Raport Audit Intern Mobile Banking Unicredit

Universitatea „Stefan cel Mare” Suceava
Facultatea de Științe Economice și Administrație Publică

Programul de Studiu: CIG anul 3
Denumire proiect:
MISIUNE DE AUDIT INTERN

OPERAȚIONAL
Student: Dascălu Iulian

GRUPA 1
Suceava
2021
1
Notă:
- entitatea audiată în cadrul proiectului este banca comercială UniCredit Bank, iar misiunea are ca scop
îmbunătățirea securității aplicației mobile banking
- datorită timpului limitat voi intra în detalii doar în privința:
 obiectelor auditabile și riscurilor identificate
 instrumente folosite pentru verificarea riscurilor de un nivel mediu și mare
 constatările, cauzele, consecințele și recomandările din FIAP-urile elaborate
 planului de acțiune
2
PREZENTAREA INSTITUŢIEI ȘI A SISTEMULUI INFORMATIC
UniCredit Bank este parte a Grupului UniCredit.
În Romania, UniCredit Bank este una dintre principalele instituții financiare, oferind servicii și
produse de înaltă calitate pentru toate categoriile de clienți. Banca are la momentul actual o rețea
națională de 138 de sucursale si 3.337 de angajați. UniCredit Bank își propune să mențină permanent
clientul în centrul activităților sale, să fie un partener cu care se lucrează ușor și să fie o parte foarte
activă a comunităților în care își desfășoară activitatea.
Grupul răspunde unei game variate de nevoi a clienților săi printr-o rețea de parteneri
specializați: UniCredit Leasing Corporation, UniCredit Consumer Financing, UniCredit Services,
UniCredit Insurance Broker, Amundi Asset Management.
UniCredit este o Bancă Comercială Pan Europeana simplă si de succes, cu un sistem complet de
Banca Corporate și de Investiții, oferind bazei sale de clienți în continuă creștere o rețea unica Vest,
Central si Est-Europeana.
Sistemul informatic bancar este conceput pe doua nivele: un nivel al operațiunilor bancare
propriu-zise și un nivel al suportului de dezvoltare a acestor aplicații. Această arhitectură pe două
nivele garantează independența aplicațiilor, modularitatea programelor și evoluția funcțională.
Obiectivele sistemului informatic presupune abordarea și rezolvarea informatică a unor
probleme cu caracter sintetic, într-o manieră sistematică. Aceste obiective au un caracter general și
specific care depind de cadrul legislativ - normativ, dotarea cu tehnică de calcul și cerințele dezvoltării
economice, imediate și de perspectivă, ale băncii. Aceste obiective se pot grupa în:
- obiective de conducere, care urmăresc restabilirea permanentă a activelor economice,
perfecționarea activității de conducere în vederea asigurării unui optim global al întregii activități,
fundamentarea deciziilor de conducere, tactica strategică și operativă pe baza informațiilor obținute ca
numerar a prelucrărilor sistemului informatic, degrevarea conducerii de procesele decizionale de rutina;
- obiective funcționale, fundamental dependente de specificul activității bancare. Banca

dispune de un sistem informatic propriu complex, care înglobează aplicații utilizate de toate
compartimentele: conducere, contabilitate, credite, valută, personal, administrație.
3
Conducerea: aplicații ce pun la dispoziție informații privind situația financiară a băncii,
compară rezultatele activității pe diverse perioade și programează rezolvări viitoare în funcție de
indicatorii actuali;
Contabilitate - toate operațiunile privind decontările, în condițiile actuale în care există un nivel
foarte mare de informații, se pot realiza cu operativitate și în condiții de siguranță și corectitudine
maximă a sumei prin intermediul calculatoarelor;
Credite - se poate asigura o urmărire atentă, a derulării activității de creditare/rambursare a

creditelor, eșalonarea ratelor de rambursare pentru o perioadă de x ani, rambursarea ratelor în avans sau
la scadență; prin întârziere automat se trece suma existentă în cont disponibil, sau se aplică dobânzi
penalizatoare;
Operații valutare - sunt operații complexe în care trebuie să se țină cont de modificarea zilnică a
cursului valutar;
Personal- în acest compartiment munca este facilitată prin utilizarea unor programe de evidență
a personalului, control asupra drepturilor și obligațiilor față de personalul salariat;
Administrație - o bună evidență a mijloacelor fixe, materiale, obiecte de inventar existente și

necesar se poate asigura printr-o programare corespunzătoare.
Tipurile de date utilizate în sistemul informatic bancar:
- date cu grad ridicat de agregare, provenite și furnizate Băncii Naționale Române pe baza
unor sisteme de calcul specializat;
- date referitoare la tranzacții și proceduri aferente (proceduri de început de zi, curente și de

sfârșit de zi);
- date referitoare la operații cu caracter special(clienții băncii, instituții financiare etc).
Gestiunea datelor
Datele din sistemul informatic bancar sunt structurate din mai multe puncte de vedere ale
utilizatorului (viziuni logice) și anume:
Viziunea logica asupra clienților și terților compusă din 3 submulțimi:
- nucleul, care grupează toate informațiile comune, clienților, utilizate în cadrul
SIB(nume, statutul social, adresa etc);
4
- extensii opționale care grupează pentru fiecare aplicație informațiile necesare unei unități
operaționale a instituției;
- extensii opționale care facilitează urmărirea evoluției comerciale a clienților.
Viziunea logică asupra conturilor clienților și terților compusă din două submulțimi:
- nucleul, care grupează toate informațiile comune tuturor aplicațiilor din SIB;
- extensii operaționale care specifică condiții de funcționare a fiecărui cont.
Viziunea logică asupra conturilor:
- referințe asupra planului de conturi;
- conturi de clasificare;
Tipul de infrastructură și componentele sistemului informatic ale băncii UniCredit
a) Sistem de operare
-os400 version 5.1 ca principale servere
-windows NT(200) server ca servere de aplicație în birouri mici și mari
-Os 2 warp 5.0 ca server internet
-Linux Red Hat 6.0 ca NBR proxy server( conexiune la intranetul Băncii Naţională)
- Windows XP, 10 ca sistem de operare standard la stațiile de lucru(workstations)
b) Baze de date
Programe standard al bazelor de date:
Oracle 8.1.5. ca server de baze de date
MS SQL server 7.0 pentru sistem de casă
C) Program pentru mailuri și pachet groupware(soft pentru comunicare)
-Lotus notes 5.10 cu central back+bone in HO și servere distribuite pe ramuri
D) Antivirus
- McAfee4.5 Total virus Defense pentru 1000 de noduri
E) Firewall
Secere-Way de la IBM
5
F) Software pentru Backup
- Arcserver6.0
- Veritas Backup Exec 8.6
G) Hardware
Servere:
- AS400 Servers as Equation Server and the near future for Y4DB Server
- Intel IBM models 200,220,230,5000
- Intel Compaq Proliant model ML 370
- Intel HP Servers
Imprimante
HP seria 2xxx,4xxx,8xxx
6
Procedura P01: Inițierea auditului
UniCredit Bank SA
Departamentul de Audit Intern
Nr. 11 /09.11.2020
ORDIN DE SERVICIU
În conformitate cu fișa postului privind auditul bancar intern, adică activitatea de audit
organizată în interiorul unei bănci comerciale de către un departament specializat al băncii, pe baza
metodologiei prestabilite, se va efectua misiunea de audit intern privind îmbunătățirea securității
aplicației mobile banking, în perioada 20.11.2020 – 07.01.2021.
Scopul misiunii de audit este de a diagnostica securitatea aplicației, sub aspect tehnic și
managerial, iar obiectivul acestuia va fi:
1. Securitatea aplicației mobile banking și a datelor utilizate
Menționăm că acesta este un audit operațional, se va examina doar o parte a activității băncii
din perspectiva obiectivului, raportul de audit furnizând recomandări și soluții la eventuale probleme.
Auditor,
Dascălu Iulian
7
Procedura P02: Iniţierea auditului
UniCredit Bank SA
DECLARAŢIA DE INDEPENDENŢĂ
Nume și prenume: Dascălu Iulian

Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Data: 09.11.2020
Incompatibilități în legătură cu entitatea/structura auditată DA NU
Ați avut/aveți vreo relație oficială, financiară sau personală cu cineva care ar putea
să vă limiteze măsura în care puteți să vă interesați, să descoperiți sau să constatați - X
slăbiciuni de audit în orice fel?
Aveți idei preconcepute față de persoane, grupuri, organizații sau obiective care ar
- X
putea să vă influențeze în misiunea de audit?
Ați avut/aveți funcții sau ați fost/sunteți implicat(ă) în ultimii 3 ani într-un alt mod în
- X
activitatea entității/structurii ce va fi auditată?
Aveți responsabilități în derularea programelor și proiectelor finanțate integral sau
- X
parțial de Uniunea Europeană?
Ați fost implicat în elaborarea și implementarea sistemelor de control ale
- X
entității/structurii ce urmează a fi auditată?
Sunteți soț/soție, rudă sau afin până la gradul al patrulea inclusiv cu conducătorul
- X
entității/structurii ce va fi auditată sau cu membrii organului de conducere colectivă?
Aveți vreo legătură politică, socială care ar rezulta dintr-o fostă angajare sau
primirea de redevențe de la vreun grup anume, sau organizație sau nivel - X
guvernamental?
Ați aprobat înainte facturi, ordine de plată și alte instrumente de plată pentru
- X
entitatea/structura ce va fi auditată?
Ați ținut anterior contabilitatea la entitatea/structura ce va fi auditată? - X
Aveți vreun interes direct sau unul de fond financiar indirect la entitatea/structura
- X
ce va fi auditată?
Dacă în timpul misiunii de audit, apare orice incompatibilitate personală, externă sau
organizațională care ar putea să vă afecteze abilitatea dvs. de a lucra și a face X -
rapoartele de audit imparțiale, notificați șeful Serviciului de audit intern de urgență?
Auditor,
Dascălu Iulian
8
Procedura P03: Inițierea auditului
UniCredit Bank SA
Nr. 11 /10.11.2020
NOTIFICAREA
PRIVIND DECLANŞAREA MISIUNII DE AUDIT INTERN
Către: Departamentul de Securitate cibernetică

De la: Departamentul de Audit Intern
Referitor: Misiunea de audit intern: îmbunătățirea securității aplicației mobile banking
Stimate: Domnule Boris Jon,
În conformitate cu metodologia și normele prestabilite în această instituție bancară urmează ca

în perioada 20.11.2020 – 07.01.2021 să efectuăm o misiune de audit intern având ca temă
îmbunătățirea securității aplicației mobile banking.
Scopul misiunii de audit intern este acela de a furniza o asigurare conducerii în ceea ce privește
securitatea aplicației mobile banking și formularea de recomandări pentru îmbunătățirea acestuia.
Perioada supusă evaluării este 01.01.2019 – 31.12.2019
Vă rugăm, de asemenea, să desemnați o persoană de contact pentru a ne ajuta în timpul derulării

misiunii de audit intern, urmând a stabili de comun acord data ședinței de deschidere, având pe ordinea
de zi următoarele:
- prezentarea auditorilor;
- prezentarea și discutarea obiectivelor misiunii de audit intern;
- discutarea programului intervenției la fața locului;
- stabilirea persoanelor de legătură în cadrul compartimentelor auditate;
- alte aspecte organizatorice necesare desfășurării misiunii.
Pentru o mai bună documentare a echipei de audit intern referitoare la activitatea direcției, vă
9
rugăm sa ne puneți la dispoziție următoarea documentație necesară:
 cadrul metodologic si normele de reglementare aplicabile domeniului informatic și de
securitate;
 diagrama fluxurilor de date(DFD) ale sistemului informatic
 programele software utilizate de către angajați;
 informații tehnice și locația/locațiile server-urilor;
 organigrama departamentului de Informatică și Securitate;
 regulamentul interior de organizare și funcționare;
 fișele posturilor;
 procedurile scrise care descriu activitățile ce se desfășoară in cadrul departamentului;
 alte rapoarte, note, dosare anterioare care se referă la aceasta temă.
 Planul strategic de securitate;
 Planul schematic al clădirii
Pentru eventualele întrebări privind aceasta acțiune, vă rugăm să-l contactați pe tânărul
Dascălu Iulian, auditor intern, coordonatorul misiunii .
Cu mult respect și voie bună,
Auditor,
Dascălu Iulian
10
Procedura P04: Colectarea și prelucrarea informațiilor
COLECTAREA INFORMAŢIILOR
Misiunea de audit: Îmbunătățirea securității aplicației mobile banking

Întocmit: Dascălu Iulian Data: 18.11.2020
COLECTAREA INFORMATIILOR
DA NU OBSERVATII
Identificarea normelor si regulamentelor aplicabile X -
structurii auditate
Diagrama fluxurilor de date ale sistemului X -
informatic(DFD)
Lista programelor software folosite de către angajați X -
Informații tehnice despre server X -
Obținerea organigramei departamentului X -
Obținerea Regulamentul interior de funcționare a X -
departamentului
Obținerea fiselor posturilor X -
Obținerea procedurilor scrise si formalizate a activităților - X Exista doar parțial
Identificarea personalului responsabil X -
Rapoarte elaborate de alte instituții - X Nu există alte rapoarte
Planul schematic al clădirii X -
Planul strategic în privința securității X -
11
Procedura P05: Analiza riscului
UniCredit Bank SA
LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE

Nr.
Obiective Obiecte auditabile Cadrul legislativ Observații
crt.
1. Securitatea aplicației mobile 1. Criptarea datelor și a tranzacțiilor realizate prin aplicație
banking și a datelor utilizate 2. Monitorizarea și mentenanța echipamentelor(servere) Legea nr. 362/2018 privind
folosite de aplicație asigurarea unui nivel comun
3. Autentificarea și oferirea accesului în aplicație ridicat de securitate a rețelelor
4. Securitatea operațiunilor de transfer valutar și sistemelor informatice
5. Salvarea și arhivarea datelor cu caracter confidențial
Lista centralizatoare a obiectelor auditabile reprezintă primul document care se elaborează în cadrul procedurii Analiza riscurilor și
cuprinde un obiectiv al misiunii de audit, ce cuprinde 5 obiecte auditabile, care vor fi evaluate în continuare pentru obținerea Tematicii în detaliu a
misiunii de audit intern
UniCredit Bank SA
IDENTIFICAREA RISCURILOR

Perioada auditată: 01.01.2019.-31.12.2019
Nr.
Obiective Obiecte auditabile Riscuri semnificative (identificate) Observații
crt.
1. Securitatea aplicației 1. Criptarea datelor și a 1. Lipsa procedurilor în vederea actualizării sistemului de
mobile banking și a tranzacțiilor realizate prin criptare
datelor utilizate aplicație 2. Timpul necesar realizării tranzacțiilor suferă datorită
procesului de criptare
3. Apariția unei tehnologii moderne de procesare care face
posibilă spargerea criptării
2. Monitorizarea și mentenanța 4. Locația unde este amplasat echipamentul nu este echipată cu
echipamentelor(servere) folosite un sistem de incendiu, senzori de fum, mișcare și nici cu camere
de aplicație de supraveghere
5. Accesul în camera echipamentului(servere) nu este
restricționat angajaților
6. Lipsa unei plan de extindere a echipamentelor pentru a face
față noilor cerințe de pe piață
3. Autentificarea și oferirea 7. Aplicația nu informează utilizatorul despre tranzacțiile
accesului în aplicație efectuate pe contul acestuia
8. Lipsa unei metode de dublă autentificare
9. Aplicația nu dispune de o opțiune pentru recuperarea
automatică a contului
Nr.
Obiective Obiecte auditabile Riscuri semnificative (identificate) Observații
crt.
4. Securitatea operațiunilor de 10. Nu există o limită zilnică, respectiv un număr maxim de
transfer valutar tranzacții
11. Clientul nu este informat prin sms/mail despre tranzacțiile
realizate
12. Operațiunile mai mici de 10 euro nu apar în istoricul
tranzacțiilor
5. Salvarea și arhivarea datelor 13. Salvarea datelor cu caracter confidențial se face pe un singur În caz de
cu caracter confidențial echipament(server) distrugere,
datele nu pot fi
recuperate
14. Lipsa unui program software pentru înlesnirea procesul de exemplu:
recuperare a datelor datarecovery
15. Termenul de păstrare a datelor arhivate prevăzut în legislație

nu este respectat
: NOTĂ:
Identificarea riscurilor este al doilea document care se elaborează în cadrul procedurii Analiza riscurilor și presupune
asocierea riscurilor semnificative la operațiile stabilite în Lista centralizatoare a obiectelor auditabile. De regulă, se asociază unul sau
mai multe riscuri teoretice, determinate de auditorii interni din documentele colectate sau din riscurile practice reieșite din propria
experiență. În situația în care la operațiile auditabile se atașează mai multe riscuri, analiza acestora se va putea realiza pentru fiecare
risc în parte sau pe total operație/obiect auditabilă.
În acest studiu de caz au fost identificate 5 obiecte auditabile cărora le-au fost atașate 15 de riscuri în total.
UniCredit Bank SA
STABILIREA FACTORILOR, PONDERILOR ŞI NIVELURILOR DE

APRECIERE AL RISCULUI

Ponderea
Nivelul de apreciere al riscului (Ni)
Factori de risc factorilor de
(Fi) risc
N1 N2 N3
(Pi)
Aprecierea Există proceduri,
Există proceduri și Nu există
controlului P1 – 50% sunt cunoscute dar
se aplică proceduri
intern – F1 nu se aplică
Aprecierea
Impact financiar Impact financiar Impact financiar
cantitativă - P2 – 30%
scăzut normal/mediu ridicat
F2
Aprecierea Vulnerabilitate Vulnerabilitate Vulnerabilitate

P3 – 20%
calitativă – F3 mică medie mare
Notă:
Cei trei factori de risc din acest document sunt stabiliți prin normele generale și sunt
acoperitori pentru entitate, însă dacă dorim să evidențiem și alți factori de risc, cu nivelurile de
apreciere corespunzătoare, se recomanda sa avem în vedere ca suma ponderilor factorilor de risc
să fie de asemenea 100.
În funcție de importanța și greutatea factorilor de risc, se stabilesc ponderile și nivelurile de
apreciere ale riscurilor.
UniCredit Bank SA
CHESTIONAR DE LUARE LA CUNOŞTINŢĂ - CLC

ACTIVITATEA DE AUDIT DA NU OBS

1. Securitatea sistemului informatic
- există proceduri clare în vederea actualizării sistemului de Actualizare se face automat
X -
criptare?
- sistemul de criptare încetinește operațiunile de transfer valutar? X -
- dacă răspunsul este afirmativ, există planuri pentru a rezolva Se cunoaște acest aspect și se
acest aspect negativ al criptării? X - caută specialiști pentru a
remedia situația
- echipamentul(server-ul) folosit pentru aplicație este Doar persoanele abilitate cu
monitorizat? X îngrijirea echipamentului au
acces în încăpere
-există o persoană responsabilă cu recuperarea datelor clienților
- X
în caz de dezastru?
- aveți o strategie pentru dezvoltarea echipamentului în cazul în Parțial – există proceduri dar
care este nevoie de acest lucru? camera în care funcționează
X - echipamentul limitează acest
lucru
-este respectat termenul de arhivare și păstrare a datelor cu
Datele sunt păstrate pe o
caracter personal și al istoricului tranzacțiilor stipulat în X - perioadă nedefinită
legislație?
- există funcții care apără utilizatorul împotriva fraudei? X -
-clientul este informat printr-un mesaj/email despre operațiunile
X -
survenite pe contul său?
- intervenția rapidă asupra echipamentului(server-ului) este X
Testare
asigurat de către o echipă specializată?
-personalul responsabil cu prelucrarea datelor cunoaște legislația X - Verificare
în vigoare?
-se lucrează la îmbunătățirea funcției de criptare a informațiilor? X - Criptarea se face de către o parte
terță care are ca obiectiv general
acest lucru
Notă:
Chestionarul de luare la cunoștință se adresează nivelului general de management si
managementului de linie, in vederea aprecierii riscurilor operațiilor supuse auditării, cu scopul de a
evalua prin întrebările formulate si răspunsurile primite existenta si funcționalitatea controalelor
interne din cadrul entității.
UniCredit Bank SA
STABILIREA NIVELULUI RISCULUI ŞI A PUNCTAJULUI TOTAL AL RISCULUI

Criterii de analiza a riscurilor

Aprecierea Aprecierea Aprecierea Punctajul
Nr. controlului cantitativă calitativă total
Obiective Obiecte auditabile Riscuri semnificative
crt. intern (F1) (F2) (F3)
P1 P2 P3
Ni Ni Ni
50% 30% 20%
1. Securitatea 1. Criptarea 1 Lipsa procedurilor în vederea actualizării 0
1 0.5 2 0.3 1 0.2
aplicației mobile datelor și a sistemului de criptare
banking și a tranzacțiilor 2. Timpul necesar realizării tranzacțiilor suferă
2 0.5 2 0.3 1 0.2 0
datelor utilizate realizate prin datorită procesului de criptare
aplicație 3.Apariția unei tehnologii moderne de procesare
3 0.5 3 0.3 2 0.2 0
care face posibilă spargerea criptării
2. Monitorizarea 4.Locația unde este amplasat echipamentul nu este
și mentenanța echipată cu un sistem de incendiu, senzori de fum, 3 0.5 3 0.3 3 0.2 0
echipamentelor(s mișcare și nici cu camere de supraveghere
ervere) folosite 5. Accesul în camera echipamentului(servere) nu 1 0.5 1 0.3 2 0.2 0
de aplicație este restricționat angajaților
Criterii de analiza a riscurilor
Aprecierea Aprecierea Aprecierea Punctajul
Nr. controlului cantitativă calitativă total
crt. intern (F1) (F2) (F3)
P1 P2 P3
Ni Ni Ni
50% 30% 20%
6.Lipsa unei plan de extindere a echipamentelor
pentru a face față noilor cerințe de pe piață
2 0.5 3 0.3 1 0.2 0
3. Autentificarea 7.Aplicația nu informează utilizatorul despre

2 0.5 1 0.3 1 0.2 0
și oferirea tranzacțiile efectuate pe contul acestuia
accesului în 8.Lipsa unei metode de dublă autentificare 2 0.5 1 0.3 2 0.2 0
aplicație 9. Aplicația nu oferă opțiunea de recuperare
automată a contului 0.3
2 1 1 0.2 0
0.5
4. Securitatea 10.Nu există o limită zilnică și nici un număr

3 0.5 2 0.3 3 0.2 0
operațiunilor de maxim de tranzacții
transfer valutar 11.Clientul nu este informat prin sms/mail despre
3 0.5 1 0.3 1 0.2 0
tranzacțiile realizate
12.Operațiunile mai mici de 10 euro nu apar în
3 0.5 2 0.3 2 0.2 0
istoricul tranzacțiilor
5. Salvarea și 13.Salvarea datelor cu caracter confidențial se face
3 0.5 3 0.3 3 0.2 0
arhivarea datelor pe un singur echipament(server)
cu caracter 14.Lipsa unui program software pentru înlesnirea
2 0.5 2 0.3 2 0.2 0
confidențial procesul de recuperare a datelor
15.Termenul de păstrare a datelor arhivate
1 0.5 1 0.3 2 0.2 0
prevăzut în legislație nu este respectat
NOTĂ:
Stabilirea nivelului riscului și a punctajului total al riscului este documentul din procedura Analiza riscurilor în care auditorul
evaluează riscurile pe baza informațiilor și documentelor, în posesia cărora a intrat până în acest moment, a Chestionarului de Luare la
Cunoștință - CLC, pe care l-a obținut de la managementul general și managementul de linie al structurii auditate, dar și a expertizei
personale în domeniu și a informațiilor din mass-media sau de pe internet. De asemenea, auditorii interni, în funcție de resursele alocate
misiunii (număr de persoane, timpul aferent ş.a.), stabilesc punctajul total al riscurilor operației/activității respective, în baza formulei de
calcul:
unde: n
Pt P N
= ∑
= tpunctajul i × Pi
total;
N i = nivelul
i =1
riscurilor pentru fiecare criteriu utilizat;
Pi = ponderea criteriilor de risc
Pentru continuarea analizei, grupează riscurile în următoarele trei categorii:

 Riscuri mici 1,0 - 1,7
 Riscuri medii 1,8 - 2,2
 Riscuri mari 2,3 - 3,0
Elaborarea acestui document prezintă un grad relativ mare de subiectivitate și din acest motiv auditorii interni aduc îmbunătățiri
acestei lucrări, pe toată durata misiunii de audit, în special în Etapa intervenției la fața locului în funcție de informațiile pe care le
colectează cu ocazia testărilor efectuate.
Din experiența practică, recomandăm ca ponderea riscurilor medii să fie sub 10%, deoarece aceasta denotă o nehotărâre din partea
auditorilor interni, referitoare la categoria de riscuri în care să le includă, luând în considerare că în auditare vor intra, de regulă, riscurile
mari și medii, considerate riscuri semnificative.
UniCredit Bank SA
CLASAREA OBIECTELOR AUDITABILE (OPERAŢIILOR) ÎN FUNCŢIE DE ANALIZA RISCULUI

Nr. Punctaj
crt. total Clasare OBS.
1 Securitatea aplicației 1. Criptarea datelor și a 1 Lipsa procedurilor în vederea actualizării sistemului 0
Risc Mic Nul
mobile banking și a tranzacțiilor realizate prin de criptare
datelor utilizate aplicație 2.Timpul necesar realizării tranzacțiilor suferă
0 Risc Mediu
datorită procesului de criptare
3.Apariția unei tehnologii moderne de procesare care
0 Risc Mare
face posibilă spargerea criptării
2. Monitorizarea și 4.Locația unde este amplasat echipamentul nu este
mentenanța echipată cu un sistem de incendiu, senzori de fum, 0 Risc Mare
echipamentelor(servere) mișcare și nici cu camere de supraveghere
folosite de aplicație 5. Accesul în camera echipamentului(servere) nu este
0 Risc Mic Nul
restricționat angajaților
6.Lipsa unei plan de extindere a echipamentelor
0 Risc Mediu
pentru a face față noilor cerințe de pe piață
3. Autentificarea și 7.Aplicația nu informează utilizatorul despre
0 Risc Mic Nul
oferirea accesului în tranzacțiile efectuate pe contul acestuia
aplicație 8.Lipsa unei metode de dublă autentificare 0 Risc Mic Nul
Nr. Punctaj
crt. total Clasare OBS.
9. Aplicația nu oferă opțiunea de recuperare automată
a contului
0 Risc Mic Nul
4. Securitatea 10. Nu există o limită zilnică, respectiv un număr

0 Risc Mare
operațiunilor de transfer maxim de tranzacții
valutar 11.Clientul nu este informat prin sms/mail despre
tranzacțiile realizate 0 Risc Mare
12.Operațiunile mai mici de 10 euro nu apar în

0 Risc Mare
istoricul tranzacțiilor
5. Salvarea și arhivarea 13.Salvarea datelor cu caracter confidențial se face pe
0 Risc Mare
datelor cu caracter un singur echipament(server)
confidențial 14.Lipsa unui program software pentru înlesnirea
0 Risc Mediu
procesul de recuperare a datelor
15.Termenul de păstrare a datelor arhivate prevăzut în
0 Risc Mic Nul
legislație nu este respectat
Notă:
În documentul Clasarea operațiilor în funcție de analiza riscurilor se realizează împărțirea celor 15 riscuri, grupate pe cele 5 de
obiecte auditabile și un obiectiv, în 3 categorii de riscuri, mici, medii și mari, stabilite în fazele anterioare ale procedurii Analiza riscurilor.
În continuare, riscurile mici vor fi eliminate din auditare, iar riscurile mari și medii, considerate riscuri semnificative, în număr de 9,
vor intra în faza de ierarhizare a riscurilor și vor fi preluate în Tabelul puncte tari și puncte slabe.
UniCredit Bank SA
TABELUL PUNCTE TARI ŞI PUNCTE SLABE

Consecinţa Grad de
funcţionării- încredere
Nr. Puncte nefuncţionării al auditorului OBS
crt. T/S controlului intern în
intern controlul
intern
1. Securitatea 1. Criptarea datelor 1. Timpul necesar realizării Funcționează –
aplicației mobile și a tranzacțiilor tranzacțiilor suferă datorită Serviciul de
criptare este oferit
banking și a realizate prin procesului de criptare de către o parte
datelor utilizate aplicație T terță care are ca
Grad mediu
scop îmbunătățirea
constantă a
timpului de criptare
2.Apariția unei tehnologii
moderne de procesare care face S Nul Grad scăzut
posibilă spargerea criptării
2. Monitorizarea și 3. Locația unde este amplasat
mentenanța echipamentul nu este echipată
echipamentelor(ser cu un sistem de incendiu, S Nul Grad scăzut
vere) folosite de senzori de fum, mișcare și nici
aplicație cu camere de supraveghere
22
Consecinţa Grad de
funcţionării- încredere
Nr. Puncte nefuncţionării al auditorului OBS
crt. T/S controlului intern în
intern controlul
intern
4. Lipsa unei plan de extindere
a echipamentelor pentru a face S Nul Grad scăzut
față noilor cerințe de pe piață
3. Securitatea 5.Nu există o limită zilnică și

operațiunilor de nici un număr maxim de
transfer valutar tranzacții S Nul Grad scăzut
6.Clientul nu este informat prin

sms/mail despre tranzacțiile S Nul Grad scăzut
realizate
7.Operațiunile mai mici de 10
euro nu apar în istoricul S Nul Grad scăzut
tranzacțiilor
4. Salvarea și 8.Salvarea datelor cu caracter
arhivarea datelor cu confidențial se face pe un S Nul Grad scăzut
caracter singur echipament(server)
confidențial 9.Lipsa unui program software
pentru înlesnirea procesul de S Nul Grad scăzut
recuperare a datelor
Notă: În faza de ierarhizare a operațiilor în funcție de riscuri, în care au intrat numai riscurile semnificative, a fost elaborat documentul Tabelul
puncte tari și puncte slabe, prin care a fost identificat un risc evaluat ca fiind punct tare, care va fi eliminat din auditare, iar celelalte obiecte
auditabile considerate ca fiind puncte slabe vor rămâne în continuare în auditare.
Evaluarea operațiilor identificate ca fiind puncte tari s-a realizat prin aprecierea funcționalității sistemului de control intern al activităților
auditate, care astfel limitează efectul riscurilor asociate acestora. În urma operației de ierarhizare, au fost preluate spre auditare în continuare
obiectivele și obiectele auditabile considerate ca fiind puncte slabe, în documentul Tematica în detaliu a misiunii de audit intern, care vor fi
renumerotate și ulterior va fi stabilită corespondența acestora cu paragrafele din Raportul de audit intern
23
UniCredit Bank SA
TEMATICA ÎN DETALIU A MISIUNII DE AUDIT INTERN

Nr. Obiective
Poziția
crt. Obiecte auditabile selectate
în RAI
1. Securitatea 1. Criptarea datelor și a 1. Analizarea și verificarea capabilității funcției de
aplicației mobile tranzacțiilor realizate prin criptare de a face față pericolelor curente dar și a celor II.1.1.
banking și a datelor aplicație preconizare în viitor
utilizate
2. Monitorizarea și mentenanța 2. Verificarea existenței condițiilor necesare protejării
II.1.2.1
echipamentelor(servere) folosite fizice a echipamentului în locul plasării acestuia
de aplicație 3. Testarea planului strategic de extindere a
II. 1.2.2
echipamentului hardware folosit
3. Securitatea operațiunilor de 4. Analiza limitei zilnice a tranzacțiilor și a numărului
transfer valutar acestora
5. Verificarea procesului de informare a clienților ca
urmare a unor tranzacții survenite
6. Analizarea funcției de istoric a tranzacțiilor
4. Salvarea și arhivarea datelor 7. Verificarea procesului de salvare a informațiilor cu
cu caracter confidențial caracter confidențial
II. 1.3.
8. Analizarea programelor folosite pentru recuperarea
datelor și a procesului implicit
24
Notă: Analiza riscurilor a pornit de la documentele Lista centralizatoare a obiectelor auditabile, care a cuprins un obiectiv structurat pe 5
de obiecte auditabile și Identificarea riscurilor, prin care s-au atașat 15 de riscuri la aceste obiecte auditabile și s-a finalizat cu Tematica în
detaliu a misiunii de audit intern în urma căreia au fost selectate în vederea auditării un obiectiv, 4 obiecte auditabile şi 8 riscuri asociate
acestora. În continuare, cele 8 de riscuri au fost înlocuite cu obiectele auditabile selectate (operaţii / activităţi / funcţii programe / domenii)
corespunzătoare riscurilor semnificative, în vederea efectuării testărilor, pe baza Programului intervenției la fața locului, și care se vor
materializa în FIAP-uri și FCRI-uri, acolo unde este cazul, iar în final vor fi transferate și comentate în Raportul de audit intern, în ordinea
din Tematica în detaliu a misiunii de audit intern.
25
26
Procedura P06: Elaborarea programului de audit intern
UniCredit Bank SA
PROGRAMUL DE AUDIT INTERN
Misiunea de audit: Analiza securității sistemului informatic

DURATA PERSOANELE LOCUL

OBIECTIVELE AUDITULUI ACTIVITĂŢILE PROGRAMATE
(H) IMPLICATE DESFĂŞURĂRII
Tema generală: Securitatea operațiunilor de transfer valutar interbancar oferite prin 286
aplicația mobile banking
1. Pregătirea misiunii de audit 62
Tipărirea și procesarea ordinului de serviciu 2 Dascălu Iulian
Tipărirea și procesarea declarației de independență 2 Dascălu Iulian
Pregătirea și transmiterea notificării 4 Dascălu Iulian
Colectarea și prelucrarea informațiilor 8 Dascălu Iulian
Întocmire listă centralizatoare a obiectelor auditate 8 Dascălu Iulian
Identificarea și plasarea riscului 8 Dascălu Iulian
Elaborare tabel puncte tare și puncte slabe 8 Dascălu Iulian
Întocmirea programului de audit 8 Dascălu Iulian
Întocmirea notei și a programului de intervenție la fața 10 Dascălu Iulian
locului
Obținerea aprobării notei și a anexelor acesteia 2 Dascălu Iulian
Planificarea și organizarea ședinței de deschidere cu 2 Dascălu Iulian
societatea
Redactarea minutei de deschidere
27
DURATA PERSOANELE LOCUL
OBIECTIVELE AUDITULUI ACTIVITĂŢILE PROGRAMATE
(H) IMPLICATE DESFĂŞURĂRII
2. Intervenția la fața locului 48

Obiectivul Efectuarea testărilor 16 Dascălu Iulian
Securitatea sistemului Discutarea constatărilor cu directorul 2
informatic Elaborare FIAD 16
Colectarea dovezilor 6
Revizuirea documentelor de lucru din punct de vedere al 4
conținutului și formei și întocmirea notei centralizatoare a
documentelor de lucru
Concluzii 4
3. Raportul de audit intern 160 Dascălu Iulian
Redactarea și elaborarea proiectului de raport de audit 48 Dascălu Iulian
intern
Revizuirea raportului de audit intern 48 Dascălu Iulian
Obținerea aprobării proiectului de raport de audit intern 8 Dascălu Iulian
Transmiterea proiectului de raport de audit intern către 8 Dascălu Iulian
auditat și solicitare răspuns în 15 zile
Planificarea și organizarea reuniunii de conciliere 8 Dascălu Iulian
Includerea în raport a aspectelor menționate (dacă e cazul) 8 Dascălu Iulian
Finalizarea raportului de audit intern 16 Dascălu Iulian
Obținerea aprobării raportului de audit intern de către 8 Dascălu Iulian
conducerea instituției
Transmiterea raportului către auditat 8 Dascălu Iulian
4. Urmărirea recomandărilor Întocmirea fișei de urmărire a recomandărilor 16 Dascălu Iulian
Nota: Programul de audit intern este documentul prin care repartizam resursele de audit respectiv, împărțim intre membri echipei de
auditori activitățile pe care le vor desfășura pentru realizarea misiunii si repartizam timpul pentru parcurgerea etapelor si procedurilor specifice in
vederea încadrării in perioadele afectate prin Planul de audit intern.
28
UniCredit Bank SA
PROGRAMUL INTERVENŢIEI LA FAŢA LOCULUI

Obiectivul I. Securitatea aplicației mobile banking și a datelor utilizate

Nr. Loc Durata Nr. lista
OBIECTE AUDITABILE TIPUL TESTĂRII Nr. test Auditori
crt. ul (h) verificare
1. Criptarea datelor și a Analizarea și verificarea capabilității
Interviu 1.2.1.
tranzacțiilor realizate prin funcției de criptare de a face față Test 1.1.1
PC 20 LV 1 Dascălu Iulian
aplicație pericolelor curente dar și a celor
preconizare în viitor
2. Monitorizarea și Testarea monitorizării și mentenanței
mentenanța echipamentului folosit și verificarea
echipamentelor(servere) condițiilor la locul amplasării
Test 1.1.2.
folosite de aplicație echipamentului în vederea asigurării PC 30
Interviu 1.2.2
LV 1 Dascălu Iulian
condițiilor optime de protejare și îngrijire
a acestuia
3. Securitatea operațiunilor Verificarea și analizarea limitelor

de transfer valutar tranzacțiilor, a procesului de informare a
clienților în urma unor tranzacții survenite PC 20 LV 1 Dascălu Iulian
și capabilitatea istoricului tranzacțiilor în
oferirea datelor relevante
29
4. Salvarea și arhivarea Analizarea procesului de salvare a
datelor cu caracter informațiilor cu caracter confidențial și
confidențial testarea abilității recuperării acestor
PC 30 Interviu 1.2.3 LV 1 Dascălu Iulian
informații în caz de defecțiune a
echipamentului
Auditor intern
Dascălu Iulian
30
Procedura P07: Ședința de deschidere
UniCredit Bank SA
MINUTA ŞEDINŢEI DE DESCHIDERE

A. Lista participanților:
Direcția/ Nr. E- Semnătur

Numele Funcția
Serviciul telefon mail a
Departamentul de Audit
Dascălu Iulian Auditor
Intern
Departamentul de
Brandon Sanderson Contabil
Contabilitate
Șef
departament Departamentul de
Boris Jon
Securitate Securitate Cibernetică
Cibernetică
Departamentul de
Trump Rață Arhivist
Securitate Cibernetică
Director
Kim Jon Ionuț
general
Angela Munteanu Administrator
B. Stenograma ședinței
În cadrul ședinței de deschidere s-a procedat la:
- Prezentarea echipei de auditori care urmează să efectueze misiunea de audit intern;
- Prezentarea și discutarea obiectivelor generale ale auditului intern, semnificația acestora. În
același timp, a fost cerută părerea auditaţilor cu privire la aceste obiective, unde s-au făcut remarci că
acestea în general reprezintă zone cu risc datorită interesului scăzut, dar s-au făcut și unele comentarii
cu privire la desfășurarea activității auditorului și anume că angajații vor fi stresați datorită desfășurării
misiunii de audit;
- Prezentarea Programului intervenției la fața locului, respectiv modul de abordare a obiectivelor
auditabile care vor fi testate la sediul central al băncii și instrumentele folosite pentru analizarea
acestora
- Stabilirea persoanelor pe care auditorii interni le pot contacta în vederea colectării informațiilor,
efectuării de teste și asupra modului de obținere a interviurilor. De asemenea, a fost stabilit programul
întâlnirilor și timpul necesar pentru realizarea acestor proceduri;
- Stabilirea condițiilor minime pe care auditatul trebuie să le asigure în vederea realizării misiunii
de audit (timp pentru interviuri cu angajații, testarea, etc.)
31
- Convenirea asupra unor aspecte procedurale, respectiv eventualitatea unor ședințe intermediare în
cursul derulării misiunii de audit, informarea sistematică asupra constatărilor efectuate ş.a.
- Stabilirea Ședinței de închidere, inclusiv a participanților la aceasta;
- Stabilirea modalității de redactare a Raportului de audit intern (când, cum și cui va fi distribuit).
- Explicarea modului în care vor fi discutate și analizate recomandările formulate, ca urmare a
eventualelor disfuncționalități constatate, inclusiv Planul de acțiune realizat de entitatea auditată și
calendarul implementării acestora, cu termene și persoane responsabile.
Auditori intern, Auditați,
Procedura P07: Chestionar
LISTA DE VERIFICARE NR. 1
Obiectivul I. Securitatea aplicației mobile banking și a datelor utilizate
Nr.
ACTIVITATEA DE AUDIT DA NU OBS.
crt.
1.1. Criptarea datelor și a tranzacțiilor realizate prin aplicație
a. funcția de criptare este actualizată și face față pericolelor existente X Interviu nr. 1.2.1.
TEST nr. 1.1.1
b. existența unei strategiei în cazul spargerii criptării și apariției unei
X Listă de control
scurgeri de date confidențiale
nr. 1.1.1
c. folosirea celei mai bune metode de criptare oferită pe piață
Foaie de lucru
nr. 1.1.1
X FIAP 1.3.1
FIAP 1.3.2
FCRI 1.5.1
1.2. Monitorizarea și mentenanța echipamentelor(servere) folosite de
aplicație
a. locul amplasării echipamentului asigură condiții optime de
X Observare
protejare și îngrijire a acestuia
b. echipamentul este monitorizat de o echipă specializată care este directă
X Interviu nr. 1.2.2
capabilă să intervină în orice moment
c. accesul fizic în încăperea destinată echipamentului este TEST nr. 1.1.2
restricționat persoanelor neautorizate Foaie de lucru
X nr. 1.1.2
Listă de control
32
Nr.
ACTIVITATEA DE AUDIT DA NU OBS.
crt.
d. existența unei strategii cu privire la extinderea echipamentului nr. 1.1.2
FIAP
nr. 1.3.3
1.3. Securitatea operațiunilor de transfer valutar

a. existența protocoalelor de securitate în privința operațiunilor de
X Observare
transfer valutar
b. sistemul informează clientul în privința tranzacțiilor efectuate X directă
c. funcția de istoric a tranzacțiilor oferă informații relevante și ușor Notă de relații
de înțeles clientului nr. 1.4.1
X
1.4. Salvarea și arhivarea datelor cu caracter confidențial

a. procesul salvării datelor cu caracter confidențial este securizat și
X
monitorizat Observare
b. abilitatea recuperării datelor dacă situația impune acest lucru X directă
c. salvarea și stocarea datelor confidențiale respectă legislația în Interviu nr. 1.2.3
X
vigoare
1.5 Analiza procedurilor de lucru
Verificarea gradului de acoperire a activităților prin procedurile de
X
lucru specifice
Confirmarea existenței activităților de control intern in punctele
X
cheie ale procedurii de lucru
Urmărirea existenței responsabilităților pe faze de întocmire,
X
avizare, aprobare și pe nivele de execuție
Aplicarea principiului dublei semnături X
Aprobarea de către persoanele competente X
Asigurarea prelucrării datelor în sistem informatizat X
Existenta componentei de actualizare a procedurilor de lucru X
Verificarea cunoașterii procedurilor de către persoanele cu
X
responsabilități în realizarea activităților
Data: Auditor intern,

30.11.2020 Dascălu Iulian
33
Procedura P08: Colectarea dovezilor
UniCredit Bank SA
INTERVIU NR. 1.2.1.

privind
procedurile și activitățile de Criptarea a datelor și tranzacțiilor realizate prin aplicație,
adresat
domnului Boris Jon, șef departament Securitatea Cibernetică

Nr.
Întrebare DA NU Obs.
crt.
1. Se ocupă de funcția criptării datelor cu caracter X Criptarea este asigurată de către
confidențial? o parte terță, FalseProtect
2. Criptarea este actualizată și modificată pentru a face X Acesta este obiectivul principal
față noilor pericole și riscuri ce apar constant? al furnizorului de servicii care se
ocupă cu criptarea datelor
3. Există un personal responsabil care actualizează X Există un compartiment în
aplicația pentru a se folosi cea mai nouă variantă de cadrul Departamentul care se
ocupă de acest lucru
criptare?
4. Există o strategie în cazul spargerii și scurgerii de date X Există un plan care a fost
private? elaborat în 2009, acesta fiind
depășit datorită vechimii și
modificărilor constante
5. Protocoalele de urmat în cazul potențialei spargeri și X
scurgeri de date este cunoscut de către personal?
6. Considerați procedurile folosite corespunzătoare și X
suficiente?
7. Doriți să adăugați ceva? ? „M-ati obosit foarte tare domle,
la revedere!”
Data: Auditor intern, Intervievat,

30.11.2020 Dascălu Iulian Boris Jon
În urma aplicării interviului constatăm că există o strategie ce conține proceduri de urmat în

cazul în care criptarea este spartă și apare o scurgere de date. Totuși această strategie a fost elaborată în
anul 2009, prin urmare fiind datată și imposibil de aplicat. Aflăm că funcția de criptare este oferită de
către o parte terță și întreținută de către aceștia pentru a face față noilor pericole. În continuare se va
elabora FIAP cu numărul 1.3.1 pentru rezolvarea problemei strategiei.
34
UniCredit Bank SA
FIŞA DE IDENTIFICARE ŞI ANALIZĂ A PROBLEMEI NR. 1.3.1.

Perioada auditată: 01.01.2019 – 31.12.2019
PROBLEMA:
Lipsa elaborării unei strategii în cazul spargerii criptării și scurgerii de date
CONSTATARE:
La departamentul audiat, nu s-a elaborat o strategie privind scurgerea de date care să includă
instrucțiuni detaliate personalului abilitat în vederea pașilor și obiectivelor de parcurs pentru
remedierea unei astfel de situație.
Personalul abilitat cunoaște legislația în vigoare privind prelucrarea datelor cu caracter
confidențial, procedurile de securitate fiind respectate de către aceștia.
De asemenea șeful de securitate consideră că procedeele și procedurile aplicate pentru criptarea
datelor și tranzacțiilor realizate prin aplicație suficiente conferind o protecție optimă.
CAUZE:
-lipsa elaborării unor proceduri scrise și aprobate în vederea realizării strategiei;
-personalitatea conservatoare a șefului departamentului
-o cercetare minimă asupra riscurilor la care este expus acest sistem
CONSECINŢE:
- activitatea de stopare a scurgerii datelor va dura mai mult timp, persoanele neautorizate având
un acces mai îndelungat la datele confidențiale ale clienților;
- divulgarea unui volum mai mare de date confidențiale;
RECOMANDĂRI:
- elaborarea unor proceduri scrise și aprobate în vederea realizării strategiei;
- pregătirea și informarea personalului despre noua strategie elaborată;
- persoana ce ocupă funcția de conducere în cadrul acestui departament trebuie să aibă o viziune
flexibilă, deschisă, orientată spre exterior și să se informeze constant despre noile pericole;
35
UniCredit Bank SA
TESTUL NR. 1.1.1.

OBIECTUL TESTULUI: Criptarea datelor și a tranzacțiilor realizate prin aplicație
OBIECTIVUL TESTULUI: Folosirea celei mai bune metode de criptare oferită pe piață
DESCRIEREA TESTULUI:
 Populația pentru realizarea testului o reprezintă totalitatea metodelor de criptare a
bazelor de date oferite de către terți;
 Eșantionul îl reprezintă metodele de criptare ce pot fi utilizate în scopul criptării datelor
noastre și nu au un impact financiar ridicat, conform Foii de lucru 1.1.1
 Testarea se va face folosind baza noastră de date cu ajutorul furnizorilor care oferă
aceste instrumente de criptare și se va avea în vedere următorii indicatori:
- durata de criptare a bazei de date
- timpul necesar pentru a actualiza criptarea la un risc apărut recent
Ultimul indice va fi examinat pe durata anul 2019, din studiul “Encryptions response to
new identified threats” publicat în jurnalul “Data protection” volumul 4
După aflarea indicatorilor, vom compara rezultatele.
CONSTATĂRI:
7. Indicele timpului necesar pentru criptarea bazei de date

- metoda de criptare folosită de către entitate s-a clasat pe locul 5 din cele 6 metode ce pot fi
folosite pentru aplicația mobile banking, primul loc fiind ocupat de către DbDefense SQL, iar ultimul
Bitlocker encryption;
8. Indicele timpului necesar pentru actualizarea instrumentului de criptare la un risc recent apărut
- în urma studiului, FalseProtect, metoda de criptare folosită în prezent are nevoie în medie de
5,3 zile pentru a se actualiza și a ne proteja la noua vulnerabilitate apărută. Astfel, Falseprotect
ocupă ultimul loc în eșantionul nostru, primul fiind ocupat de către IBM Guardium având
nevoie de 1,3 zile.
Pe baza acestui test s-a demonstrat că metoda de criptare folosită este una inferioară și
reprezintă o problemă, astfel s-a elaborat FIAP cu numărul de înregistrare 1.3.2

36
UniCredit Bank SA
FOAIE DE LUCRU NR. 1.1.1.
Obiectivul I: Criptarea datelor și a tranzacțiilor realizate prin aplicația mobile banking
Eșantionul pentru testarea metodelor de criptare s-a constituit în felul următor:
 Populația totală este reprezentată de totalitatea metodelor de criptare a bazelor de date

cunoscute la momentul actual.
 Eșantionul studiat este reprezentat de către acele metode de criptare ce pot fi
implementate în aplicația noastră și nu au un impact financiar ridicat, sub 500.000
pentru achiziționarea acestora.
 Eșantionul nostru este format din 6 instrumente de criptare:
- IBM Guardium pentru fișiere și criptare de baze de date
- Criptare Vormetrică
- McAfee – Advanced enhanced encryption
- DbDefence SQL
- BitLocker encryption
- FalseProtect(metoda utilizată în prezent)
Data: Auditor intern, În prezența,

01.12.2020 Dascălu Iulian Brandon Sanderson
37
LISTA DE CONTROL NR. 1.1.1.
Elemente
testate timpul necesar
pentru a
durata de criptare a
actualiza
bazei de date
Elemente criptarea la un
Eșantionate risc apărut recent
IBM Guardium
CriptareVormetrică
McAfee – Advanced
enhanced encryption
DbDefence SQL
BitLocker encryption
FalseProtect FIAP FIAP

02.12.2020 Dascălu Iulian Brandon Sanderso
38
UniCredit Bank SA
FIȘĂ DE IDENTIFICARE ȘI ANALIZĂ A PROBLEMEI 1.3.2.

PROBLEMA:
Utilizarea unei metode de criptare inferioară comparativ cu alte metode disponibile
CONSTATARE:
În urma testul realizat, s-au comparat metodele de criptare ce pot fi folosite de către aplicația
mobile banking, în baza a 2 indici:
S-a constatat faptul că metoda de criptare folosită de către entitate în prezent este inferioară,
clasându-se pe ultimele locuri din eșantionul studiat, neasigurând o securitate optimă datelor.
CAUZE:
-lipsa de interes din partea șeful de departament;
-lipsa unei cercetări adecvate asupra metodelor utilizate de către entitate
-o rigiditate asupra schimbării unui sistem care funcționează
CONSECINŢE:
- actualizarea întârziată a metodei de criptate folosite poate duce la o scurgere de date deoarece
acestea sunt vulnerabile un timp mai îndelungat
- datorită timpului lung necesar pentru criptarea datelor, durata tranzacțiilor are de suferit,
aplicația oferind astfel, servicii suboptime clienților
RECOMANDĂRI:
- rezilierea contractului cu furnizorul care ne oferă serviciul de criptare;
- achiziționarea unui serviciu de criptare care s-a clasat în topul indicatorilor testați, exemplu:
Db Defense SQL;
- testarea metodelor de criptare disponibile pe piață în fiecare an și alegerea celei mai rentabile
variante

39
UniCredit Bank SA
INTERVIU NR. 1.2.2.

privind
procedurile și activitățile de monitorizare și mentenanța echipamentelor(servere) folosite de aplicație
adresat
domnului Teo Lazăr , șef departament Tehnic

Nr.
crt.
1. Locul amplasării echipamentului(server-ului) este dotat - X
cu camere de supraveghere?
cu senzori de fum?
cu senzori de mișcare?
4. Accesul în camera destinată echipamentului este X -
interzis persoanelor neautorizate?
5. Este monitorizat echipamentul de o echipă specializată X -
capabilă să intervină în orice moment?
6. Echipamentul poate fi extins și dezvoltat situația X -
impune acest lucru?
7. Există și o strategie în acest sens? X - Accesibilă în format fizic și
electronic
8. Considerați procedurile folosite corespunzătoare și - X “Orice lucru poate fi
suficiente? îmbunătățit“
9. Doriți să adăugați ceva? ? „Aș dori să mă informați în
legătură cu rezultatele acestei
misiuni de audit, mulțumesc”

05.12.2020 Dascălu Iulian Teo Lazăr
În urma aplicării interviului constatăm că există o echipă specializată care monitorizează și

întreține echipamentul(server-ul). Totodată, accesul fizic în încăperea unde este amplasat
echipament(server-ul) este interzi persoanelor neautorizate. Există și o strategie în cazul în care
echipamentul trebuie extins. Locul în care este amplasat echipamentul(server-ul) nu asigură condițiile
optime de protejare și îngrijire a acestuia, astfel se va elabora FIAP cu numărul 1.3.3 pentru explorarea
problemei identificate.
40
UniCredit Bank SA
FIȘĂ DE IDENTIFICARE ȘI ANALIZĂ A PROBLEMEI 1.3.3.

PROBLEMA:
Echipamentul(server-ul) este amplasat într-o încăpere care nu asigură condițiile optime de

protejare și îngrijire a acestuia.
CONSTATARE:
În urma observării directe și a interviului aplicat, s-a constat că încăperea folosită pentru
echipament(server-ului) nu este dotată cu:
- camere de supraveghere
- senzori de mișcare
- senzori de fum
- climatizare pentru menținerea unei temperaturi optime echipamentului(server-ului)
CAUZE:
- sediul central nu dispune de o locație optimă;
- reticența de a investi în echiparea unei încăperi care să asigure condițiile optime de
funcționare
-neinformarea asupra importanței unui loc special amenajat pentru echipamentul(server-ul
utilizat)
CONSECINŢE:
- persoanele neautorizate pot accesa echipamentul datorită lipsei sistemelor de supraveghere
facilitând scurgerea de date
- în cazul în care apare un incendiu, acesta va fi identificat prea târziu iar echipamentul va fi
distrus în totalitate
- performanța echipamentului(server-ului) va fi afectată datorită temperaturii ridicate
RECOMANDĂRI:
- dotarea unui loc care să asigure condițiile optime a echipamentului(server-ului) cu:
climatizare, senzori de fum și mișcare, camere de supravegheat, sistem de alarmă, sistem de securitate
la intrare.

41
UniCredit Bank SA
TESTUL NR. 1.1.2.

OBIECTUL TESTULUI: Monitorizarea și mentenanța echipamentelor(servere) folosite de aplicație
OBIECTIVUL TESTULUI: Monitorizarea echipamentului de o echipă specializată capabilă să intervină
în orice moment
DESCRIEREA TESTULUI:
 Populația pentru realizarea testului o reprezintă personalul abilitat atribuit cu sarcina de
monitorizare și intervenție rapidă asupra echipamentului(server-ului)
 Eșantionul este același ca și populația totală, conform Foii de lucru 1.1.2
 Testarea se va face analizând istoricului incidentelor legate de securitate(DDOS) și
durata de soluționare a acestora. Perioada analizată va fi anul 2019. Astfel, vom analiza
2 indicatori legați de performanță:
- durata de soluționare a incidentelor legate de securitate de tip DDOS
- timpul în care echipamentul nu a fost sub supraveghere de către cel puțin 2 angajați
De menționat, acest test analizează competența echipei și nu cea a personalului.
CONSTATĂRI:
Indicele duratei de soluționare a incidentelor legate de securitate, de tip DDOS

- au existat 15 incidente de tip DDOS, iar în urma analizării acestora, timpul de soluționare în
medie a fost de 90 de minute. În literatura de specialitate timpul acceptat de soluționare, ce indică
performanță este de 220 de minute. Așadar, echipa este eficientă și se bucură de performanțe la un
nivel peste cel așteptat.
Indicele timpului în care echipamentul n-a fost supravegheat de cel puțin 2 angajați
- în urma analizei, pe durata întregului an, echipamentul(server-ul) a fost supravegheat constant
de către cel puțin 2 angajați, adică 0 minute.
Pe baza acestui test s-a demonstrat că echipa abilitată și atribuită cu sarcina de a monitoriza și
interveni rapid este foarte eficientă și performează la un nivel mult peste optimul necesar în cazul
rezolvării incidentelor de securitate.

42
UniCredit Bank SA
FOAIE DE LUCRU NR. 1.1.2.
Obiectivul I: Monitorizarea și mentenanța echipamentelor(servere) folosite de aplicație
Eșantionul pentru testarea cunoștințelor și eficienței echipei atribuite cu sarcina de a interveni

rapid s-a constituit în felul următor:
 Populația totală o reprezintă numărul total de angajați cu sarcinile de monitorizare și

intervenire rapidă asupra echipamentului(server-ului).
 Eșantionul studiat este populația totală, adică 12 angajați, prin urmare are o reprezentare
de 100%

10.12.2020 Dascălu Iulian Brandon Sanderson
43
LISTA DE CONTROL NR. 1.1.2.
Elemente timpul în care

testate echipamentul nu
durata de soluționare
Nr. a fost sub
a incidentelor legate
crt. supraveghere de
de securitate
către cel puțin 2
Populaţia angajați
Monitorizarea și
mentenanța
1. X X
echipamentelor(servere)
folosite de aplicație
Data, Auditor intern,

44
UniCredit Bank SA
NOTĂ DE RELAŢII NR. 1.4.1.

privind
Securitatea operațiunilor de transfer valutar
Adresat domnului Boris Jon, șef securitate cibernetică
Întrebare 1: La nivelul departamentului există proceduri specifice, scrise și formalizate privind

operațiunile din cadrul aplicației mobile banking?
Răspuns 1: Da, acest departament dispune de proceduri de securitate care se pot găsi în suport
electronic dar și fizic. De asemenea, aceste proceduri sunt aduse la cunoștință angajaților ce lucrează în
acest departament.
Întrebare 2: Există în departament un responsabil care analizează așteptările, sugestiile și

nemulțumirile clienților cu privire la securitatea operațiunilor de transfer valutar din cadrul aplicației ?
Răspuns 2: Da, există un compartiment în cadrul departamentului care cercetează și analizează
amănunțit așteptările și nemulțumirile clienților, precum și ceea ce oferă competiția. Pentru noi
securitatea clienților noștri este foarte importantă.
Întrebare 3: Există un control periodic asupra angajaților ce au acces la vizualizarea,

prelucrarea, modificarea și ștergerea datelor confidențiale ale clienților pentru a se asigura că legislația
în vigoare este respectată?
Răspuns 3: Da, în fiecare an, sunt realizate 2 controale interne asupra angajaților ce au ca scop
verificarea abilităților și a cunoștințelor legislației în vigoare.
De asemenea, sistemul nu permite ștergerea datelor și nici copierea acestora iar orice modificare
a acestora de către angajați este înregistrată într-un document la care nu au acces.
Întrebare 4: Aplicația pune la dispoziția clientului informații relevante și ușor de înțeles cu

privire la orice schimbare survenită în contul acestuia? De exemplu un istoric al tranzacțiilor?
Răspuns 4: Aplicația oferă clienților noștri un istoric lizibil și actualizat la fiecare 5 minute al
tuturor tranzacțiilor de la momentul înregistrării contului. Încercăm să informăm clientul cu privire la
orice modificare survenită, inclusiv despre tot ce este nou când aplicația este actualizată. Avem și un
sistem de informare prin sms, clientul fiind notificat despre orice tranzacție nouă.
Întrebare 5: Mai aveți ceva de adăugat?

Răspuns 5: Aș vrea să vă inspir cu un citat pe care l-am auzit la un auditor acum mulți ani:
To test or not to test, that is the question.
45
Procedura P09: Constatarea şi raportarea iregularităților
FORMULAR DE CONSTATARE ŞI RAPORTARE A IREGULARITĂȚILOR –

FCRI NR 1.5.1
Către: domnul Kim Jon Ionuț, director
CONSTATARE
În urma misiunii de audit intern operațional, efectuată la UniCredit bank cu sediul central: bd.
expoziției nr.1f, sectorul 1, Bucuresti, cod postal 012101 în perioada 20.11.2020 – 07.01.2021, la
obiectul auditat Criptarea datelor și a tranzacțiilor realizate prin aplicație, s-au constatat următoarele:
- metoda de criptare folosită de către entitate în prezent pentru securitatea datelor cu caracter
confidențial folosită în aplicația mobile banking este inferioară, clasându-se pe ultimele locuri în urma
testului efectuat, neasigurând o securitate optimă datelor.
- lipsa unei strategii privind scurgerea de date care să includă instrucțiuni detaliate personalului
abilitat în vederea pașilor și obiectivelor de parcurs pentru remedierea unei astfel de situație
RECOMANDĂRI
• Elaborarea unor proceduri scrise și aprobate în vederea realizării strategiei
• Achiziționarea unui serviciu de criptare care s-a clasat în topul indicilor testați, exemplu: Db
Defense SQL;
- testarea metodelor de criptare disponibile pe piață în fiecare an și alegerea cele mai bune
variante
ANEXE
- copie după “Encryptions response to new identified threats” publicat în jurnalul “Data
protection” volumul 4
- copie după testul nr 1.1.1;
Data: Auditor,
46
47
UniCredit Bank SA
INTERVIU NR. 1.2.3.

privind
Salvarea și arhivarea datelor cu caracter confidențial,
adresat
domnului Trump Rață, arhivist departament Securitatea Cibernetică

Nr.
crt.
1. Salvarea datelor cu caracter confidențial se poate face X
doar pe echipamentul entității?
2. Există proceduri pentru recuperarea datelor în cazul X
coruperii bazei de date?
3. Arhivarea și păstrarea datelor prelucrate respectă X Datele nu sunt șterse de pe
termenul legislației în vigoare? echipament, rămân pe o durată
nedeterminată
4. Există copii backup a datelor în cazul modificării sau X
prelucrării greșite a acestora?
5. Folosiți un program specializat pentru recuperarea X
datelor când situația impune acest lucru?
6. Considerați procedurile folosite corespunzătoare și X
suficiente?
7. Doriți să adăugați ceva? X „Înapoi la muncă..”

16.12.2020 Dascălu Iulian Trump Rață
În urma aplicării interviului constatăm că procesul salvării datelor este securizat și se face doar
pe echipamentul(server-ul) entității. Se folosește un program special achiziționat pentru recuperarea
acestora dacă este cazul. Legislația în vigoare cu privire la păstrarea datelor este respectată deoarece
acestea nu sunt șterse, rămânând pe o durată nedeterminată în hard disk.
48
Procedura P10: Revizuirea documentelor de lucru
UniCredit Bank SA
NOTA CENTRALIZATOARE A DOCUMENTELOR DE LUCRU

Perioada auditată: 01.01.2019-31.12.2019
Întocmit: Dascălu Iulian Data 25.12.2020
Ob. Există
Constatarea Document justificativ
nr. Da Nu
1.  nu s-a elaborat o strategie privind scurgerea de date - Planul strategic de securitate X
care să includă instrucțiuni detaliate personalului
abilitat în vederea pașilor și obiectivelor de parcurs
pentru remedierea unei astfel de situație
 metoda de criptare folosită de către entitate în prezent - “Encryptions response to X

pentru securitatea datelor cu caracter confidențial new identified threats”
folosită în aplicația mobile banking este inferioară publicat în jurnalul “Data
protection” volumul 4
- Testul 1.1.1
 locația destinată echipamentului(server-ului) nu este - Planul schematic al clădirii X
dotată cu: camere de supraveghere, senzori de
mișcare, senzori de fum, climatizare pentru
menținerea unei temperaturi optime
echipamentului(server-ului)
Auditor intern,
Dascălu Iulian
49
Procedura P11: Ședința de închidere
UniCredit Bank SA
MINUTA ŞEDINŢEI DE ÎNCHIDERE
A. Mențiuni generale:
Perioada auditată: 01.01.2019-31.12.2019
Întocmit: Dascălu Iulian Data 30.12.2020
Lista participanţilor:
Numele Funcţia Serviciul Nr. telefon E-mail Semnătura
Dascălu Iulian Auditor UniCredit Bank

Brandon Sanderson Contabil UniCredit Bank
Șef Securitate UniCredit Bank
Boris Jon
Cibernetică
Trump Rață Arhivist UniCredit Bank
Kim Jon Ionuț Director general UniCredit Bank
B. Concluzii:
 În cadrul ședinței au fost prezentate obiectivele auditate și constatările pentru fiecare obiect
auditat. De asemenea, au fost discutate constatările, au fost analizate cauzele care au contribuit la
realizarea disfuncționalităților, eventualelor consecințe, și au fost comentate recomandările care
urmează a fi implementate pentru eliminarea acestora.
 În cadrul Ședinței de închidere structura auditată și-a însușit în totalitate constatările și
recomandările formulate de auditor.
 În consecință, proiectul Raportului de audit intern devine Raport de audit intern final, care
va fi pregătit pentru aprobare și difuzare structurii auditate.
 Raportul de audit intern va fi însoțit de o SINTEZĂ care va conține principalele constatări și
recomandări ale echipei de auditori interni și concluziile generale.
 Structura auditată se angajează să completeze Planul de acțiune și Calendarul implementării
recomandărilor, cu termenele de realizare și persoanele responsabile cu implementarea acestora, pe
care le vor discuta cu echipa de auditori interni.
Notă:
Datorită acceptării integrale a constatărilor și recomandărilor formulate de echipa de
auditori interni, reuniunea de conciliere nu se va mai organiza.
50
Procedura P12: Elaborarea proiectului de Raport de audit
UniCredit Bank SA
PLANUL DE ACŢIUNE ŞI
CALENDARUL DE IMPLEMENTARE A RECOMANDĂRILOR
OBIECTE
RECOMANDĂRI ACŢIUNI / MĂSURI TERMENE RESPONSABILI
AUDITABILE
Obiectivul nr. 1. Securitatea aplicației mobile banking și a datelor utilizate
Criptarea 1. Elaborarea unor proceduri scrise și aprobate în - Elaborarea unui strategii de securitate care să 07.02.2020
datelor și a vederea realizării strategiei de securitate includă viziunea, scopul, și proceduri de urmat în
Șef departament
tranzacțiilor cazul unor eventuale probleme; 07.03.2020
- Elaborarea unor proceduri scrise ce trebuie securitatea
realizate prin aplicațiilor
aplicație respectate în cazul spargerii criptării și
scurgerii de date
2. Rezilierea contractului cu furnizorul care ne oferă - Rezilierea contractului cu furnizorul 0.7.05.2020
-Achiziționarea unui serviciu nou de criptare Responsabil
serviciul de criptare și achiziționarea unui serviciu
clasat în topul indicatorilor testați operațional
de criptare care s-a clasat în topul indicilor testați Director
3. Testarea metodelor de criptare disponibile pe piață - Realizarea unui studiu având ca eșantion toate 31.12.2021 Șef departament
în fiecare an metodele disponibile pe piață ce pot fi folosite securitatea
pentru criptarea bazei de date folosită de către aplicațiilor
aplicația mobile banking
Supervizarea și 4. Dotarea unui loc care să asigure condițiile optime - Echiparea unui loc destinat 07.05.2020 Administrator
mentenanța a echipamentului(server-ului) cu: climatizare, echipamentului(server-ului) cu următoarele: Responsabil Birou
echipamentelor(s senzori de fum și mișcare, camere de supravegheat, un sistem de climatizare, senzori de fum și Interior
ervere) folosite sistem de alarmă, sistem de securitate la intrare. mișcare, camere de supravegheat, sistem de
de aplicație în alarmă, sistem de securitate la intrare.
condiții optime
51
Procedura P15: Raport de audit
UniCredit Bank SA
RAPORT DE AUDIT INTERN
I. INTRODUCERE
Echipa de auditare a fost constituită din: Dascălu Iulian – auditor
Misiunea s-a efectuat în baza Ordinului de serviciu nr. 11 din 09.11.2020.
Cadrul legal al acțiunii de auditare l-a reprezentat:

- Standardele Internaționale pentru Practica Profesională a Auditului Intern
- Carta auditului intern
Durata misiunii de audit: 20.11.2020-07.01.2021
Scopul acțiunii de auditare constă în:

- reducerea vulnerabilităților aplicației mobile banking
- folosirea unor instrumente de securitate optime pentru aplicația mobile banking
- îmbunătățirea securității aplicației mobile banking
Obiectivele acțiunii de auditare au urmărit:
1. Securitatea aplicației mobile banking și a datelor utilizate
Tipul de auditare - audit intern operațional
Tehnicile de audit intern utilizate:

 verificarea se realizează în vederea asigurării validităţii, realităţii şi performanței securității
aplicației mobile banking, precum şi a eficacității controlului intern prin următoarele tehnici
de verificare:
- comparaţia: pentru confirmarea identităţii unor informaţii, după obţinerea
lor din două sau mai multe surse diferite;
- examinarea: pentru detectarea erorilor şi/sau iregularităţilor;
- recalcularea: verificarea algoritmilor de calcul şi a calculelor matematice;
- punerea de acord: pentru realizarea procesului de potrivire a doua categorii
diferite de înregistrări;
- confirmarea: pentru solicitarea informaţiilor din mai multe surse
independente cu scopul validării acestora;
- garantarea: pentru verificarea realităţii tranzacţiilor înregistrate pornind de
52
la examinarea înregistrărilor spre documentele justificative;
- urmărirea: pentru verificarea procedurilor de la documentele justificative
spre articolul înregistrat în vederea stabilirii realităţii înregistrării în
totalitate a tranzacţiilor.
Alte tehnici de audit:

 observarea fizică: în vederea formării unei păreri proprii privind modul de întocmire și
emitere a documentelor;
 interviul, note de relații: se realizează de către auditorii interni prin intervievarea
persoanelor auditate, implicate și interesate și informațiile primite, care trebuie să fie
susținute de documente. Pentru eventualele explicații suplimentare se solicită note de relații
scrise.
 analiza: constă în descompunerea unei entități în elemente, care pot fi izolate, identificate,
cuantificate și măsurate distinct.
Instrumentele de audit intern care s-au utilizat:

 Chestionarul de luare la cunoștință - CLC: pentru obținerea unor informații referitoare la
contextul socio-economic, organizare internă, funcționarea entității/structurii auditate;
 Chestionarul de control intern - CCI: orientează auditorii interni în activitatea de
identificare obiectivă a disfuncțiunilor și cauzelor reale ale acestora;
 Listă de verificare - LV: utilizată pentru stabilirea condiţiilor de regularitate pe care trebuie
să le îndeplinească fiecare domeniu auditabil. Cuprinde un set de operaţii ce trebuie
parcurse de auditor pentru a analiza activităţile de control intern încorporate în proceduri,
existenţa responsabilităţilor pentru efectuarea acestora şi permite stabilirea testelor de
conformitate atunci când sunt semnalate diferite disfuncţionalităţi.
Documentele examinate în cadrul entității Unicredit Bank privind securitatea aplicației mobile
banking și a datelor utilizate au vizat documentația aferentă perioadei auditate, respectiv:
- Planul strategic de securitate;
- Planul schematic al clădirii
- Diagrama fluxurilor de date(DFD) ale sistemului informatic
- Cadrul metodologic si normele de reglementare aplicabile domeniului informatic și de
securitate
- Informații tehnice și locația/locațiile server-urilor;
- Organigrama departamentului de Securitate Cibernetică;
- Regulamentul interior de organizare și funcționare;
- Fișele posturilor;
- Procedurile scrise care descriu activitățile ce se desfășoară in cadrul departamentului;
Documentele elaborate pe timpul auditării activității, în principal sunt:

- analiza riscurilor;
- tabelele punctelor tari şi slabe;
- tematica în detaliu a misiunii de audit;
- programul de audit intern;
- programul intervenţiei la faţa locului;
53
- liste de verificare structurate pe obiective;
- foi de lucru pentru stabilirea eşantioanelor;
- chestionare de control intern;
- teste;
- liste de control;
- fişe de identificare şi analiză a principalelor probleme constatate - FIAP-uri;
- formulare de constatare şi raportare a iregularităţilor - FCRI-uri;
- raportul preliminar de audit intern;
- minutele şedinţelor de deschidere, de închidere şi de conciliere;
- raportul final de audit intern;
- planul de acţiune şi calendarul de implementare a recomandărilor;
- fişa de urmărire a implementărilor recomandărilor.
II. CONSTATĂRI SI RECOMANDARI
În acest capitol, prezentam principalele constatări ale auditorului, cauzele, consecinţele şi

recomandările formulate, obţinute în urma testărilor efectuate şi concretizate în FIAP-urile şi FCRI-
urile întocmite în Etapa Intervenţiei la faţa locului, în vederea corectării disfuncţionalităţilor semnalate
sau ale celor care pot să apară în perioada imediat următoare, urmare a acestor constatări. De asemenea,
vom prezenta şi comenta posibila evoluţie a riscurilor existente şi a necesităţilor de dezvoltare a
sistemelor de management şi control intern al activităţilor auditate, cu scopul facilitării atingerii
obiectivelor prestabilite de managementul general.
II.1. Securitatea aplicației mobile banking și a datelor utilizate
II. 1.1. Criptarea datelor și a tranzacțiilor realizate prin aplicație
II.1.1.1 Lipsa elaborării unei strategii în cazul spargerii criptării și scurgerii de date pentru
care s-a elaborat FIAP 1.3.1
Constatare:
La departamentul audiat, nu s-a elaborat o strategie privind scurgerea de date care să includă
instrucțiuni detaliate personalului abilitat în vederea pașilor și obiectivelor de parcurs pentru
remedierea unei astfel de situație.
Personalul abilitat cunoaște legislația în vigoare privind prelucrarea datelor cu caracter
confidențial, procedurile de securitate fiind respectate de către aceștia.
De asemenea șeful de securitate consideră că procedeele și procedurile aplicate pentru criptarea
datelor și tranzacțiilor realizate prin aplicație suficiente conferind o protecție optimă.
II. 1.1.2. Utilizarea unei metode de criptare inferioară comparativ cu alte metode disponibile
54
pentru care s-a elaborat FIAP 1.3.2
Constatare:
În urma testul realizat, s-au comparat metodele de criptare ce pot fi folosite de către aplicația
mobile banking, în baza a 2 indici:
S-a constatat faptul că metoda de criptare folosită de către entitate în prezent este inferioară,
clasându-se pe ultimele locuri din eșantionul studiat, neasigurând o securitate optimă datelor.
Cauze:
-lipsa de interes din partea șeful de departament;
-lipsa unei cercetări adecvate asupra metodelor utilizate de către entitate
-o rigiditate asupra schimbării unui sistem care funcționează
Consecințe:
- actualizarea întârziată a metodei de criptate folosite poate duce la o scurgere de date deoarece
acestea sunt vulnerabile un timp mai îndelungat
- datorită timpului lung necesar pentru criptarea datelor, durata tranzacțiilor are de suferit,
aplicația oferind astfel, servicii suboptime clienților
Recomandări:
II. 1.2. Supervizarea și mentenanța echipamentelor(servere) folosite de aplicație în

condiții optime
Testarea monitorizării și mentenanței echipamentului folosit și verificarea condițiilor la locul
amplasării echipamentului în vederea asigurării condițiilor optime de protejare și îngrijire a acestuia
II. 1.2.1. Echipamentul(server-ul) este amplasat într-o încăpere care nu asigură condițiile
optime de protejare și îngrijire a acestuia pentru care s-a elaborat FIAP 1.3.3
Constatare:
În urma observării directe și a interviului aplicat, s-a constat că încăperea folosită pentru
echipament(server-ului) nu este dotată cu:
- camere de supraveghere
- senzori de mișcare
- senzori de fum
- climatizare pentru menținerea unei temperaturi optime echipamentului(server-ului)
Cauze:
55
- sediul central nu dispune de o locație optimă;
- reticența de a investi în echiparea unei încăperi care să asigure condițiile optime de funcționare
-neinformarea asupra importanței unui loc special amenajat pentru echipamentul(server-ul
utilizat)
Consecințe:
Recomandări:
- dotarea unui loc care să asigure condițiile optime a echipamentului(server-ului) cu:
climatizare, senzori de fum și mișcare, camere de supravegheat, sistem de alarmă, sistem de securitate
la intrare.
II. 1.3. Salvarea și arhivarea datelor cu caracter confidențial
Constatare
În urma aplicării interviului constatăm că procesul salvării datelor este securizat și se face doar
pe echipamentul(server-ul) entității. Se folosește un program special achiziționat pentru recuperarea
acestora dacă este cazul. Legislația în vigoare cu privire la păstrarea datelor este respectată deoarece
acestea nu sunt șterse, rămânând pe o durată nedeterminată în hard disk.
III. CONCLUZII
Prezentul proiect de Raport de audit intern a fost întocmit în baza Tematicii in detaliu a
misiunii de audit şi a Programului intervenţiei la faţa locului, a constatărilor efectuate în etapa de
colectării şi prelucrării informaţiilor şi în timpul intervenţiei la fata locului. Toate constatările
efectuate au la bază probe de audit realizate prin teste, foi de lucru, interviuri, liste de control, note de
relații si in urma analizei si interpretării acestora s-au elaborat FIAP-uri si FCRI-uri care au condus
la recomandările și concluziile cuprinse in Raportul de audit intern.
Structura auditată are obligația să întocmească Programul de acțiune si Calendarul
implementării recomandărilor și să raporteze periodic auditorului stadiul implementării acestora.
Auditorul intern, pe baza analizelor şi evaluărilor efectuate apreciază aplicația mobile banking,
conform grilei prezentate în continuare.
Nr. APRECIERE
OBIECTIVUL
crt. FUNCŢIONAL DE ÎMBUNĂTĂŢIT CRITIC
1. Securitatea aplicației mobile
X
banking și a datelor utilizate
Evaluarea are la bază discuțiile care au avut loc, cu privire la recomandările auditorul intern, în
ședințele de închidere și conciliere al misiunii de audit intern, apreciate de către participanți, ca fiind
56
realiste și posibil de implementat în practică.
De asemenea, considerăm că rezultatele evaluării auditorilor interni privind Aplicația mobile
banking se înscriu în parametrii normali datorită faptul că este o tehnologie nouă și încă în stadiul de
dezvoltare.
Structura auditată are obligaţia să respecte Programul de acţiune şi Calendarul de
implementare a recomandărilor, cu scopul implementării recomandărilor la termenele stabilite și să
raporteze echipei de auditori interni, periodic, stadiul implementării acestora.
Data: 07.01.2021 Auditor Dascălu Iulian
Notă:
Mi-a făcut plăcere să lucrez la acest proiect. Am avut o oarecare reticență la început datorită
faptului că materialul părea stufos și greu de abordat. Lucrând, mi-am dat seama că toți pașii sunt logici
și consecvenți. Pare a fi un domeniu în care trebuie să observi entitatea și mecanismele ei la un nivel
macroeconomic pentru a identifica potențiale probleme ca apoi să iei lupa și să analizezi fiecare detaliu
în parte.
Aș minți dacă aș spune că n-am simțit o plăcere în momentele când m-am semnat cu titlul de
auditor.
SINTEZA
RAPORTULUI DE AUDIT INTERN

I. INTRODUCERE
Misiunea de audit intern privind Imbunătățirea securității aplicației mobile banking s-a
desfăşurat în conformitate cu metodologia privind auditul intern, Normelor generale privind
exercitarea activităţii de audit public intern, aprobate prin OMFP nr. 38/2003 şi a normelor specifice
aprobate de conducerea entităţii.
Misiunea de audit intern s-a realizat în baza Planului de audit intern pe anul 2019, aprobat de
conducerea entităţii, perioada auditată fiind 01.01.2019 – 31.12.2019 şi a fost efectuată, în perioada
20.11.2020 – 07.01.2021 de către auditorul intern Dascalu Iulian
Echipa de auditori interni în baza analizei privind riscurile, a testărilor pe teren, şi a evaluărilor
realizate privind Securitatea aplicatiei mobile banking, structurată pe un obiectiv stabilit pentru
derularea misiunii, apreciază funcţionalitatea sistemului de control intern, după cum urmează:
APRECIERE
Nr.
OBIECTIVUL DE
crt. FUNCŢIONAL CRITIC
ÎMBUNĂTĂŢIT
57
1. Securitatea aplicației mobile banking
X
și a datelor utilizate
II. CONSTATĂRI ŞI RECOMANDĂRI
Principalele constatări şi recomandări rezultate din evaluarea auditorilor interni sunt cele
prezentate în continuare:
- Constatare 1: nu s-a elaborat o strategie privind scurgerea de date care să includă instrucțiuni
detaliate personalului abilitat în vederea pașilor și obiectivelor de parcurs pentru remedierea unei
astfel de situație
Recomandare 1:
Elaborarea unor proceduri scrise și aprobate în vederea realizării strategiei de securitate
- Constatare 2: metoda de criptare folosită de către entitate în prezent pentru securitatea datelor
cu caracter confidențial folosită în aplicația mobile banking este inferioară
Recomandare 2:
Testarea metodelor de criptare disponibile pe piață în fiecare an
Rezilierea contractului cu furnizorul care ne oferă serviciul de criptare și achiziționarea unui
serviciu de criptare care s-a clasat în topul indicilor testați
- Constatare 3: locația destinată echipamentului(server-ului) nu este dotată cu: camere de

supraveghere, senzori de mișcare, senzori de fum, climatizare pentru menținerea unei temperaturi
optime echipamentului(server-ului)
Recomandare 3:
Dotarea unui loc care să asigure condițiile optime a echipamentului(server-ului) cu: climatizare,
senzori de fum și mișcare, camere de supravegheat, sistem de alarmă, sistem de securitate la intrare.
III. CONCLUZII
Evaluarea Securitatatii aplicației mobile banking și a datelor utilizate din cadrul Direcţiei
Buget şi Contabilitate Internă, în baza testelor şi analizelor efectuate, permit auditorilor interni să
emită o asigurare rezonabilă managementului general privind calitatea sistemului de control
intern al activităţii auditate, nefiind identificate obstacole în funcţionarea acesteia.
Echipa de auditori interni prin analiza activităţilor auditabile şi evaluările realizate în etapa de
intervenţie la faţa locului, a elaborat un număr de 3 de recomandări, aferente unui obiectiv ale misiunii
de audit intern.
Considerăm că prioritatea în activitatea de implementare a recomandărilor o reprezintă dotarea
unui loc care sa asigure conditiile optime a echipamentului, pentru asigurarea bunei functionalitati a
intregului sistem
58
59

Raport Audit Intern Mobile Banking Unicredit

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Raport Audit Intern Mobile Banking Unicredit

Încărcat de

Drepturi de autor:

Formate disponibile

Universitatea „Stefan cel Mare” Suceava

Facultatea de Științe Economice și Administrație Publică

MISIUNE DE AUDIT INTERN

Student: Dascălu Iulian

UniCredit Bank este parte a Grupului UniCredit.

- obiective funcționale, fundamental dependente de specificul activității bancare. Banca

Credite - se poate asigura o urmărire atentă, a derulării activității de creditare/rambursare a

Administrație - o bună evidență a mijloacelor fixe, materiale, obiecte de inventar existente și

- date referitoare la tranzacții și proceduri aferente (proceduri de început de zi, curente și de

- date referitoare la operații cu caracter special(clienții băncii, instituții financiare etc).

Viziunea logica asupra clienților și terților compusă din 3 submulțimi:

- nucleul, care grupează toate informațiile comune, clienților, utilizate în cadrul

SIB(nume, statutul social, adresa etc);

- extensii opționale care facilitează urmărirea evoluției comerciale a clienților.

- extensii operaționale care specifică condiții de funcționare a fiecărui cont.

Viziunea logică asupra conturilor:

- referințe asupra planului de conturi;

Tipul de infrastructură și componentele sistemului informatic ale băncii UniCredit

-os400 version 5.1 ca principale servere

-windows NT(200) server ca servere de aplicație în birouri mici și mari

-Os 2 warp 5.0 ca server internet

- Windows XP, 10 ca sistem de operare standard la stațiile de lucru(workstations)

Programe standard al bazelor de date:

Oracle 8.1.5. ca server de baze de date

MS SQL server 7.0 pentru sistem de casă

C) Program pentru mailuri și pachet groupware(soft pentru comunicare)

-Lotus notes 5.10 cu central back+bone in HO și servere distribuite pe ramuri

- McAfee4.5 Total virus Defense pentru 1000 de noduri

- Veritas Backup Exec 8.6

- Intel IBM models 200,220,230,5000

- Intel Compaq Proliant model ML 370

Nume și prenume: Dascălu Iulian

Incompatibilități în legătură cu entitatea/structura auditată DA NU

Către: Departamentul de Securitate cibernetică

Referitor: Misiunea de audit intern: îmbunătățirea securității aplicației mobile banking

Stimate: Domnule Boris Jon,

În conformitate cu metodologia și normele prestabilite în această instituție bancară urmează ca

Vă rugăm, de asemenea, să desemnați o persoană de contact pentru a ne ajuta în timpul derulării

Misiunea de audit: Îmbunătățirea securității aplicației mobile banking

LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE

Misiunea de audit: Îmbunătățirea securității aplicației mobile banking

Întocmit: Dascălu Iulian Data: 18.11.2020

Misiunea de audit: Îmbunătățirea securității aplicației mobile banking

15. Termenul de păstrare a datelor arhivate prevăzut în legislație

STABILIREA FACTORILOR, PONDERILOR ŞI NIVELURILOR DE

Misiunea de audit: Îmbunătățirea securității aplicației mobile banking

Aprecierea Vulnerabilitate Vulnerabilitate Vulnerabilitate

CHESTIONAR DE LUARE LA CUNOŞTINŢĂ - CLC

Misiunea de audit: Îmbunătățirea securității aplicației mobile banking

ACTIVITATEA DE AUDIT DA NU OBS

STABILIREA NIVELULUI RISCULUI ŞI A PUNCTAJULUI TOTAL AL RISCULUI

Misiunea de audit: Îmbunătățirea securității aplicației mobile banking

Criterii de analiza a riscurilor

2 0.5 3 0.3 1 0.2 0

3. Autentificarea 7.Aplicația nu informează utilizatorul despre

4. Securitatea 10.Nu există o limită zilnică și nici un număr

Pentru continuarea analizei, grupează riscurile în următoarele trei categorii:

CLASAREA OBIECTELOR AUDITABILE (OPERAŢIILOR) ÎN FUNCŢIE DE ANALIZA RISCULUI

Misiunea de audit: Îmbunătățirea securității aplicației mobile banking

4. Securitatea 10. Nu există o limită zilnică, respectiv un număr

12.Operațiunile mai mici de 10 euro nu apar în

TABELUL PUNCTE TARI ŞI PUNCTE SLABE

Misiunea de audit: Îmbunătățirea securității aplicației mobile banking

3. Securitatea 5.Nu există o limită zilnică și