Documente Academic
Documente Profesional
Documente Cultură
SISTEMELOR IT
pentru ”non-IT-iști”
- 2015 -
By Tomoială Marius 2
(mtomo74@yahoo.com)
Necesitatea auditării sistemelor IT (1)
1. Obligație legală a auditorilor: (art. 13 din Legea nr. 672/2002 privind
auditul intern): Auditorii interni au obligaţia auditării sistemelor IT.
Art. 13
(1) Auditul public intern se exercită asupra tuturor activităţilor desfăşurate
într-o entitate publică, inclusiv asupra activităţilor entităţilor
subordonate, aflate în coordonarea sau sub autoritatea altor entităţi
publice.
(2) Compartimentul de audit public intern auditează, cel puţin o dată la 3
ani, fără a se limita la acestea, următoarele:
a) activităţile financiare sau cu implicaţii financiare desfăşurate de
entitatea publică din momentul constituirii angajamentelor până la
utilizarea fondurilor de către beneficiarii finali, inclusiv a fondurilor
provenite din finanţare externă;
b)[........];
j) sistemele informatice.
By Tomoială Marius 3
(mtomo74@yahoo.com)
Necesitatea auditării sistemelor IT (2)
a) Sistemele IT prezintă riscuri foarte mari, îndeosebi de
întrerupere a activității, eroare, fraudă
b) Sistemele IT sprijină desfășurarea tuturor
proceselor/activităților dintr-o entitate
c) Asigură mai rapid informația necesară luării deciziilor
d) Elemente ale sistemului IT sunt greu de evaluat
monetar (un soft, mentenanța acestuia)
e) Anumite softuri pot determina entitatea să devină un
utilizator ”captiv”
By Tomoială Marius 4
(mtomo74@yahoo.com)
Necesitatea auditării sistemelor IT (3)
a) Sistemele IT sunt prezentate uneori ca fiind strict
apanajul unor ”inițiați”, existând tendința de a nu se
acorda atenția necesară
b) Riscuri ca urmare a externalizării acestor servicii
c) Tendința specialiștilor IT de a se orienta pe partea
tehnică
d) Pentru aplicarea dictonului ”Numai ceea ce se verifică
se și face”
e) Este obligatoriu să audităm sistemul IT chiar dacă nu
avem cunoștințe IT sau nu dispunem de un auditor IT.
By Tomoială Marius 5
(mtomo74@yahoo.com)
Necesitatea auditării sistemelor IT (4)
By Tomoială Marius 6
(mtomo74@yahoo.com)
De ce trebuie să ne preocupe auditul IT?
Sistemele IT reprezintă viitorul auditului intern (audit bazat pe
rețea)
IT-ul influențează radical modul de realizare a auditului intern
(auditul bazat pe IT)
Auditul online, auditul continuu și auditul de la distanță
(”auditul din birou”)
Programe informatice cu modul pentru auditori (pistă de audit,
generare automată situații de audit la efectuarea operațiunilor,
verificarea online a unor operațiuni, recalcularea online etc.)
Tranzacțiile/operațiunile suspicioase sau riscante sunt raportate
de sistem direct către auditorii interni (de exemplu,
stornări>5.000 lei individual sau cumulat)
7
By Tomoială Marius
(mtomo74@yahoo.com)
Informația – cel mai
important activ al
entității
By Tomoială Marius 8
(mtomo74@yahoo.com)
Informația
By Tomoială Marius 9
Sursa: The Institute of Internal Auditors UK and Ireland - John Silltow – Business
Information Systems Auditing/2006 (mtomo74@yahoo.com)
Protejarea informațiilor
– Confidențialitatea informațiilor: Restricționarea accesului la informațiile
sensibile numai persoanelor autorizate (principiul ”nevoia de a cunoaște” - "need-to-
know„)
– Integritatea: Informația este precisă, de încredere și nu a fost alterată sau
schimbată de o persoană neautorizată. Integritatea include:
Autenticitatea: Abilitatea de a verifica faptul că nu a fost schimbat conținutul
fără autorizare
Non-repudierea & Răspunderea: Originea oricărei acțiuni în sistemul
informatic poate fi verificată și asociată unui utilizator
– Disponibilitatea: Informația este accesibilă pentru desfășurarea activităților
instituției atunci când este nevoie (informația nu este indisponibilă nu numai când
este pierdută sau distrusă, ci și atunci când accesul la informație este interzis sau
întârziat)
Sursa: Information Security Handbook - By Tomoială Marius 10
http://ishandbook.bsewall.com/risk/Methodology/CIA.html (mtomo74@yahoo.com)
Riscuri și controale privind protejarea
informațiilor
Element Riscuri Controale
Confidențialitate Diseminarea Criptare
neautorizată a datelor Autentificare
Acces neautorizat la Controale de acces
informații
Furtul de identitate
Integritate Informația nu mai este Jurnale de audit
precisă sau de
încredere
Fraudă
Disponibilitate Întreruperea activității Planuri de continuitate
Pierderea încrederii și testarea lor
Pierderea unor resurse Salvarea datelor
By Tomoială Marius 12
(mtomo74@yahoo.com)
Elementele unui
sistem IT
By Tomoială Marius 13
(mtomo74@yahoo.com)
Elementele principale ale unui sistem IT
By Tomoială Marius 14
(mtomo74@yahoo.com)
Prezentarea schemei IT în cadrul unei
organizații
15
By Tomoială Marius
Sursa: The Institute of Internal Auditors - GTAG 4 – Management of IT Auditing/2013
(mtomo74@yahoo.com)
Managementul funcției IT
– Include angajații, politicile, procedurile și procesele
privind funcția IT:
• Monitorizarea sistemului IT
• Programare
• Planificare
• Management furnizori
• Managementul problemelor și incidentelor
• Managementul proiectelor IT
• Managementul securității etc.
By Tomoială Marius 16
Sursa: The Institute of Internal Auditors - GTAG 4 – Management of IT Auditing/2013 (mtomo74@yahoo.com)
Infrastructura tehnică
– Se referă la tehnologia care permite aplicațiilor să
funcționeze:
• Sistemele de operare: acțiunile executate la nivel de sistem de operare
trec peste controalele care există la nivel de proces.
• Fișiere și baze de date: toate datele care sunt în fișiere
• Rețele: componente fizice (cabluri), echipamente, programe care
controlează mișcarea datelor
• Centre de date: locația echipamentelor (centre de date, camera
serverelor etc.)
By Tomoială Marius 17
Sursa: The Institute of Internal Auditors - GTAG 4 – Management of IT Auditing/2013 (mtomo74@yahoo.com)
Aplicații
– Programele care execută sarcini specifice privind
activitățile entității:
• Aplicație privind operațiunile/tranzacțiile: programe
informatice care procesează și înregistrează
operațiunile/tranzacțiile derulate în entitate (Exemplu: înregistrarea
în registrul jurnal).
• Aplicație suport: programe specializate care nu procesează
tranzacții ci facilitează activitățile entității (exemple: programul de
email)
By Tomoială Marius 18
Sursa: The Institute of Internal Auditors - GTAG 4 – Management of IT Auditing/2013 (mtomo74@yahoo.com)
Standarde, criterii și
ghiduri privind
auditul IT
By Tomoială Marius 19
(mtomo74@yahoo.com)
COBIT
– cadru internațional recunoscut global pentru
guvernanța și administrarea tehnologiei informației
– În prezent există COBIT 5
– Emis de ISACA (Asociația de Audit și Control
privind Sistemele Informatice)
By Tomoială Marius 20
(mtomo74@yahoo.com)
Standardele din seria ISO/IEC 27000
ISO/IEC 27000:2014 – caracteristici generale şi vocabular
ISO/IEC 27001:2013 – sistemul de management al securității
informaționale
ISO/IEC 27002:2013 –cod de bune practici (obiectivele de control în
domeniul SMSI şi măsurile de securitate)
ISO/IEC 27003:2010 –ghid pentru implementarea ISO/IEC 27001.
ISO/IEC 27004:2009 –indicaţii privind aplicarea indicatorilor de
securitate.
ISO/IEC 27005:2011 – riscurile de securitate.
ISO/IEC 27006:2011 – cerinţe pentru organismele de certificare a
sistemelor de management ale securităţii informaţiei.
ISO/IEC 27007:2011 – stabileşte regulile de auditare a SMSI
ISO/IEC 27008:2011 – ghid pentru auditori privind instrumentele de
control referitoare la securitatea informației
By Tomoială Marius 21
(mtomo74@yahoo.com)
Alte standarde ISO/IEC
………………………………….
By Tomoială Marius 22
(mtomo74@yahoo.com)
IIA Practice Guides —
Global Technology Audit Guides (GTAG)
By Tomoială Marius 23
Sursa: The Institute of Internal Auditors (mtomo74@yahoo.com)
StandardeIe ISSAI şi INTOSAI GOV 9100
– La nivelul INTOSAI este adoptată ca reprezentativă
arhitectura de auditare ISACA şi recomandată în
consecinţă (standarde, ghiduri de aplicare și resursele
COBIT)
– Standardul INTOSAI GOV 9100 – Îndrumare privind
Standardele de Control Intern în Sectorul Public face
trimitere expresă la cadrul de lucru şi la documentaţiile
pentru audit IT furnizate de ISACA (COBIT)
– Poate fi utilizat drept criteriu pentru constatările
auditului intern
24
By Tomoială Marius
Sursa: Curtea de Conturi a României – Auditul sistemelor informatice/2012
(mtomo74@yahoo.com)
ISSAI 3000 - Anexa 5 – Auditul
Performanţei şi Tehnologia Informaţiei
Auditul performanţei are ca obiect auditul eficienţei,
eficacităţii şi economicităţii şi are următoarele arii de
audit:
(a) auditul economicităţii activităţilor administrative, în concordanţă cu
principii şi practici administrative solide, precum şi cu politicile
managementului;
(b) auditul eficienţei utilizării resurselor umane, financiare şi a altor
resurse, inclusiv examinarea sistemului informatic, al cadrului de
măsurare a performanţei şi de monitorizare şi al procedurilor urmărite
de entităţile auditate pentru remedierea deficienţelor identificate;
(c) auditul eficacităţii, în legătură cu atingerea obiectivelor entităţii
auditate, precum şi auditul impactului activităţilor actuale comparat cu
impactul previzionat.
25
By Tomoială Marius
Sursa: Curtea de Conturi a României – Auditul sistemelor informatice/2012
(mtomo74@yahoo.com)
Cadrul normativ național în legătură cu
domeniul IT
26
By Tomoială Marius
(mtomo74@yahoo.com)
Cadrul normativ național în legătură cu
domeniul IT
Cadrul normativ care poate fi folosit drept criteriu pentru
constatările de audit intern:
Codului controlului intern/managerial al entităţilor publice aprobat
prin OSGG 400/2015
prevederilor pct. F - Criteriile minimale privind programele
informatice utilizate în activitatea financiar-contabilă din Normele
generale de întocmire și utilizare a documentelor financiar-contabile
aprobate prin Ordinul ministerului finanțelor publice nr. 2634/2015
privind documentele financiar-contabile
Legislație specifică pe domenii de activitate (exemplu):
(domeniul medical): OMS nr. 1571/2010 pentru aprobarea
măsurilor de punere în aplicare a strategiei e-România și e-
Sănătate și implementarea proiectelor informatice SIUI
27
By Tomoială Marius
(mtomo74@yahoo.com)
Criteriile minimale privind programele
informatice utilizate în activitatea
financiar-contabilă – OMFP 2634\cont.
55. Sistemul informatic de prelucrare automată a datelor la nivelul
fiecărei entităţi trebuie să asigure prelucrarea datelor înregistrate în
contabilitate în conformitate cu reglementările contabile aplicabile,
controlul şi păstrarea acestora pe suporturi tehnice.
28
By Tomoială Marius
(mtomo74@yahoo.com)
Criteriile minimale privind programele
informatice utilizate în activitatea
financiar-contabilă – OMFP 2634\cont.
57. La elaborarea şi adaptarea programelor informatice vor fi avute
în vedere următoarele:
a) cuprinderea în procedurile de prelucrare a reglementărilor în
vigoare şi a posibilităţii de actualizare a acestor proceduri, în
funcţie de modificările intervenite în legislaţie (clauză obligatorie
în contractul de furnizare\închiriere soft – drept de utilizare);
b) gestionarea pachetelor de produse-program, asigurarea protecţiei
lor împotriva accesului neautorizat, realizarea confidenţialităţii
datelor din sistemul informatic (clauze obligatorii în contract);
c) stabilirea tipului de suport pentru păstrarea datelor de intrare,
intermediare sau de ieşire;
d) soluţionarea eventualelor erori care pot să apară în funcţionarea
sistemului informatic (clauze în contractul de furnizare și de
mentenanță sau de modernizare);
29
By Tomoială Marius
(mtomo74@yahoo.com)
Criteriile minimale privind programele
informatice utilizate în activitatea
financiar-contabilă – OMFP 2634\cont.
e) verificarea completă sau prin sondaj a modului de
funcţionare a procedurilor de prelucrare prevăzute de
sistemul informatic (testarea – responsabilități privind
recepția softului sau hardware-lui);
f) verificarea totală sau prin sondaj a operaţiunilor
economico-financiare înregistrate în contabilitate, astfel
încât acestea să fie efectuate în concordanţă strictă cu
prevederile actelor normative care le reglementează;
g) verificarea prin teste de control a programului
informatic utilizat. 30
By Tomoială Marius
(mtomo74@yahoo.com)
Criteriile minimale privind programele
informatice utilizate în activitatea
financiar-contabilă – OMFP 2634\cont.
58. Sistemele informatice de prelucrare automată a datelor în domeniul
financiar-contabil trebuie să răspundă la următoarele criterii considerate
minimale:
a) să asigure concordanţa strictă a rezultatului prelucrărilor informatice cu
prevederile actelor normative care le reglementează;
b) să precizeze tipul de suport care asigură prelucrarea datelor în condiţii de
siguranţă;
c) fiecare dată înregistrată în contabilitate trebuie să se regăsească în
conţinutul unui document, la care să poată avea acces atât beneficiarii, cât şi
organele de control;
d) să asigure listele operaţiunilor efectuate în contabilitate pe bază de
documente justificative, care să fie numerotate în ordine cronologică,
interzicându-se inserări, intercalări, precum şi orice eliminări sau adăugări
ulterioare;
e) să asigure reluarea automată în calcul a soldurilor conturilor obţinute
anterior;
31
By Tomoială Marius
(mtomo74@yahoo.com)
Criteriile minimale privind programele
informatice utilizate în activitatea
financiar-contabilă – OMFP 2634\cont.
f) să asigure conservarea datelor pe o perioadă de timp care să
respecte prevederile legii contabilităţii;
g) să precizeze procedurile şi suportul magnetic extern de arhivare
a produselor-program, a datelor introduse, a situaţiilor financiare
sau a altor documente, cu posibilitatea de reintegrare în sistem a
datelor arhivate;
h) să nu permită inserări, modificări sau eliminări de date pentru o
perioadă închisă;
i) să asigure următoarele elemente constitutive ale înregistrărilor
contabile:
- data efectuării înregistrării contabile a operaţiunii;
- jurnalul de origine în care se regăsesc înregistrările contabile;
- numărul documentului justificativ sau contabil (atribuit de
emitent); 32
By Tomoială Marius
(mtomo74@yahoo.com)
Criteriile minimale privind programele informatice utilizate în
activitatea
financiar-contabilă – OMFP 2634\cont.
j) să asigure confidenţialitatea şi protecţia informaţiilor şi a programelor prin parole,
cod de identificare pentru accesul la informaţii, copii de siguranţă pentru programe şi
informaţii;
k) să asigure listări clare, inteligibile şi complete, care să conţină următoarele
elemente de identificare, în antet sau pe fiecare pagină, după caz:
- tipul documentului sau al situaţiei;
- denumirea entităţii;
- perioada la care se referă informaţia;
- datarea listărilor;
- paginarea cronologică;
- precizarea programului informatic şi a versiunii utilizate;
l) să asigure listarea ansamblului de situaţii financiare şi documente de sinteză
necesare conducerii operative a entităţii;
m) să asigure respectarea conţinutului de informaţii prevăzut pentru documente;
n) să permită, în orice moment, reconstituirea conţinutului conturilor, listelor şi
informaţiilor supuse verificării; toate soldurile conturilor trebuie să fie rezultatul unei
liste de înregistrări şi al unui sold anterior al acelui cont; fiecare înregistrare trebuie
să aibă la bază elemente de identificare a datelor supuse prelucrării;
33
By Tomoială Marius
(mtomo74@yahoo.com)
Criteriile minimale privind programele
informatice utilizate în activitatea
financiar-contabilă – OMFP 2634\cont.
o) să nu permită:
- deschiderea a două conturi cu acelaşi simbol;
- modificarea simbolului de cont în cazul în care au fost înregistrate date în acel
cont;
- suprimarea unui cont în cursul exerciţiului financiar curent sau aferent exerciţiului
financiar precedent, dacă acesta conţine înregistrări sau sold;
- editarea a două sau a mai multor documente de acelaşi tip, cu acelaşi număr şi
conţinut diferit
de informaţii în cadrul aceluiaşi exerciţiu financiar;
p) să permită suprimarea unui cont care nu are înregistrări pe parcursul a cel puţin 2
ani (exerciţii financiare), în mod automat sau manual;
q) să prevadă în documentaţia produsului informatic modul de organizare şi tipul
sistemului de prelucrare:
- monopost sau multipost;
- monosocietate sau multisocietate;
- reţea de calculatoare;
- portabilitatea fişierelor de date; By Tomoială Marius
34
(mtomo74@yahoo.com)
Criteriile minimale privind programele
informatice utilizate în activitatea
financiar-contabilă – OMFP 2634\cont.
r) să precizeze tipul de organizare pentru culegerea datelor:
- preluări pe loturi cu control ulterior;
- preluări în timp real cu efectuarea controlului imediat;
- combinarea celor două tipuri;
s) să permită culegerea unui număr nelimitat de înregistrări
pentru operaţiunile contabile;
t) să posede documentaţia tehnică de utilizare a programelor
informatice necesară exploatării optime a acestora;
u) să respecte reglementările în vigoare cu privire la
securitatea datelor şi fiabilitatea sistemului informatic de
prelucrare automată a datelor.
35
By Tomoială Marius
(mtomo74@yahoo.com)
Criteriile minimale privind programele
informatice utilizate în activitatea
financiar-contabilă – OMFP 2634\cont.
59. Contractele care stau la baza achiziţiei de programe informatice
utilizate în activitatea financiar-contabilă trebuie să prevadă clauze
privind întreţinerea şi adaptarea produselor livrate, precum şi
clauze care să ateste că programele informatice nu permit
modificarea procedurilor de prelucrare automată a datelor de către
utilizatori.
60. Utilizatorul trebuie:
- să se asigure de perenitatea documentaţiei, a diferitelor versiuni
ale produsului-program;
- să organizeze arhivarea datelor, programelor sau produselor de
prelucrare astfel încât informaţiile să poată fi reprocesate;
- să deţină la sediul său, pe perioadă neprescrisă, manualul de
utilizare complet şi actualizat al fiecărui produs-program utilizat.
36
By Tomoială Marius
(mtomo74@yahoo.com)
Criteriile minimale privind programele
informatice utilizate în activitatea
financiar-contabilă – OMFP 2634\cont.
60. Utilizatorul trebuie:
- să se asigure de perenitatea documentaţiei, a diferitelor versiuni ale produsului-
program;
- să organizeze arhivarea datelor, programelor sau produselor de prelucrare astfel
încât informaţiile să poată fi reprocesate;
- să deţină la sediul său, pe perioadă neprescrisă, manualul de utilizare complet şi
actualizat al
fiecărui produs-program utilizat.
61. Pe perioada neprescrisă se va organiza o gestiune a versiunilor, modificărilor,
corecturilor şi schimbărilor de sistem informatic, produse-program şi sistem de
calcul.
Dacă entitatea, în cursul acestei perioade, a schimbat sistemul de calcul, respectiv de
prelucrare a datelor, trebuie să se efectueze o reconciliere între datele arhivate şi
versiunile noi ale produselor-program şi ale echipamentelor de calcul.
Arhivele pe suport magnetic trebuie actualizate periodic pentru a asigura
accesibilitatea datelor
37
By Tomoială Marius
(mtomo74@yahoo.com)
Pași privind auditarea sistemului
informatic
By Tomoială Marius 38
(mtomo74@yahoo.com)
Sursa imaginii: https://www.executiveboard.com/blogs/why-internal-audit-needs-to-tread-lightly/
Etape generale privind auditarea
sistemului IT
Planificarea
Organizarea Funcționarea Evaluarea
dezvoltării
sistemului sistemului sistemului
sistemului
IT IT IT
IT
By Tomoială Marius 39
(mtomo74@yahoo.com)
Activități (domenii)
auditabile posibile Organizare
privind auditul sistem IT
sistemului IT
Adaptare după: Curtea de Conturi a României –
Auditul sistemelor informatice/2012
Monitorizare Planificare
și evaluare sistem IT
Funcționare Achiziție
și suport sistem IT
40
By Tomoială Marius
(mtomo74@yahoo.com)
Stabilirea obiectivelor misiunii de
audit a sistemului IT (exemple)
• Evaluarea conformității implementării și funcționării sistemului
informatic al entității X cu cerințele legale în domeniul…….și
standardele internaționale (audit de regularitate)
• Evaluarea economicității, eficienței și eficacității utilizării fondurilor
publice în domeniul tehnologiei informatice (auditul performanței)
• Evaluarea respectării integrității, disponibilității și confidențialității
datelor prelucrate sau stocate în sistemul informatic raportat la
cerințele legale în domeniu (audit de regularitate)
• Evaluarea conformității și performanței activităților de achiziție,
implementare, funcționare și suport privind programul informatic
ABBA (audit de sistem)
• Evaluarea conformității și performanței activităților de achiziție,
implementare, funcționare și suport privind modernizarea rețelei IT
(audit de sistem)
By Tomoială Marius 41
(mtomo74@yahoo.com)
Documente care pot fi solicitate
Exemple posibile/1
• Strategie IT
• Planurile în domeniul IT
• Procedurile operaționale în domeniul IT
• Fișe de post (relevante pentru auditarea sistemului IT)
• Registrele de riscuri (din perioada auditată)
• Planuri de măsuri privind gestionarea/răspunsul la risc
By Tomoială Marius 42
(mtomo74@yahoo.com)
Documente care pot fi solicitate
Exemple posibile/2
By Tomoială Marius 44
(mtomo74@yahoo.com)
Studiul preliminar (cont.)
Analiza domeniului auditabil (procese, responsabili,
factori de influenţă, cadrul normativ şi metodologic specific,
gestionarea riscurilor, asigurarea calităţii şi politica de
îmbunătăţire şi dezvoltare a activităţilor domeniului
auditabil etc.)
Cadrul normativ aplicabil Departamentului IT include:….
OMFP 2634……Etc.
Cadrul metodologic aplicabil Departamentului IT include:.
În domeniul IT, principalele activităţi, operaţiuni şi
responsabili sunt:
………………………….
By Tomoială Marius 45
(mtomo74@yahoo.com)
Studiul preliminar (cont.)
Analiza structurii şi pregătirii personalului
Departamentul IT are prevăzute 8 funcţii…..
Gradul de încadrare cu personal este de 70%.
Personalul nu are competenţe în domeniul IT, aceasta
nefiind condiţie esenţială pentru angajare.
Evoluţia fluctuaţiei personalului în perioada 20XX-20ZZ
este prezentată în tabelul următor:………………..
Asigurarea şi disponibilitatea resurselor financiare
necesare realizării activităţilor auditabile
Fondurile solicitate şi cele alocate prin buget activităţii de
IT sunt prezentate în tabelul următor:…..
By Tomoială Marius 46
(mtomo74@yahoo.com)
Întrebări posibile în chestionarul de luare la cunoștință
(CLC) - extras
Nr. OBSER
ÎNTREBĂRI FORMULATE DA NU
- VAŢII
crt.
1 Cunoaşterea funcționării structurii auditate
1.1. Prezentați lista programelor informatice
utilizate pe categorii (sisteme de operare,
aplicații…, soluții antivirus, utilitare etc.)
conform modelului din anexa nr. 1
1.2. Ce activități, evidențe și documente sunt
realizate prin sistemul informatic?
1.3. Bugetul alocat activității IT a fost suficient?
Detaliați.
1.4. Care sunt programele informatice create ”in-
house” ? (prezentați o situație pe tipuri
conform anexei nr. 2)
By Tomoială Marius 47
(mtomo74@yahoo.com)
Întrebări posibile în chestionarul de luare la cunoștință
(CLC) – extras (cont.)
Nr. OBSER
ÎNTREBĂRI FORMULATE DA NU
- VAŢII
crt.
1 Cunoaşterea funcționării structurii auditate
1.1. Prezentați strategiile IT din perioada…
1.2. Prezentați o schemă a rețelei/rețelelor
1.3. Prezentați organizarea Departamentului IT
1.4. Prezentați principalele situații de reorganizare
a Departamentului IT în perioada …….
1.5. Care a fost fluctuația personalului
Departamentului IT în perioada…..
48
Adaptare după: GAO – Federal Information System Controls Audit Manual
By Tomoială Marius
(mtomo74@yahoo.com)
Întrebări posibile în chestionarul de control intern
(CCI) – extras
Nr. OBSER
ÎNTREBĂRI FORMULATE DA NU
- VAŢII
crt.
1.1. Ce legislație există care impune controale IT?
1.2. A stabilit managementul entității măsurile
necesare pentru asigurarea conformității cu
această legislație?
1.3. Au fost delimitatea toate atribuțiile și sarcinile
în domeniul IT prin fișa postului?
1.4. Sarcinile din fișele postului asigură separarea
atribuțiilor?
1.5. Ce date privind funcționarea sistemului
informatic sunt comunicate conducerii
(securitatea sistemului informatic, căderea în
funcționare etc)?
49
Adaptare după: IIA – The IIA’s CIA Learning System
By Tomoială Marius
(mtomo74@yahoo.com)
Situația angajaților din Departamentul IT pe categorii
By Tomoială Marius 50
Adaptare după: GAO – Federal Information System Controls Audit Manual (mtomo74@yahoo.com)
Analiza structurii cheltuielilor planificate și
efectuate cu sistemul IT
By Tomoială Marius 51
(mtomo74@yahoo.com)
Date sintetice privind funcția IT
52
By Tomoială Marius
Preluare sau adaptare după: Curtea de Conturi a României – Auditul sistemelor informatice/2012 (mtomo74@yahoo.com)
Planificarea
sistemului
informatic
By Tomoială Marius 53
(mtomo74@yahoo.com)
Exemple de riscuri privind Planificarea sistemului
informatic
Dezvoltarea sistemului informatic nu are la bază o analiză
pertinentă a nevoilor informaționale ale entității, respectiv ale
utilizatorilor (Standardul 12 – Informarea și comunicarea din
Codul controlului intern/managerial din sectorul public: ce
informații sunt necesare, în ce format, cum circulă în entitate
etc.)
Proiectul sistemului informatic satisface doar necesități de
moment și nu are în vedere necesități viitoare în domeniul
informațional
Utilizarea în proiect a unor soluții perimate și prezentate drept
”ultimul răcnet”
Proiectul sistemului informatic nu este adecvat (ex.: nr.
insuficient de servere)
By Tomoială Marius 54
(mtomo74@yahoo.com)
Exemple de riscuri privind Planificarea sistemului
informatic (cont.)
Nu există planificare a sistemului informatic, care se dezvoltă pe
principiul ”am primit o sumă, trebuie să o cheltui pentru că altfel o
pierd” (de exemplu, se fac achiziții pentru dezvoltarea sistemului fără
proiect)
Planurile strategice ale entității nu includ obiective strategice în
domeniul IT
În planificarea dezvoltării sistemului informatic nu se ține cont de
analizele trecute privind funcționarea acestuia (cauzele căderii în
funcționare), posibilități de reducere a costurilor , probleme semnalate
cauzate de soluția utilizată etc.
Nu există o documentație actuală a sistemului informatic care să
stea la baza planificării dezvolatării acestuia (dispunere, cablare,
compunere, softuri utilizate, caracteristici, schema rețelei etc.)
By Tomoială Marius 55
(mtomo74@yahoo.com)
Test – extras
Planificarea sistemului informatic
Nr. Elemente de verificat Respectat
crt. Da Nu Nu
este
cazul
A fost elaborată o strategie în domeniul IT care să reflecte
obiectivele și prioritățile conducerii entității în domeniul
tehnologiei informației?
Strategia în domeniul IT a fost transpusă în planuri de
implementare?
Planificarea dezvoltării sistemului informatic este în
concordanţă cu strategia şi obiectivele entității auditate?
Au fost fundamentate și identificate resursele necesare
pentru asigurarea serviciilor IT solicitate?
Au fost stabilite obiective SMART privind domeniul IT?
56
By Tomoială Marius
Preluare sau adaptare după: Curtea de Conturi a României – Auditul sistemelor informatice/2012
(mtomo74@yahoo.com)
Exemplu de FIAP privind
Planificarea activității în
domeniul tehnologiei
informației
By Tomoială Marius 57
(mtomo74@yahoo.com)
FIAP privind strategia IT
Problema:
La nivelul entității auditate nu a fost elaborată o
strategie IT care să reflecte obiectivele și
prioritățile conducerii entității în domeniul
tehnologiei informației.
By Tomoială Marius 58
(mtomo74@yahoo.com)
FIAP privind strategia IT/2
Constatarea:
Potrivit prevederilor standardului 5 – Obiective, ”conducerea entităţii
publice defineşte obiectivele determinante, legate de scopurile
entităţii, precum şi pe cele complementare, legate de fiabilitatea
informaţiilor, conformitatea cu legile, regulamentele şi politicile
interne, şi comunică obiectivele definite tuturor salariaţilor şi terţilor
interesaţi”.
De asemenea, Codul controlului intern/managerial al entităţilor
publice, aprobat prin Ordinul Secretariatului General al Guvernului
nr. 400/2015 definește strategia ca fiind documentul ce cuprinde
”ansamblul obiectivelor majore ale organizaţiei pe termen lung,
principalele modalităţi de realizare, împreună cu resursele alocate, în
vederea obţinerii avantajului competitiv potrivit misiunii
organizaţiei…”.
By Tomoială Marius 59
(mtomo74@yahoo.com)
FIAP privind strategia IT/3
By Tomoială Marius 60
(mtomo74@yahoo.com)
FIAP privind strategia IT/6
Cauze:
By Tomoială Marius 61
(mtomo74@yahoo.com)
FIAP privind strategia IT/7
Cauze:
B. (DE CE nu au fost implementate prevederile
standardului 5 la nivelul Direcției informatice?) Nu a fost
implementată o procedură operațională privind modul de
îndeplinire a atribuțiilor Direcției informatice menționate la
art. 20, pct. 1 din Regulamentul de organizare și funcționare
al entității auditate, care prevăd stabilirea direcțiilor
strategice de dezvoltare în domeniul sistemelor informatice
(deficiență de implementare a standardului 9 – Proceduri la
Direcția informatică)
By Tomoială Marius 62
(mtomo74@yahoo.com)
FIAP privind strategia IT/8
Cauze:
C. (DE CE nu a fost elaborată o procedură operațională
privind îndeplinirea atribuțiilor referitoare la stabilirea
direcțiilor strategice?) Serviciul Dezvoltare IT din cadrul
Direcției informatice nu a fost încadrat cu personal, fapt ce a
determinat preluarea atribuțiilor de către persoane care nu
dețineau cunoștințe IT (deficiență de implementare a
standardului 3 – Competența, performanța la Direcția
informatică).
By Tomoială Marius 63
(mtomo74@yahoo.com)
FIAP privind strategia IT/9
Consecinţe:
• riscul ca sistemul informatic să determine neîndeplinirea
sau afectarea unor obiective ale organizației;
• riscul ca dezvoltarea sistemului informatic să se realizeze
sub impulsul unor necesități de moment.
By Tomoială Marius 64
(mtomo74@yahoo.com)
FIAP privind strategia IT/10
Recomandări:
•Recomandăm reluarea demersurilor pentru încadrarea
posturilor Serviciului Dezvoltare IT din cadrul Direcției
informatice cu persoane având competențe în domeniul IT, în
special referitoare la planificarea în acest domeniu;
•Elaborarea și implementarea unei proceduri operaționale
privind modul de îndeplinire a atribuțiilor Direcției
informatice menționate la art. 20, pct. 1 din Regulamentul de
organizare și funcționare al entității auditate referitoare la
stabilirea direcțiilor strategice de dezvoltare în domeniul
sistemelor informatice, care să includă termene,
responsabilități și machete de documente;
By Tomoială Marius 65
(mtomo74@yahoo.com)
FIAP privind strategia IT/11
Recomandări:
•Elaborarea unei strategii în domeniul IT care să reflecte
obiectivele și prioritățile conducerii entității în domeniul
tehnologiei informației și să stea la baza planurilor elaborate
în acest domeniu.
By Tomoială Marius 66
(mtomo74@yahoo.com)
Organizarea
sistemului
informatic
By Tomoială Marius 67
(mtomo74@yahoo.com)
Organizarea sistemului informatic
- Resursa umană în IT -
By Tomoială Marius 68
Adaptare după: IIA – The IIA’s CIA Learning System (mtomo74@yahoo.com)
Organizarea sistemului informatic
- Resursa umană în IT – (cont.)
Suport tehnic:
Administrator rețea: monitorizează utilizarea și asigură
întreținerea rețelei
Administrator WEB: dezvoltă site-ul WEB, îl monitorizează și îi
asigură disponibilitatea
Instruire utilizatori
Date:
Administrator baze de date: proiectează, implementează și
întreține baza de date
Administrator de date: monitorizează utilizarea datelor și setul
de politici și proceduri pentru păstrarea datelor, arhivare etc.
By Tomoială Marius 69
Adaptare după: IIA – The IIA’s CIA Learning System (mtomo74@yahoo.com)
Organizarea sistemului informatic
- Resursa umană în IT – (cont.)
By Tomoială Marius 70
Adaptare după: IIA – The IIA’s CIA Learning System (mtomo74@yahoo.com)
Exemple de riscuri privind Organizarea sistemului
informatic
Nu există o structură organizațională în domeniul IT, contrar
prevederilor standardului 4 – Structura organizatorică din Codul
controlului intern/managerial
Structura organizatorică existentă nu este adecvată raportat la
atribuțiile stabilite în domeniul IT (consecințe: activități
conflictuale între compartimente, administrare defectuoasă a
resurselor etc.)
Infrastructura IT și aplicațiile sunt foarte complexe și
neverificate
Utilizarea unei tehnologii perimate sau neverificate
Datele nu sunt standardizate sau distribuite (consecință:
dublare operațiuni, ineficiență)
71
By Tomoială Marius
Adaptare după: The Institute of Internal Auditors – GTAG 17/Auditing IT Governance
(mtomo74@yahoo.com)
Exemple de riscuri privind Organizarea sistemului
informatic
72
By Tomoială Marius
Adaptare după: The Institute of Internal Auditors – GTAG 17/Auditing IT Governance
(mtomo74@yahoo.com)
Test – extras
Organizarea sistemului informatic
Nr. Elemente de verificat Respectat
crt. Da Nu Nu
este
cazul
Structura organizațională în domeniul IT este adecvată și
bine definită?
Există un canal de comunicare între directorul IT și
managerul entității? Când a avut loc ultima
întâlnire/ședință?
Infrastructura/aplicațiile IT sunt foarte complexe?
Costul cu activitatea IT sunt mai mari decât în entități
similare?
Costul cu activitatea IT sunt cunoscute și monitorizate?
Datele sunt distribuite între departamente?
Datele sunt standardizate?
73
By Tomoială Marius
Adaptare după: The Institute of Internal Auditors – GTAG 17/Auditing IT Governance
(mtomo74@yahoo.com)
Programele
informatice
By Tomoială Marius 74
(mtomo74@yahoo.com)
Necesitatea auditării programelor
informatice utilizate
– Cerințele beneficiarului sau utilizatorului pot fi ignorate sau
poate fi impus un program informatic fără a se discuta, analiza,
testa, prezenta etc.
– Entitatea poate deveni utilizator ”captiv” pentru programele
utilizate
– Programele utilizate pot întârzia, întrerupe sau eficientiza
activitățile entității
– Softurile implică alocarea unor resurse importante, iar o decizie
eronată poate fi costisitoare
– Presiuni posibile pentru adoptarea unor anumite softuri
By Tomoială Marius 75
(mtomo74@yahoo.com)
Programele informatice
Aspecte care trebuie avute în atenție
By Tomoială Marius 77
(mtomo74@yahoo.com)
Licențierea softurilor
Sistemul de licențiere este adecvat și asigură economicitatea și
eficiența cheltuielilor?
Utilizatorii au instalat sau au determinat instalarea de soft fără
licență cu posibile implicații juridice?
Au fost încălcate clauzele/restricțiile acordului de licențiere?
Licențiere pe:
Server
Calculator
Locație
Număr de utilizatori
By Tomoială Marius 79
Adaptare după: IIA – The IIA’s CIA Learning System (mtomo74@yahoo.com)
Programele informatice
Disfuncții posibile privind programele informatice
By Tomoială Marius 80
(mtomo74@yahoo.com)
Programele informatice
Disfuncții posibile privind programele informatice
- cont. -
Suportul tehnice inexistent pentru soft sau asigurat cu
întârziere
Nu există o procedură de semnalare a neconformităților soft
de către utilizatori
Neutilizarea unui soft achiziționat
Lucru în paralel cu două sau mai multe softuri pentru aceeași
operațiune
By Tomoială Marius 81
(mtomo74@yahoo.com)
Spețe posibile privind softurile
– Nu există o analiză a cerințelor beneficiarilor pentru
achiziția\elaborarea softului:
• Riscuri:
– Utilizarea neadecvată, dublarea softurilor
– Erori în aplicare (exemplu – solduri de materiale negative)
– Costuri crescute cu adaptarea ulterioară la nevoile
beneficiarului
– Indisponibilitatea unor date (celor anterioare softului, care
erau ținute în alt program)
By Tomoială Marius 82
(mtomo74@yahoo.com)
Spețe posibile privind softurile (cont.)
– Datele anterioare nu sunt integrate: de exemplu, se introduc manual,
a doua oară, furnizorii
• Riscuri:
– Se lucrează în două programe diferite
– Imposibilitatea unei analize privind cele două perioade
integrate pentru că un program poate emite un anumit format,
celălalt un alt format, care nu sunt compatibile
– Erori ca urmare a introducerii manuale a datelor
By Tomoială Marius 83
(mtomo74@yahoo.com)
Spețe posibile privind softurile (cont.)
– Programe achiziționate și neutilizate deloc sau la întreaga capacitate
• Riscuri:
– Cheltuieli neeconomicoase
– Perimare
– Plata unor alte softuri cu aceleași funcții
By Tomoială Marius 84
(mtomo74@yahoo.com)
Spețe posibile privind softurile (cont.)
– Softul funcționează greoi iar suportul\mentenanța lipsește
• Riscuri:
– Erori
– Întârzieri ale unor activități
– Ineficiență
By Tomoială Marius 85
(mtomo74@yahoo.com)
Spețe posibile privind softurile (cont.)
– Softuri achiziționate la un preț supraevaluat
• Riscuri:
– Fraudă și corupție
– Neutilizare la capacitate
– Ineficiență
– Costuri mari cu întreținerea
– Obligarea angajaților să-l utilizeze pentru a-l justifica
By Tomoială Marius 86
(mtomo74@yahoo.com)
Spețe posibile privind softurile (cont.)
– Utilizator captiv de soft
• Riscuri:
– Furnizorul dictează condițiile și prețul
– Preț ridicate pentru servicii și modernizare
– Nu se cunoaște ”prețul corect”
By Tomoială Marius 87
(mtomo74@yahoo.com)
Exemplu de FIAP privind
Programele informatice
By Tomoială Marius 88
(mtomo74@yahoo.com)
FIAP privind program neutilizat
Problema:
Programul informatic E-AchizițieIT în valoare de
500.000 lei, procurat în anul 2013 de la
operatorul economic AFINUL SRL nu a fost
utilizat timp de 18 luni, iar în prezent nu sunt
funcționale 2 module din cele 4 prevăzute în
contractul de achiziție a softului, în condițiile în
care softul a fost recepționat și plătit în totalitate.
By Tomoială Marius 89
(mtomo74@yahoo.com)
FIAP privind program neutilizat/1
Din analiza situației softurilor existente, echipa de audit a
constatat faptul că entitatea auditată a achiziționat în anul 2013
programul informatic E-AchizițieIT în valoare de 500.000 lei de
la operatorul economic AFINUL SRL, prin procedura de
atribuire licitație deschisă.
Din referatul de necesitate a rezultat că achiziția programului
menționat crește performanța Departamentului Achiziții și ar
asigura interoperabilitatea cu Departamentul Plăți și
Departamentul Contabilitate, prin preluarea automată a
propunerilor de angajare a unei cheltuieli și a ordonanțărilor de
plată, documentelor de recepție, angajamentelor legale încheiate,
stocuri etc.
By Tomoială Marius 90
(mtomo74@yahoo.com)
FIAP privind program neutilizat/2
Programul informatic E-AchizițieIT conținea 4 module, respectiv:
•Modulul Program de Achiziție
•Modulul Contract
•Modulul Plăți
•Modulul Evidență
Din analiza prin sondaj a funcționalității modulelor, echia de audit a
constatat că Modulul Plăți și Modulul Evidență nu au fost instalate,
fiind utilizate doar primele două module, în condițiile în care
programul informatic a fost recepționat și plătit.
Totodată, s-a constatat faptul că recepția și plata s-au efectuat în data
de 31.01.2013, iar programul nu a fost utilizat timp de 18 luni,
perioadă în care evidența achizițiilor a fost ținută în programul de
calcul tabelar Excel.
By Tomoială Marius 91
(mtomo74@yahoo.com)
FIAP privind program neutilizat/3
Acest fapt contravine prevederilor art. 52 alin.(5) din Legea
nr.500/2002 privind finanțele publice, cu modificările și completările
ulterioare, care menționează că ”Instrumentele de plată trebuie să fie
însoţite la ordonatorul de credite de ordonanţarea la plată, la care se
anexează documentele privind recepţia cantitativă şi calitativă a
bunurilor/serviciilor/lucrărilor, după caz, în conformitate cu
prevederile din angajamentele legale încheiate, care certifică sumele
de plată”.
Astfel, în contractul încheiat (Z 1001/2013) se prevedea la recepție
faptul că operatorul economic are obligația instalării tuturor modulelor
și efectuarea de teste privind funcționarea lor.
By Tomoială Marius 92
(mtomo74@yahoo.com)
FIAP privind program neutilizat/4
Cauze:
By Tomoială Marius 93
(mtomo74@yahoo.com)
FIAP privind program neutilizat/5
Consecinţe:
•riscul producerii unor prejudicii ca urmare a plății celor 2
module care nu au funcționat, precum și a nefuncționării
softului timp de 18 luni;
•Întârzierea, în perioada neutilizării, a termenelor stabilite
pentru derularea procedurilor de atribuire cu perioade
cuprinse între 1 și 4 luni (de exemplu,…..).
By Tomoială Marius 94
(mtomo74@yahoo.com)
FIAP privind program neutilizat/6
Recomandări:
•Conducătorul entiății va desemna o comisie care să
cerceteze posibilul prejudiciu generat de neutilizarea softului;
•Actualizarea procedurii operaționale privind recepțiile, astfel
încât să prevadă obligativitatea includerii în comisiile de
recepție a unor specialiști în domeniile în care se desfășoară
achiziția.
By Tomoială Marius 95
(mtomo74@yahoo.com)
Înregistrarea în
contabilitate în
domeniul IT
By Tomoială Marius 96
(mtomo74@yahoo.com)
Legea nr. 15/1994 privind amortizarea capitalului
imobilizat în active corporale şi necorporale
Art. 3.
..............................
Sunt considerate mijloace fixe obiectul sau complexul de obiecte ce se
utilizează ca atare şi îndeplineşte cumulativ următoarele condiţii:
a) are o valoare de intrare mai mare decât limita stabilită prin hotărâre a
Guvernului....
b) are o durată normală de utilizare mai mare de un an.
Pentru obiectele care sunt folosite în loturi, seturi sau care formează un
singur corp, la încadrarea lor ca mijloace fixe se are în vedere valoarea
întregului corp, lot sau set.
Art. 4.
Sunt, de asemenea, considerate mijloace fixe supuse amortizării:.......d)
investiţiile efectuate la mijloacele fixe, în scopul îmbunătăţirii parametrilor
tehnici iniţiali, prin majorarea valorii de intrare a mijlocului fix.
By Tomoială Marius 97
(mtomo74@yahoo.com)
Spețe posibile - 1
Înregistrarea unor elemente de rețea ca activ fix – clasa 2 (de
regulă rețeaua inițială), iar a altor elemente de rețea (de regulă
adăugate ulterior) ca materiale de natura obiectelor de inventar
(clasa 3):
Rețeaua funcționează unitar (ca și un singur corp), dar nu este reflectată
în mod corespunzător în contabilitate (activele sunt diminuate)
Amortizarea nu este realizată pentru toată rețeaua care funcționează
unitar
Se achiziționează eronat elemente ale rețelei de la titlul 20 ”Bunuri și
servicii” în loc de la titlul 71 ”Cheltuieli de capital”
Nu se prelungește durata normală de funcționare a rețelei, astfel că
”aparent este perimată”
Listă de investiții?
By Tomoială Marius 98
(mtomo74@yahoo.com)
Spețe posibile - 2
Înregistrarea modernizării rețelei/unor elemente de rețea ca
reparație/mentenanță:
Rețeaua/calculatorul își îmbunătățește parametrii tehnici inițiali dar
operațiunea este reflectată ca o reparație
Activul este diminuat
Toate elementele montate se trec pe cheltuieli și se scad din evidență ca și
piese de schimb
Amortizarea nu este realizată pentru majorarea valorii mijlocului fix
Se achiziționează eronat de la titlul 20 ”Bunuri și servicii” în loc de titlul
71 ”Cheltuieli de capital”
Nu se prelungește durata normală de funcționare a rețelei, astfel că
”aparent este perimată”
Listă de investiții?
By Tomoială Marius 99
(mtomo74@yahoo.com)
Spețe posibile - 3
Asamblarea in-house a sistemelor de calcul:
Se achiziționează piese/componente de calculatoare și se montează în
cadrul entității de către un specialist
Dacă se depășește valoare de referință pentru activ fix sau se constituie o
rețea, se achiziționează eronat elemente ale rețelei de la titlul 20 ”Bunuri
și servicii” în loc de la titlul 71 ”Cheltuieli de capital”
Prin ROF nu se prevede abilitatea instituției de a asambla calculatoare,
iar prin fișa postului persoana care realizează asamblarea nu este
abilitată în acest sens. Se execută o activitate care nu intră în obiectul de
activitate al instituției
Se reflectă operațiunea în contabilitate? Transformarea unor piese de
schimb/materiale în active?
Cine și pe ce document a dat aprobarea?
Art. 6.
Nu sunt considerate mijloace fixe: a) motoarele, aparatele şi alte
subansambluri ale mijloacelor fixe, procurate în scopul înlocuirii
componentelor uzate cu ocazia reparaţiilor de orice fel, care nu
modifică parametrii tehnici iniţiali ai mijlocului fix;
Art. 7.
Activele necorporale aferente capitalului imobilizat cuprind:.......e) alte
imobilizări necorporale, inclusiv programe informatice create de
agenţii economici sau achiziţionate de la terţi.
117
By Tomoială Marius
Sursa: The Institute of Internal Auditors – GTAG/Business Continuity Management (mtomo74@yahoo.com)
Necesitatea Managementului Continuității
Activității în domeniul IT
118
By Tomoială Marius
Sursa: The Institute of Internal Auditors – GTAG/Business Continuity Management (mtomo74@yahoo.com)
Exemplu privind un dezastru IT
- Blocarea la sol a tuturor zborurilor pe aeroportul
LA (2007) -
121
By Tomoială Marius
Sursa: The Institute of Internal Auditors – GTAG/Business Continuity Management
(mtomo74@yahoo.com)
Programul privind Managementul Urgențelor
• Răspunsul la urgență: prima acțiune, salvare vieți,
limitare pierderi
• Managementul crizei: gestionarea comunicării în
entitate și a actului de management la vârful entității
• Continuitatea activității: recuperarea proceselor critice
pentru a minimiza impactul întreruperii
122
By Tomoială Marius
Sursa: The Institute of Internal Auditors – GTAG/Business Continuity Management (mtomo74@yahoo.com)
Întreruperea activității IT
123
By Tomoială Marius
Adaptare după: IIA – The IIA’s CIA Learning System
(mtomo74@yahoo.com)
Test – extras
Managementul Continuității Activității
(dezastrele)
Nr. Elemente de verificat Respectat
crt. Da Nu Nu
este
cazul
A fost elaborat un plan de intervenție la dezastre?
Au fost stabilite aplicațiile critice?
Planul elaborat de intervenție la dezastre oferă asigurare
pentru toate accidentele (inundație, incendiu, cutremur,
scurgere de lichid de la duze de incendiu etc.?
Planul a fost testat?
……………..
124
By Tomoială Marius
Adaptare după: IIA – The IIA’s CIA Learning System
(mtomo74@yahoo.com)
Exemplu de FIAP privind
Managementul continuității
activității în domeniul
tehnologiei informației
Constatarea:
În conformitate cu cerințele standardului 11 – Continuitatea
activității din Codului controlului intern/managerial al
entităţilor publice, aprobat prin Ordinul Secretariatului
General al Guvernului nr. 400/2015 conducerea entităţii
publice are obligația de a acţiona în vederea asigurării
continuităţii activităţii prin măsuri care să prevină apariţia
situaţiilor de discontinuitate, un exemplu fiind
implementarea de proceduri pentru administrarea situaţiilor
care pot afecta continuitatea operaţională şi a tranzacţiilor
financiare relevante.
By Tomoială Marius 127
(mtomo74@yahoo.com)
FIAP privind salvarea datelor/3
De asemenea, potrivit prevederilor pct. 59 lit. g) din Normele
metodologice de întocmire și utilizare a documentelor financiar-
contabile aprobate prin Ordinul ministerului economiei și
finanțelor nr. 3512/2008 privind documentele financiar-
contabile, cu modificările și completările ulterioare, un criteriu
minimal pe care trebuie să-l îndeplinească sistemele informatice
de prelucrare automată a datelor în domeniul financiar contabil îl
reprezintă faptul că trebuie ”să precizeze procedurile și suportul
magnetic extern de arhivare a produselor program, a datelor
introduse, a situațiilor financiare sau a altor documente, cu
posibilitatea de reintegrare în sistem a datelor arhivate”.
Consecinţe:
•riscul întârzierii unor activități sau neîndeplinirii unor
obiective generate de pierderea datelor sau repunerea în
funcțiune, cu întârziere, a sistemului informatic;
•riscuri de eficiență ca urmare a reintroducerii datelor
pierdute;
•riscul pierderii datelor.
Sursa: Dumitru Oprea – Protecția și securitatea informațiilor, Editura Polirom, 2007 By Tomoială Marius 137
https:ro.m.wikipedia.org (mtomo74@yahoo.com)
Aspecte privind virușii informatici
– pot avea efecte distructive deosebite, ireaparabile
– au proprietatea de autocopiere, cu scopul de a infecta alte
sisteme
– se multiplică exponențial și au viteză mare de propagare
– pot sta ascunși\inactivi o perioadă mare de timp și să se
activeze la anumite momente
– au nevoie de un program\fișier acceptat de utilizator, în
spatele căruia se ascund pentru a pătrunde în sistemul
informatic
Sursa: Dumitru Oprea – Protecția și securitatea informațiilor, Editura Polirom, 2007 By Tomoială Marius 138
https:ro.m.wikipedia.org (mtomo74@yahoo.com)
Efectele virușilor
– Pot șterge toate datele de pe un hard-disc
– Pot bloca traficul într-o rețea pentru câteva ore
– Pierderi estimate la 8,5 miliarde $ în anul 2008
– Pot întrerupe aparatura importantă a entității care este
acționată\dirijată prin intermediul sistemului informatic
– Se pot sustrage informații și date confidențiale fără ca utilizatorul
să știe
– Pot distruge componente hardware (de exemplu, hard-discul)
– Etc.
Sursa: Jonathan Strickland – 10 worst computer viruses of all time\ By Tomoială Marius 139
www.howstuffworks.com (mtomo74@yahoo.com)
Exemple privind cei mai distructivi viruși
Melissa (1999):
• Cel care a creat virusul i-a dat numele după o dansatoare
exotică
• Se răspândea prin mesaje (căsuța de email)
• Tenta utilizatorii să-l deschidă prin mesajul ”Aici este
documentul solicitat, nu-l arătați nimănui”
• Când se activa, virusul se multiplica și se trimitea primilor 50
de persoane din căsuța de email
• Este poate primul virus care a atras atenția la nivel global cu
privire la efectele distructive ale acestora
Sursa: Dumitru Oprea – Protecția și securitatea informațiilor, Editura Polirom, 2007 By Tomoială Marius 140
https:ro.m.wikipedia.org (mtomo74@yahoo.com)
Exemple privind cei mai distructivi viruși
ILOVEYOU (2000):
–Tip ”vierme” – program care se auto-multiplică
–Inițial a fost transmis prin email
–În subiectul emailului se spunea că mesajul reprezenta o scrisoare de dragoste de la
un admirator secret
–Un atașament la email provoca următoarele probleme:
• Se autocopie de mai multe ori și aceste copii se ascund în câteva directoare pe hard-discul
victimei
• Adaugă noi fișiere în regiștri
• Înlocuiește anumite fișiere cu copii ale virusului
• Se autotrimite prin email
• Descarcă un fișier numit WIN-BUGFIX.EXE de pe internet și îl execută. Programul
respectiv este o aplicație pentru furtul parolelor care sunt transmise prin email către o adresa.
– Achiziții impuse
– Nu se preiau datele anterioare sau se preiau cu erori, la achiziția unui soft nou
Constatarea:
Potrivit prevederilor art. 19 din OUG 34\2006 privind......,
autoritatea contractantă are dreptul să direct produse în
măsura în care valoarea achiziției, estimată conform
prevederilor ordonanței nu depășește echivalentul, în lei, a
30.000 de euro exclusiv TVA, achiziția realizându-se pe
bază de document justificativ.
Constatarea (cont.):
Totodată, conform pct. 1 din anexa nr. 1 la OMFP
1792\2002...., înainte de a angaja și a utiliza creditele
bugetare, respectiv înainte de a lua orice măsură care ar
produce o cheltuială, ordonatorii de credite trebuie să se
asigure că măsura luată respectă principiile unei bune
gestiuni financiare, ale unui management financiar sănătos,
în special ale economiei și eficienței cheltuielilor. În acest
scop utilizarea creditelor bugetare trebuie precedată de o
evaluare care să asigure faptul că rezultatele obținute sunt
corespunzătoare resurselor utilizate.
By Tomoială Marius 157
(mtomo74@yahoo.com)
FIAP privind achizițiile/4
Raportat la prevederile normative menționate anterior, auditorii
au constatat că entitatea auditată a efectuat achiziții directe a
unor sisteme IT (laptop, calculatoare) la prețuri mai mari decât
cele din oferta curentă a unor posibili furnizori consacrați.
Astfel, achizițiile în cauză au vizat laptopuri modelul A și
calculatoare desktop modelul B, cu privire la ele fiind constatate
următoarele:
•Nu a fost identificată necesitatea autorității contractante care să
stea la baza determinării valorii estimate. Astfel, obiectul
achiziției este reprezentat de ”sistem de calcul portabil” și
”sistem de calcul”, fără a rezulta cerințele beneficiarilor;
Consecinţe:
•riscul efectuării unor achiziții directe neeconomicoase, ca
urmare a lipsei cerințelor beneficiarului și testării
neadecvate a pieței
•riscul de fraudă