Documente Academic
Documente Profesional
Documente Cultură
Denumire proiect:
Suceava
2021
1
Notă:
- entitatea audiată în cadrul proiectului este banca comercială UniCredit Bank, iar misiunea are ca scop
îmbunătățirea securității aplicației mobile banking
- datorită timpului limitat voi intra în detalii doar în privința:
obiectelor auditabile și riscurilor identificate
instrumente folosite pentru verificarea riscurilor de un nivel mediu și mare
constatările, cauzele, consecințele și recomandările din FIAP-urile elaborate
planului de acțiune
2
PREZENTAREA INSTITUŢIEI ȘI A SISTEMULUI INFORMATIC
În Romania, UniCredit Bank este una dintre principalele instituții financiare, oferind servicii și
produse de înaltă calitate pentru toate categoriile de clienți. Banca are la momentul actual o rețea
națională de 138 de sucursale si 3.337 de angajați. UniCredit Bank își propune să mențină permanent
clientul în centrul activităților sale, să fie un partener cu care se lucrează ușor și să fie o parte foarte
activă a comunităților în care își desfășoară activitatea.
Grupul răspunde unei game variate de nevoi a clienților săi printr-o rețea de parteneri
specializați: UniCredit Leasing Corporation, UniCredit Consumer Financing, UniCredit Services,
UniCredit Insurance Broker, Amundi Asset Management.
UniCredit este o Bancă Comercială Pan Europeana simplă si de succes, cu un sistem complet de
Banca Corporate și de Investiții, oferind bazei sale de clienți în continuă creștere o rețea unica Vest,
Central si Est-Europeana.
Sistemul informatic bancar este conceput pe doua nivele: un nivel al operațiunilor bancare
propriu-zise și un nivel al suportului de dezvoltare a acestor aplicații. Această arhitectură pe două
nivele garantează independența aplicațiilor, modularitatea programelor și evoluția funcțională.
Obiectivele sistemului informatic presupune abordarea și rezolvarea informatică a unor
probleme cu caracter sintetic, într-o manieră sistematică. Aceste obiective au un caracter general și
specific care depind de cadrul legislativ - normativ, dotarea cu tehnică de calcul și cerințele dezvoltării
economice, imediate și de perspectivă, ale băncii. Aceste obiective se pot grupa în:
- obiective de conducere, care urmăresc restabilirea permanentă a activelor economice,
perfecționarea activității de conducere în vederea asigurării unui optim global al întregii activități,
fundamentarea deciziilor de conducere, tactica strategică și operativă pe baza informațiilor obținute ca
numerar a prelucrărilor sistemului informatic, degrevarea conducerii de procesele decizionale de rutina;
3
Conducerea: aplicații ce pun la dispoziție informații privind situația financiară a băncii,
compară rezultatele activității pe diverse perioade și programează rezolvări viitoare în funcție de
indicatorii actuali;
Contabilitate - toate operațiunile privind decontările, în condițiile actuale în care există un nivel
foarte mare de informații, se pot realiza cu operativitate și în condiții de siguranță și corectitudine
maximă a sumei prin intermediul calculatoarelor;
Operații valutare - sunt operații complexe în care trebuie să se țină cont de modificarea zilnică a
cursului valutar;
Personal- în acest compartiment munca este facilitată prin utilizarea unor programe de evidență
a personalului, control asupra drepturilor și obligațiilor față de personalul salariat;
- date cu grad ridicat de agregare, provenite și furnizate Băncii Naționale Române pe baza
unor sisteme de calcul specializat;
Gestiunea datelor
Datele din sistemul informatic bancar sunt structurate din mai multe puncte de vedere ale
utilizatorului (viziuni logice) și anume:
4
- extensii opționale care grupează pentru fiecare aplicație informațiile necesare unei unități
operaționale a instituției;
Viziunea logică asupra conturilor clienților și terților compusă din două submulțimi:
- nucleul, care grupează toate informațiile comune tuturor aplicațiilor din SIB;
- conturi de clasificare;
a) Sistem de operare
-Linux Red Hat 6.0 ca NBR proxy server( conexiune la intranetul Băncii Naţională)
b) Baze de date
D) Antivirus
E) Firewall
Secere-Way de la IBM
5
F) Software pentru Backup
- Arcserver6.0
G) Hardware
Servere:
- AS400 Servers as Equation Server and the near future for Y4DB Server
- Intel HP Servers
Imprimante
HP seria 2xxx,4xxx,8xxx
6
Procedura P01: Inițierea auditului
UniCredit Bank SA
Departamentul de Audit Intern
Nr. 11 /09.11.2020
ORDIN DE SERVICIU
În conformitate cu fișa postului privind auditul bancar intern, adică activitatea de audit
organizată în interiorul unei bănci comerciale de către un departament specializat al băncii, pe baza
metodologiei prestabilite, se va efectua misiunea de audit intern privind îmbunătățirea securității
aplicației mobile banking, în perioada 20.11.2020 – 07.01.2021.
Scopul misiunii de audit este de a diagnostica securitatea aplicației, sub aspect tehnic și
managerial, iar obiectivul acestuia va fi:
1. Securitatea aplicației mobile banking și a datelor utilizate
Menționăm că acesta este un audit operațional, se va examina doar o parte a activității băncii
din perspectiva obiectivului, raportul de audit furnizând recomandări și soluții la eventuale probleme.
Auditor,
Dascălu Iulian
7
Procedura P02: Iniţierea auditului
UniCredit Bank SA
Departamentul de Audit Intern
DECLARAŢIA DE INDEPENDENŢĂ
Ați avut/aveți vreo relație oficială, financiară sau personală cu cineva care ar putea
să vă limiteze măsura în care puteți să vă interesați, să descoperiți sau să constatați - X
slăbiciuni de audit în orice fel?
Aveți idei preconcepute față de persoane, grupuri, organizații sau obiective care ar
- X
putea să vă influențeze în misiunea de audit?
Ați avut/aveți funcții sau ați fost/sunteți implicat(ă) în ultimii 3 ani într-un alt mod în
- X
activitatea entității/structurii ce va fi auditată?
Aveți responsabilități în derularea programelor și proiectelor finanțate integral sau
- X
parțial de Uniunea Europeană?
Ați fost implicat în elaborarea și implementarea sistemelor de control ale
- X
entității/structurii ce urmează a fi auditată?
Sunteți soț/soție, rudă sau afin până la gradul al patrulea inclusiv cu conducătorul
- X
entității/structurii ce va fi auditată sau cu membrii organului de conducere colectivă?
Aveți vreo legătură politică, socială care ar rezulta dintr-o fostă angajare sau
primirea de redevențe de la vreun grup anume, sau organizație sau nivel - X
guvernamental?
Ați aprobat înainte facturi, ordine de plată și alte instrumente de plată pentru
- X
entitatea/structura ce va fi auditată?
Ați ținut anterior contabilitatea la entitatea/structura ce va fi auditată? - X
Aveți vreun interes direct sau unul de fond financiar indirect la entitatea/structura
- X
ce va fi auditată?
Dacă în timpul misiunii de audit, apare orice incompatibilitate personală, externă sau
organizațională care ar putea să vă afecteze abilitatea dvs. de a lucra și a face X -
rapoartele de audit imparțiale, notificați șeful Serviciului de audit intern de urgență?
Auditor,
Dascălu Iulian
8
Procedura P03: Inițierea auditului
UniCredit Bank SA
Departamentul de Audit Intern
Nr. 11 /10.11.2020
NOTIFICAREA
PRIVIND DECLANŞAREA MISIUNII DE AUDIT INTERN
9
rugăm sa ne puneți la dispoziție următoarea documentație necesară:
cadrul metodologic si normele de reglementare aplicabile domeniului informatic și de
securitate;
diagrama fluxurilor de date(DFD) ale sistemului informatic
programele software utilizate de către angajați;
informații tehnice și locația/locațiile server-urilor;
organigrama departamentului de Informatică și Securitate;
regulamentul interior de organizare și funcționare;
fișele posturilor;
procedurile scrise care descriu activitățile ce se desfășoară in cadrul departamentului;
alte rapoarte, note, dosare anterioare care se referă la aceasta temă.
Planul strategic de securitate;
Planul schematic al clădirii
Pentru eventualele întrebări privind aceasta acțiune, vă rugăm să-l contactați pe tânărul
Dascălu Iulian, auditor intern, coordonatorul misiunii .
Cu mult respect și voie bună,
Auditor,
Dascălu Iulian
10
Procedura P04: Colectarea și prelucrarea informațiilor
COLECTAREA INFORMAŢIILOR
COLECTAREA INFORMATIILOR
DA NU OBSERVATII
Identificarea normelor si regulamentelor aplicabile X -
structurii auditate
Diagrama fluxurilor de date ale sistemului X -
informatic(DFD)
Lista programelor software folosite de către angajați X -
Informații tehnice despre server X -
Obținerea organigramei departamentului X -
Obținerea Regulamentul interior de funcționare a X -
departamentului
Obținerea fiselor posturilor X -
Obținerea procedurilor scrise si formalizate a activităților - X Exista doar parțial
Identificarea personalului responsabil X -
Rapoarte elaborate de alte instituții - X Nu există alte rapoarte
Planul schematic al clădirii X -
Planul strategic în privința securității X -
11
Procedura P05: Analiza riscului
UniCredit Bank SA
Departamentul de Audit Intern
Lista centralizatoare a obiectelor auditabile reprezintă primul document care se elaborează în cadrul procedurii Analiza riscurilor și
cuprinde un obiectiv al misiunii de audit, ce cuprinde 5 obiecte auditabile, care vor fi evaluate în continuare pentru obținerea Tematicii în detaliu a
misiunii de audit intern
Procedura P05: Analiza riscului
UniCredit Bank SA
Departamentul de Audit Intern
IDENTIFICAREA RISCURILOR
Nr.
Obiective Obiecte auditabile Riscuri semnificative (identificate) Observații
crt.
1. Securitatea aplicației 1. Criptarea datelor și a 1. Lipsa procedurilor în vederea actualizării sistemului de
mobile banking și a tranzacțiilor realizate prin criptare
datelor utilizate aplicație 2. Timpul necesar realizării tranzacțiilor suferă datorită
procesului de criptare
3. Apariția unei tehnologii moderne de procesare care face
posibilă spargerea criptării
2. Monitorizarea și mentenanța 4. Locația unde este amplasat echipamentul nu este echipată cu
echipamentelor(servere) folosite un sistem de incendiu, senzori de fum, mișcare și nici cu camere
de aplicație de supraveghere
5. Accesul în camera echipamentului(servere) nu este
restricționat angajaților
6. Lipsa unei plan de extindere a echipamentelor pentru a face
față noilor cerințe de pe piață
3. Autentificarea și oferirea 7. Aplicația nu informează utilizatorul despre tranzacțiile
accesului în aplicație efectuate pe contul acestuia
8. Lipsa unei metode de dublă autentificare
9. Aplicația nu dispune de o opțiune pentru recuperarea
automatică a contului
Nr.
Obiective Obiecte auditabile Riscuri semnificative (identificate) Observații
crt.
4. Securitatea operațiunilor de 10. Nu există o limită zilnică, respectiv un număr maxim de
transfer valutar tranzacții
11. Clientul nu este informat prin sms/mail despre tranzacțiile
realizate
12. Operațiunile mai mici de 10 euro nu apar în istoricul
tranzacțiilor
5. Salvarea și arhivarea datelor 13. Salvarea datelor cu caracter confidențial se face pe un singur În caz de
cu caracter confidențial echipament(server) distrugere,
datele nu pot fi
recuperate
14. Lipsa unui program software pentru înlesnirea procesul de exemplu:
recuperare a datelor datarecovery
: NOTĂ:
Identificarea riscurilor este al doilea document care se elaborează în cadrul procedurii Analiza riscurilor și presupune
asocierea riscurilor semnificative la operațiile stabilite în Lista centralizatoare a obiectelor auditabile. De regulă, se asociază unul sau
mai multe riscuri teoretice, determinate de auditorii interni din documentele colectate sau din riscurile practice reieșite din propria
experiență. În situația în care la operațiile auditabile se atașează mai multe riscuri, analiza acestora se va putea realiza pentru fiecare
risc în parte sau pe total operație/obiect auditabilă.
În acest studiu de caz au fost identificate 5 obiecte auditabile cărora le-au fost atașate 15 de riscuri în total.
Procedura P05: Analiza riscului
UniCredit Bank SA
Departamentul de Audit Intern
Ponderea
Nivelul de apreciere al riscului (Ni)
Factori de risc factorilor de
(Fi) risc
N1 N2 N3
(Pi)
Aprecierea Există proceduri,
Există proceduri și Nu există
controlului P1 – 50% sunt cunoscute dar
se aplică proceduri
intern – F1 nu se aplică
Aprecierea
Impact financiar Impact financiar Impact financiar
cantitativă - P2 – 30%
scăzut normal/mediu ridicat
F2
Notă:
Cei trei factori de risc din acest document sunt stabiliți prin normele generale și sunt
acoperitori pentru entitate, însă dacă dorim să evidențiem și alți factori de risc, cu nivelurile de
apreciere corespunzătoare, se recomanda sa avem în vedere ca suma ponderilor factorilor de risc
să fie de asemenea 100.
În funcție de importanța și greutatea factorilor de risc, se stabilesc ponderile și nivelurile de
apreciere ale riscurilor.
UniCredit Bank SA
Departamentul de Audit Intern
Notă:
Chestionarul de luare la cunoștință se adresează nivelului general de management si
managementului de linie, in vederea aprecierii riscurilor operațiilor supuse auditării, cu scopul de a
evalua prin întrebările formulate si răspunsurile primite existenta si funcționalitatea controalelor
interne din cadrul entității.
Procedura P05: Analiza riscului
UniCredit Bank SA
Departamentul de Audit Intern
NOTĂ:
Stabilirea nivelului riscului și a punctajului total al riscului este documentul din procedura Analiza riscurilor în care auditorul
evaluează riscurile pe baza informațiilor și documentelor, în posesia cărora a intrat până în acest moment, a Chestionarului de Luare la
Cunoștință - CLC, pe care l-a obținut de la managementul general și managementul de linie al structurii auditate, dar și a expertizei
personale în domeniu și a informațiilor din mass-media sau de pe internet. De asemenea, auditorii interni, în funcție de resursele alocate
misiunii (număr de persoane, timpul aferent ş.a.), stabilesc punctajul total al riscurilor operației/activității respective, în baza formulei de
calcul:
unde: n
Pt P N
= ∑
= tpunctajul i × Pi
total;
N i = nivelul
i =1
riscurilor pentru fiecare criteriu utilizat;
Pi = ponderea criteriilor de risc
Elaborarea acestui document prezintă un grad relativ mare de subiectivitate și din acest motiv auditorii interni aduc îmbunătățiri
acestei lucrări, pe toată durata misiunii de audit, în special în Etapa intervenției la fața locului în funcție de informațiile pe care le
colectează cu ocazia testărilor efectuate.
Din experiența practică, recomandăm ca ponderea riscurilor medii să fie sub 10%, deoarece aceasta denotă o nehotărâre din partea
auditorilor interni, referitoare la categoria de riscuri în care să le includă, luând în considerare că în auditare vor intra, de regulă, riscurile
mari și medii, considerate riscuri semnificative.
Procedura P05: Analiza riscului
UniCredit Bank SA
Departamentul de Audit Intern
Nr. Punctaj
Obiective Obiecte auditabile Riscuri semnificative
crt. total Clasare OBS.
1 Securitatea aplicației 1. Criptarea datelor și a 1 Lipsa procedurilor în vederea actualizării sistemului 0
Risc Mic Nul
mobile banking și a tranzacțiilor realizate prin de criptare
datelor utilizate aplicație 2.Timpul necesar realizării tranzacțiilor suferă
0 Risc Mediu
datorită procesului de criptare
3.Apariția unei tehnologii moderne de procesare care
0 Risc Mare
face posibilă spargerea criptării
2. Monitorizarea și 4.Locația unde este amplasat echipamentul nu este
mentenanța echipată cu un sistem de incendiu, senzori de fum, 0 Risc Mare
echipamentelor(servere) mișcare și nici cu camere de supraveghere
folosite de aplicație 5. Accesul în camera echipamentului(servere) nu este
0 Risc Mic Nul
restricționat angajaților
6.Lipsa unei plan de extindere a echipamentelor
0 Risc Mediu
pentru a face față noilor cerințe de pe piață
3. Autentificarea și 7.Aplicația nu informează utilizatorul despre
0 Risc Mic Nul
oferirea accesului în tranzacțiile efectuate pe contul acestuia
aplicație 8.Lipsa unei metode de dublă autentificare 0 Risc Mic Nul
Nr. Punctaj
Obiective Obiecte auditabile Riscuri semnificative
crt. total Clasare OBS.
9. Aplicația nu oferă opțiunea de recuperare automată
a contului
0 Risc Mic Nul
Notă:
În documentul Clasarea operațiilor în funcție de analiza riscurilor se realizează împărțirea celor 15 riscuri, grupate pe cele 5 de
obiecte auditabile și un obiectiv, în 3 categorii de riscuri, mici, medii și mari, stabilite în fazele anterioare ale procedurii Analiza riscurilor.
În continuare, riscurile mici vor fi eliminate din auditare, iar riscurile mari și medii, considerate riscuri semnificative, în număr de 9,
vor intra în faza de ierarhizare a riscurilor și vor fi preluate în Tabelul puncte tari și puncte slabe.
Procedura P05: Analiza riscului
UniCredit Bank SA
Departamentul de Audit Intern
Consecinţa Grad de
funcţionării- încredere
Nr. Puncte nefuncţionării al auditorului OBS
Obiective Obiecte auditabile Riscuri semnificative
crt. T/S controlului intern în
intern controlul
intern
1. Securitatea 1. Criptarea datelor 1. Timpul necesar realizării Funcționează –
aplicației mobile și a tranzacțiilor tranzacțiilor suferă datorită Serviciul de
criptare este oferit
banking și a realizate prin procesului de criptare de către o parte
datelor utilizate aplicație T terță care are ca
Grad mediu
scop îmbunătățirea
constantă a
timpului de criptare
2.Apariția unei tehnologii
moderne de procesare care face S Nul Grad scăzut
posibilă spargerea criptării
2. Monitorizarea și 3. Locația unde este amplasat
mentenanța echipamentul nu este echipată
echipamentelor(ser cu un sistem de incendiu, S Nul Grad scăzut
vere) folosite de senzori de fum, mișcare și nici
aplicație cu camere de supraveghere
22
Consecinţa Grad de
funcţionării- încredere
Nr. Puncte nefuncţionării al auditorului OBS
Obiective Obiecte auditabile Riscuri semnificative
crt. T/S controlului intern în
intern controlul
intern
4. Lipsa unei plan de extindere
a echipamentelor pentru a face S Nul Grad scăzut
față noilor cerințe de pe piață
Notă: În faza de ierarhizare a operațiilor în funcție de riscuri, în care au intrat numai riscurile semnificative, a fost elaborat documentul Tabelul
puncte tari și puncte slabe, prin care a fost identificat un risc evaluat ca fiind punct tare, care va fi eliminat din auditare, iar celelalte obiecte
auditabile considerate ca fiind puncte slabe vor rămâne în continuare în auditare.
Evaluarea operațiilor identificate ca fiind puncte tari s-a realizat prin aprecierea funcționalității sistemului de control intern al activităților
auditate, care astfel limitează efectul riscurilor asociate acestora. În urma operației de ierarhizare, au fost preluate spre auditare în continuare
obiectivele și obiectele auditabile considerate ca fiind puncte slabe, în documentul Tematica în detaliu a misiunii de audit intern, care vor fi
renumerotate și ulterior va fi stabilită corespondența acestora cu paragrafele din Raportul de audit intern
23
Procedura P05: Analiza riscului
UniCredit Bank SA
Departamentul de Audit Intern
Nr. Obiective
Poziția
crt. Obiecte auditabile selectate
în RAI
1. Securitatea 1. Criptarea datelor și a 1. Analizarea și verificarea capabilității funcției de
aplicației mobile tranzacțiilor realizate prin criptare de a face față pericolelor curente dar și a celor II.1.1.
banking și a datelor aplicație preconizare în viitor
utilizate
2. Monitorizarea și mentenanța 2. Verificarea existenței condițiilor necesare protejării
II.1.2.1
echipamentelor(servere) folosite fizice a echipamentului în locul plasării acestuia
de aplicație 3. Testarea planului strategic de extindere a
II. 1.2.2
echipamentului hardware folosit
3. Securitatea operațiunilor de 4. Analiza limitei zilnice a tranzacțiilor și a numărului
transfer valutar acestora
5. Verificarea procesului de informare a clienților ca
urmare a unor tranzacții survenite
6. Analizarea funcției de istoric a tranzacțiilor
4. Salvarea și arhivarea datelor 7. Verificarea procesului de salvare a informațiilor cu
cu caracter confidențial caracter confidențial
II. 1.3.
8. Analizarea programelor folosite pentru recuperarea
datelor și a procesului implicit
24
Notă: Analiza riscurilor a pornit de la documentele Lista centralizatoare a obiectelor auditabile, care a cuprins un obiectiv structurat pe 5
de obiecte auditabile și Identificarea riscurilor, prin care s-au atașat 15 de riscuri la aceste obiecte auditabile și s-a finalizat cu Tematica în
detaliu a misiunii de audit intern în urma căreia au fost selectate în vederea auditării un obiectiv, 4 obiecte auditabile şi 8 riscuri asociate
acestora. În continuare, cele 8 de riscuri au fost înlocuite cu obiectele auditabile selectate (operaţii / activităţi / funcţii programe / domenii)
corespunzătoare riscurilor semnificative, în vederea efectuării testărilor, pe baza Programului intervenției la fața locului, și care se vor
materializa în FIAP-uri și FCRI-uri, acolo unde este cazul, iar în final vor fi transferate și comentate în Raportul de audit intern, în ordinea
din Tematica în detaliu a misiunii de audit intern.
25
26
Procedura P06: Elaborarea programului de audit intern
UniCredit Bank SA
Departamentul de Audit Intern
Tema generală: Securitatea operațiunilor de transfer valutar interbancar oferite prin 286
aplicația mobile banking
1. Pregătirea misiunii de audit 62
Tipărirea și procesarea ordinului de serviciu 2 Dascălu Iulian
Tipărirea și procesarea declarației de independență 2 Dascălu Iulian
Pregătirea și transmiterea notificării 4 Dascălu Iulian
Colectarea și prelucrarea informațiilor 8 Dascălu Iulian
Întocmire listă centralizatoare a obiectelor auditate 8 Dascălu Iulian
Identificarea și plasarea riscului 8 Dascălu Iulian
Elaborare tabel puncte tare și puncte slabe 8 Dascălu Iulian
Întocmirea programului de audit 8 Dascălu Iulian
Întocmirea notei și a programului de intervenție la fața 10 Dascălu Iulian
locului
Obținerea aprobării notei și a anexelor acesteia 2 Dascălu Iulian
Planificarea și organizarea ședinței de deschidere cu 2 Dascălu Iulian
societatea
Redactarea minutei de deschidere
27
DURATA PERSOANELE LOCUL
OBIECTIVELE AUDITULUI ACTIVITĂŢILE PROGRAMATE
(H) IMPLICATE DESFĂŞURĂRII
Nota: Programul de audit intern este documentul prin care repartizam resursele de audit respectiv, împărțim intre membri echipei de
auditori activitățile pe care le vor desfășura pentru realizarea misiunii si repartizam timpul pentru parcurgerea etapelor si procedurilor specifice in
vederea încadrării in perioadele afectate prin Planul de audit intern.
28
UniCredit Bank SA
Departamentul de Audit Intern
29
4. Salvarea și arhivarea Analizarea procesului de salvare a
datelor cu caracter informațiilor cu caracter confidențial și
confidențial testarea abilității recuperării acestor
PC 30 Interviu 1.2.3 LV 1 Dascălu Iulian
informații în caz de defecțiune a
echipamentului
Auditor intern
Dascălu Iulian
30
Procedura P07: Ședința de deschidere
UniCredit Bank SA
Departamentul de Audit Intern
A. Lista participanților:
B. Stenograma ședinței
În cadrul ședinței de deschidere s-a procedat la:
- Prezentarea echipei de auditori care urmează să efectueze misiunea de audit intern;
- Prezentarea și discutarea obiectivelor generale ale auditului intern, semnificația acestora. În
același timp, a fost cerută părerea auditaţilor cu privire la aceste obiective, unde s-au făcut remarci că
acestea în general reprezintă zone cu risc datorită interesului scăzut, dar s-au făcut și unele comentarii
cu privire la desfășurarea activității auditorului și anume că angajații vor fi stresați datorită desfășurării
misiunii de audit;
- Prezentarea Programului intervenției la fața locului, respectiv modul de abordare a obiectivelor
auditabile care vor fi testate la sediul central al băncii și instrumentele folosite pentru analizarea
acestora
- Stabilirea persoanelor pe care auditorii interni le pot contacta în vederea colectării informațiilor,
efectuării de teste și asupra modului de obținere a interviurilor. De asemenea, a fost stabilit programul
întâlnirilor și timpul necesar pentru realizarea acestor proceduri;
- Stabilirea condițiilor minime pe care auditatul trebuie să le asigure în vederea realizării misiunii
de audit (timp pentru interviuri cu angajații, testarea, etc.)
31
- Convenirea asupra unor aspecte procedurale, respectiv eventualitatea unor ședințe intermediare în
cursul derulării misiunii de audit, informarea sistematică asupra constatărilor efectuate ş.a.
- Stabilirea Ședinței de închidere, inclusiv a participanților la aceasta;
- Stabilirea modalității de redactare a Raportului de audit intern (când, cum și cui va fi distribuit).
- Explicarea modului în care vor fi discutate și analizate recomandările formulate, ca urmare a
eventualelor disfuncționalități constatate, inclusiv Planul de acțiune realizat de entitatea auditată și
calendarul implementării acestora, cu termene și persoane responsabile.
Nr.
ACTIVITATEA DE AUDIT DA NU OBS.
crt.
1.1. Criptarea datelor și a tranzacțiilor realizate prin aplicație
a. funcția de criptare este actualizată și face față pericolelor existente X Interviu nr. 1.2.1.
TEST nr. 1.1.1
b. existența unei strategiei în cazul spargerii criptării și apariției unei
X Listă de control
scurgeri de date confidențiale
nr. 1.1.1
c. folosirea celei mai bune metode de criptare oferită pe piață
Foaie de lucru
nr. 1.1.1
X FIAP 1.3.1
FIAP 1.3.2
FCRI 1.5.1
1.2. Monitorizarea și mentenanța echipamentelor(servere) folosite de
aplicație
a. locul amplasării echipamentului asigură condiții optime de
X Observare
protejare și îngrijire a acestuia
b. echipamentul este monitorizat de o echipă specializată care este directă
X Interviu nr. 1.2.2
capabilă să intervină în orice moment
c. accesul fizic în încăperea destinată echipamentului este TEST nr. 1.1.2
restricționat persoanelor neautorizate Foaie de lucru
X nr. 1.1.2
Listă de control
32
Nr.
ACTIVITATEA DE AUDIT DA NU OBS.
crt.
d. existența unei strategii cu privire la extinderea echipamentului nr. 1.1.2
FIAP
nr. 1.3.3
33
Procedura P08: Colectarea dovezilor
UniCredit Bank SA
Departamentul de Audit Intern
Nr.
Întrebare DA NU Obs.
crt.
1. Se ocupă de funcția criptării datelor cu caracter X Criptarea este asigurată de către
confidențial? o parte terță, FalseProtect
2. Criptarea este actualizată și modificată pentru a face X Acesta este obiectivul principal
față noilor pericole și riscuri ce apar constant? al furnizorului de servicii care se
ocupă cu criptarea datelor
3. Există un personal responsabil care actualizează X Există un compartiment în
aplicația pentru a se folosi cea mai nouă variantă de cadrul Departamentul care se
ocupă de acest lucru
criptare?
4. Există o strategie în cazul spargerii și scurgerii de date X Există un plan care a fost
private? elaborat în 2009, acesta fiind
depășit datorită vechimii și
modificărilor constante
5. Protocoalele de urmat în cazul potențialei spargeri și X
scurgeri de date este cunoscut de către personal?
6. Considerați procedurile folosite corespunzătoare și X
suficiente?
7. Doriți să adăugați ceva? ? „M-ati obosit foarte tare domle,
la revedere!”
34
Procedura P08: Colectarea dovezilor
UniCredit Bank SA
Departamentul de Audit Intern
PROBLEMA:
Lipsa elaborării unei strategii în cazul spargerii criptării și scurgerii de date
CONSTATARE:
La departamentul audiat, nu s-a elaborat o strategie privind scurgerea de date care să includă
instrucțiuni detaliate personalului abilitat în vederea pașilor și obiectivelor de parcurs pentru
remedierea unei astfel de situație.
Personalul abilitat cunoaște legislația în vigoare privind prelucrarea datelor cu caracter
confidențial, procedurile de securitate fiind respectate de către aceștia.
De asemenea șeful de securitate consideră că procedeele și procedurile aplicate pentru criptarea
datelor și tranzacțiilor realizate prin aplicație suficiente conferind o protecție optimă.
CAUZE:
-lipsa elaborării unor proceduri scrise și aprobate în vederea realizării strategiei;
-personalitatea conservatoare a șefului departamentului
-o cercetare minimă asupra riscurilor la care este expus acest sistem
CONSECINŢE:
- activitatea de stopare a scurgerii datelor va dura mai mult timp, persoanele neautorizate având
un acces mai îndelungat la datele confidențiale ale clienților;
- divulgarea unui volum mai mare de date confidențiale;
RECOMANDĂRI:
- elaborarea unor proceduri scrise și aprobate în vederea realizării strategiei;
- pregătirea și informarea personalului despre noua strategie elaborată;
- persoana ce ocupă funcția de conducere în cadrul acestui departament trebuie să aibă o viziune
flexibilă, deschisă, orientată spre exterior și să se informeze constant despre noile pericole;
35
Procedura P08: Colectarea dovezilor
UniCredit Bank SA
Departamentul de Audit Intern
CONSTATĂRI:
8. Indicele timpului necesar pentru actualizarea instrumentului de criptare la un risc recent apărut
- în urma studiului, FalseProtect, metoda de criptare folosită în prezent are nevoie în medie de
5,3 zile pentru a se actualiza și a ne proteja la noua vulnerabilitate apărută. Astfel, Falseprotect
ocupă ultimul loc în eșantionul nostru, primul fiind ocupat de către IBM Guardium având
nevoie de 1,3 zile.
Pe baza acestui test s-a demonstrat că metoda de criptare folosită este una inferioară și
reprezintă o problemă, astfel s-a elaborat FIAP cu numărul de înregistrare 1.3.2
37
LISTA DE CONTROL NR. 1.1.1.
Elemente
testate timpul necesar
pentru a
durata de criptare a
actualiza
bazei de date
Elemente criptarea la un
Eșantionate risc apărut recent
IBM Guardium
CriptareVormetrică
McAfee – Advanced
enhanced encryption
DbDefence SQL
BitLocker encryption
38
Procedura P08: Colectarea dovezilor
UniCredit Bank SA
Departamentul de Audit Intern
PROBLEMA:
Utilizarea unei metode de criptare inferioară comparativ cu alte metode disponibile
CONSTATARE:
În urma testul realizat, s-au comparat metodele de criptare ce pot fi folosite de către aplicația
mobile banking, în baza a 2 indici:
- durata de criptare a bazei de date
- timpul necesar pentru a actualiza criptarea la un risc apărut recent
S-a constatat faptul că metoda de criptare folosită de către entitate în prezent este inferioară,
clasându-se pe ultimele locuri din eșantionul studiat, neasigurând o securitate optimă datelor.
CAUZE:
-lipsa de interes din partea șeful de departament;
-lipsa unei cercetări adecvate asupra metodelor utilizate de către entitate
-o rigiditate asupra schimbării unui sistem care funcționează
CONSECINŢE:
- actualizarea întârziată a metodei de criptate folosite poate duce la o scurgere de date deoarece
acestea sunt vulnerabile un timp mai îndelungat
- datorită timpului lung necesar pentru criptarea datelor, durata tranzacțiilor are de suferit,
aplicația oferind astfel, servicii suboptime clienților
RECOMANDĂRI:
- rezilierea contractului cu furnizorul care ne oferă serviciul de criptare;
- achiziționarea unui serviciu de criptare care s-a clasat în topul indicatorilor testați, exemplu:
Db Defense SQL;
- testarea metodelor de criptare disponibile pe piață în fiecare an și alegerea celei mai rentabile
variante
39
UniCredit Bank SA
Departamentul de Audit Intern
Nr.
Întrebare DA NU Obs.
crt.
1. Locul amplasării echipamentului(server-ului) este dotat - X
cu camere de supraveghere?
2. Locul amplasării echipamentului(server-ului) este dotat - X
cu senzori de fum?
3. Locul amplasării echipamentului(server-ului) este dotat - X
cu senzori de mișcare?
4. Accesul în camera destinată echipamentului este X -
interzis persoanelor neautorizate?
5. Este monitorizat echipamentul de o echipă specializată X -
capabilă să intervină în orice moment?
6. Echipamentul poate fi extins și dezvoltat situația X -
impune acest lucru?
7. Există și o strategie în acest sens? X - Accesibilă în format fizic și
electronic
8. Considerați procedurile folosite corespunzătoare și - X “Orice lucru poate fi
suficiente? îmbunătățit“
9. Doriți să adăugați ceva? ? „Aș dori să mă informați în
legătură cu rezultatele acestei
misiuni de audit, mulțumesc”
40
Procedura P08: Colectarea dovezilor
UniCredit Bank SA
Departamentul de Audit Intern
PROBLEMA:
CONSTATARE:
În urma observării directe și a interviului aplicat, s-a constat că încăperea folosită pentru
echipament(server-ului) nu este dotată cu:
- camere de supraveghere
- senzori de mișcare
- senzori de fum
- climatizare pentru menținerea unei temperaturi optime echipamentului(server-ului)
CAUZE:
- sediul central nu dispune de o locație optimă;
- reticența de a investi în echiparea unei încăperi care să asigure condițiile optime de
funcționare
-neinformarea asupra importanței unui loc special amenajat pentru echipamentul(server-ul
utilizat)
CONSECINŢE:
- persoanele neautorizate pot accesa echipamentul datorită lipsei sistemelor de supraveghere
facilitând scurgerea de date
- în cazul în care apare un incendiu, acesta va fi identificat prea târziu iar echipamentul va fi
distrus în totalitate
- performanța echipamentului(server-ului) va fi afectată datorită temperaturii ridicate
RECOMANDĂRI:
- dotarea unui loc care să asigure condițiile optime a echipamentului(server-ului) cu:
climatizare, senzori de fum și mișcare, camere de supravegheat, sistem de alarmă, sistem de securitate
la intrare.
41
Procedura P08: Colectarea dovezilor
UniCredit Bank SA
Departamentul de Audit Intern
CONSTATĂRI:
Indicele timpului în care echipamentul n-a fost supravegheat de cel puțin 2 angajați
- în urma analizei, pe durata întregului an, echipamentul(server-ul) a fost supravegheat constant
de către cel puțin 2 angajați, adică 0 minute.
Pe baza acestui test s-a demonstrat că echipa abilitată și atribuită cu sarcina de a monitoriza și
interveni rapid este foarte eficientă și performează la un nivel mult peste optimul necesar în cazul
rezolvării incidentelor de securitate.
42
UniCredit Bank SA
Departamentul de Audit Intern
43
LISTA DE CONTROL NR. 1.1.2.
Monitorizarea și
mentenanța
1. X X
echipamentelor(servere)
folosite de aplicație
44
UniCredit Bank SA
Departamentul de Audit Intern
45
Procedura P09: Constatarea şi raportarea iregularităților
CONSTATARE
În urma misiunii de audit intern operațional, efectuată la UniCredit bank cu sediul central: bd.
expoziției nr.1f, sectorul 1, Bucuresti, cod postal 012101 în perioada 20.11.2020 – 07.01.2021, la
obiectul auditat Criptarea datelor și a tranzacțiilor realizate prin aplicație, s-au constatat următoarele:
- metoda de criptare folosită de către entitate în prezent pentru securitatea datelor cu caracter
confidențial folosită în aplicația mobile banking este inferioară, clasându-se pe ultimele locuri în urma
testului efectuat, neasigurând o securitate optimă datelor.
- lipsa unei strategii privind scurgerea de date care să includă instrucțiuni detaliate personalului
abilitat în vederea pașilor și obiectivelor de parcurs pentru remedierea unei astfel de situație
RECOMANDĂRI
• Elaborarea unor proceduri scrise și aprobate în vederea realizării strategiei
• Achiziționarea unui serviciu de criptare care s-a clasat în topul indicilor testați, exemplu: Db
Defense SQL;
- testarea metodelor de criptare disponibile pe piață în fiecare an și alegerea cele mai bune
variante
ANEXE
- copie după “Encryptions response to new identified threats” publicat în jurnalul “Data
protection” volumul 4
- copie după testul nr 1.1.1;
Data: Auditor,
46
13.12.2020 Dascălu Iulian
47
Procedura P08: Colectarea dovezilor
UniCredit Bank SA
Departamentul de Audit Intern
Nr.
Întrebare DA NU Obs.
crt.
1. Salvarea datelor cu caracter confidențial se poate face X
doar pe echipamentul entității?
2. Există proceduri pentru recuperarea datelor în cazul X
coruperii bazei de date?
3. Arhivarea și păstrarea datelor prelucrate respectă X Datele nu sunt șterse de pe
termenul legislației în vigoare? echipament, rămân pe o durată
nedeterminată
4. Există copii backup a datelor în cazul modificării sau X
prelucrării greșite a acestora?
5. Folosiți un program specializat pentru recuperarea X
datelor când situația impune acest lucru?
6. Considerați procedurile folosite corespunzătoare și X
suficiente?
7. Doriți să adăugați ceva? X „Înapoi la muncă..”
În urma aplicării interviului constatăm că procesul salvării datelor este securizat și se face doar
pe echipamentul(server-ul) entității. Se folosește un program special achiziționat pentru recuperarea
acestora dacă este cazul. Legislația în vigoare cu privire la păstrarea datelor este respectată deoarece
acestea nu sunt șterse, rămânând pe o durată nedeterminată în hard disk.
48
Procedura P10: Revizuirea documentelor de lucru
UniCredit Bank SA
Departamentul de Audit Intern
Ob. Există
Constatarea Document justificativ
nr. Da Nu
1. nu s-a elaborat o strategie privind scurgerea de date - Planul strategic de securitate X
care să includă instrucțiuni detaliate personalului
abilitat în vederea pașilor și obiectivelor de parcurs
pentru remedierea unei astfel de situație
Auditor intern,
Dascălu Iulian
49
Procedura P11: Ședința de închidere
UniCredit Bank SA
Departamentul de Audit Intern
A. Mențiuni generale:
Misiunea de audit: Îmbunătățirea securității aplicației mobile banking
Perioada auditată: 01.01.2019-31.12.2019
Întocmit: Dascălu Iulian Data 30.12.2020
Lista participanţilor:
B. Concluzii:
În cadrul ședinței au fost prezentate obiectivele auditate și constatările pentru fiecare obiect
auditat. De asemenea, au fost discutate constatările, au fost analizate cauzele care au contribuit la
realizarea disfuncționalităților, eventualelor consecințe, și au fost comentate recomandările care
urmează a fi implementate pentru eliminarea acestora.
În cadrul Ședinței de închidere structura auditată și-a însușit în totalitate constatările și
recomandările formulate de auditor.
În consecință, proiectul Raportului de audit intern devine Raport de audit intern final, care
va fi pregătit pentru aprobare și difuzare structurii auditate.
Raportul de audit intern va fi însoțit de o SINTEZĂ care va conține principalele constatări și
recomandări ale echipei de auditori interni și concluziile generale.
Structura auditată se angajează să completeze Planul de acțiune și Calendarul implementării
recomandărilor, cu termenele de realizare și persoanele responsabile cu implementarea acestora, pe
care le vor discuta cu echipa de auditori interni.
Notă:
Datorită acceptării integrale a constatărilor și recomandărilor formulate de echipa de
auditori interni, reuniunea de conciliere nu se va mai organiza.
50
Procedura P12: Elaborarea proiectului de Raport de audit
UniCredit Bank SA
Departamentul de Audit Intern
PLANUL DE ACŢIUNE ŞI
CALENDARUL DE IMPLEMENTARE A RECOMANDĂRILOR
OBIECTE
RECOMANDĂRI ACŢIUNI / MĂSURI TERMENE RESPONSABILI
AUDITABILE
Obiectivul nr. 1. Securitatea aplicației mobile banking și a datelor utilizate
Criptarea 1. Elaborarea unor proceduri scrise și aprobate în - Elaborarea unui strategii de securitate care să 07.02.2020
datelor și a vederea realizării strategiei de securitate includă viziunea, scopul, și proceduri de urmat în
Șef departament
tranzacțiilor cazul unor eventuale probleme; 07.03.2020
- Elaborarea unor proceduri scrise ce trebuie securitatea
realizate prin aplicațiilor
aplicație respectate în cazul spargerii criptării și
scurgerii de date
2. Rezilierea contractului cu furnizorul care ne oferă - Rezilierea contractului cu furnizorul 0.7.05.2020
-Achiziționarea unui serviciu nou de criptare Responsabil
serviciul de criptare și achiziționarea unui serviciu
clasat în topul indicatorilor testați operațional
de criptare care s-a clasat în topul indicilor testați Director
3. Testarea metodelor de criptare disponibile pe piață - Realizarea unui studiu având ca eșantion toate 31.12.2021 Șef departament
în fiecare an metodele disponibile pe piață ce pot fi folosite securitatea
pentru criptarea bazei de date folosită de către aplicațiilor
aplicația mobile banking
Supervizarea și 4. Dotarea unui loc care să asigure condițiile optime - Echiparea unui loc destinat 07.05.2020 Administrator
mentenanța a echipamentului(server-ului) cu: climatizare, echipamentului(server-ului) cu următoarele: Responsabil Birou
echipamentelor(s senzori de fum și mișcare, camere de supravegheat, un sistem de climatizare, senzori de fum și Interior
ervere) folosite sistem de alarmă, sistem de securitate la intrare. mișcare, camere de supravegheat, sistem de
de aplicație în alarmă, sistem de securitate la intrare.
condiții optime
51
Procedura P15: Raport de audit
UniCredit Bank SA
Departamentul de Audit Intern
I. INTRODUCERE
52
la examinarea înregistrărilor spre documentele justificative;
- urmărirea: pentru verificarea procedurilor de la documentele justificative
spre articolul înregistrat în vederea stabilirii realităţii înregistrării în
totalitate a tranzacţiilor.
Documentele examinate în cadrul entității Unicredit Bank privind securitatea aplicației mobile
banking și a datelor utilizate au vizat documentația aferentă perioadei auditate, respectiv:
- Planul strategic de securitate;
- Planul schematic al clădirii
- Diagrama fluxurilor de date(DFD) ale sistemului informatic
- Cadrul metodologic si normele de reglementare aplicabile domeniului informatic și de
securitate
- Informații tehnice și locația/locațiile server-urilor;
- Organigrama departamentului de Securitate Cibernetică;
- Regulamentul interior de organizare și funcționare;
- Fișele posturilor;
- Procedurile scrise care descriu activitățile ce se desfășoară in cadrul departamentului;
II.1.1.1 Lipsa elaborării unei strategii în cazul spargerii criptării și scurgerii de date pentru
care s-a elaborat FIAP 1.3.1
Constatare:
La departamentul audiat, nu s-a elaborat o strategie privind scurgerea de date care să includă
instrucțiuni detaliate personalului abilitat în vederea pașilor și obiectivelor de parcurs pentru
remedierea unei astfel de situație.
Personalul abilitat cunoaște legislația în vigoare privind prelucrarea datelor cu caracter
confidențial, procedurile de securitate fiind respectate de către aceștia.
De asemenea șeful de securitate consideră că procedeele și procedurile aplicate pentru criptarea
datelor și tranzacțiilor realizate prin aplicație suficiente conferind o protecție optimă.
II. 1.1.2. Utilizarea unei metode de criptare inferioară comparativ cu alte metode disponibile
54
pentru care s-a elaborat FIAP 1.3.2
Constatare:
În urma testul realizat, s-au comparat metodele de criptare ce pot fi folosite de către aplicația
mobile banking, în baza a 2 indici:
- durata de criptare a bazei de date
- timpul necesar pentru a actualiza criptarea la un risc apărut recent
S-a constatat faptul că metoda de criptare folosită de către entitate în prezent este inferioară,
clasându-se pe ultimele locuri din eșantionul studiat, neasigurând o securitate optimă datelor.
Cauze:
-lipsa de interes din partea șeful de departament;
-lipsa unei cercetări adecvate asupra metodelor utilizate de către entitate
-o rigiditate asupra schimbării unui sistem care funcționează
Consecințe:
- actualizarea întârziată a metodei de criptate folosite poate duce la o scurgere de date deoarece
acestea sunt vulnerabile un timp mai îndelungat
- datorită timpului lung necesar pentru criptarea datelor, durata tranzacțiilor are de suferit,
aplicația oferind astfel, servicii suboptime clienților
Recomandări:
- persoanele neautorizate pot accesa echipamentul datorită lipsei sistemelor de supraveghere
facilitând scurgerea de date
- în cazul în care apare un incendiu, acesta va fi identificat prea târziu iar echipamentul va fi
distrus în totalitate
- performanța echipamentului(server-ului) va fi afectată datorită temperaturii ridicate
II. 1.2.1. Echipamentul(server-ul) este amplasat într-o încăpere care nu asigură condițiile
optime de protejare și îngrijire a acestuia pentru care s-a elaborat FIAP 1.3.3
Constatare:
În urma observării directe și a interviului aplicat, s-a constat că încăperea folosită pentru
echipament(server-ului) nu este dotată cu:
- camere de supraveghere
- senzori de mișcare
- senzori de fum
- climatizare pentru menținerea unei temperaturi optime echipamentului(server-ului)
Cauze:
55
- sediul central nu dispune de o locație optimă;
- reticența de a investi în echiparea unei încăperi care să asigure condițiile optime de funcționare
-neinformarea asupra importanței unui loc special amenajat pentru echipamentul(server-ul
utilizat)
Consecințe:
- persoanele neautorizate pot accesa echipamentul datorită lipsei sistemelor de supraveghere
facilitând scurgerea de date
- în cazul în care apare un incendiu, acesta va fi identificat prea târziu iar echipamentul va fi
distrus în totalitate
- performanța echipamentului(server-ului) va fi afectată datorită temperaturii ridicate
Recomandări:
- dotarea unui loc care să asigure condițiile optime a echipamentului(server-ului) cu:
climatizare, senzori de fum și mișcare, camere de supravegheat, sistem de alarmă, sistem de securitate
la intrare.
Constatare
În urma aplicării interviului constatăm că procesul salvării datelor este securizat și se face doar
pe echipamentul(server-ul) entității. Se folosește un program special achiziționat pentru recuperarea
acestora dacă este cazul. Legislația în vigoare cu privire la păstrarea datelor este respectată deoarece
acestea nu sunt șterse, rămânând pe o durată nedeterminată în hard disk.
III. CONCLUZII
Prezentul proiect de Raport de audit intern a fost întocmit în baza Tematicii in detaliu a
misiunii de audit şi a Programului intervenţiei la faţa locului, a constatărilor efectuate în etapa de
colectării şi prelucrării informaţiilor şi în timpul intervenţiei la fata locului. Toate constatările
efectuate au la bază probe de audit realizate prin teste, foi de lucru, interviuri, liste de control, note de
relații si in urma analizei si interpretării acestora s-au elaborat FIAP-uri si FCRI-uri care au condus
la recomandările și concluziile cuprinse in Raportul de audit intern.
Structura auditată are obligația să întocmească Programul de acțiune si Calendarul
implementării recomandărilor și să raporteze periodic auditorului stadiul implementării acestora.
Auditorul intern, pe baza analizelor şi evaluărilor efectuate apreciază aplicația mobile banking,
conform grilei prezentate în continuare.
Nr. APRECIERE
OBIECTIVUL
crt. FUNCŢIONAL DE ÎMBUNĂTĂŢIT CRITIC
1. Securitatea aplicației mobile
X
banking și a datelor utilizate
Evaluarea are la bază discuțiile care au avut loc, cu privire la recomandările auditorul intern, în
ședințele de închidere și conciliere al misiunii de audit intern, apreciate de către participanți, ca fiind
56
realiste și posibil de implementat în practică.
De asemenea, considerăm că rezultatele evaluării auditorilor interni privind Aplicația mobile
banking se înscriu în parametrii normali datorită faptul că este o tehnologie nouă și încă în stadiul de
dezvoltare.
Structura auditată are obligaţia să respecte Programul de acţiune şi Calendarul de
implementare a recomandărilor, cu scopul implementării recomandărilor la termenele stabilite și să
raporteze echipei de auditori interni, periodic, stadiul implementării acestora.
Notă:
Mi-a făcut plăcere să lucrez la acest proiect. Am avut o oarecare reticență la început datorită
faptului că materialul părea stufos și greu de abordat. Lucrând, mi-am dat seama că toți pașii sunt logici
și consecvenți. Pare a fi un domeniu în care trebuie să observi entitatea și mecanismele ei la un nivel
macroeconomic pentru a identifica potențiale probleme ca apoi să iei lupa și să analizezi fiecare detaliu
în parte.
Aș minți dacă aș spune că n-am simțit o plăcere în momentele când m-am semnat cu titlul de
auditor.
SINTEZA
Misiunea de audit intern privind Imbunătățirea securității aplicației mobile banking s-a
desfăşurat în conformitate cu metodologia privind auditul intern, Normelor generale privind
exercitarea activităţii de audit public intern, aprobate prin OMFP nr. 38/2003 şi a normelor specifice
aprobate de conducerea entităţii.
Misiunea de audit intern s-a realizat în baza Planului de audit intern pe anul 2019, aprobat de
conducerea entităţii, perioada auditată fiind 01.01.2019 – 31.12.2019 şi a fost efectuată, în perioada
20.11.2020 – 07.01.2021 de către auditorul intern Dascalu Iulian
Echipa de auditori interni în baza analizei privind riscurile, a testărilor pe teren, şi a evaluărilor
realizate privind Securitatea aplicatiei mobile banking, structurată pe un obiectiv stabilit pentru
derularea misiunii, apreciază funcţionalitatea sistemului de control intern, după cum urmează:
APRECIERE
Nr.
OBIECTIVUL DE
crt. FUNCŢIONAL CRITIC
ÎMBUNĂTĂŢIT
57
1. Securitatea aplicației mobile banking
X
și a datelor utilizate
Principalele constatări şi recomandări rezultate din evaluarea auditorilor interni sunt cele
prezentate în continuare:
- Constatare 1: nu s-a elaborat o strategie privind scurgerea de date care să includă instrucțiuni
detaliate personalului abilitat în vederea pașilor și obiectivelor de parcurs pentru remedierea unei
astfel de situație
Recomandare 1:
Elaborarea unor proceduri scrise și aprobate în vederea realizării strategiei de securitate
- Constatare 2: metoda de criptare folosită de către entitate în prezent pentru securitatea datelor
cu caracter confidențial folosită în aplicația mobile banking este inferioară
Recomandare 2:
Testarea metodelor de criptare disponibile pe piață în fiecare an
Rezilierea contractului cu furnizorul care ne oferă serviciul de criptare și achiziționarea unui
serviciu de criptare care s-a clasat în topul indicilor testați
Recomandare 3:
Dotarea unui loc care să asigure condițiile optime a echipamentului(server-ului) cu: climatizare,
senzori de fum și mișcare, camere de supravegheat, sistem de alarmă, sistem de securitate la intrare.
III. CONCLUZII
Evaluarea Securitatatii aplicației mobile banking și a datelor utilizate din cadrul Direcţiei
Buget şi Contabilitate Internă, în baza testelor şi analizelor efectuate, permit auditorilor interni să
emită o asigurare rezonabilă managementului general privind calitatea sistemului de control
intern al activităţii auditate, nefiind identificate obstacole în funcţionarea acesteia.
Echipa de auditori interni prin analiza activităţilor auditabile şi evaluările realizate în etapa de
intervenţie la faţa locului, a elaborat un număr de 3 de recomandări, aferente unui obiectiv ale misiunii
de audit intern.
Considerăm că prioritatea în activitatea de implementare a recomandărilor o reprezintă dotarea
unui loc care sa asigure conditiile optime a echipamentului, pentru asigurarea bunei functionalitati a
intregului sistem
58
59