achizițiile IT pentru că nu au cunoștințe de

specialitate în domeniu (”bițișorii” nu se văd)
– Dacă achiziția nu este realizată în mod adecvat apar probleme de utilizare,

modernizare, dependență de furnizor etc. care pot afecta semnificativ activitățile
– Operatorii economici pot profita de lipsa de cunoștințe în domeniu a celor care

aprobă achizițiile pentru ca entitatea publică să devină ”captivă” în raport cu
furnizorul\prestatorul

(mtomo74@yahoo.com)
Riscurile specifice achizițiilor în domeniul
IT
– Achiziții la prețuri nejustificat de mari pe fondul necunoașterii
sau intenționat
– Achiziții de componente\programe care nu sunt necesare entității:

Se achiziționează componente de top (cel mai bun procesor) care se perimează într-
un an, dar pentru care se plătesc sume care nu se justifică (se plătește performanță
neutilizată)
Se achiziționează programe informatice care nu sunt utilizate corespunzător (nu

sunt necesare, sunt impuse de către un decident care are anumite interese
Se achiziționează mentenanță care nu este necesară în totalitate

(mtomo74@yahoo.com)
IT (cont.)
– Se achiziționează softuri pentru care nu se includ componenta de instruire,
iar angajații utilizează softuri în paralel
– Se achiziționează softuri care nu funcționează conform cerițelor și se

plătește sub formă de mentenanță corectarea erorilor care cădeau în
obligațiile contractuale ale furnizorului
– Achiziții nefundamentate adecvat care determină afectarea activităților
– Achiziții impuse
– Achiziții care transformă entitatea publică în utilizator ”captiv”

(mtomo74@yahoo.com)
Riscurile specifice achizițiilor în domeniul IT (cont.)
– Donatorul fals\deghizat: Obținerea unor softuri\sisteme informatice prin sponsorizare\donație,
oferirea ”pro bono” a instruirii aplicării, instalării, mentenanței până când utilizatorul devine
”captiv”, se obișnuiește cu softul, după care se efectuează achiziții semnificative de mentenanță,
corectare ”bug-uri” și modernizare prin negociere unică, fără un control real al prețului, care
acoperă și donația inițială și un profit uriaș pentru operațiuni minore
• Auditorul poate încerca următoarea verificare: sume plătite pe mentenanță, modernizare etc.
versus achiziție soft nou plus mentenanță și modernizare
• Auditorul poate verifica dacă softul a fost impus și nu acoperă cerințele utilizatorilor
• Auditorul poate verifica dacă solicitările utilizatorilor au fost îndeplinite
• Auditorul poate verifica dacă la donație\sponsorizare s-a fundamentat necesitatea, în special
cu privire la corespondența cu proiectul de dotare a entității publice sau s-a mers pe principiul
”să luăm că e gratis”

(mtomo74@yahoo.com)
IT (cont.)
– Achiziționarea unor sisteme ERP (de management al activității entității) care nu
funcționează integrat, ci individual (nu îndeplinesc funcția de ERP)
– Achiziționarea inițială a unor softuri în diferite domenii (achiziții, conta etc.)
pentru care ulterior se plătesc sume semnificative pentru integrare, cu probleme la
integrare, când era mai avantajoasă achiziția unui nou soft
– Nu se preiau datele anterioare sau se preiau cu erori, la achiziția unui soft nou

(mtomo74@yahoo.com)
achizițiile în domeniul
tehnologiei informației

(mtomo74@yahoo.com)
FIAP privind achizițiile
Problema: Efectuarea de achiziții directe a unor

sisteme IT (laptop, calculatoare) la prețuri mai mari
decât cele din oferta curentă a unor posibili
furnizori consacrați.

(mtomo74@yahoo.com)
FIAP privind achizițiile/2
Constatarea:
Potrivit prevederilor art. 19 din OUG 34\2006 privind......,
autoritatea contractantă are dreptul să direct produse în
măsura în care valoarea achiziției, estimată conform
prevederilor ordonanței nu depășește echivalentul, în lei, a
30.000 de euro exclusiv TVA, achiziția realizându-se pe
bază de document justificativ.

(mtomo74@yahoo.com)
Constatarea (cont.):
Totodată, conform pct. 1 din anexa nr. 1 la OMFP
1792\2002...., înainte de a angaja și a utiliza creditele
bugetare, respectiv înainte de a lua orice măsură care ar
produce o cheltuială, ordonatorii de credite trebuie să se
asigure că măsura luată respectă principiile unei bune
gestiuni financiare, ale unui management financiar sănătos,
în special ale economiei și eficienței cheltuielilor. În acest
scop utilizarea creditelor bugetare trebuie precedată de o
evaluare care să asigure faptul că rezultatele obținute sunt
corespunzătoare resurselor utilizate.
(mtomo74@yahoo.com)
Raportat la prevederile normative menționate anterior, auditorii
au constatat că entitatea auditată a efectuat achiziții directe a
unor sisteme IT (laptop, calculatoare) la prețuri mai mari decât
cele din oferta curentă a unor posibili furnizori consacrați.
Astfel, achizițiile în cauză au vizat laptopuri modelul A și
calculatoare desktop modelul B, cu privire la ele fiind constatate
următoarele:
•Nu a fost identificată necesitatea autorității contractante care să
stea la baza determinării valorii estimate. Astfel, obiectul
achiziției este reprezentat de ”sistem de calcul portabil” și
”sistem de calcul”, fără a rezulta cerințele beneficiarilor;

(mtomo74@yahoo.com)
(Astfel, achizițiile în cauză au vizat laptopuri și calculatoare
desktop, cu privire la ele fiind constatate următoarele):
•Nu a fost identificată necesitatea autorității contractante care să
stea la baza determinării valorii estimate. Astfel, obiectul
achiziției este reprezentat de ”sistem de calcul portabil” și
”sistem de calcul”, fără a rezulta cerințele beneficiarilor;
•Au fost primite oferte de la 3 operatori economici (SC Micro,
SC Afina și SC Afinul), fără a fi identificate solicitarea entității
și specificațiile tehnice, precum și condițiile contractuale
solicitate

(mtomo74@yahoo.com)
•Din analiza datelor disponibile pe WEB, echipa de audit a
constatat că SC Micro nu are site, nefiind clar cum a fost
identificat furnizorul în detrimentul altuia specializat, cum ar, fi
de exemplu, SC ABBA, SC COMPUTERICĂ sau furnizorii
modelelor achiziționate;
•În ceea ce privește SC Afinul și SC Afina, acestea au site WEB
dar au ca obiect principal de activitate ”sisteme energetice”,
respectiv ”panificație”, fără a rezulta activitate în furnizarea de
calculatoare
•Nu a fost consultat catalogul electronic

(mtomo74@yahoo.com)
•Ofertele depuse au vizat același produs și aceeași marcă,
respectiv laptop model A și desktop model B;
•Din analiza prețurilor de achiziție a celor două modele, am
constatat un preț de trei ori mai mare față de oferta unor
operatori specializați.

(mtomo74@yahoo.com)
Cauze:
A.Nu au fost implementate, la nivelul departamentului informatic,
prevederile standardului 9 – Proceduri din Codului controlului
intern/managerial al entităţilor publice, cu privire la achizițiile
directe, în special cu privire la faptul că entitatea X trebuie să dețină
pentru orice acțiune sau eveniment semnificativ o documentație
adecvată și că operațiunile sunt consemnate în documente;

(mtomo74@yahoo.com)
Consecinţe:
•riscul efectuării unor achiziții directe neeconomicoase, ca
urmare a lipsei cerințelor beneficiarului și testării
neadecvate a pieței
•riscul de fraudă

(mtomo74@yahoo.com)
Recomandări:
•Desemnarea de către conducătorul entității a unei comisii de
verificare a posibilelor nereguli identificate și luarea măsurilor
legale în consecință, în conformitate cu prevederile procedurii de
semnalare a neregularităților
•Elaborarea unei proceduri operaționale privind achizițiile directe
care să stabilească, fără echivoc, pașii necesari și instrumente de
control adecvate, în special cu privire la definirea necesității,
testarea pieței și estimarea valorii, precum și prevederea
obligativității consultării catalogului electronic

(mtomo74@yahoo.com)
Infracțiuni în
domeniul
tehnologiei
informației

(mtomo74@yahoo.com)
Necesitatea cunoașterii principalelor
infracțiuni privind domeniul IT
– Obligativitatea, prin lege, a auditorului de a semnala fraudele și neregulile
identificate
– Ignorarea sau necunoașterea aspectelor privind frauda, iregularitățile și

infracțiunile în domeniul informatic pot decredibiliza actul de audit
– Auditorul trebuie să întocmească FCRI în cazul unei iregularități; dacă nu

încadrează bine iregularitatea, persoanele vinovate vor scăpa pe vicii de
procedură sau pe aspecte tehnice, fapt ce determină ”demonizarea” sau
decredibilizarea auditului (”vrea să se răzbune”)

(mtomo74@yahoo.com)
Principalele infracțiuni în domeniul IT
– În Noul Cod Penal (Legea 286\2009) infracțiunile în domeniul IT sunt
prevăzute la CAPITOLUL IV - Fraude comise prin sisteme informatice şi
mijloace de plată electronice
– Frauda informatică (Art. 249 NCP)
– Efectuarea de operaţiuni financiare în mod fraudulos (Art. 250 NCP)
– Acceptarea operaţiunilor financiare efectuate în mod fraudulos (Art. 251

NCP)
– Sancţionarea tentativei (Art. 252 NCP)

(mtomo74@yahoo.com)
Frauda informatică (Art. 249 NCP)
Introducerea, modificarea sau ştergerea de date

informatice, restricţionarea accesului la aceste date ori
împiedicarea în orice mod a funcţionării unui sistem
informatic, în scopul de a obţine un beneficiu material
pentru sine sau pentru altul, dacă s-a cauzat o pagubă
unei persoane, se pedepseşte cu închisoarea de la 2 la 7
ani.

(mtomo74@yahoo.com)
Efectuarea de operaţiuni financiare în mod
fraudulos (Art. 250 NCP)
(1) Efectuarea unei operaţiuni de retragere de numerar, încărcare sau descărcare a
unui instrument de monedă electronică ori de transfer de fonduri, prin utilizarea,
fără consimţământul titularului, a unui instrument de plată electronică sau a
datelor de identificare care permit utilizarea acestuia, se pedepseşte cu
închisoarea de la 2 la 7 ani.
(2) Cu aceeaşi pedeapsă se sancţionează efectuarea uneia dintre operaţiunile

prevăzute în alin. (1), prin utilizarea neautorizată a oricăror date de identificare
sau prin utilizarea de date de identificare fictive.
(3) Transmiterea neautorizată către altă persoană a oricăror date de identificare, în

vederea efectuării uneia dintre operaţiunile prevăzute în alin. (1), se pedepseşte cu
închisoarea de la unu la 5 ani.
(mtomo74@yahoo.com)
Acceptarea operaţiunilor financiare
efectuate în mod fraudulos (Art. 251 NCP)
(1) Acceptarea unei operaţiuni de retragere de numerar, încărcare sau
descărcare a unui instrument de monedă electronică ori de transfer de
fonduri, cunoscând că este efectuată prin folosirea unui instrument de plată
electronică falsificat sau utilizat fără consimţământul titularului său, se
pedepseşte cu închisoarea de la unu la 5 ani.
(2) Cu aceeaşi pedeapsă se sancţionează acceptarea uneia dintre operaţiunile

prevăzute în alin. (1), cunoscând că este efectuată prin utilizarea neautorizată
a oricăror date de identificare sau prin utilizarea de date de identificare
fictive.

(mtomo74@yahoo.com)
Concluzii
 Auditul IT nu trebuie să fie ”sperietoarea” auditorilor
 Presupune deținerea unor cunoștințe în domeniul IT
 Este viitorul auditului intern întrucât, treptat toate
activitățile vor fi ”integrate” virtual
 Experiența este esențială
 Ar fi dezirabil instruirea unui nucleu de auditori interni
care să obțină CISA (la fel cum s-a procedat cu
certificarea CIA în sectorul public pe fonduri PHARE)
și care, ulterior, să pregătească alți auditori

(mtomo74@yahoo.com)

Suport Curs Audit IT Vers3

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Suport Curs Audit IT Vers3

Încărcat de

Drepturi de autor:

Formate disponibile

AUDITUL

Tomoială Marius, CIA(Certified Internal Auditor)

a) Dificultatea ținerii sub control a riscurilor din domeniul

– Informația reprezintă o resursă

Sursa: Information Security Handbook - By Tomoială Marius 11

– Legea nr. 182/2002 privind protecția informațiilor

– Hotărârea Guvernului nr. 585/2002 pentru aprobarea

Hardware Programe Date

Proceduri Resursa umană

ISO/IEC 38500:2015 – Tehnologia informației

ISO/IEC 2382:2015 – Tehnologia informației

 Observație: nu există un un cod

56. Programele informatice utilizate în activitatea financiar-

• Situația contractelor cu furnizorii/prestatorii IT

Caracterizarea generală a entităţii/structurii auditate

Obiectivele entităţii/structurii auditate, precum şi

Nr. Număr angajați

 Plăţi totale anuale în domeniul IT (% din total plăți)

Raportat la prevederile menționate, echipa de audit a

A. (DE CE nu a fost elaborată strategia?) Nu au fost

 CIO – (Chief information officer) – directorul IT:

 Dezvoltarea sistemelor și aplicațiilor:

 Angajații nu dețin studiile/competențele necesare

 Situația programelor informatice pe tipuri

 Frecvența utilizării etc.

 Nu există manualul/documentația de utilizare a programului

A. În comisia de recepție nu au fost incluse persoane având

By Tomoială Marius 100

By Tomoială Marius 101

By Tomoială Marius 102

Se achiziționează un soft în valoare totală de

By Tomoială Marius 104

By Tomoială Marius 105

Neînregistrarea softurilor în evidență:

By Tomoială Marius 107

 Implementarea proiectului în domeniul IT s-a realizat

 Livrarea şi instalarea configuraţiilor hardware / software conform

By Tomoială Marius 109

By Tomoială Marius 110

 personalul din departamentul IT să nu aibă sarcini şi în

By Tomoială Marius 111

 Interdicţia ca programatorii să aibă acces la mediul de

By Tomoială Marius 112

By Tomoială Marius 113

 Încheierea de contracte de service IT pe probleme mărunte (reglare imprimante,

 Contracte de service/actualizare programe la prețuri nejustificat de mari în

 Furnizare software/hardware gratuit urmată de contract de service/mentenanță

 Neefectuarea activității de service la sistemul IT sau la părți din acesta conform

 Nu se întocmesc procese verbale de recepție la serviciile de

By Tomoială Marius 116

proces prin care entitatea se pregătește

a) cerință a standardului CIM nr. 11 – Continuitatea activității

a) cca. 1.700 de aeronave au fost blocate la sol

By Tomoială Marius 119

a) MCA poate fi afectat de:

b) Decizii legate de reducerea costurilor

b) Directorul de audit intern trebuie evalueze MCA, să

– Evenimente naturale tip dezastru (Ex.:

By Tomoială Marius 125

Problema: La nivelul entității auditate nu se asigură

By Tomoială Marius 126

By Tomoială Marius 128

By Tomoială Marius 133

By Tomoială Marius 134