Audit Intern. Misiune de Audit

Universitatea ”Stefan cel Mare” Suceava
Facultatea de Stiinte Economice si Administratie Publica
2012
Prezentarea institutiei
AJOFM Suceava
Agentia Judeteana pentru Ocuparea Fortei de Munca Suceava este organizata si

functioneaza potrivit Legii nr.202/2006, modificata prin OUG nr. 84/2006, Statutului
ANOFM aprobat prin H.G. nr.1610/2006, pe baza regulamentului cadru de organizare si
functionare precum si a structurilor organizatorice aprobate de catre Agentia Nationala pentru
Ocuparea Fortei de Munca.
Numarul functiilor de conducere reprezinta 12% din numarul total al functiilor publice
din cadrul agentiei pentru ocuparea fortei de munca conform prevederilor art.91, punct.4, alin.
(2) din Legea nr. 188/1999 cu modificarile si completarile ulterioare.
AJOFM Suceava functioneaza cu un numar de 55 de posturi conform organigramei
din care 3 functii publice de conducere, 3 posturi de conducere personal contractual (directori
coordonatori), 1 post personal contractual (sofer) si 51 de functionari publici.
Agentia pentru ocuparea fortei de munca este condusa de un director coordonator care
are in subordine urmatoarele directii si compartimente functionale:
 Directia Managementului Pietei Muncii, condusa de un director coordonator adjunct si
organizata in urmatoarele compartimente:
-Birou Centru de Formare Profesionala;
-Informatica;
-Analiza, statistica si programe de ocupare;
-Relatii cu angajatorii.
 Directia Economica, condusa de un director coordonator executiv adjunct si organizata
in urmatoarele compartimente:
-Achizitii publice, administrativ si protectia muncii;
-Finantare si urmarire a executiei bugetare;
-Contabilitate;
-Fond garantare a creantelor bugetare.
 Agentii locale (Agentia Locala Suceava, Agentia Locala Campulung Moldovenesc)
direct subordonate directorului coordonator si care au relatii de functionare cu Directia
Managementul Pietei Muncii si Directia Economica, organizata in urmatoarele
compartimente:
-Inregistrare someri;
-Stabilire si plati drepturi someri;
2
-Consiliere, orientare si formare profesionala;
-Creditare si ajutoare de stat;
-Relatii cu angajatorii;
-Urmarire si executare debite;
-Puncte de lucru (Siret, Radauti, Falticeni, Gura-Humorului, Vatra-Dornei)
 Compartimente functionale:
-Resurse umane si salarizare;
-Audit public intern;
-Control masuri active;
-Juridic si relatii cu publicul;
-Comunicare si secretariatul consiliului consultativ.
Atributiile serviciilor, birourilor si compartimentelor se stabilesc prin regulamentele de
organizare si functionare ale agentiei teritoriale.
Atributiile personalului din cadrul agentiilor teritoriale si al subunitatilor enumerate
anterior, sunt prevazute in fisa postului.
Agentiile de ocupare a fortei de munca asigura, potrivit legii, implementarea masurilor
de prevenire a somajului, a masurilor de stimulare a ocuparii fortei de munca, protectia
sociala a persoanelor aflate in cautarea unui loc de munca, organizeaza si realizeaza
activitatea de ocupare si de formare profesionala a fortei de munca.
Agentia pentru ocuparea fortei de munca Suceava organizeaza, coordoneaza si
realizeaza la nivel judetean, activitatea de ocupare a fortei de munca si de protectie sociala a
persoanelor aflate in cautarea unui loc de munca.
Pentru indeplinirea atributiilor, agentiile teritoriale coopereaza cu autoritatile
administratiei publice locale, cu organizatiile guvernamentale, cu societatea civila, cu
furnizorii de ocupare din domeniul privat, precum si cu partenerii sociali.
In conformitate cu prevederile Legii nr.202/2006, modificata prin OUG nr. 84/2006,
Statutului ANOFM aprobat prin H.G. nr.1610/2006, AJOFM Suceava are urmatoarele
atributii:
 asigura si coordoneaza aplicarea politicilor in domeniul ocuparii si formarii
profesionale;
 organizeaza, presteaza si finanteaza, in conditiile legii, servicii de ocupare si formare
profesionala a fortei de munca neincadrate prin compartimentele de specialitate si prin
prestatorii de servicii;
3
 actioneaza pentru sprijinirea mobilitatii fortei de munca si pentru asigurarea flexibilitatii
functionale a pietei muncii;
 coordoneaza si asigura realizarea prestatiilor pentru infaptuirea politicii de ocupare si
circulatie a fortei de munca pe plan intern si international;
 organizeaza si asigura, prin serviciile de specialitate, informarea, consilierea si
orientarea profesionala a persoanelor aflate in cautarea unui loc de munca in vederea
ocuparii si realizarii echilibrului intre cererea si oferta de forta de munca;
 coordoneaza si realizeaza servicii de preconcediere in situatii de concedieri masive de
personal;
 sustine relatii de parteneriat si cofinantare in crearea de noi locuri de munca, indeosebi
in zonele defavorizate si in cele in care piata muncii este puternic tensionata;
 aplica procedurile adecvate de gestiune previzionala a cererii si a ofertei de munca
conform instructiunilor Agentiei Nationale pentru Ocuparea Fortei de Munca;
 asigura aplicarea masurilor de protectie sociala a persoanelor aflate in cautarea unui loc
de munca, cu respectarea prevederilor legale in vigoare;
 elaboreaza studii si analize in domeniul ocuparii si formarii profesionale;
 face propuneri privind elaborarea proiectului bugetului asigurarilor pentru somaj pentru
activitatile specifice in profil teritorial;
 administreaza bugetul asigurarilor pentru somaj repartizat si prezinta Agentiei Nationale
pentru Ocuparea Fortei de Munca bilantul contabil, contul de executie bugetara si raportul
anual de activitate;
 acrediteaza furnizorii de servicii specializate pentru stimularea ocuparii fortei de munca;
 propune programe de ocupare de nivel local, sau dupa caz, zonal;
 elaboreaza in baza indicatorilor sociali stabiliti programe de activitate anuale, pe care le
supune aprobarii Agentiei Nationale pentru Ocuparea Fortei de Munca si raporteaza
periodic realizarea prevederilor acestora;
 aplica, la nivel judetean, prevederile referitoare la prestatiile de somaj din cadrul
acordurilor bilaterale incheiate de Romania cu alte state in domeniul coordonarii sistemelor
de securitate sociala;
 realizeaza la nivel judetean masurile cuprinse in Planul de implementare la nivel local a
legislatiei armonizate cu acquis-ul comunitar.
4
AJOFM SUCEAVA
STRUCTURA AUDIT PUBLIC INTERN
NR. 150/18.10.2011
ORDIN DE SERVICIU
In conformitate cu: Legea nr. 672/2002 privind auditul public intern, Normele generale
privind exercitarea activitaţii de audit public intern aprobate prin Ordinul M.F.P nr.38/2003,
Normele proprii MMSSF aplicabile si AJOFM aprobate prin Ordinul nr. 27.08.2003 si a
Planului de audit public intern pentru anul 2011, aprobat de conducerea AJOFM Suceava si
inregistrat sub numarul 9677/26.11.2008, se va efectua o misiune de audit public intern
privind Evaluarea fiabilitatii sistemului informatic, in perioada 01.01.2010 – 31.12.2011.
Scopul misiunii de audit este de a da asigurari asupra activitaţii IT de la nivelul
entitaţii publice şi a conformitaţii cu cadrul legislativ şi normativ aplicabil, iar obiectivul
acesteia are in vedere:
 Evaluarea sistemului informatic
Mentionam ca se va efectua un audit de sistem si regularitate al modului de organizare
si functionare a activitatii Compartimentului Informatica.
Perioada desfasurarii auditului : 01.10.2010 – 31.12.2011
Perioada interventiei la fata locului : 15.03.2011 – 10.09.2011
Perioada supusa auditarii : 01.10.2011 – 30.11.2011
Auditor,
5
AJOFM SUCEAVA
DECLARATIA DE INDEPENDENTA
Nume si prenume:
Misiunea de audit: Evaluarea fiabilitatii sistemului informatic Data: 18.10.2011
Incompatibilitaţi in legatura cu entitatea/structura auditata DA NU

Ati avut/aveti vreo relaţie oficiala, financiara sau personala cu cineva care ar putea x
sa va limiteze masura in care puteţi sa va interesaţi, sa descoperiţi sau sa constataţi
slabiciuni de audit in orice fel?
Aveţi idei preconcepute faţa de persoane, grupuri, organizaţii sau obiective care ar x
putea sa va influenţeze in misiunea de audit?
Ati avut/aveti functii sau ati fost/sunteti implicat(a) in ultimii 3 ani intr-un alt mod x
in activitatea entitatii/structurii ce va fi auditata?
Aveti responsabilitati in derularea programelor si proiectelor finantate integral sau x
partial de Uniunea Europeana?
Ati fost implicat in elaborarea si implementarea sistemelor de control ale x
entitatii/structurii ce urmeaza a fi auditata?
Sunteti sot/sotie, ruda sau afin pana la gradul al patrulea inclusiv cu conducatorul x
entitatii/structurii ce va fi auditata sau cu membrii organului de conducere
colectiva?
Aveţi vreo legatura politica, sociala care ar rezulta dintr-o fosta angajare sau x
primirea de redevente de la vreun grup anume, sau organizaţie sau nivel
guvernamental?
Aţi aprobat inainte facturi, ordine de plata, şi alte instrumente de plata pentru x
entitatea/structura ce va fi auditata?
Aţi ţinut anterior contabilitatea la entitatea/structura ce va fi auditata? x
Aveţi vreun interes direct sau unul de fond financiar indirect la entitatea/structura x
ce va fi auditata?
Daca in timpul misiunii de audit, apare orice incomptibilitate personala, externa sau x
organizaţionala care ar putea sa va afecteze abilitatea dvs. de a lucra şi a face
rapoartele de audit imparţiale, notificaţi şeful Compartimentului de audit public
intern de urgenta?
Auditor intern,
6
AJOFM SUCEAVA
NR.200/20.10.2011
NOTIFICAREA PRIVIND DECLANSAREA MISIUNII DE AUDIT INTERN
Catre DIRECTIA MPM

De la STRUCTURA DE AUDIT PUBLIC INTERN
Referitor: Misiunea de audit privind EVALUAREA FIABILITATII SISTEMULUI
INFORMATIC
Stimate: domnule Simion Botezatu
In conformitate cu Planul de audit public intern pentru anul 2011 aprobat de

conducerea AJOFM Suceava si inregistrat sub numarul 9677/26.11.2008 urmeaza ca in
perioada 01.01.2010-31.12.2011 sa se efectueze o misiune de audit public intern cu tema
Evaluarea fiabilitatii sistemului informatic.
Perioada desfasurarii auditului : 01.01.2010 – 31.12.2011

Perioada interventiei la fata locului : 15.03.2011 – 10.09.2011
Perioada supusa auditarii : 01.10.2011 - 30.11.2011
Va vom contacta ulterior pentru a stabili de comun acord o sedinta de deschidere in

vederea discutarii diverselor aspecte ale misiunii de audit, cuprinzand:
-prezentarea principalelor obiective ale misiunii de audit public intern;
-programul interventiei la fata locului;
-scopul misiunii de audit public intern;
-alte aspecte.
Pentru o mai buna intelegere a activitatii dumneavoastra va rugam sa ne puneti la
dispozitie pana la data de 20.10.2011 , urmatoarea documentatie necesara privind activitatea
specifica Compartimentului Informatica :
-manualul de utilizare al aplicatiilor informatice;
-fisa postului persoanelor cu atributii privind activitatile auditate ;
7
-toate procedurile scrise care descriu sarcinile ce trebuie realizate de salariatii cu
atributii privind activitatile auditate ;
-un exemplar al rapoartelor, notelor, proceselor verbale anterioare ,care se refera la
aceasta tema ;
-informari catre conducerea institutiei privind raportarea iregularitatilor (daca este
cazul) ;
Auditorii interni au acces la toate datele si informatiile, inclusiv cele existente in
format electronic, pe care le considera relevante pentru scopul si obiectivele precizate in
ordinul de serviciu.
Personalul de conducere si de executie din structura auditata are obligatia sa ofere
documentele si informatiile solicitate in termenele stabilite, precum si tot sprijinul necesar
desfasurarii in bune conditii a auditului public intern .
Auditorii interni pot solicita date, informatii precum si copii ale documentelor
certificate pentru conformitate, de la persoanele fizice si juridice aflate in legatura cu structura
auditata, iar acestea au obligatia de a le pune la dispozitie la data solicitata.
Constituie contraventii si se sanctioneaza cu amenda refuzul personalului de executie
sau de conducere, implicat in activitatea auditata, de a prezenta documentele solicitate cu
ocazia efectuarii misiunilor de audit public intern, in conformitate cu prevederile art. 16 alin
(4) din Legea 672/2002,actualizata .
Pentru eventualele intrebari privind aceasta acţiune, va rugam sa contactaţi pe
domnisoara......, auditor intern, coordonatorul misiunii .
Cu deosebita consideraţie,
Auditor,
8
AJOFM SUCEAVA
Misiunea de audit intern : Evaluarea fiabilitatii sistemului informatic
Perioada auditata: 01.01.2010 -31.12.2011
Intocmit:
COLECTAREA INFORMATIILOR
COLECTAREA INFORMATIILOR
DA NU OBSERVATII
Identificarea legilor si regulamentelor aplicabile structurii X -
auditate
Obtinerea organigramei X -
Obtinerea Regulamentului de organizare si functionare X -
Obtinerea fiselor posturilor X -
Obtinerea procedurilor scrise si formalizate X -
Identificarea personalului responsabil X -
Identificarea circuitului documentelor X -
Obtinerea Raportului de audit intern anterior X - Nu este cazul
Rapoarte elaborate de alte institutii X - Nu este cazul
AJOFM SUCEAVA
Compartimentul de Audit Public Intern
LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE

Intocmit:
Nr. crt. Obiective Obiecte auditabile Cadrul legislativ Observatii
1. Evaluarea si securitatea sistemului 1. Dotarea tehnica la AJOFM
informatic Suceava
2. Aplicatiile informatice utilizate
la AJOFM Suceava
3. Resursa umana implicata in
exploatarea aplicatiilor
informatice
4. Situaţia licenţelor pentru
programele de calculator
5. Politica de securitate IT
6. Sistemul de prevenire
/detectare a accesarilor si
modificarilor neutorizate ale
bazelor de date
7. Programe antivirus
Lista centralizatoare a obiectelor auditabile reprezinta primul document care se elaboreaza in cadrul procedurii Analiza riscurilor şi
cuprinde 7 obiecte auditabile, structurate pe un obiectiv, care vor fi evaluate in continuare pentru obţinerea Tematicii in detaliu a misiunii de
audit intern.
AJOFM SUCEAVA
IDENTIFICAREA RISCURILOR
Misiunea de audit: Evaluarea fiabilitatii sistemului informatic

Intocmit: Data: 10.10.2011
Nr.
Obiective Obiecte auditabile Riscuri semnificative (identificate) Observaţii
crt.
1. Evaluarea si 1. Dotarea tehnica la AJOFM 1. Inexistenta calculatoarelor necesare bunei
securitatea sistemului Suceava desfasurari a activitatilor zilnice
informatic 2. Calculatoarele existente sunt uzate moral
3. Inexistenta imprimantelor necesare bunei
desfasurari a activitatilor zilnice
4. Imprimantele existente sunt uzate moral
2. Aplicatiile informatice utilizate 5. Aplicatiile existente nu satisfac necesitatile
la AJOFM Suceava utilizatorilor
6. Exista necesitatea utilizatii aplicatiilor
complementare pentru realizarea tuturor atributiilor
de serviciu
7. Aplicatiile utilizate nu avertizeaza utilizatorul in
legatura cu eventualele neconcordante si erori
8. Limitarea accesului la internet

3. Resursa umana implicata in 9. Inexistenţa unui program de instruire al
exploatarea aplicatiilor informatice utilizatorilor
10. Neefectuarea instruirii sistematice a
utilizatorilor subsistemelor IT
11. Neexploatarea integrala a aplicatiilor
informatice de catre utilizatori
4. Situaţia licenţelor pentru 12. Inexistenta licentelor pentru toate programele
programele de calculator de calculator utilizate
13. Disfuncţionalitaţi in procesul de achiziţionare al
licenţelor
5. Politica de securitate IT 14. Inexistenţa politicii de securitate
15. Neaplicarea politicii de securitatea in mod
consecvent
6. Sistemul de prevenire /detectare 16. Accesul in sistemul informatic nu se realizeaza
a accesarilor si modificarilor pe baza unor parole de acces unice
neutorizate ale bazelor de date
17. Nu exista un calendar al modificarii permanente
al paroleleor de acces
18. Nedesemnarea personalului pentru verificarea şi
modificarea periodica a parolelor de acces
7. Programe antivirus 19. Neutilizarea programelor antivirus
20. Neactualizarea permanenta a programelor
antivirus
: NOTA:
Identificarea riscurilor este al doilea document care se elaboreaza in cadrul procedurii Analiza riscurilor şi presupune asocierea
riscurilor semnificative la operaţiile stabilite in Lista centralizatoare a obiectelor auditabile. De regula, se asociaza unul sau mai multe riscuri
teoretice, determinate de auditorii interni din documentele colectate sau din riscurile practice reieşite din propria experienţa. In situaţia in care
la operaţiile auditabile se ataşeaza mai multe riscuri, analiza acestora se va putea realiza pentru fiecare risc in parte sau pe total
operaţie/obiect auditabila.
In acest studiu de caz au fost identificate 7 obiecte auditabile carora le-au fost ataşate 20 de riscuri.
AJOFM SUCEAVA
STABILIREA FACTORILOR DE RISC, A PONDERILOR ŞI NIVELURILOR DE

APRECIERE AL RISCURILOR

Intocmit:
Ponderea
Nivelul de apreciere al riscului (Ni)
Factori de risc factorilor
(Fi) de risc N1 N2 N3
(Pi)
Aprecierea Exista proceduri,
Exista proceduri şi
controlului P1 – 50% sunt cunoscute, Nu exista proceduri
se aplica
intern – F1 dar nu se aplica
Aprecierea Impact financiar Impact financiar Impact financiar

P2 – 30%
cantitativa - F2 scazut normal ridicat
Aprecierea Vulnerabilitate Vulnerabilitate Vulnerabilitate

P3 – 20%
calitativa – F3 mica medie mare
Nota:
Cei trei factori de risc din acest document sunt stabiliţi prin normele generale şi sunt
acoperitori pentru entitate, insa daca dorim sa evidenţiem şi alţi factori de risc, cu nivelurile
de apreciere corespunzatoare, se recomanda sa avem in vedere ca suma ponderilor factorilor
de risc sa fie de asemenea 100.
In funcţie de importanţa şi greutatea factorilor de risc, se stabilesc ponderile şi
nivelurile de apreciere ale riscurilor.
AJOFM SUCEAVA
CHESTIONAR DE LUARE LA CUNOŞTINŢA - CLC

ACTIVITATEA DE AUDIT DA NU OBS.
Obiectivul I. EVALUAREA SI SECURITATEA SISTEMULUI

INFORMATIC
1. Dotarea tehnica la AJOFM Suceava
- Exista calculatoare suficiente pentru buna desfasurare a activitatilor
X Numeric exista
zilnice ?
- Calculatoarele utilizate satisfac necesitatile utilizatorilor ? X X Unii utilizatori
sunt satisfacuti de
tehinca
disponibila insa
majoritatea nu
- Exista imprimante suficiente pentru buna desfasurare a activitailor X Numeric exista
zilnice ?
- Imprimantele existente satisfac necesitatile utilizatorilor ? X X Unii utilizatori
sunt satisfacuti de
tehinca
disponibila insa
majoritatea nu
- Exista consumabile necesare functionarii imprimantelor ? Exista insa nu
suficiente
Lipsa fondurilor
face imposibila
achizitionarea
materialelor
consumabile
necesare
- Dotarile hard si soft ale compartimentului Informatica sunt adecvate Nu
pentru desfasurarea activitatilor specifice ?
2. Aplicatiile informatice utilizate la AJOFM Suceava
- Aplicatiile existente satisfac necesitatile utilizatorilor ? X X In mare parte
aplicatiile
utilizate satisfac
necesitatile
utilizatorilor insa
in unele situatii se
folosesc aplicatii
complementare
- Se utilizeaza aplicatii complementare pentru realizarea tuturor X
atributiilor de serviciu ?
- Au acces la Internet toti salariatii care au nevoie pentru buna X

desfasurare a activitatii zilnice ?
- Au acces la Legis toti salariatii care au nevoie pentru buna X Din cauza
desfasurare a activitatii zilnice ? costurilor
suplimentare
unitatile locale nu
au acces la legis
3. Resursa umana implicata in exploatarea aplicatiilor informatice
-Exista un program de pregatire permanenta al utilizatorilor ? X
-Sunt instruiti sistematic utilizatorii subsistemelor IT ? X
-Sunt utilizate aplicatiile informatice disponibile integral ? Din cauza lipsei
de personal unele
module din
X aplicatiile
informatice nu
sunt exploatate
integral
-Sunt informati sistematic utilizatorii asupra modificarilor survenite in
X
sistemul informatic
4. Situaţia licenţelor pentru aplicaţii
- Exista licenţe pentru toate programele utilizate si neelaborate in cadrul
X
entitaţii publice?
- Se realizeaza periodic o evaluare a necesarului de licenţe? X
5. Exista o politica de securitate IT?
Exista o politica privind securitatea informaţiei? Nu exista o
politica de
securitate proprie
AJOFM Suceava
X
insa exista o
politica de
securitate la
nivelul ANOFM
Este politica de securitate IT aprobata de conducerea institutiei ? X
Exista persoane responsabile cu monitorizarea respectarii politicii? X
Politica defineşte securitatea informaţiei şi principiile de securitate care
X
trebuie urmate de catre personal?
Securitatea informaţiei impune:
- Realizarea unei analize de risc in mod regulat
- Desemnarea unui responsabil cu instalarea computerelor şi/sau
sistemelor
- Ca personalul sa fie conştient cu privire la siguranţa informaţiei
- Respectarea licenţelor pentru programe, şi a obligaţiilor legale, X
reglementare şi contractuale X
- Protejarea informaţiei in termenii cerinţelor acestora de confidenţialitate,
integritate şi disponibilitate?
Politica de securitate interzice: X
- utilizarea informaţiilor şi sistemelor organizaţiei fara autorizaţie şi X
pentru scopuri care nu au legatura cu munca X
- afirmaţiile cu conotaţii obscene, discriminatorii sau abuzive, care pot fi X
ilegale (ex prin utilizarea e-mail sau Internet)

- descarcarea unor materiale ilegale (ex cu conţinut obscen sau X
discriminatoriu) X
- scoaterea informaţiei sau echipamentelor din sediu fara autorizare X
- utilizarea neautorizata a informaţiei, infrastucturii sau echipamentelor X
- copierea neautorizata a informaţiei/programelor X
- compromiterea parolelor (ex prin notarea lor pe documente lasate pe X
birou sau divulgarea lor catre alte persoane) X
- utilizarea informaţiilor prin care pot fi identificate persoane in scopuri X
de afaceri şi fara autorizare expresa X
- discutarea informaţiilor legate de afaceri in locuri publice X
- falsificarea probelor in cazul unui incident
Politica de securitate a informaţiei specifica faptul ca utilizatorii sunt
obligaţi:
- sa inchida mijloacele sau documentaţia importanta cand nu sunt utilizate
(adica se respecta politica ‘mesei de lucru curate’) X
- sa iasa din sistem atunci cand un terminal urmeaza sa fie lasat
X
nesupravegheat (ex in timpul unor intalniri, a pauzei de masa, sau pe
timpul nopţii)?
Politica de securitate a informaţiei este:
- comunicata intregului personal X
- revizuita periodic conform unui proces de revizuire definit X
- completata prin asimilarea modificarilor aparute? X
Politica de securitate a informaţiei specifica faptul ca acţiuni disciplinare Legislatia in
pot fi luate impotriva persoanelor care incalca prevederile sale? X
vigoare
6.1 Este stabilita raspunderea pentru monitorizarea implementarii
politicii?
- Exista o persoana desemnata cu monitorizarea implementarii politicii ? X
6.2 Exista instrumente de control fizice aplicate mediului IT?
- Este accesul fizic restricţionat la sistemele de calculatoare prin:
- Incuierea uşilor/ferestrelor atunci cand mediul este eliberat X
- Instalarea de alarme impotriva efracţiei X
- Angajarea de personal de paza ? X
- Sunt echipamentele şi facilitaţile critice protejate prin situarea lor in afara
zonelor de acces public şi prin pastrarea confidenţialitaţii detaliilor cu X
privire la acestea?
- Este accesul fizic in camerele care adapostesc echipamente restrictionat X
6.3 Comunicaţiile de date in format electronic sunt sigure?

- Administratorii de reţea primesc instruire adecvata şi potrivita cu
X
privire la siguranţa şi controlul reţelei ?
- Este activitatea in reţea monitorizata pentru a se asigura ca securitatea
X
transferului de date nu a fost afectata ?
- Este utilizarea reţelei monitorizata pentru a verifica conexiunile
neautorizate la reţea şi echipamentele care funcţioneaza (sau sunt X
utilizate) in mod incorect?
- Este codificarea utilizata pentru a preveni accesul neautorizat la datele
X
transmise prin reţea?
- Sunt reţelele proiectate şi construite pentru a mari la maximum
X
eficienţa traficului de date?
- Sunt programele de administrare a reţelei şi fişierele de date de pe

fiecare server de date şi echipament al reţelei salvate pentru siguranţa X
in mod regulat şi copii ale acestora pastrate in locuri sigure?
- Este accesul fizic la domeniile critice ale reţelei (ex. centrele de
operare a reţelei, camerele echipamentelor, camerele de echipamente, X
firewalls) restricţionat numai la personalul autorizat.
- Sunt zonele critice, cum ar fi centrele de operare a reţelei şi camerele
care adapostesc echipamente importante ale reţelei (inclusiv cele aflate
la distanţa), protejate impotriva:
- Riscurilor naturale, cum ar fi incendiul şi inundaţiile
X
- Penelor de curent (ex. prin utilizarea unor surse de curent
permanente şi a acumulatorilor)
- Accesului neautorizat (ex. prin instalarea de incuietori la uşi şi a
jaluzelelor la ferestre).
- Sunt cablurile de comunicaţii protejate prin intermediul: ascunderii
sistemului, tevilor, puncte de inspecţie/inchidere incuiate, alimentare şi X
rutare alternative, evitarea rutelor prin spaţii accesibile publicului?
-Exista informaţii suficiente inregistrate pentru a identifica: Nume de
utilizator individuale, programe speciale şi informaţii accesate data/ora
accesarii, caile de acces (inclusiv calculatoare/porturi de la care a fost
X
obţinut accesul), modele de acces pentru a permite urmarirea tranzacţiilor
sau activitatea unui anumit utilizator schimbarea parametrilor de
inregistrare in sistem
-Sunt inregistrarile pastrate in timp pentru a putea fi utilizate in caz de
X
necesitate ?
7. Exista un program antivirus?
- Se utilizeaza programe antivirus care sunt actualizate permanent ?? X
- Este programul de protecţie impotriva viruşilor configurat pentru a:
 scana memoria calculatoarelor, fişierele executabile (inclusiv X
fişierele macro de pe programul desktop), fişierele protejate
(ex. fişierele comprimate şi cele protejate de parole) şi mediile
de inmagazinare amovibile
 scana traficul de date (intrare/ieşire) inclusiv e-mail şi X
descarcarea de fişiere de pe Internet)
 fi activ permanent X
 emite o alerta atunci cand este suspectat un virus X
 dezinfecta, şterge sau pune in carantina viruşii identificaţi X
 asigura ca nu pot fi dezactivate caracteristicile de protecţie X
impotriva viruşilor şi nu poate fi redusa funcţionalitatea
principala.
- Se efectueaza verificari regulate pentru a asigura ca:
 Programul de protecţie impotriva viruşilor nu a fost dezafectat
X
 Configurarea programului de protecţie impotriva viruşilor este
X
corecta
 Au fost aplicate efectiv toate actualizarile.
X
- Sunt utilizatorii:
- avertizaţi cu privire la pericolul reprezentat de viruşi X
- atenţionaţi rapid cu privire la noi riscuri de virusare (ex. prin X
e-mail)
- indrumaţi sa raporteze atacuri suspectate sau reale ale unor X
viruşi catre un singur punct de contact şi asistenţa

Nota:
Chestionarul de luare la cunoştinţa se adreseaza nivelului general de management si
managementului de linie, in vederea aprecierii riscurilor operaţiilor supuse auditarii, cu scopul
de a evalua prin intrebarile formulate si raspunsurile primite existenta si funcţionalitatea
controalelor interne din cadrul entitaţii.
AJOFM SUCEAVA
STABILIREA NIVELULUI RISCULUI ŞI A PUNCTAJULUI TOTAL AL RISCULUI

Intocmit:
NR. DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE Criterii de analiza a riscurilor Punctaj
total
CRT
Aprecierea Aprecierea Aprecierea
controlului cantitativa calitativa
intern (F1) (F2) (F3)
P1 N1 P2 N2 P3 N3
50% 30% 20%
1. Evaluarea si 1. Dotarea tehnica la Inexistenta calculatoarelor necesare 0,5 2 0,3 2 0,2 2 2,0
securitatea AJOFM Suceava bunei desfasurari a activitatilor zilnice
sistemului Calculatoarele existente sunt uzate 0,5 3 0,3 3 0,2 1 2,6
informatic moral
Inexistenta imprimantelor necesare 0,5 2 0,3 2 0,2 2 2,0
bunei desfasurari a activitatilor zilnice
Imprimantele existente sunt uzate moral 0,5 3 0,3 3 0,2 1 2,6
2. Aplicatiile informatice Aplicatiile existente nu satisfac 0,5 3 0,3 3 0,2 1 2,6
utilizate la AJOFM Suceava necesitatile utilizatorilor
Exista necesitatea utilizatii aplicatiilor 0,5 3 0,3 3 0,2 1 2,6
complementare pentru realizarea tuturor
atributiilor de serviciu
Aplicatiile utilizate nu avertizeaza 0,5 3 0,3 3 0,2 1 2,6
utilizatorul in legatura cu eventualele
neconcordante si erori
Limitarea accesului la internet 0,5 3 0,3 1 0,2 1 2,0
Inexistenţa unui program de instruire al 0,5 3 0,3 2 0,2 1 2,3
utilizatorilor
NR. DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE Criterii de analiza a riscurilor Punctaj
total
CRT
Aprecierea Aprecierea Aprecierea
controlului cantitativa calitativa
intern (F1) (F2) (F3)
P1 N1 P2 N2 P3 N3
50% 30% 20%
3. Resursa umana implicata Neefectuarea instruirii sistematice a 0,5 3 0,3 2 0,2 1 2,3
in exploatarea aplicatiilor utilizatorilor subsistemelor IT
informatice Neexploatarea integrala a aplicatiilor 0,5 3 0,3 2 0,2 1 2,3
4. Situaţia licenţelor pentru Inexistenta licentelor pentru toate 0,5 3 0,3 3 0,2 1 2,6
programele de calculator programele de calculator utilizate
Disfuncţionalitaţi in procesul de 0,5 3 0,3 2 0,2 1 2,3
achiziţionare al licenţelor
5. Politica de securitate IT Inexistenţa politicii de securitate 0,5 2 0,3 3 0,2 2 2,3
Neaplicarea politicii de securitatea in 0,5 2 0,3 2 0,2 3 2,2
mod consecvent
6. Sistemul de prevenire Accesul in sistemul informatic nu se 0,5 3 0,3 2 0,2 3 2,7
/detectare a accesarilor si realizeaza pe baza unor parole de acces
modificarilor neutorizate ale unice
bazelor de date Nu exista un calendar al modificarii 0,5 2 0,3 2 0,2 2 2,0
permanente al paroleleor de acces
Nedesemnarea personalului pentru 0,5 3 0,3 1 0,2 3 2,4
verificarea şi modificarea periodica a
parolelor de acces
7. Programe antivirus Neutilizarea programelor antivirus 0,5 3 0,3 2 0,2 3 2,7
Neactualizarea permanenta a 0,5 3 0,3 1 0,2 3 2,4
programelor antivirus
NOTA:
Stabilirea nivelului riscului şi a punctajului total al riscului este documentul din procedura Analiza riscurilor in care auditorul
evalueaza riscurile pe baza informaţiilor şi documentelor, in posesia carora a intrat pana in acest moment, a Chestionarului de Luare la
Cunoştinţa - CLC, pe care l-a obţinut de la managementul general şi managementul de linie al structurii auditate, dar şi a expertizei
personale in domeniu şi a informaţiilor din mass-media sau de pe internet. De asemenea, auditorii interni, in funcţie de resursele alocate
misiunii (numar de persoane, timpul aferent ş.a.), stabilesc punctajul total al riscurilor operaţiei/activitaţii respective, in baza formulei de
calcul:
n unde:
Pt   N i  Pi Pt = punctajul total;
i 1
N i = nivelul riscurilor pentru fiecare criteriu utilizat;
Pi = ponderea criteriilor de risc
Pentru continuarea analizei, grupeaza riscurile in urmatoarele trei categorii:

 Riscuri mici 1,0 - 1,7
 Riscuri medii 1,8 - 2,2
 Riscuri mari 2,3 - 3,0
Elaborarea acestui document prezinta un grad relativ mare de subiectivitate şi din acest motiv auditorii interni aduc imbunataţiri
acestei lucrari, pe toata durata misiunii de audit, in special in Etapa intervenţiei la faţa locului in funcţie de informaţiile pe care le
colecteaza cu ocazia testarilor efectuate.
Din experienţa practica, recomandam ca ponderea riscurilor medii sa fie sub 10%, deoarece aceasta denota o nehotarare din partea
auditorilor interni, referitoare la categoria de riscuri in care sa le includa, luand in considerare ca in auditare vor intra, de regula, riscurile
mari şi medii, considerate riscuri semnificative.
AJOFM SUCEAVA
CLASAREA OBIECTELOR AUDITABILE (OPERAŢIILOR) IN FUNCŢIE DE ANALIZA RISCULUI

Intocmit:. Data: 10.10.2011
NR. DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE PUNCTAJ CLASARE OBS.

CRT TOTAL
1. Evaluarea si 1. Dotarea tehnica la 1. Inexistenta calculatoarelor necesare bunei 2,0 Mediu

securitatea AJOFM Suceava desfasurari a activitatilor zilnice
sistemului 2. Calculatoarele existente sunt uzate moral 2,6 Mare
informatic 3. Inexistenta imprimantelor necesare bunei 2,0 Mediu
4. Imprimantele existente sunt uzate moral 2,6 Mare
2. Aplicatiile informatice 5. Aplicatiile existente nu satisfac necesitatile 2,6 Mare
utilizate la AJOFM Suceava utilizatorilor
6. Exista necesitatea utilizatii aplicatiilor 2,6 Mare
complementare pentru realizarea tuturor atributiilor
de serviciu
7. Aplicatiile utilizate nu avertizeaza utilizatorul in 2,6 Mare
8. Limitarea accesului la internet 2,0 Mediu
9. Inexistenţa unui program de instruire al 2,3 Mare
utilizatorilor
NR. DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE PUNCTAJ CLASARE OBS.
CRT TOTAL
3. Resursa umana implicata 10. Neefectuarea instruirii sistematice a utilizatorilor 2,3 Mare
in exploatarea aplicatiilor subsistemelor IT
informatice 11. Neexploatarea integrala a aplicatiilor informatice 2,3 Mare
de catre utilizatori
4. Situaţia licenţelor pentru 12. Inexistenta licentelor pentru toate programele de 2,6 Mare
programele de calculator calculator utilizate
13. Disfuncţionalitaţi in procesul de achiziţionare al 2,3 Mare
licenţelor
5.Politica de securitate IT 14. Inexistenţa politicii de securitate 2,3 Mare
15. Neaplicarea politicii de securitatea in mod 2,2 Mediu
consecvent
6. Sistemul de prevenire 16. Accesul in sistemul informatic nu se realizeaza pe 2,7 Mare
/detectare a accesarilor si baza unor parole de acces unice
modificarilor neutorizate ale 17. Nu exista un calendar al modificarii permanente 2,0 Mediu
bazelor de date al paroleleor de acces
18. Nedesemnarea personalului pentru verificarea şi 2,4 Mare
7. Programe antivirus 19. Neutilizarea programelor antivirus 2,7 Mare
20. Neactualizarea permanenta a programelor 2,4 Mare
antivirus
Nota:
In documentul Clasarea operaţiilor in funcţie de analiza riscurilor se realizeaza imparţirea celor 20 de riscuri, grupate pe cele 7
obiecte auditabile şi 1 obiectiv, in 3 categorii de riscuri, mici, medii şi mari, stabilite in fazele anterioare ale procedurii Analiza riscurilor.
In continuare, riscurile mici vor fi eliminate din auditare, iar riscurile mari şi medii, considerate riscuri semnificative, vor intra in faza de
ierarhizare a riscurilor şi vor fi preluate in Tabelul puncte tari şi puncte slabe.
AJOFM SUCEAVA
TABELUL PUNCTE TARI /PUNCTE SLABE

Perioada
Data: 10.10.2011
Nr. Domeniul Obiecte auditabile Riscuri semnificative T/S Consecintele Grad de OBS
Crt. functionarii/ne increder .
functionarii e
controlului al
intern auditorul
ui
in
controlul
intern
1. Evaluarea si 1. Dotarea tehnica la 1.Inexistenta calculatoarelor necesare bunei S Exista numeric Mediu
securitatea AJOFM Suceava desfasurari a activitatilor zilnice dar uzate fizic si
sistemului moral
informatic 2.Calculatoarele existente sunt uzate moral S Mediu
3.Inexistenta imprimantelor necesare bunei S Exista numeric Mediu
desfasurari a activitatilor zilnice dar uzate fizic si
moral
4.Imprimantele existente sunt uzate moral S Mediu
2. Aplicatiile informatice 5.Aplicatiile existente nu satisfac necesitatile S Unele aplicatii Scazut
utilizate la AJOFM Suceava utilizatorilor satisfac
necesitatile
utilizatorilor
6.Exista necesitatea utilizatii aplicatiilor S Scazut
complementare pentru realizarea tuturor
atributiilor de serviciu
functionarii e
controlului al
intern auditorul
ui
in
controlul
intern
7.Aplicatiile utilizate nu avertizeaza utilizatorul S Daca Scazut
in legatura cu eventualele neconcordante si erori informatiile
sunt introduse
corect
aplicatiile
avertizeaza
8.Limitarea accesului la internet S Scazut
3.Resursa umana implicata 9.Inexistenţa unui program de instruire al T Din lipsa Ridicat
in exploatarea aplicatiilor utilizatorilor banilor nu se
informatice realizeaza
10.Neefectuarea instruirii sistematice a S Scazut
utilizatorilor subsistemelor IT
11.Neexploatarea integrala a aplicatiilor S Scazut
4. Situaţia licenţelor pentru 12.Inexistenta licentelor pentru toate programele S Exista licente
programele de calculator de calculator utilizate dar nu pentru
toate statiile de
lucru
13.Disfuncţionalitaţi in procesul de achiziţionare S Scazut
al licenţelor
5. Politica de securitate IT 14.Inexistenţa politicii de securitate S Scazut
15.Neaplicarea politicii de securitatea in mod S Scazut
consecvent
functionarii e
controlului al
intern auditorul
ui
in
controlul
intern
6. Sistemul de prevenire 16.Accesul in sistemul informatic nu se realizeaza S Scazut
/detectare a accesarilor si pe baza unor parole de acces unice
modificarilor neutorizate ale 17.Nu exista un calendar al modificarii S Scazut
bazelor de date permanente al paroleleor de acces
18.Nedesemnarea personalului pentru verificarea S Scazut
şi modificarea periodica a parolelor de acces
7. Programe antivirus 19.Neutilizarea programelor antivirus T Mediu
20.Neactualizarea permanenta a programelor T Mediu
antivirus
Nota: In faza de ierarhizare a operaţiilor in funcţie de riscuri, in care au intrat numai riscurile semnificative, a fost elaborat documentul
Tabelul puncte tari şi puncte slabe.
Evaluarea operaţiilor identificate ca fiind puncte tari s-a realizat prin aprecierea funcţionalitaţii sistemului de control intern al
activitaţilor auditate, care astfel limiteaza efectul riscurilor asociate acestora. In urma operaţiei de ierarhizare, au fost preluate spre auditare in
continuare obiectivele şi obiectele auditabile considerate ca fiind puncte slabe, in documentul Tematica in detaliu a misiunii de audit intern,
care vor fi renumerotate şi ulterior va fi stabilita corespondenţa acestora cu paragrafele din Raportul de audit intern
AJOFM SUCEAVA
TEMATICA IN DETALIU A MISIUNII DE AUDIT INTERN

Perioada auditata: 01.01.2010.-31.12.2011
Nr. Obiective
Poziţia
crt. Obiecte auditabile selectate
In RAI
1. Evaluarea si 1. Dotarea tehnica la AJOFM 1. Inexistenta calculatoarelor necesare bunei desfasurari a
1.1.1.
securitatea Suceava activitatilor zilnice
sistemului 2. Calculatoarele existente sunt uzate moral 1.1.2.
informatic 3.Inexistenta imprimantelor necesare bunei desfasurari a
1.1.3.
activitatilor zilnice
4.Imprimantele existente sunt uzate moral 1.1.4.
2. Aplicatiile informatice 5.Aplicatiile existente nu satisfac necesitatile utilizatorilor 1.2.1.
utilizate la AJOFM Suceava 6.Exista necesitatea utilizatii aplicatiilor complementare
1.2.2.
pentru realizarea tuturor atributiilor de serviciu
7.Aplicatiile utilizate nu avertizeaza utilizatorul in
1.2.3.
8.Limitarea accesului la internet 1.2.4.
3.Resursa umana implicata in 9.Neefectuarea instruirii sistematice a utilizatorilor
1.3.2.
exploatarea aplicatiilor subsistemelor IT
informatice 10.Neexploatarea integrala a aplicatiilor informatice de
1.3.3.
catre utilizatori
4. Situaţia licenţelor pentru 11.Inexistenta licentelor pentru toate programele de
1.4.1.
programele de calculator calculator utilizate
12.Disfuncţionalitaţi in procesul de achiziţionare al 1.4.2.
licenţelor
Nr. Obiective
Poziţia
crt. Obiecte auditabile selectate
In RAI
5. Politica de securitate IT 13.Inexistenţa politicii de securitate 1.5.1.
14.Neaplicarea politicii de securitatea in mod consecvent 1.5.2.
6. Sistemul de prevenire 15.Accesul in sistemul informatic nu se realizeaza pe baza
1.6.1.
/detectare a accesarilor si unor parole de acces unice
modificarilor neutorizate ale 16.Nu exista un calendar al modificarii permanente al 1.6.2.
bazelor de date paroleleor de acces
17.Nedesemnarea personalului pentru verificarea şi 1.6.3.
Nota: Analiza riscurilor a pornit de la documentele Lista centralizatoare a obiectelor auditabile, care a cuprins 1 obiectiv structurat pe 7 obiecte
auditabile şi Identificarea riscurilor, prin care s-au ataşat 20 de riscuri la aceste obiecte auditabile şi s-a finalizat cu Tematica in detaliu a
misiunii de audit intern in urma careia au fost selectate in vederea auditarii 1 obiectiv, 6 obiecte auditabile şi 17 riscuri asociate acestora. In
continuare, cele 17 riscuri au fost inlocuite cu obiectele auditabile selectate (operaţii / activitaţi / funcţii programe / domenii) corespunzatoare
riscurilor semnificative, in vederea efectuarii testarilor, pe baza Programului intervenţiei la faţa locului, şi care se vor materializa in FIAP-uri şi
FCRI-uri, acolo unde este cazul, şi in final vor fi transferate şi comentate in Raportul de audit intern, in ordinea din Tematica in detaliu a
misiunii de audit intern.
AJOFM SUCEAVA
PROGRAMUL DE AUDIT INTERN

LOCUL
DURATA PERSOANELE
OBIECTIVELE AUDITULUI ACTIVITAŢILE PROGRAMATE DESFAŞUR-
(H) IMPLICATE
ARII
Tema generala: Evaluarea fiabilitatii sistemului informatic 328
1.PREGATIREA MISIUNII DE AUDIT 96

1.Tiparirea şi procesarea Ordinului de serviciu 2 Popescu Lucica. CAPI
2.Tiparirea şi procesarea Declaraţiei de independenţa 2 Popescu Lucica. CAPI
3.Pregatirea şi transmiterea Notificarii privind 4 Popescu Lucica. CAPI
declanşarea misiunii de audit intern catre parţile
interesate
4.Colectarea şi prelucrarea informaţiilor 16 Popescu Lucica. CAPI
AUDITAT
5.Intocmirea si procesarea Listei centralizatoare a 16 Popescu Lucica. CAPI
obiectelor auditabile
6.Intocmirea si procesarea documentului Identificarea 8 Popescu Lucica. CAPI
riscurilor
7.Intocmirea si procesarea documentului Clasarea 8 Popescu Lucica. CAPI
operatiilor in functie de analiza riscului
LOCUL
DURATA PERSOANELE
(H) IMPLICATE
ARII
8.Intocmirea si procesarea documentului Stabilirea 8 Popescu Lucica. CAPI
nivelului riscului si a punctajului total al riscului
9.Intocmirea si procesarea Tabelului puncte tari şi 8 Popescu Lucica. CAPI
puncte slabe
10.Intocmirea si procesarea Tematicii in detaliu 4 Popescu Lucica. CAPI
11.Intocmirea Programului de audit intern 8 Popescu Lucica. CAPI
12.Intocmirea Notei şi a Programului intervenţiei la faţa 8 Popescu Lucica. CAPI
locului
13.Planificarea şi organizarea Şedinţei de deschidere 2 Popescu Lucica. CAPI
AUDITAT
14.Redactarea Minutei şedinţei de deschidere 2 Popescu Lucica. AUDITAT
2. INTERVENŢIA LA FAŢA LOCULUI 116
OBIECTIVUL I 1. Efectuarea testarilor Popescu Lucica. AUDITAT

Evaluarea si securitatea sistemului 2. Discutarea constatarilor CAPI
informatic
3. Elaborare FIAP - urilor
4. Colectarea dovezilor
5. Revizuirea documentelor de lucru din punct de
vedere al conţinutului şi al formei
3. RAPORTUL DE AUDIT INTERN 108
18. Redactarea proiectului de Raport de audit intern 40 Popescu Lucica. CAPI
19. Revizuirea Raportului de audit intern 24 Popescu Lucica. CAPI
20. Obţinerea proiectului de Raport de audit intern 4 Popescu Lucica. CAPI
aprobat de conducere
21. Transmiterea proiectului de Raport de audit intern la 4 Popescu Lucica. CAPI
auditat şi solicitarea de raspuns in 15 zile
LOCUL
DURATA PERSOANELE
(H) IMPLICATE
ARII
22. Planificarea şi organizarea Reuniunii de conciliere, 4 Popescu Lucica. AUDITAT
daca este cazul
23. Includerea in Raportul de audit intern a aspectelor 4 Popescu Lucica. CAPI
reţinute din punct de vedere al auditatului
24. Finalizarea Raportului de audit intern 16 Popescu Lucica. CAPI
25. Obţinerea Raportului de audit intern aprobat de 4 Popescu Lucica. CAPI
conducerea instituţiei
26. Transmiterea recomandarilor aprobate catre auditat 8 Popescu Lucica. CAPI
IV. URMARIREA RECOMANDARILOR 8 Popescu
Lucica.
27. Intocmirea Fisei de urmarire a recomandarilor 8 Popescu Lucica. CAPI
Nota: Programul de audit intern este documentul prin care repartizam resursele de audit respectiv, imparţim intre membri echipei de
auditori activitaţile pe care le vor desfaşura pentru realizarea misiunii si repartizam timpul pentru parcurgerea etapelor si procedurilor
specifice in vederea incadrarii in perioadele afectate prin Planul de audit intern.
AJOFM SUCEAVA
PROGRAMUL INTERVENŢIEI LA FAŢA LOCUL

Intocmit:. Data: 13.10.2011
Obiectivul I. Evaluarea si securitatea sistemului informatic

Nr.
OBIECTE AUDITABILE TIPUL TESTARII Locul Durata (h) Nr. test Nr. lista verificare Auditori
crt.
1. Dotarea tehnica la AJOFM Verificare CAPI 16
Suceava Analiza CIT
Chestionar Directii
Iordache Lacramioara.
Interviu Agentii
locale
2. Aplicatiile informatice Verificare CAPI 16 Iordache Lacramioara

utilizate la AJOFM Analiza CIT
Suceava Interviu Directii
Chestionar Agentii
locale
3. Resursa umana implicata Verificare CAPI 8 Iordache Lacramioara
in exploatarea aplicatiilor Analiza CIT
informatice Interviu Directii
Chestionar Agentii
locale
Obiectivul I. Evaluarea si securitatea sistemului informatic
Nr.
OBIECTE AUDITABILE TIPUL TESTARII Locul Durata (h) Nr. test Nr. lista verificare Auditori
crt.
4. Situaţia licenţelor pentru Verificare CIT 8 Iordache Lacramioara
programele de calculator Observare fizica
Analiza
Chestionar
5. Politica de securitate IT Verificare CIT 16 Iordache Lacramioara

Observare fizica
Analiza
Chestionar
6. Sistemul de prevenire Analiza CIT 16 Iordache Lacramioara

/detectare a accesarilor si Interviu
modificarilor neutorizate Chestionar
ale bazelor de date
7. Programe antivirus Analiza CIT 8 Iordache Lacramioara
Interviu Directii
Chestionar Agentii
locale
Auditor intern,
Popescu Lucica.
AJOFM SUCEAVA
MINUTA ŞEDINŢEI DE DESCHIDERE

A. Lista participanţilor:
Direcţia/ Nr. E- Semnatur
Numele Funcţia
Serviciul telefon mail a
Popescu Lucica. Auditor Structura Audit
Compartiment
Alina Tudosa Consilier
Informatica
Simion Botezatu Director adj Directia MPM
B. Stenograma sedintei
In cadrul sedintei de deschidere s-a procedat la :
-Prezentarea auditorului care urmeaza sa efectueze misiunea de audit;
-Prezentarea Cartei Auditorului;
-Prezentarea obiectivelor generale ale auditului intern, semnificatia auditului intern;
-Baza legala de desfasurare a misiunii de audit public intern: Ordinul de serviciu
nr.150/27.02.2009 aprobat de conducerea AFOFM Suceava;
-Perioada de interventie la fata locului: 01.01.2011-30.11.2011;
-Perioada cuprinsa in verificare: 01.10.2011-30.11.2011;
-Tema misiunii de audit: Evaluarea fiabilitatii sistemului informatic;
-Scopul misiunii de audit este de a evalua calitatea si eficienta cu care la nivelul
compartimentelor sunt organizate, conduse si finalizate, activitatile si actiunile specifice.
-Auditul va viza urmatoarele obiective si sub-obiective:
-Organizarea şi funcţionarea Compartimentului Informatica;
-Evaluarea sistemului informatic :
-dotarea tehnica ( hard) la nivelul AJOFM Suceava;
-aplicatiile informatice utilizate la nivelul AJOFM Suceava;
-resursa umana implicata in exploatarea aplicatiilor informatice.
-Securitatea sistemului informatic.
In incheierea sedintei de deschidere, conducerea AJOFM SUCEAVA precum si
reprezentantii structurii auditate si-au exprimat competenta si responsabilitatea de a asigura
toate conditiile necesare desfasurarii optime a misiunii.
Auditori interni, Auditati,

LISTA DE VERIFICARE NR. 1
Obiectivul I.Evaluarea fiabilitatii sistemului informatic
Nr. crt. ACTIVITATEA DE AUDIT DA NU OBS.

1. Dotarea tehnica la AJOFM Suceava :
-verificati existenta calculatoarelor necesare desfasurarii in bune X
conditii a activitatilor zilnice
-verificati daca calculatoarele utilizate in cadrul compartimentelor X
institutiei nu sunt uzate moral
-verificati existenta echipamentelor auxiliare necesare bunei X
-verificati daca echipamentele auxiliare existente si utilizate in X
cadrul institutiei nu sunt uzate moral
-verificati daca exista materialele consumabile ( cartuse , tonnere ) X
nececesare bunei desfasurari a activitatilor zilnice
2. Aplicatiile informatice utilizate la AJOFM Suceava :
-verificati aplicatiile existente satisfac necesitatile utilizatorului X
-verificati daca se utilizeaza aplicatii complementare pentru X
realizarea tuturor atributiilor de serviciu
-verificati daca aplicatiile utilizate avertizeaza utilizatorul in X
-verificati daca toti utilizatorii au acces la Legis X
-verificati daca toti utilizatorii au acces la internet X
3. Resursa umana implicata in exploatarea aplicatiilor
informatice :
-verificati daca exista un program de instruire al utilizatorilor X
-verificati daca salariatii AJOFM Suceava au urmat cursul ECDL X
-verificati daca utilizatorii sunt instruiti sistematic in legatura cu X
exploatarea aplicatiilor informatice
-verificati daca aplicatiile informatice sunt exploatate integral de X
catre utilizatori
-verificati daca utilizatorii sunt informati in legatura cu X
modificarile survenite in aplicatiile informatice
4. Situatia licentelor pentru programele de calculator
-verificati existenta licentelor pentru toate programele de X
calculator utilizate
-verificati daca exista disfuncţionalitaţi in procesul de X
achiziţionare al licenţelor
5. Politica de securitate IT X
-verificaţi existenţa politicii de securitate IT X Nu este
cazul
-verificaţi actualizarea politicii de securitate IT Nu este
X
cazul
6. Sistemul de prevenire /detectare a accesarilor si modificarilor
neutorizate ale bazelor de date
Monitorizarea implementarii politicii de securitate IT X Nu este
Nr. crt. ACTIVITATEA DE AUDIT DA NU OBS.
cazul
Verificaţi desemnarea unui responsabil cu monitorizarea Nu este
implementarii politicii de securitate IT X cazul
Evaluarea controalelor fizice in domeniul IT

a. Verificaţi efectuarea controalelor fizice conform procedurilor X
b. Verificaţi existenţa surselor alternative de energie electrica X
c. Verificaţi realizarea sistematica a serviciilor de mentenanţa X
d. Verificaţi restricţionarea accesul la servere-le IT numai al
persoanelor autorizate, ţinand cont de pericolul deteriorarii acestor X
echipamentelor IT sau al datelor critice pe care le proceseaza;
e. Verificaţi dotarea camerelor in care se afla servere-le cu
X
echipamente adecvate, astfel:
- camere de supraveghere care acopera zona de intrare in camera
serverului monitorizate permanent de serviciul ce asigura paza X
cladirii;
- senzori de mişcare; X
- sistem de alarma in caz de incendiu; X
- sistem de stingere a incendiilor; X
- echipamente de aer condiţionat; X
- uşi neinflamabile echipate cu incuietori adecvate. X
Siguranţa accesului la reţea şi a comunicarii datelor in reţea X
Verificati daca accesul in sistemul informatic se realizeaza pe
X
baza unor parole de acces unice
Verificati daca exista un calendar al modificarii permanente al
parolelor de acces X
Verificati daca exista o persoana desemnata cu verificarea si

X
7. Programele anti-virus
Verificaţi implementarea programelor anti-virus conform
X
procedurilor:
instalarea unui program anti-virus adecvat necesitaţilor
X
utilizatorilor staţiilor de lucru;
programul anti-virus sa verifice staţia de lucru la pornire; X
programul anti-virus sa monitorizeze toate programele şi
aplicaţiile active, mesajele primite şi sa verifice automat X
actualizarile la intervale regulate (zilnic);
programul anti-virus sa se actualizeze in reţea, astfel incat sa
protejeze eficient datele electronice impotriva viruşilor nou- X
aparuţi
Monitorizarea sistematica a funcţionalitaţii programelor anti-virus X
Verificaţi sistemul de actualizare a programelor anti-virus X
Data: Auditor intern,
20.11.2011
AJOFM SUCEAVA
Intocmit:
Interviu
Obiectiv nr. 1 Evaluarea si securitatea sistemului informatic
Adresat D-nei Alina Tudosa –consilier superior
Nr. Intrebari Da Nu Obs.

crt.
1. Dotarea tehnica la AJOFM Suceava :
Este asigurat numarul de calculatoare necesar desfasurarii in X
bune conditii a activitatilor zilnice ?
Calculatoarele utilizate in cadrul compartimentelor institutiei X O mare parte
satisfac necesitatile utilizatorilor ( opeartivitate ) ? din
calculatoare
sunt uzate fizic
si moral
Este asigurat numarul echipamentelor auxiliare necesare X
bunei desfasurari a activitatilor zilnice ?
Echipamentele auxiliare existente si utilizate in cadrul X Se utilizeaza
institutiei satisfac necesitatile utilizatorilor ? imprimante
vechi , de viteza
redusa , care
permit listarea
unui numar
relativ mic de
pagini la o
incarcare a
tonerului
Este asigurat necesarul de materiale consumabile ( cartuse , X Din lipsa
tonnere ) pentru buna desfasurare a activitatilor zilnice ? fondurilor nu s-
au achizitionat
materialele
consumabile
necesare
desfasurarii
activitatilor
zilnice
Exista o analiza privind necesarul de hard si soft necesare X
bunei desfasurari a activitatilor zilnice ?
2. Aplicatiile informatice utilizate la AJOFM Suceava :
Aplicatiile existente satisfac necesitatile utilizatorului ? X In mare parte
Se utilizeaza aplicatii complementare pentru realizarea tuturor X Exista aplicatii
atributiilor de serviciu ? ( In cazul in care raspunsul este complementare
afirmativ va rugam sa detaliati ) datorita
faptului ca
aplicatiile
SIANOFM si
SIVECO nu
permit
extragerea
tuturor
rapoartelor
necesare ; se
utilizeaza
pentru statistica
, contabilitate ,
concedii
medicale , ale
somerilor ,
programe de
ocupare ,
formare
profesionala
Aplicatiile utilizate avertizeaza utilizatorul in legatura cu X
eventualele neconcordante si erori ?
Exista salariati in cadrul institutiei care nu au au acces la X Salariatii
Legis ? agentiilor si
punctelor de
lucru teritorale
nu au acces la
Legis
Exista salariati in cadrul institutiei care nu au acces la X Doar pentru un
Internet ? numar de 21 de
statii de lucru s-
au alocat
adrese de ip de
catre ANOFM –
din cauza ca
internetul si
transferul de
date folosesc
aceeasi banda
3. Resursa umana implicata in exploatarea aplicatiilor
informatice :
Exista un program de instruire al utilizatorilor pe linie X
informatica ?
Exista salariati in cadrul institutiei care au urmat cursul X
ECDL ?
Utilizatorii sunt informati si instruiti sistematic ( atunci cand X
apar noutati ) in legatura cu exploatarea aplicatiilor
informatice ?
Aplicatiile informatice sunt exploatate integral de catre X Exista module
utilizatori ? ale aplicatiei
SIANOFM care
nu sunt utilizate
datorita
faptului ca
informatiile se
culeg si pe
aplicatia
SIVECO ( si nu
exista personal
suficient )
4. Situatia licentelor pentru programele de calculator
Exista licente pentru toate programele de calculator X
utilizate ?
Exista disfuncţionalitaţi in procesul de achiziţionare al X
licenţelor ?
5. Politica de securitate IT
X Nu exista
Exista o procedura avizata de conducerea institutiei privind procedura
securitatea IT care se actualizeaza permanent ? proprie AJOFM
Suceava
Apreciati aceste proceduri ca fiind corespunzatoare? Nu este cazul
Ati constatat disfunctionalitati in timpul aplicarii in practica? Nu este cazul

X Exista politica
Exista o politica de securitate IT care se actualizeaza de securitate la
permanent? nivelul ANOFM
aplicabila si la
unitatile
subordonate
Sistemul de prevenire /detectare a accesarilor si
6. modificarilor neutorizate ale bazelor de date
X
In cadrul institutiei se utilizeaza surse alternative de energie
electrica ?
X Nu exista un
Se realizeaza periodic servicii de mentenanta ? contract cu un
furnizoe care sa
asigure servicii
de mentenanta
acestea se
realizeaza doar
atunci cand
apar probleme
de catre
salariatii IT
X
Accesul la servere este restrictionat doar pentru persoanele
autorizate ?
Camerele in care se afla serverele sunt dotate cu :

X
-camere de supraveghere care acopera zona de intrare in
camera serverului monitorizate permanent de serviciul ce
asigura paza cladirii
-senzori de mişcare; X
-sistem de alarma in caz de incendiu; X
-sistem de stingere a incendiilor; X
-echipamente de aer condiţionat; X
-uşi neinflamabile echipate cu incuietori adecvate. X
Accesul in sistemul informatic se realizeaza pe baza unor X
parole de acces unice ?
Exista un calendar al modificarii permanente al parolelor de X Parolele de
acces ? acces se
modifica la
solicitarea
utilizatorilor
Exista o persoana desemnata cu verificarea si modificarea X
periodica a parolelor de acces ?
7. Programele anti-virus
In cardul institutiei se foloseste un program anti-virus adecvat X
necesitaţilor utilizatorilor staţiilor de lucru ?
Programul anti-virus verifica staţia de lucru la pornire ? X
Programul anti-virus monitorizeaza toate programele şi X
aplicaţiile active, mesajele primite şi verifica automat
actualizarile la intervale regulate (zilnic) ?
X
Programul anti-virus se actualizeze in reţea, astfel incat sa
protejeze eficient datele electronice impotriva viruşilor nou-
aparuţi ?
Se monitorizeaza sistematic funcţionalitatea programelor X
anti-virus
Data:
02.10.2010
Auditor intern, Intervievat,
Tudosa Alina.
AJOFM SUCEAVA
FIŞA DE IDENTIFICARE ŞI ANALIZA A PROBLEMEI NR. 1.
Misiunea de audit: Evaluarea fiabilitaţii sistemului informatic

Perioada auditata: 01.01.2010 – 31.12.2010
PROBLEMA :
Analiza echipamentelor informatice de care dispune AJOFM Suceava pentru
realizarea sarcinilor de serviciu .
CONSTATARE:
Dotarea tehnica a Compartimentului Informatica este necorespunzatoare , fiind uzata
atat fizic cat şi moral .
Dotarea tehnica a majoritaţii salariaţilor compartimentelor funcţionale si a unitaţilor
teritoriale este necorespunzatoare, calculatoarele sunt uzate fizic si moral , sunt lente , accesul
in aplicaţii este greoi şi de foarte multe ori se blocheaza , fiind nevoie ca datele sa fie preluate
din nou. Imprimantele sunt insuficiente numeric iar cele existente sunt uzate fizic şi
moral , au viteza redusa , permit listarea unui numar mic de pagini la o incarcare a tonnerului.
Se utilizeaza placi de reţea , switch-uri de viteza foarte redusa in raport cu necesitaţile
existente.
Reparaţiile curente se efectueaza pe cheltuiala salariaţilor din teritoriu
Unitaţile teritoriale şi compartimentele funcţionale nu au fost aprovizionate cu cartuşe
şi tonnere pentru imprimantele din dotare deşi au intocmit referate de necesitate in repetate
randuri -de cele mai multe ori salariaţii fiind nevoiţi sa şi le achiziţioneze din surse proprii
Tehnologia de lucru cu bazele de date şomeri este necorespunzator susţinuta de banda
de comunicaţii ceea ce determina o viteza de lucru foarte redusa pentru accesarea şi
procesarea datelor .
CAUZE:
Lipsa fondurilor necesare achiziţionarii unor echipamente noi şi performante .
CONSECINŢE:
Derularea activitaţii curente in condiţii improprii , lungirea timpilor de aşteptare
pentru persoanele aflate in cautarea unui loc de munca.
RECOMANDARI :
Intensificarea eforturilor intreprinse in vederea obţinerii fondurilor necesare
achiziţionarii de calculatoare , imprimante , placi de reţea , swich-uri , consumabile etc,
performante, utile in deservirea prompta a angajatorilor precum şi a persoanelor in cautarea
unui loc de munca , astfel incat sa se scurteze timpii de aşteptare iar obiectivele entitaţii sa fie
atinse in condiţii de eficienţa .

23.11.2011
AJOFM SUCEAVA

PROBLEMA:
Utilizarea in cadrul entitaţii publice a unor programe software fara licenţa.
CONSTATARE:
In cadrul entitaţii publice se utilizeaza unele aplicaţii fara licenţa.
La nivelul unitaţii nu exista un control de sistem menit sa alerteze administratorul in
cazul utilizarii de soft-uri pentru care nu s-au achiziţionat licenţe.
CAUZE:
Neacordarea importanţei cuvenite acestor aspecte de catre responsabilii entitaţii
publice.
CONSECINŢE:
Entitatea publica este pasibila de amenzi pentru utilizarea unor programe fara licenta.
Soft-urile nelicenţiate instalate de utilizatori pot conţine viruşi, troieni sau alte
programe ce ar putea afecta in mod grav subsistemele IT la care au acces aceşti utilizatori, sau
chiar sistemul IT in ansamblul sau.
RECOMANDARI:
Inventarierea tuturor staţiilor de lucru pentru a stabili situaţia reala privind utilizarea
programelor fara licenţa .
Realizarea unei analize complexe cost/necesitate in urma careia managementul
entitaţii publice sa decida daca se impune achiziţionarea licenţelor pentru toate aplicaţiile
utilizate .

23.11.2011
AJOFM SUCEAVA

PROBLEMA:
Analiza aplicaţiilor informatice utilizate la AJOFM Suceava
CONSTATARI:
In unele cazuri utilizatorii sunt nevoiţi sa foloseasca aplicaţii complementare pentru
realizarea integrala a sarcinilor de serviciu
Accesul la internet este restricţionat pentru un numar de 21 de staţii pentru care s-au
alocat adrese ip speciale de catre ANOFM
Pentru unitaţile locale nu s-a facut abonament la Legis şi in consecinţa salariaţii nu
au acces la aceasta aplicaţie , fiind in imposibilitatea consultarii legislaţiei in vigoare atunci
cand au anumite neclaritaţi.
CAUZE:
Aplicaţiile informatice utilizate nu sunt intreţinute şi actualizate sistematic de firma
care le-a elaborat şi livrat .
Lipsa fondurilor pentru achiziţionarea unui abonament la firma furnizoare a aplicaţiei
Legis care sa permita accesul tuturor utilizatorilor .
CONSECINŢE:
Activitaţile curente se desfaşoara cu dificultate , se lungesc timpii necesari realizarii
unei atribuţiuni , exista riscul apariţiei unor erori .
RECOMANDARI:
Toate problemele cu care se confrunta compartimentele funcţionale din cadrul
AJOFM Suceava , in exploatarea aplicaţiilor informatice , vor fi aduse la cunoştinţa (in mod
operativ) compartimentului de specialitate, care in limita posibilitaţilor va corecta deficieţele
semnalate , iar in condiţiile in care remedierea disfuncţionalitaţilor nu este de competenţa
locala, vor sesiza persoanele abilitate din cadrul ANOFM.
Intensificarea eforturilor intreprinse in vederea obţinerii fondurilor necesare pentru
plata abonamentului catre firma furnizoare a aplicaţiei LEGIS astfel incat şi salariaţii de la
unitaţile locale sa poata avea acces atunci cand exista necesitatea consultarii legislaţiei in
vigoare.

25.11.2011
AJOFM SUCEAVA

PROBLEMA:
Politica de securitate IT.
CONSTATARE:
Din evaluare s-a constatat ca :
-nu exista semnat un contract de mentenanţa cu o firma specializata , reparaţiile
curente realizandu-se de catre salariaţii Compartimentului Informatica atunci cand
defecţiunile pot fi remediate de catre ei ;
-nu sunt instalate sisteme de alarma impotriva efracţiei iar la sediile unitaţilor
teritoriale nu este asigurata paza sediilor ;
-accesul fizic in camerele care adapostesc echipamentele informatice nu este
restricţionat ;
-accesul fizic la domeniile critice ale reţelei (ex. centrele de operare a reţelei, camerele
echipamentelor, camerele de echipamente, firewalls) nu este restricţionat numai la personalul
autorizat ;
-serverele funcţioneaza in aceeaşi incapere cu compartimentul Informatica
neasigurandu-se in aceste condiţii accesul doar pentru persoanele autorizate iar salaraţii
lucreaza in condiţii improprii expunandu-se permanent undelor magnetice generate ;
-zonele critice, cum ar fi centrele de operare a reţelei şi camerele care adapostesc
echipamente importante ale reţelei nu sunt protejate corespunzator impotriva:
-riscurilor naturale, cum ar fi incendiul şi inundaţiile;
-penelor de curent ( prin utilizarea unor surse de curent permanente şi a
acumulatorilor).
CAUZE:
Lipsa resurselor financiare şi materiale necesare bunei desfaşurari a activitaţilor
zilnice.
CONSECINŢE:
Desfaşurarea activitaţilor instituţiei in condiţii improprii , fara a se putea asigura
condiţiile ce se impun pentru realizarea politicii de securitate .
RECOMANDARI:
Iniţierea impreuna cu compartimentul administrativ, a procedurilor privind
incheierea unui contract de mentenanţa cu o firma specializata , care sa asigure intreţinerea
tehnicii de calcul de care dispune AJOFM Suceava in acest moment .
Identificarea spaţiului necesar şi amenajarea acestuia, astfel incat sa se asigure
instalarea serverelor intr-o incapere separta de spaţiul de lucru al salariaţilor
Compartimentului Informatica .
Se vor lua masurile ce se impun in vederea protejarii tehnicii de calcul , impotriva
riscurilor de orice natura ( furt, inundaţii , incendii ) .

27.11.2011
AJOFM SUCEAVA
MINUTA ŞEDINŢEI DE INCHIDERE
A. Menţiuni generale:
Perioada auditata: 01.01.2010-31.12.2011
Intocmit: Data 29.11.2011
Lista participanţilor:
Direcţia/ Nr.
Numele Funcţia E-mail Semnatura
Serviciul telefon
Popescu Lucica. Auditor Structura Audit
Director
Ioan Corjuc Direcţia MPM
adjunct
Compartiment
Alina Tudosa Consilier
Informatica
B.Stenograma sedinţei :
S-a efectuat o şedinţa de inchidere cu reprezentanţii nominalizaţi anterior , in care s-a

prezentat opinia auditorului , recomandarile finale ,obiectivitatea şi fundamentarea proiectului
de audit.
De asemenea, au fost discutate nonconformitaţile , au fost analizate cauzele care au
contribuit la realizarea disfuncţionalitaţilor şi au fost comentate recomandarile care urmeaza a
fi implementate pentru eliminarea deficienţelor constatate.
Pentru constatarile/deficienţele prezentate nu au fost formulate obiecţii, fiind discutate
şi insuşite .
In consecinţa, proiectul Raportului de audit intern devine Raport de audit intern final
care va fi pregatit pentru aprobare şi transmitere structurii auditate. Raportul de audit intern va
fi insoţit de o sinteza care va conţine concluziile auditorului intern cu prezentarea
principalelor recomandari şi opinia generala a acesteia.
Structura auditata se angajeaza sa completeze Planul de acţiune şi calendarul
implementarii recomandarilor, cu termenele de realizare şi persoanele responsabile cu
implementare acestora, pe care il vor discuta cu auditorul instituţiei .
AJOFM SUCEAVA
PLANUL DE ACŢIUNE
ŞI
CALENDARUL DE IMPLEMENTARE A RECOMANDARILOR
OBIECTE
RECOMANDARI ACŢIUNI / MASURI TERMENE RESPONSABILI
AUDITABILE
Obiectivul nr. 1. Organizarea registrelor de contabilitate
1. Dotarea Intensificarea eforturilor intreprinse in vederea obţinerii Achizitionarea materialelor necesare pentru buna 31.12.2012
tehnica la fondurilor necesare achiziţionarii de calculatoare, desfasurare a activitatii
AJOFM imprimante, placi de reţea, swich-uri, consumabile etc,
Suceava performante, utile in deservirea prompta a angajatorilor Director
precum şi a persoanelor in cautarea unui loc de munca,
astfel incat sa se scurteze timpii de aşteptare iar
obiectivele entitaţii sa fie atinse in condiţii de eficienţa.
2. Aplicatiile Toate problemele cu care se confrunta compartimentele Achizitionarea aplicatiilor informatice de buna 31.12.2012
informatice funcţionale din cadrul AJOFM Suceava, in exploatarea calitate pentru desfasurarea activitatii, de
utilizate la aplicaţiilor informatice, vor fi aduse la cunoştinţa (in asemenea se pot corecta deficientele semnalate.
AJOFM mod operativ) compartimentului de specialitate, care in
Director
Suceava limita posibilitaţilor va corecta deficieţele semnalate, iar
in condiţiile in care remedierea disfuncţionalitaţilor nu
este de competenţa locala, vor sesiza persoanele
abilitate din cadrul ANOFM.
3. Resursa Se vor face demersurile necesare pentru alocarea de Alocarea de fonduri pentru initierea in cel mai 31.12.2012 Director
umana fonduri, in vederea iniţierii in cel mai scurt timp al unui scurt timp a procesului de instruire in domeniul
informatic.
OBIECTE
RECOMANDARI ACŢIUNI / MASURI TERMENE RESPONSABILI
AUDITABILE
implicata in proces de instruire in domeniul informatic in
exploatarea conformitate cu standardul ECDL.
aplicatiilor
informatice
4. Situaţia Inventarierea tuturor staţiilor de lucru pentru a stabili Realizarea unui control privind statiile de lucru si 31.12.2012
licenţelor situaţia reala privind utilizarea programelor fara licenţa. a unei analize complexe.
pentru Realizarea unei analize complexe cost/necesitate in
Director
programele de urma careia managementul entitaţii publice sa decida
calculator daca se impune achiziţionarea licenţelor pentru toate
aplicaţiile utilizate.
5. Politica de Iniţierea impreuna cu compartimentul administrativ, -Incheierea unui contract de mentenanta cu o 31.12.2012
securitate IT a procedurilor privind incheierea unui contract de firma specializata.
mentenanţa cu o firma specializata, care sa asigure -Amenajarea unui spatiu pentru instalarea
intreţinerea tehnicii de calcul de care dispune AJOFM serverelor.
-Luarea masurilor privind protejarea tehnicii de
Suceava in acest moment.
calcul si al oricarui risc care ar putea aparea pe
Identificarea spatiului necesar si amenajarea acestuia, parcurs. Director
astfel incat sa se asigure instalarea serverelor intr-o
incapere separata de spatiul de lucru al salariatilor
Compartimentului Informatica.
Se vor lua masurile ce se impun in vederea protejarii
tehnicii de calcul , impotriva riscurilor de orice natura
(furt, inundaţii , incendii ).
6. Sistemul de Schimbarea periodica a parolelor ce permit accesul in -Stabilirea unei persoane responsabile cu 31.12.2012 Director
prevenire sistemul informatic. elaborarea calendarului si implementarea
/detectare a Elaborarea unui calendar privind schimbarea periodica modificarilor stabilite.
accesarilor si a parolelor de acces .
modificarilor Stabilirea unei persoane responsabile cu elaboarea
neutorizate ale calendarului şi implementarea modificarilor stabilite.
bazelor de date
AJOFM SUCEAVA
RAPORT DE AUDIT INTERN
I. INTRODUCERE
Echipa de auditare a fost constituita din:– auditor
Misiunea s-a efectuat in baza Ordinului de serviciu nr. 150 din 15.10.2011.
Cadrul legal al acţiunii de auditare l-a reprezentat:

- Legea 76/2002;
- HG 174/2002;
- HG 377/2002;
- Legea 161/2003;
- Regulamentul de Organizare şi Funcţionare al AJOFM Suceava.
Durata misiunii de audit: 20.09.2010-30.11.2011
Scopul acţiunii de auditare consta evaluarea activitaţii IT de la nivelul entitaţii

publice, in ceea ce priveşte respectarea condiţiilor de legalitate, economicitate, eficacitate, de
a adauga valoare prin formularea recomandarilor, iar in cazul identificarii unor
probleme/iregularitaţi, de corectare a acestora.
Obiectivul actiunii de auditare a urmarit Evaluarea si securitatea sistemului informatic.
Tipul de auditare - audit de conformitate/regularitate.
Tehnici si metode folosite:

 interviul pentru lamurirea de aspecte legate de organizarea şi desfaşurarea
activitaţilor
 testarea pentru urmarirea detectarii erorilor sau a iregularitaţilor
 observarea fizica in vederea formarii unei pareri proprii privind modul de
intocmire şi emitere a documentelor
 liste de verificare pentru a stabili condiţiile pe care trebuie sa le indeplineasca
fiecare domeniu auditabil
 liste de control
 chestionare
 FIAP-uri intocmite pentru fiecare disfuncţionalitate constatata
Documente şi materiale examinate in cadrul Compartimentului Informatica - verificarea la

faţa locului a vizat urmatoarele materiale şi documente:
 Organigrama entitaţii publice
 Regulamentul de Organizare şi Funcţionare AJOFM Suceava
 Fişele posturilor- Alina Tudosa
 Legislaţia in vigoare privind activitatea IT
 Manualul de utilizare / operare
 Planul de recuperare in caz de dezastru
 Programul de perfecţionare profesionala
Documentele elaborate pe timpul desfasurarii misiunii de audit au fost :

- Ordinul de serviciu
- Declaraţia de independenţa
- Notificarea privind declanşarea misiunii de audit public intern
-Colectarea informaţiilor
-Analiza riscurilor
-Identificarea riscurilor
-Stabilirea nivelului riscului şi a punctajului total al riscului
-Clasarea operaţiilor in funcţie de analiza riscurilor
-Tabelul puncte tari / puncte slabe
-Tematica in detaliu a misiunii de audit
-Programul de audit intern
-Liste de verificare structurate pe obiective
-Interviu
-Fişe de identificare şi analiza a principalelor probleme constatate - FIAP-uri
-Proiectul raportului de audit intern
-Minutele şedinţelor de deschidere, de inchidere
-Raportul de audit intern
-Planul de acţiune şi calendarul de implementare a recomandarilor
-Fişa de urmarire a implementarii recomandarilor.
II. CONSTATARI SI RECOMANDARI

In continuare, prezentam principalele constatari, consecinţele care s-au produs sau care
ar putea sa apara in perioada imediat urmatoare, precum şi recomandarile formulate in
vederea: corectarii disfuncţionalitaţilor semnalate sau ale celor care pot sa survina urmare
acestora, diminuarii riscurilor existente şi imbunataţirii sistemelor de management şi control
intern al activitaţilor auditate cu scopul facilitarii atingerii obiectivelor prestabilite.
1. DOTAREA TEHNICA LA AJOFM SUCEAVA
In urma discuţiilor purtate cu salariaţii entitaţii şi a raspunsurilor formulate la

interviurile adresate , au rezultat urmatoarele aspecte POZITIVE /PUNCTE TARI :
-numeric AJOFM Suceava dispune de tehnica necesara desfaşurarii activitaţilor zilnice
-exista o analiza privind necesarul de hard şi soft pentru buna desfaşurare a
activitaţilor zilnice
In urma analizei efectuate , au rezultat urmatoarele constatari NEGATIVE/PUNCTE
SLABE :
-dotarea tehnica a Compartimentului Informatica este necorespunzatoare , fiind uzata
atat fizic cat şi moral
-dotarea tehnica a majoritaţii salariaţilor compartimentelor funcţionale si a unitaţilor
teritoriale este necorespunzatoare, calculatoarele sunt uzate fizic si moral , sunt lente , accesul
in aplicaţii este greoi şi de foarte multe ori se blocheaza , fiind nevoie ca datele sa fie preluate
din nou
-imprimatele sunt insuficiente numeric iar cele existente sunt uzate fizic şi moral , au
viteza redusa , permit listarea unui numar mic de pagini la o incarcare a tonnerului
-se utilizeaza placi de reţea , switch-uri de viteza foarte redusa in raport cu necesitaţile
existente
-din lipsa fondurilor , reparaţiile curente se efectueaza pe cheltuiala salariaţilor din
teritoriu
-din lipsa fondurilor , unitaţile teritoriale şi compartimentele funcţionale nu au fost
aprovizionate cu cartuşe şi tonnere pentru imprimantele din dotare deşi au intocmit referate
de necesitate in repetate randuri -de cele mai multe ori salariaţii fiind nevoiţi sa şi le
achiziţioneze din surse proprii
-tehnologia de lucru cu bazele de date şomeri este necorespunzator susţinuta de banda
de comunicaţii ceea ce determina o viteza de lucru foarte redusa pentru accesarea şi
procesarea datelor .
RECOMANDARI :
Intensificarea eforturilor intreprinse in vederea obţinerii fondurilor necesare

achiziţionarii de calculatoare , imprimante , placi de reţea , swich-uri , consumabile etc,
performante, utile in deservirea prompta a angajatorilor precum şi a persoanelor in cautarea
unui loc de munca , astfel incat sa se scurteze timpii de aşteptare iar obiectivele entitaţii sa fie
atinse in condiţii de eficienţa .
2. APLICAŢIILE INFORMATICE UTILIZATE LA AJOFM SUCEAVA

-aplicaţiile utilizate satisfac in mare parte necesitaţile utilizatorilor
In urma analizei efectuate au rezultat urmatoarele constatari NEGATIVE/PUNCTE

SLABE :
-in unele cazuri utilizatorii sunt nevoiţi sa foloseasca aplicaţii complementare pentru
realizarea integrala a sarcinilor de serviciu , datorita faptului ca aplicaţiile SIANOFM şi
SIVECO nu permit extragerea tuturor datelor necesare (ex : dispoziţiile de suspendare
/incetare a drepturilor , calculul stagiului de cotizare anterior datei de 01.03.2002 ,concedii
medicale şomeri , programe de ocupare , situaţii statistice pe formare profesioanla , evidenţa
contracte de asigurare , evidenţa analitica debitori , evidenţa analitica creditori ) ; utilizarea
aplicaţiilor informatice suplimentare ingreuneaza activitatea salariaţilor entitaţii , lungind
timpii destinaţi realizarii atribuţiilor de serviciu
- aplicaţia SIANOFM ( Sintec ) prezinta urmatoarele aspecte negative :
-in rubrica “ Experienţa profesionala “ nu pot fi introduse zilele de concediu
fara plata
-nu furnizeaza datele necesare intocmirii programului de ocupare ( numar
persoane mediate , numar persoane ocupate ca urmare a acordarii serviciilor de informare şi
consiliere ) deşi acestea sunt incarcate sistematic in aplicaţie
-aplicaţia SIVECO prezinta urmatoarele aspecte negative :
-aplicaţia nu permite efectuarea automata a contului de execuţie lunar
-aplicaţia nu permite generarea automata a situaţiilor financiare trimestriale sau
anuale
-aplicaţia nu permite extragerea situaţiei conturilor de venituri pe analitice, pe
componenţa acestora, ceea ce ingreuneaza realizarea situaţiilor şi raportarilor periodice şi
creşte riscul de a nu se putea depista in timp util erorile de inregistrare
-aplicaţia nu permite evidenţa analitica a persoanelor care au incasat avansuri
pentru deplasare
-aplicaţia nu permite evidenţa analitica a debitorilor , a creditorilor şi a
persoanelor care incheie contract de asigurare la Bugetul Asigurarilor pentru Şomaj in baza
Legii nr.76/2002 pentru acestea utilizandu-se programe complementare .
-deoarece atit internetul cit şi transferul de date folosesc aceeaşi banda de comunicaţii
, accesul la internet este restricţionat pentru un numar de 21 de staţii pentru care s-au alocat
adrese ip speciale de catre ANOFM
-din lipsa fondurilor , pentru unitaţile locale nu s-a facut abonament la Legis şi in
consecinţa salariaţii nu au acces la aceasta aplicaţie , fiind in imposibilitatea consultarii
legislaţiei in vigoare atunci cand au anumite neclaritaţi.
RECOMANDARI :
Toate problemele cu care se confrunta compartimentele funcţionale din cadrul

AJOFM Suceava , in exploatarea aplicaţiilor informatice , vor fi aduse la cunoştinţa (in mod
operativ) compartimentului de specialitate, care in limita posibilitaţilor va corecta deficieţele
semnalate , iar in condiţiile in care remedierea disfuncţionalitaţilor nu este de competenţa
locala, vor sesiza persoanele abilitate din cadrul ANOFM.
Intensificarea eforturilor intreprinse in vederea obţinerii fondurilor necesare pentru
plata abonamentului catre firma furnizoare a aplicaţiei LEGIS astfel incat şi salariaţii de la
unitaţile locale sa poata avea acces atunci cand exista necesitatea consultarii legislaţiei in
vigoare .
3. Resursa umana implicata in exploatarea aplicaţiilor informatice

-exista un program de perfecţionare al utilizatorilor
-utilizatorii sunt informaţi sistematic şi operativ asupra modificarilor survenite in
cadrul aplicaţiilor informatice
-utilizatorii apreciaza nivelul de colaborare cu salariaţii compartimentului Informatica
ca fiind foarte bun
SLABE :
-din lipsa de fonduri programul de instruire al utilizatorilor nu a fost respectat , pana
la aceasta data nici un salariat din cadrul AJOFM ,nefiind inscris la cursurile ECDL .
-exista module ale aplicaţiei SIANOFM care nu sunt utilizate integral , din cauza lipsei
de personal ( ex. Evidenţa Masuri Active )
RECOMANDARI :
Se vor face demersurile necesare pentru alocarea de fonduri ,in vederea iniţierii in cel
mai scurt timp al unui proces de instruire in domeniul informatic in conformitate cu
standardul ECDL. (Ordinul nr. 252/2003 privind instruirea şi specializarea in domeniul
informaticii a funcţionarilor publici , in cadrul instituţiilor administraţiei publice) .
Conducerea instituţiei va analiza in mod obiectiv volumul de atribuţii in sarcina
salariaţilor din subordine iar daca va aprecia ca personalul de care AJOFM Suceava dispune
in momentul de faţa este insuficient , va informa operativ, in scris ANOFM .
4. Situaţia licenţelor pentru programele de calculator

SLABE :
-in cadrul entitaţii publice se utilizeaza unele aplicaţii fara licenţa
-nu exista un control de sistem menit sa alerteze administratorul in cazul utilizarii de
soft-uri pentru care nu s-au achiziţionat licenţe.
RECOMANDARI :
Inventarierea tuturor staţiilor de lucru pentru a stabili situaţia reala privind utilizarea
programelor fara licenţa .
Realizarea unei analize complexe cost/necesitate in urma careia managementul
entitaţii publice sa decida daca se impune achiziţionarea licenţelor pentru toate aplicaţiile
utilizate .
5. Politica de securitate

-exista o politica de securitate IT la nivel naţional , care este cunoscuta de salariaţii
Compartimentului Informatica şi care se aplica in masura resurselor existente in cadrul
compartimentelor funcţionale din AJOFM Suceava .
-securitatea informaţiei impune:
-personalul este conştient cu privire la siguranţa informaţiei
-protejarea informaţiei in termenii cerinţelor acestora de confidenţialitate,
integritate şi disponibilitate
-politica de securitate interzice:
-utilizarea informaţiilor şi sistemelor organizaţiei fara autorizaţie şi pentru
scopuri care nu au legatura cu munca
-afirmaţiile cu conotaţii obscene, discriminatorii sau abuzive, care pot fi ilegale
(ex prin utilizarea e-mail sau Internet)
-descarcarea unor materiale ilegale (ex cu conţinut obscen sau discriminatoriu)
-scoaterea informaţiei sau echipamentelor din sediu fara autorizare
-utilizarea neautorizata a informaţiei, infrastucturii sau echipamentelor
-copierea neautorizata a informaţiei/programelor
-compromiterea parolelor (ex prin notarea lor pe documente lasate pe birou
sau divulgarea lor catre alte persoane)
-utilizarea informaţiilor prin care pot fi identificate persoane in scopuri de
afaceri şi fara autorizare expresa
-discutarea informatiilor legate de afaceri in locuri publice
-falsificarea probelor in cazul unui incident
-politica de securitate a informaţiei specifica faptul ca utilizatorii sunt obligaţi:
-sa inchida mijloacele sau documentaţia importanta cand nu sunt utilizate
-sa iasa din sistem atunci cand un terminal urmeaza sa fie lasat nesupravegheat
-politica de securitate a informaţiei este comunicata intregului personal
-exista instrumente de control fizice aplicate mediului IT , accesul fizic fiind
restricţionat la sistemele de calculatoare prin incuierea uşilor de acces atunci cand mediul este
eliberat şi prin existenţa personalului de paza
-comunicaţiile de date in format electronic sunt sigure in senul ca :
-administratorii de reţea primesc instruire adecvata şi potrivita cu privire la siguranţa
şi controlul reţelei
-activitatea in reţea este monitorizata pentru a se asigura ca securitatea
transferului de date nu a fost afectata
-reţeaua este monitorizata pentru a verifica conexiunile neautorizate la reţea şi
echipamentele care funcţioneaza (sau sunt utilizate) in mod incorect
-se utilizeaza codificarea pentru a preveni accesul neautorizat la datele
transmise prin reţea
-programele de administrare a reţelei şi fişierele de date de pe fiecare server de
date sunt salvate pentru siguranţa in mod regulat iar copiile acestora sunt pastrate in locuri
relativ sigure
-exista informaţii suficiente inregistrate pentru a identifica: Nume de utilizator
individuale, programe speciale şi informaţii accesate data/ora accesarii, caile de acces
(inclusiv calculatoare/porturi de la care a fost obţinut accesul), modele de acces pentru a
permite urmarirea tranzacţiilor sau activitatea unui anumit utilizator schimbarea parametrilor
de inregistrare in sistem
-inregistrarile sunt pastrate in timp pentru a putea fi utilizate in caz de
necesitate

SLABE :
-nu exista semnat un contract de mentenanţa cu o firma specializata , reparaţiile
curente realizandu-se de catre salariaţii Compartimentului Informatica atunci cand
defecţiunile pot fi remediate de catre ei
-nu sunt instalate sisteme de alarma impotriva efracţiei iar la sediile unitaţilor
teritoriale nu este asigurata paza sediilor
-accesul fizic in camerele care adapostesc echipamentele informatice nu este
restricţionat
-accesul fizic la domeniile critice ale reţelei (ex. centrele de operare a reţelei, camerele
echipamentelor, camerele de echipamente, firewalls) nu este restricţionat numai la personalul
autorizat
-serverele funcţioneaza in aceeaşi incapere cu compartimentul Informatica
neasigurandu-se in aceste condiţii accesul doar pentru persoanele autorizate iar salaraţii
lucreaza in condiţii improprii expunandu-se permanent undelor magnetice generate
-zonele critice, cum ar fi centrele de operare a reţelei şi camerele care adapostesc
echipamente importante ale reţelei nu sunt protejate corespunzator impotriva:
-riscurilor naturale, cum ar fi incendiul şi inundaţiile
-penelor de curent ( prin utilizarea unor surse de curent permanente şi a
acumulatorilor)
RECOMANDARI :
Iniţierea impreuna cu compartimentul administrativ, a procedurilor privind

incheierea unui contract de mentenanţa cu o firma specializata, care sa asigure intreţinerea
tehnicii de calcul de care dispune AJOFM Suceava in acest moment .
Identificarea spatiului necesar si amenajarea acestuia, astfel incat sa se asigure
instalarea serverelor intr-o incapere separta de spatiul de lucru al salariatilor
Compartimentului Informatica .
Se vor lua masurile ce se impun in vederea protejarii tehnicii de calcul , impotriva
riscurilor de orice natura ( furt, inundaţii , incendii ) .
6.Sistemul de prevenire /detectare

a accesarilor şi modificarilor neautorizate ale bazelor de date
In urma analizei efectuate, au rezultat urmatoarele constatari NEGATIVE/PUNCTE

SLABE :
-in multe situaţii , salariaţii cunosc parolele colegilor de serviciu, putandu-se conecta la
subsistemele IT folosindu-le datele de identificare şi prin urmare putand sa vizualizeze şi/sau
modifice date aflate in acele subsisteme IT iar in cazul apariţiei unor incidente
,responsabilitaţile nu pot fi stabilite cu exactitate
-accesul in aplicaţia SIVECO se realizeaza cu acelaşi cod pentru toţi utilizatorii ,iar in
situaţia apariţiei unor incidente nu se pot stabili responsabilitaţile adecvate.
-nu exista un calendar al modificarii permanente al parolelor de acces schimbarea
parolelor de acces realizandu-se la solicitarea utilizatorilor .
RECOMANDARI :
Schimbarea periodica a parolelor ce permit accesul in sistemul informatic.

Elaborarea unui calendar privind schimbarea periodica a parolelor de acces .
Stabilirea unei persoane responsabile cu elaboarea calendarului şi implementarea
modificarilor stabilite .
7.Programele antivirus
In urma analizei efectuate şi a discuţiilor purtate cu salariaţii entitaţii , au rezultat

urmatoarele aspecte POZITIVE /PUNCTE TARI :
-in cadrul instituţiei se utilizeaza programe antivirus adecvate necesitaţilor
utilizatorilor staţiilor de lucru
-programul antivirus verifica staţia de lucru la pornire
-programul antivirus monitorizeaza toate programele şi aplicaţiile active, mesajele
primite şi verifica automat actualizarile la intervale regulate (zilnic)
III. CONCLUZII :
In urma analizei efectuate , auditorul evalueaza activitaţile desfaşurate in cadrul

Compartimentului Informatica astfel:
Prezentul proiect de Raport de audit intern a fost intocmit in baza Tematicii in detaliu a
misiunii de audit şi a Programului intervenţiei la faţa locului, a constatarilor efectuate in
etapa de colectarii şi prelucrarii informaţiilor şi in timpul intervenţiei la fata locului. Toate
constatarile efectuate au la baza probe de audit realizate prin teste, foi de lucru, interviuri,
liste de control, note de relaţii si in urma analizei si interpretarii acestora s-au elaborat
FIAP-uri si FCRI-uri care au condus la recomandarile şi concluziile cuprinse in Raportul de
audit intern.
Structura auditata are obligaţia sa intocmeasca Programul de acţiune si Calendarul
implementarii recomandarilor şi sa raporteze periodic echipei de auditori stadiul
implementarii acestora.
Echipa de auditori interni, pe baza analizelor şi evaluarilor efectuate apreciaza
Activitatea financiar-contabila, conform grilei prezentate in continuare.
Nr. APRECIERE
OBIECTIVUL
crt. FUNCŢIONAL DE IMBUNATAŢIT CRITIC
1. Evaluarea si securitatea
X
sistemului informatic
Evaluarea are la baza discuţiile care au avut loc, cu privire la recomandarile auditorilor
interni, in şedinţele de inchidere şi conciliere al misiunii de audit intern, apreciate de catre
participanţi, ca fiind realiste şi posibil de implementat in practica.
De asemenea, consideram ca rezultatele evaluarii auditorilor interni privind
Activitatea financiar-contabila se inscriu in parametrii normali pentru aceasta perioada de
implementare a funcţiei de audit intern in entitaţile publice.
Structura auditata are obligaţia sa respecte Programul de acţiune şi Calendarul de
implementare a recomandarilor, cu scopul implementarii recomandarilor la termenele
stabilite şi sa raporteze echipei de auditori interni, periodic, stadiul implementarii acestora.
Data: 30.11.2010 Auditor
Nota:
Precizam ca in practica, Raportul de audit intern este semnat pe fiecare pagina de
echipa de auditori interni, iar pe ultima pagina, atat de auditorii interni, cat şi de supervizorul
misiunii.
Concluzii
In cadrul AJOFM Suceava, in desfaşurarea activitaţii de audit, s-a urmarit respectarea

normelor, metodologiilor şi a procedurilor de audit intern in elaborarea rapoartelor de audit
intern, criteriile de conformitate, eficacitate şi eficienţa.
Elaborarea actelor de control s-a efectuat cu respectarea prevederilor Legii nr.
672/2002 privind auditul public intern, a Ordinului M.F.P. nr. 38/2003 privind aprobarea
Normelor generale privind exercitarea activitaţii de audit public intern, cu modificarile şi
completarile Ordinului M.F.P nr. 423/2004 şi Ordinului M.M.S.S.F nr. 400/2003 privind
aprobarea Normelor metodologice proprii privind exercitarea activitaţii de audit public intern.
La intocmirea rapoartelor de audit s-a ţinut cont de elementele de conţinut stipulate in
Ordinului M.M.S.S.F. nr. 400/2003 privind aprobarea Normelor metodologice proprii pentru
organizarea şi funcţionarea auditului intern, dupa cum urmeaza:
- scopul şi obiectivele raportului de audit
- modul de desfaşurare a acţiunii de audit
- constatarile efectuate
- concluziile şi recomandarile auditorului
- documentaţia anexa la raportul de audit
In realizarea acţiunilor de control auditorul a avut acces liber şi nerestricţionat la toate
documentele, bazele de date şi informaţiile pe care le-a solicitat pentru atingerea obiectivelor
propuse, in vederea formularii opiniilor sale.
Personalul din cadrul direcţiilor, serviciilor şi compartimentelor agentiei au inţeles
necesitatea colaborarii cu structura interna de audit, care, in realizarea obiectivelor sale nu a
perturbat desfaşurarea activitaţilor agenţiei. Auditorul nu a abuzat de buna credinţa a
funcţionarilor din cadrul compartimentelor verificate.
In urma analizei efectuate , auditorul evalueaza activitaţile desfaşurate in cadrul
Compartimentului Informatica astfel :
APRECIERE
NR.
OBIECTIVUL De
CRT. Funcţional Critic
imbunataţit
1. Evaluarea si securitatea sistemului informatic
X
In opinia auditorului, activitatea verificata se desfaşoara in conformitate cu
prevederile Regulamentului de Organizare şi Funcţionare, in condiţii necorespunzatoare
determinate de dotarea tehnica uzata fizic şi moral şi lipsa resurselor financiare, necesare
bunei desfaşurari a activitaţilor curente .
Activitatea de control intern se desfaşoara, fara a fi detaliate proceduri şi fara a fi
evaluate riscurile aferente activitaţii de tehnologia informaţiei.
Faptul ca activitaţile desfaşurate nu sunt materializate in documente , nu permite
auditorului decat sa presupuna ca la nivelul Compartimentului Informatica, se exercita un
control intern informal, calculatorul fiind unul dintre principalele instrumente ale controlului
intern, pentru toate domeniile de activitate, intrucat reflecta intocmai activitatea, inregistrand
orice operaţiune efectuata prin intermediul sau, precum şi coordonatele de timp
corespunzatoare.
Pentru masurarea gravitaţii consecinţelor evenimentelor produse (nivelul impactului)
s-au avut in vedere :
-masurarea probabilitaţii de apariţie a riscului pe cele trei criterii: aprecierea vulnerabilitaţii
entitaţii, aprecierea controlului intern, aprecierea impactului financiar
-masurarea gravitaţii consecinţelor evenimentului produs - nivelul impactului exprimat pe o
scara de valori pe trei nivele: impact scazut, moderat şi ridicat
Analiza arata ca operaţiunile realizate se inscriu intr-un grad mare de complexitate şi
marime. Luand in considerare rezultatele obţinute şi evenimentele produse, structura auditata
poate fi considerata ca o entitate cu grad mediu de incredere şi nivel mediu spre ridicat al
vulnerabilitaţii .
RECOMANDARI
Pentru buna desfaşurare a activitaţii AJOFM Suceava, auditorul public intern

recomanda :
-derularea in continuare, in condiţii de profesionalism, promptitudine şi transparenţa a
serviciilor furnizate in cadrul AJOFM Suceava ;
-urmarirea respectarii in permanenţa a principiului competenţei profesionale de care
toţi funcţionarii publici care activeaza in cadrul organelor teritoriale ale AJOFM Suceava ;
-aplicarea asupra tuturor persoanelor care sunt beneficiare a serviciilor oferite de
agenţie a unui tratament nediscriminatoriu ;
-continuarea manifestarii respectului şi deschiderii faţa de clienţi şi faţa de problemele
acestora ;
-imbunataţirea bazei tehnico-materiale a agenţiilor locale şi punctelor teritoriale de
lucru, intreprinderea masurilor necesare catre ANOFM, astfel incat activitatea acestora sa se
desfaşoare in condiţii optime ;
-intensificarea acţiunilor de actualizare şi completare a bazelor de date ,in condiţiile in
care , indicatorii statistici referitori la eficienţa activitaţii desfaşurate de AJOFM Suceava , se
determina exclusiv pe baza sistemului informatic integrat , de catre salariaţii ANOFM ;
-realizarea sarcinilor transmise de ANOFM prin implicarea permanenta, cu
profesionalism şi operativitate, in activitatea de servire a persoanelor in cautarea unui loc de
munca ;
-monitorizarea permanenta a legalitaţii, regularitaţii şi conformitaţii operaţiunilor, prin
implicarea nemijlocita a structurilor de control proprii, in vederea identificarii in timp util a
erorilor, risipei, gestiunii defectuoase şi fraudelor şi, pe aceste baze gasirea soluţiilor celor
mai adecvate de remediere/recuperare a deficienţelor/pagubelor şi sancţionarea celor vinovaţi.
Controalele reprezinta preocuparea tuturor. Pentru a fi eficient este foarte important
sa fie perceput ca fiind parte a soluţiei, astfel poate avea o contribuţie insemnata in atingerea
scopurilor şi obiectivelor entitaţii publice.
Daca un control intern nu funcţioneaza, este necesar sa fie facut cunoscut auditorului,
pentru unirea eforturilor in vederea gasirii unei modalitaţi mai bune.

Audit Intern. Misiune de Audit

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Audit Intern. Misiune de Audit

Încărcat de

Drepturi de autor:

Formate disponibile

Universitatea ”Stefan cel Mare” Suceava

Facultatea de Stiinte Economice si Administratie Publica

Agentia Judeteana pentru Ocuparea Fortei de Munca Suceava este organizata si

Misiunea de audit: Evaluarea fiabilitatii sistemului informatic Data: 18.10.2011

Incompatibilitaţi in legatura cu entitatea/structura auditata DA NU

NOTIFICAREA PRIVIND DECLANSAREA MISIUNII DE AUDIT INTERN

Catre DIRECTIA MPM

Stimate: domnule Simion Botezatu

In conformitate cu Planul de audit public intern pentru anul 2011 aprobat de

Perioada desfasurarii auditului : 01.01.2010 – 31.12.2011

Va vom contacta ulterior pentru a stabili de comun acord o sedinta de deschidere in

Misiunea de audit intern : Evaluarea fiabilitatii sistemului informatic

Misiunea de audit: Evaluarea fiabilitatii sistemului informatic

8. Limitarea accesului la internet

STABILIREA FACTORILOR DE RISC, A PONDERILOR ŞI NIVELURILOR DE

Misiunea de audit intern : Evaluarea fiabilitatii sistemului informatic

Aprecierea Impact financiar Impact financiar Impact financiar

Aprecierea Vulnerabilitate Vulnerabilitate Vulnerabilitate

CHESTIONAR DE LUARE LA CUNOŞTINŢA - CLC

Misiunea de audit: Evaluarea fiabilitatii sistemului informatic

ACTIVITATEA DE AUDIT DA NU OBS.

Obiectivul I. EVALUAREA SI SECURITATEA SISTEMULUI

- Au acces la Internet toti salariatii care au nevoie pentru buna X

ilegale (ex prin utilizarea e-mail sau Internet)

6.3 Comunicaţiile de date in format electronic sunt sigure?

- Sunt programele de administrare a reţelei şi fişierele de date de pe

viruşi catre un singur punct de contact şi asistenţa

STABILIREA NIVELULUI RISCULUI ŞI A PUNCTAJULUI TOTAL AL RISCULUI

Misiunea de audit: Evaluarea fiabilitatii sistemului informatic

Pentru continuarea analizei, grupeaza riscurile in urmatoarele trei categorii:

CLASAREA OBIECTELOR AUDITABILE (OPERAŢIILOR) IN FUNCŢIE DE ANALIZA RISCULUI

Misiunea de audit: Evaluarea fiabilitatii sistemului informatic

NR. DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE PUNCTAJ CLASARE OBS.

1. Evaluarea si 1. Dotarea tehnica la 1. Inexistenta calculatoarelor necesare bunei 2,0 Mediu

TABELUL PUNCTE TARI /PUNCTE SLABE

Misiunea de audit: Evaluarea fiabilitatii sistemului informatic

TEMATICA IN DETALIU A MISIUNII DE AUDIT INTERN

Misiunea de audit: Evaluarea fiabilitatii sistemului informatic

PROGRAMUL DE AUDIT INTERN

Misiunea de audit: Evaluarea fiabilitatii sistemului informatic

Tema generala: Evaluarea fiabilitatii sistemului informatic 328

1.PREGATIREA MISIUNII DE AUDIT 96

OBIECTIVUL I 1. Efectuarea testarilor Popescu Lucica. AUDITAT

PROGRAMUL INTERVENŢIEI LA FAŢA LOCUL

Misiunea de audit: Evaluarea fiabilitatii sistemului informatic

Obiectivul I. Evaluarea si securitatea sistemului informatic

2. Aplicatiile informatice Verificare CAPI 16 Iordache Lacramioara

5. Politica de securitate IT Verificare CIT 16 Iordache Lacramioara

6. Sistemul de prevenire Analiza CIT 16 Iordache Lacramioara

MINUTA ŞEDINŢEI DE DESCHIDERE

Misiunea de audit: Evaluarea fiabilitatii sistemului informatic

Auditori interni, Auditati,

Obiectivul I.Evaluarea fiabilitatii sistemului informatic

Nr. crt. ACTIVITATEA DE AUDIT DA NU OBS.

Evaluarea controalelor fizice in domeniul IT

Verificati daca exista o persoana desemnata cu verificarea si

Nr. Intrebari Da Nu Obs.

Apreciati aceste proceduri ca fiind corespunzatoare? Nu este cazul

Ati constatat disfunctionalitati in timpul aplicarii in practica? Nu este cazul

Camerele in care se afla serverele sunt dotate cu :

FIŞA DE IDENTIFICARE ŞI ANALIZA A PROBLEMEI NR. 1.

Misiunea de audit: Evaluarea fiabilitaţii sistemului informatic

Data: Auditor intern,

FIŞA DE IDENTIFICARE ŞI ANALIZA A PROBLEMEI NR. 2.