Tehnologia Informației ȘL Digitalizare - Audit It

TEHNOLOGIA INFORMAȚIEI Șl DIGITALIZARE – AUDIT IT
1) Care dintre următoarele afirmații poate constitui o componentă a auditului sistemelor

informatice:
a) Audit desfăşurat de sine stătător, de regulă prin misiuni de audit al performanţei
implementării şi utilizării de sisteme, soluţii informatice sau servicii electronice care fac
obiectul unor programe naţionale sau proiecte complexe de impact pentru societate, având
efecte în planul modernizării unor domenii sau activităţi;
b) Controale tematice desfășurate de regulă prin misiuni de audit al performanţei
implementării şi utilizării de sisteme, soluţii informatice sau servicii electronice care fac
obiectul unor programe naţionale sau proiecte complexe de impact pentru societate;
c) Audituri de sistem având efecte în planul modernizării unor domenii sau activităţi ;
d) Misiunile de audit financiar desfășurate la sediile entităților verificate.
2) Care este scopul misiunilor de audit al sistemelor informatice:

a) Oferirea unei asigurări rezonabile că sistemul informatic auditat funcționează din punct de
vedere al securității sistemului;
b) Accesibilitatea sistemului informatic auditat să fie efectuată numai de personal autorizat;
c) obţinerea unei asigurări rezonabile asupra implementării şi funcţionării sistemului, în
conformitate cu prevederile legislaţiei în vigoare, cu reglementările în domeniu, cu standardele
internaţionale şi ghidurile de bune practici aplicabile ;
d) obținerea unei asigurări rezonabile că situațiile financiare întocmite cu ajutorul sistemului
informatic nu oferă denaturări semnificative.
3) Care sunt etapele auditului sistemelor informatice:

a) planificarea auditului, efectuarea auditului, raportarea şi revizuirea auditului
b) etapele de evaluare a sistemului contabil și al sistemului informatic al entității auditate în
vederea asigurării că situațiile financiare sunt corecte și conforme;
c) etapele de evaluare a sistemului contabil și al sistemului informatic al entității auditate în
vederea formulării unei opinii de audit;
d) etapele de evaluare a sistemului contabil și al sistemului informatic al entității auditate în
vederea emiterii de recomandări.
4) Care sunt categoriile de categoriile de probleme care pot constitui obiectivele generale ale
auditului IT/IS?
a) evaluarea soluţiilor arhitecturale şi de implementare a sistemului informatic; evaluarea
implicării managementului de la cel mai înalt nivel în perfecţionarea guvernanţei IT;
b) evaluarea infrastructurii hardware şi software: echipamente, sisteme, aplicaţii; evaluarea
disponibilităţii şi accesibilităţii informaţiilor;
c) identificarea şi analiza riscurilor decurgând din utilizarea sistemului informatic, precum şi
a impactului acestora; evaluarea efectelor implementării şi utilizării infrastructurii IT în
modernizarea activităţii entităţii auditate;
d) stabilirea conformităţii rezultatelor entităţii cu un document de referinţă, conformitate
asupra căreia trebuie să se pronunţe auditorul; evaluarea eficacităţii cadrului procedural şi de
reglementare şi a focalizării acestuia pe obiectivele entităţii ;
5) Referitor la misiunile de audit al sistemelor informatice, vă rugăm să precizați care dintre

următoarele sunt considerate criterii de evaluare generice:
a) Evaluarea calităţii personalului utilizator al sistemelor şi aplicaţiilor informatice;
b) Evaluarea securităţii sistemului informatic;
c) Evaluarea disponibilităţii şi accesibilităţii informaţiilor;
d) Dacă activităţile desfăşurate pe parcursul derulării proiectelor IT/IS sunt conforme cu
obiectivele şi termenele de realizare, aprobate la nivel instituţional, la fundamentarea acestora.
1
6) Care sunt factorii care trebuie luați în considerare în cadrul determinării naturii și al
volumului procedurilor de audit, în funcție de obiectivele auditului:
a) natura şi complexitatea sistemului informatic al entităţii, mediul de control al entităţii,
precum şi conturile şi aplicaţiile semnificative pentru obţinerea situaţiilor financiare ;
b) evaluarea sistemului IT și al sistemului contabil al entității auditate;
c) evaluarea controalelor IT;
d) managementul funcției IT.
7) În cadrul entităţilor auditate, o categorie specială de controale IT se referă la

conformitatea sistemului informatic cu cerinţele impuse de cadrul legislativ și de
reglementare. Care dintre următoarele cerinţe legislative nu sunt incluse în acest cadru:
a) Legislaţia privind protecţia datelor private şi legislaţia privind protecţia datelor personale
cu caracter personal;
b) Legislaţia privind utilizarea improprie a calculatoarelor, în sensul criminalităţii
informatice;
c) Cadrul legal de raportare financiară.
d) Legile cu privire la proprietatea intelectuală.
8) Care dintre următoarele riscuri nu reprezintă riscuri cheie specifice mediilor bazate pe
tehnologii informatice:
a) dependenţa de funcţionarea echipamentelor şi programelor informatice;
b) erori sistematice versus erori incidentale, reducerea implicării factorului uman ;
c) accesul neautorizat, pierderea datelor, externalizarea serviciilor IT/IS, lipsa separării
sarcinilor, absenţa autorizării tradiţionale, lipsa de experienţă în domeniul IT ;
d) lipsa de experiență a auditorului public extern asupra sistemului informatic auditat .
9) Care dintre urmatoarele afimații nu sunt cuprinse ca principale aspecte de auditarea în

mediul informatizat, care pot induce ambiguităţi sau erori pe parcursul auditului:
(a) se poate permite anonimatul prin depersonalizarea utilizatorului şi, implicit, se pot induce
confuzii cu privire la răspundere;
(b) se pot permite modificări neautorizate sau neautentificate ale datelor contabile;
(c) se poate permite replicarea intrărilor sau a prelucrărilor de date pe medii de test;
(d) sistemele informatice sunt vulnerabile la accesul de la distanţă şi neautorizat;
10) Care sunt principalele părți componente ale evaluării sistemului IT:
a) Evaluarea controalelor aplicaţiei şi evaluarea riscului zonei contabile; evaluarea
chestionarului IT; testele de detaliu;
b) Colectarea informaţiilor de fond privind sistemele IT; Evaluarea mediului de control IT şi
evaluarea riscului entităţii; Evaluarea controalelor aplicaţiei şi evaluarea riscului zonei
contabile;
c) Colectarea informaţiilor de fond privind sistemele IT; Evaluarea mediului de control IT şi
evaluarea riscului entităţii; testele de fond; testele de detaliu;
d) Evaluarea mediului de control IT şi evaluarea riscului entităţii; testele de fond; evaluarea
riscurilor de audit.
11) Controlul IT este definit ca totalitatea politicilor, procedurilor, practicilor şi a structurilor

organizaționale proiectate să ofere o asigurare rezonabilă asupra faptului că obiectivele
afacerii vor fi atinse şi evenimentele nedorite vor fi prevenite sau detectate şi corectate. Care
dintre controalele IT de mai jos pot fi materializate sub următoarele forme sau acțiuni:
a) Afirmaţii făcute de auditorii statutari;
b) Managementul organizaţiei trebuie să facă unele alegeri privind obiectivele de control:
selectarea obiectivelor care sunt aplicabile, decizia privind controalele care vor fi puse în
practică;
c) Standardele contabile conforme cu reglementările Uniunii Europene;
2
d) Controalele concepute pentru a sprijini compartimentul financiar – contabil.
12) Evaluarea controalelor IT generale vizează identificarea punctelor tari, a punctelor slabe
şi a riscurilor în cadrul mediului general de control IT. Riscurile identificate în mediul general
de control IT pot atenua eficienţa controalelor în aplicaţiile care se bazează pe acestea şi deci
pot fi descrise ca riscuri la nivelul entităţii. Pentru ce va fi utilizată evaluarea IT de către
auditorul public extern?
a) pentru a identifica extinderea şi natura riscurilor generale de audit IT asociate cu
utilizarea de către entitatea auditată a sistemelor informatice în domeniul financiar contabil;
b) pentru a identifica controalele implementate la nivelul entității;
c) pentru a identifica procedurile implementate de entitate;
d) pentru a identifica regulile IT de la nivelul sistemului auditat.
13) Care dintre următoarele pot fi considerate operării necorespunzătoare ale sistemului ce
pot avea ca sursă disfuncționalități la nivelul infrastructurii IT sau pot fi generate de personalul
care gestionează sistemul?
a) Aplicaţiile nu se execută corect datorită operării greşite a aplicaţiilor sau utilizării unor
versiuni incorecte, precum şi datorită unor parametri de configurare incorecţi introduşi de
personalul de operare (de exemplu, ceasul sistemului şi data setate incorect pot genera erori în
calculul dobânzilor, al penalităţilor, al salariilor etc.) ;
b) Alterarea aplicaţiilor financiare sau a fişierelor de date poate rezulta dintr-o utilizare unor
programe utilitare.
c) Personalul IT ştie să gestioneze rezolvarea/„escaladarea” problemelor sau raportarea
erorilor, rezolvarea pe cont propriu a acestora nu este specificată în fișa postului;
d) Întârzieri şi întreruperi în prelucrare datelor primite de la terți ;
14) Precizați care dintre următoarele documente și informații solicitate entității auditate
nu sunt componentă a auditării infrastructurii hardware/software şi de securitate a
sistemului?
a) Infrastructura hardware, software şi de comunicaţie. Documentaţie de prezentare;
b) Politica de securitate. Proceduri generale. Proceduri operaţionale IT (back-up,
managementul capacităţii, managementul configuraţiilor, managementul schimbării
proceselor, managementul schimbărilor tehnice, managementul problemelor etc.);
c) Proceduri şi norme specifice, inclusiv cele legate de administrare şi securitate, în vederea
creşterii gradului necesar de confidenţialitate şi a siguranţei în utilizare, în scopul bunei
desfăşurări a procedurilor electronice şi pentru asigurarea protecţiei datelor cu caracter
personal;
d) Stadiul actual, grafice de implementare şi rapoarte de utilizare.
15) Care dintre următoarele afirmații referitor la obţinerea informaţiilor de fond privind
sistemele IT ale entităţii auditate îl ajută pe auditor în următoarele activităţi de?
a) identificarea configuraţiilor hardware şi a aplicaţiile informatice implicate în obţinerea
situaţiilor financiare ale entităţii auditate;
b) Respectarea formatului prevăzut de lege pentru documentele şi situaţiile generate de
aplicaţia contabilă;
c) Acurateţea balanţei sintetice, pornind de la balanţa analitică; generarea balanţei pentru
orice lună calendaristică;
d) Reflectarea corectă a operaţiunilor în baza de date, în documente şi în situaţii de ieşire.
16) Care dintre următoarele aspecte se iau în considerare atunci când se examinează
controalele privind managementul resurselor umane IT?
a) Calitatea serviciilor furnizate utilizatorilor;
b) Educarea şi instruirea utilizatorilor şi a personalului IT;
c) Managementul programelor şi al proiectelor;
d) Raportarea către conducerea instituţiei.
3
17) Care dintre următoarele obiective de control nu sunt luate în considerare atunci când se
examinează controalele referitoare la planificarea activităţilor privind utilizarea tehnologiilor
informaţiei :
a) Existenţa unui plan corespunzător şi documentat pentru coordonarea activităţilor legate de
implementarea şi funcţionarea sistemului informatic, corelat cu strategia instituţiei ;
b) Sprijinirea realizării obiectivelor IT şi asigurarea gradului de conştientizare şi de înţelegere
a riscurilor afacerii şi a riscurilor ce decurg din IT, a obiectivelor şi intenţiilor conducerii, prin
intermediul comunicării. Asigurarea conformităţii cu legile şi reglementările relevante;
c) Documentarea în planificarea entităţii a rezultatelor scontate/ ţintelor şi etapelor de
dezvoltare şi implementare a proiectelor
d) Întocmirea şi aprobarea de către conducere a unui plan strategic adecvat prin care
obiectivele cuprinse în politică să aibă asociate acţiuni, termene şi resurse.
18) Care dintre următoarele obiective de control sunt luate în considerare în cazul în care se
examinează controalele privind managementul programelor şi al proiectelor, precum şi
raportarea către conducerea instituţiei (cu scopul de a evalua problematica şi de a întreprinde
măsuri corective pentru remedierea unor deficienţe sau de a efectua evaluări ale efectelor
utilizării sistemului în raport cu obiectivele activităţii entităţii):
a) Cadrul de referinţă include un plan general, alocarea resurselor, definirea livrabilelor,
aprobarea utilizatorilor, livrarea conform fazelor proiectului, asigurarea calităţii, un plan formal
de testare, revizia testării şi revizia postimplementării cu scopul de a asigura managementul
riscurilor proiectului şi furnizarea de valoare pentru organizaţie;
b) Existenţa unui buget separat pentru investiţii şi cheltuieli legate de IT. Stabilirea
responsabilităţilor privind întocmirea, aprobarea şi urmărirea bugetului ;
c) Existenţa unui plan corespunzător şi documentat pentru coordonarea activităţilor legate de
implementarea şi funcţionarea sistemului informatic, corelat cu strategia instituţiei
d) Furnizarea de cerinţe clare de calitate formulate şi transpuse în indicatori cuantificabili şi
realizabili, proceduri şi politici.
19) Referitor la Securitate fizică și controalele de mediu, una dintre afirmațiile de mai jos nu
este considerată ca reprezentând un control administrativ:
a) Interdicţia ca personalul cu cunoştinţe de programare să aibă atribuţii de operare care să
permită efectuarea modificări neautorizate în programe;
b) Ştergerea drepturilor de acces la plecarea persoanei din organizaţie şi informarea
personalului care asigură paza în legătură cu acest lucru. Pentru această situaţie trebuie să
existe proceduri de identificare a celor care pleacă şi de asigurare că accesul fizic al acestora
în zona de operare IT nu mai este permis;
c) Identificarea vizitatorilor şi primirea acestora;
d) Proceduri pentru evenimente neaşteptate: plecarea temporară din birou a unor salariaţi
pentru a lua masa, sau la o solicitare expresă. Măsurile pentru aceste situaţii pot include:
încuierea laptop-urilor în sertare sau dulapuri, blocarea tastaturii, încuierea suporţilor tehnici
care conţin date.
20) Precizați care dintre următoarele obiective de control se iau în considerare atunci când se
examinează controalele de reţea şi de utilizare a Internetului :
a) reţeaua trebuie controlată astfel încât să poată fi accesată numai de către utilizatorii
autorizaţi, iar datele transmise să nu fie pierdute, alterate sau interceptate ;
b) Monitorizarea continuă a documentelor (jurnalelor) care înregistrează evenimentele care
se referă la accesul logic și constituie un factor de creştere a eficienţei controalelor
implementate ;
c) Definire a responsabilităţilor generale şi specifice pentru toate aspectele legate de
securitate;
d) Controlul asupra conturilor cu drepturi depline/utilitare de sistem.
4
21) În cazul Procedurii de Externalizării serviciilor IT una dintre afirmațiile de mai jos nu
este considerată obiectiv de control în cadrul acestei proceduri.
a) Există o politică de externalizare a activităţilor IT (existenţa unor colaboratori, furnizori de
servicii IT, etc.) bazată pe: identificarea relaţiilor cu toţi furnizorii, managementul relaţiilor cu
furnizorii, managementul riscului asociat furnizorilor;
b) Includerea de clauze de tip SLA (Service Level Agreement) în contractele cu furnizorii de
servicii;
c) Includerea clauzelor de confidenţialitate în contractele cu furnizorii de servicii;
d) Este monitorizată situația plăților efectuate către furnizorul de servicii IT.
22) În scopul evaluării dependenței conducerii de tehnologiile informației, auditorul va

examina următoarele aspecte relevante:
a) complexitatea sistemelor informatice utilizate şi timpul de supravieţuire al entităţii în lipsa
sistemului IT ;
b) încrederea în IT ;
c) externalizarea IT ;
d) securitatea informaţiei.
23) Care din următoarele definiții reprezintă definiția managementului schimbărilor :

a) Politicile şi procedurile pe care entitatea le implementează şi infrastructura informatică
(echipamente, sisteme de operare etc.), precum şi programele de aplicaţie utilizate pentru
susţinerea operaţiunilor întreprinderii şi realizarea strategiilor de afaceri. Se consideră că un
astfel de mediu există în cazul în care în procesarea de către entitate a informaţiilor financiare
semnificative pentru audit este implicat un calculator, de orice tip sau dimensiune, indiferent
dacă acest calculator este operat de către entitate sau de o terţă parte ;
b) Procesul de identificare şi definire a componentelor de configuraţie într-un sistem, de
înregistrare şi raportare a stării componentelor din configuraţie şi a solicitărilor de modificare şi
verificare a integrităţii şi corectitudinii componentelor de configuraţie ;
c) Procesul de control şi gestionare a solicitărilor de modificare a oricărui aspect al sistemului
informatic (hardware, software, documentaţie, comunicaţii, fişiere de configurare a sistemului).
Procesul de management al schimbărilor va include măsuri de control, gestionare şi
implementare a modificărilor aprobate ;
d) Activităţi coordonate pentru îndrumarea şi controlul unei organizaţii luând în considerare
riscurile.
24) Care din următoarele nu sunt cunoscute drept proceduri de obținere a probelor de
audit:
a) interogarea ;
b) observarea ;
c) reconstituirea traseului tranzacţiei şi a prelucrărilor (parcurgerea fluxului
informaţional şi de prelucrare) ;
d) consultarea legislaţiei aferente tematicii de audit.
25) Care dintre următoarele definiții reprezintă definiția „guvernării electornice”?

a) Descrie rolul persoanelor cărora le este încredinţată supervizarea, controlul şi conducerea
unei entităţi. Cei însărcinaţi cu guvernarea sunt, în mod obişnuit, răspunzători pentru asigurarea
îndeplinirii obiectivelor entităţii, pentru raportarea financiară şi raportarea către părţile
interesate. În cadrul celor însărcinaţi cu guvernarea se include conducerea executivă doar atunci
când aceasta îndeplineşte astfel de funcţii ;
b) Schimbul online al informaţiei guvernului cu, şi livrarea serviciilor către: cetăţeni, mediul
de afaceri şi alte agenţii guvernamentale ;
c) Un sistem de scriere şi de afişare a textului care permite ca textul să fie accesat în moduri
multiple, să fie disponibil la mai multe nivele de detaliu şi care conţine legături la documente
aflate în relaţie cu acesta ;
5
d) Un ansamblu de calculatoare conectate în reţea (la scară mondială) care asigură servicii de
ştiri, acces la fişiere, poşta electronică şi instrumente de căutare şi vizualizare a resurselor de pe
Internet.
26) Mediul de control IT trebuie să aibă controale adecvate pentru a asigura următoarele:
a) un mediu de procesare sigur şi sistematic;
b) protejarea aplicaţiilor, fişierelor şi bazelor de date faţă de acces, modificare sau ştergere
neautorizate;
c) registrul parolelor utilizatorilor ;
d) că pierderea facilităţilor de calcul nu afectează capacitatea organizaţiei de a produce
situaţii financiare care pot fi supuse auditului.
27) Ce trebuie să facă auditorul public extern în cazul identificării de limitări ale separării
atribuțiilor în cadrul funcțiilor IT :
a) Recomandă angajarea de personal de specialitate în cadrul compartimentului IT ;
b) Propune externalizarea serviciilor IT ;
c) Identificarea de controale compensatorii ;
d) Efectuează teste de detaliu.
28) Care dintre următoarele aspecte nu trebuie luate în considerare în modelul de audit în medii
informatizate:
a) aplicarea metodelor, tehnicilor şi instrumentelor de auditare bazate pe / asistate de calculator;
b) managementul auditului pe durata ciclului de viaţă al auditului;
c) proiectarea fluxurilor şi a procedurilor de auditare specifice pentru întregul ciclu de viaţă al
auditului;
d) structurile organizaționale financiar-contabile ca element cheie atât al guvernării IT cât și al
procesului informatic de întocmirea a situațiilor financiare auditate
29) Una din cele mai semnificative efecte în implementarea arhitecturilor de auditare bazate pe
IT, care are un impact deosebit atât asupra organizării şi monitorizării activităţii de audit, cât şi
asupra entităţilor auditate, este:
a) furnizarea informaţiei în timpul cel mai scurt posibil;
b) depistarea si corectarea erorilor;
c) implementarea arhitecturilor de audit online;
d) obţinerea unor informaţii mai bogate şi mai relevante, prin investigaţii automatizate.
30) Ce trebuie să acopere metodele noi necesare pentru auditul tuturor aspectelor relevante ale
programelor şi proiectelor:
a) funcționarea sistemelor financiar-contabile ale organizaţiilor;
b) conformitatea proiectelor cu standardele internationale de audit;
c) conformitatea cu standarde pentru implementarea şi utilizarea tehnologiei informaţiei
(COBIT)
d) existenţa sistemelor de control intern managerial.
31) Printre cele mai relevante acţiuni inițiate și desfășurate de Curtea de Conturi a României
pentru modernizarea activităţii de auditare şi promovarea unei imagini a instituţiei în
concordanţă cu valoarea sa reală, în conformitate cu direcţiile strategice promovate în cadrul
EUROSAI, se află:
a) Extinderea utilizării tehnologiilor moderne de audit în scopul susţinerii eficiente a rolului
Curţii de Conturi a României în detectarea fraudelor şi prevenirea corupţiei: audit online, audit
continuu, e-audit, audit asistat de calculator;
b) Extinderea cooperării în cadrul EUROSAI şi exploatarea beneficiilor care decurg din această
cooperare;
c) Abordarea auditului în concordanţă cu manualele si ghidurile pe domenii de activitate;
6
d) Creşterea responsabilităţii personalului entităţilor verificate în utilizarea tehnologiilor
moderne de prelucrare a datelor;
32) Care sunt abordările promovate în cadrul Curţii de Conturi a României, pentru auditul
sistemelor bazate pe utilizarea tehnologiei informaţiei?
a) Auditul sistemelor e-guvernare şi e-administraţie şi al serviciilor electronice asociate acestor
sisteme;
b) Evaluare preliminară a nivelului de încredere pe care îl pot atribui sistemului de control
intern al entităţii auditate, pentru a stabili procedurile de audit ce urmează a fi utilizate pe
parcursul întregii misiuni de audit financiar;
c) Evaluarea sistemelor de control intern managerial în scopul furnizării unei asigurări
rezonabile privind funcţionarea acestuia, necesară misiunilor de audit financiar sau de audit al
performanţei la care este supusă entitatea;
d) Evaluarea performanţei implementării proiectelor cu finanțarea externă nerambursabilă;
33) Care din următoarele procese interdependente ar trebui să implice abordarea auditului
performanţei într-un mediu IT?
a) Să evalueze atingerea scopului şi a obiectivelor stabilite prin actele de înfiinţare ale entităţii
publice într-un mod economic, eficient şi eficace;
b) Să identifice existența personalului IT care să susțină echipa de audit în atingerea
obiectivelor auditului performanţei;
c) Să evalueze controalele de mediu şi de aplicaţie şi să utilizeze un auditor public extern
pentru problemele aferente acestui domeniu;
d) Să dezvolte şi să utilizeze, atunci când este necesar, tehnici adecvate de audit asistat de
calculator pentru a facilita auditul.
34) Pe care dintre următoarele activități ar trebui să se orienteze un audit al performanţei într-un
mediu IT ?
a) Să evalueze dacă sistemele IT contribuie la dezvoltarea şi întreţinerea unor sisteme de
colectare, stocare, prelucrare, actualizare şi comunicare a datelor şi informaţiilor financiare şi
nefinanciare;
b) Să compare dezvoltarea şi practicile de întreţinere a sistemului IT ale entităţii auditate, cu
practici şi standarde altor entități ce activează în același domeniu;
c) Să compare planificarea auditului, managementul riscului derulării auditului şi managementul
de proiect de raport public anual, cu practici şi standarde recunoscute în domeniu;
d) Să evalueze dacă sistemele IT contribuie la consolidarea economicităţii, eficienţei şi
eficacităţii obiectivelor programului şi a managementului acestuia, în special în ceea ce priveşte
planificarea, execuţia, monitorizarea, şi feedback-ul programului.
35) Care dintre următoarele afirmații este adevărată?

a) Obiectivele de control elaborate de către ISACF (ISACA) au fost proiectate ca un
instrument pentru auditori, în timp ce cadrul de lucru COBIT este un rezultat al evoluţiei către
un instrument pentru management şi guvernare IT;
b) Obiectivele de control elaborate de către ISACF (ISACA) au fost proiectate ca un
instrument pentru management şi guvernare IT, în timp ce cadrul de lucru COBIT este un
rezultat al evoluţiei către un instrument pentru auditori;
c) Obiectivele de control elaborate de către ISACF (ISACA) au fost proiectate ca un
instrument pentru auditori, în timp ce cadrul de lucru COBIT este un rezultat al evoluţiei către
un instrument pentru guvernare IT;
d) Obiectivele de control elaborate de către ISACF (ISACA) au fost proiectate ca un
instrument pentru management, în timp ce cadrul de lucru COBIT este un rezultat al evoluţiei
către un instrument pentru guvernare IT.
36) Una din zonele pe care se focalizează guvernarea IT este:

a) alinierea obiectivelor;
b) livrarea de sisteme IT performante;
7
c) managementul riscurilor;
d) managementul externalizării resurselor IT.
37) Care din următoarele caracteristici face parte din cadrul de referinţă COBIT:
a) Concentrarea pe componenta umană;
b) Orientarea pe procesele de achiziție a sistemelor IT;
c) Bazat pe controale;
d) Conducerea prin metode moderne.
38) Care este una dintre principalele trăsături ale liniilor directoare ale auditului IT?
a) Liniile directoare pentru auditare furnizează ghidare pentru elaborarea de planuri de
auditare care se integrează cu cadrul de lucru COBIT şi obiectivele de control detaliate, şi care
pot fi deci utilizate în contextul obiectivelor de control; Liniile directoare pentru auditare
furnizează planuri de auditare care se nu trebuie să se integreze cu cadrul de lucru COBIT şi
obiectivele de control detaliate, şi care pot fi deci utilizate în contextul obiectivelor de control;
b) Liniile directoare pentru auditare furnizează ghidare pentru elaborarea de planuri de
auditare şi care pot fi utilizate în contextul obiectivelor de control;
c) Liniile directoare pentru auditare furnizează un cadrul de lucru care se integrează cu
COBIT şi obiectivele de control detaliate şi care pot fi deci utilizate în contextul obiectivelor de
control.
39) Pentru a satisface obiectivele afacerii, informaţia trebuie să se conformeze anumitor criterii
de control pe care COBIT le evidenţiază sub forma de cerinţe ale afacerii pentru informaţie.
Cărora din criteriile distincte pentru informaţii enumerate mai jos este necesar ca entitatea să se
conformeze?
a) Integritatea: se referă la acurateţea şi exhaustivitatea informaţiilor, precum şi la
valabilitatea acestora, în conformitate cu valorile şi asteptările organizaţiei; Eficacitatea: impune
ca informaţiile nu trebuie să fie relevante şi pertinente pentru procesul economic, precum şi să
fie livrate doar atunci când este posibil de o manieră corectă, coerentă şi uşor de utilizat;
b) Disponibilitatea: impune ca informaţiile să fie disponibile la finalul procesului economic și
nu se referă la protejarea resurselor necesare şi a capacităţilor asociate;
c) Confidenţialitatea: se referă la permiterea folosirii publice a informaţiilor sensibile.
40) Cadrul de lucru COBIT prezentat in Manualul de audit IT al Curtii de Conturi a Romaniei
defineşte activităţile legate de IT într-un model general al proceselor cu patru domenii. Care
dintre domeniile de mai jos nu se regăsește în acest cadru?
a) Planificare şi organizare;
b) Achiziţie şi implementare;
c) Furnizare şi suport;
d) Exploatare şi scoatere din funcțiune.
41) Care din întrebările de mai jos nu este valabilă când este evaluat domeniul Achiziție şi
Implementare (AI) ?
a) Dacă există perspective ca noile proiecte să ofere soluţii care să răspundă nevoilor afacerii;
b) Dacă noile proiecte au şanse să nu fie duse la bun sfârşit, în timpul şi cu bugetul prevăzute;
c) Dacă noile sisteme vor funcţiona după implementare;
d) Dacă este posibil ca schimbările să aibă loc fără a perturba activităţile curente ale
afacerii/organizaţiei.
42) Care din întrebările de mai jos nu este valabilă când este evaluat domeniul Monitorizare şi
Evaluare (ME) ?
a) Dacă este măsurată performanţa sistemului de audit intern pentru a detecta la timp
problemele;
b) Dacă managementul asigură eficienţa şi eficacitatea controlului intern;
8
c) Dacă se poate face o evaluare privind impactul performanţei sistemului IT asupra
ţintelor/scopurilor afacerii;
d) Dacă, în vederea asigurării securităţii, sunt adecvate confidenţialitatea, integritatea şi
disponibilitatea.
43) Care din următoarele zone nu este de interes pentru guvernarea IT?
a) alinierea strategică;
b) livrarea de produse;
c) managementul riscurilor;
d) măsurarea performanţei.
44) Controalele incorporate în aplicaţiile proceselor economice sunt cunoscute drept controale
ale aplicaţiilor care includ:
a) dezvoltarea sistemelor, managementul schimbării, securitatea, operarea sistemului;
b) completitudinea, acurateţea, validitatea, autorizarea, separarea sarcinilor de serviciu;
c) dezvoltarea sistemelor, securitatea, acurateţea, operarea sistemului;
d) autorizarea, separarea sarcinilor de serviciu, dezvoltarea sistemelor, managementul
schimbării.
45) Pentru care din categoriile de utilizatori enumerate mai jos, cadrul COBIT nu are relevanţă
?
a) Auditori;
b) Managementul executiv;
c) Managementul afacerii;
d) Clienți.
46) Ce este apetitul pentru risc ?

a) Valoarea de risc în sens larg, pe care o societate sau altă entitate este dispusă să o accepte, în
exercitarea misiunii sale (sau viziunii);
b) Variația acceptabilă în raport cu realizarea unui obiectiv;
c) Abaterea tolerabilă faţă de nivelul stabilit de către tolerența riscului şi de obiectivele afacerii;
d) Standardele care impun proiectele care urmează să fie finalizate la termen, cu bugetele
financiare şi de timp estimate, dar admiţând depăşiri de 10% din buget sau 20% din timp.
47) Ce este auditul sistemelor/serviciilor informatice?

a) Obţinerea unei asigurări rezonabile asupra faptului că situaţiile financiare auditate nu conțin
denaturări semnificative ca urmare a unor abateri sau erori, permițând astfel să se exprime o
opinie cu privire la măsura în care acestea sunt întocmite de către entitate în conformitate cu cu
cadrul de raportare financiară aplicabil în România, respectă principiile legalităţii şi regularităţii
şi oferă o imagine fidelă a poziţiei financiare, a performanţei financiare şi a celorlalte informaţii
referitoare la activitatea desfăşurată de entitatea respectivă;
b) Obţinerea unei asigurări rezonabile asupra faptului că modul de administrare a patrimoniului
public şi privat al statului şi al unităţilor administrativ-teritoriale, precum şi execuţia bugetului
de venituri şi cheltuieli al entității verificate sunt în concordanţă cu scopul, obiectivele şi
atribuţiile prevăzute în actele normative prin care a fost înfiinţată entitatea verificată şi respectă
principiile legalităţii, regularităţii, economicităţii, eficienţei şi eficacităţii;
c) Activitate de evaluare a sistemelor de control intern si audit intern;
d) Activitate de evaluare a sistemelor informatice prin prisma optimizării gestiunii resurselor
informatice disponibile (date, aplicaţii, tehnologii, facilităţi, resurse umane etc.), în scopul
atingerii obiectivelor entităţii, prin asigurarea unor criterii specifice: eficienţă, confidenţialitate,
integritate, disponibilitate, siguranţă în funcţionare şi conformitate cu un cadru de referinţă
(standarde, bune practici, cadru legislativ etc.)
48) Care din aspecte enumerate mai jos, nu pot induce ambiguități sau erori pe parcursul
auditului într-un mediul informatizat?
9
a) se pot ascunde sau se pot face invizibile unele procese;
b) nu se poate şterge sau ascunde pista de audit;
c) se pot difuza date, în mod neautorizat, în sistemele distribuite;
d) aplicaţiile pot fi operate de contractanţi externi, care utilizează standarde şi controale proprii
sau pot altera informaţiile în mod neautorizat.
49) Dependenţa de tehnologiile informaţiei este un factor cheie în condiţiile în care tendinţa
actuală este de a se generaliza utilizarea calculatoarelor în toate domeniile economice şi sociale.
În scopul evaluării dependenţei conducerii de tehnologiile informaţiei, auditorul va examina
următoarele aspecte relevante:
a) gradul de automatizare al entităţii, complexitatea sistemelor informatice utilizate şi timpul
de supravieţuire al entităţii în lipsa sistemului IT;
b) politica de personal și de instruire;
c) complexitatea sistemului și documentația disponibilă;
d) existența unor raportări și prelucrări eronate.
50) Care din următoarele riscuri nu pot decurge din lipsa controalelor accesului logic?
a) Dezvăluiri neautorizate prin acces la informaţii confidenţiale;
b) Modificări neautorizate;
c) Afectarea integrităţii sistemului;
d) Pierderea datelor prin ştergere intenţionată sau în timpul transmisiei.
e)
51) Care din amenintările enumerate mai jos nu sunt generate de lipsa controalelor fizice ?
a) Furtul calculatoarelor sau al componentelor, care este în continuă creştere având în vedere
tentaţia indusă de valoarea mare a acestora şi gabaritul mic;
b) Indisponibilitatea sistemului: legăturile în reţea pot fi deteriorate cu uşurinţă;
c) Trecerea peste controalele accesului logic (parole de acces), având acces fizic la fileserver;
d) Copierea sau vizualizarea unor informaţii "sensibile" sau confidenţiale.
52) Aspectele care se nu iau în considerare atunci când se examinează controalele privind
accesul fizic sunt:
a) Alocarea unor spaţii adecvate pentru camera serverelor;
b) Implementarea unor proceduri formale de acces în locaţiile care găzduiesc echipamente IT
importante care să stabilească: persoanele care au acces la servere, modul în care se controlează
accesul la servere (de exemplu, cartele de acces, chei, registre), procedura de alocare a cartelelor
către utilizatori şi de monitorizare a respectării acesteia, cerinţa ca vizitatorii să fie însoţiţi de un
reprezentant al entităţii;
c) Existenţa unor măsuri pentru a asigura că se ţine o evidenţă exactă a echipamentului
informatic şi a programelor informatice (marcarea sau etichetarea echipamentele pentru a ajuta
identificarea), pentru a preveni pierderea intenţionată sau neintenţionată de echipamente şi a
datelor conţinute în acestea;
d) Interdicţia ca personalul care are sarcini în departamentul IT să aibă sarcini şi în
departamentul financiar-contabil sau de resurse umane.
53) Un serviciu este considerat esenţial dacă furnizarea lui îndeplineşte cumulativ anumite
condiţii. Care din condițiile enumerate mai jos nu se iau în considerare ?
a) impactul pe care l-ar putea avea incidentele, în ceea ce priveşte intensitatea şi durata, asupra
activităţilor economice şi societale sau asupra siguranţei publice;
b) serviciul este esenţial în susţinerea unor activităţi societale şi/sau economice de cea mai mare
importanţă;
c) furnizarea sa depinde de o reţea sau de un sistem informatic;
d) furnizarea serviciului este perturbată semnificativ în cazul producerii unui incident.
54) Care dintre următoarele categorii nu sunt considerate obligații ale operatorilor de servicii
esențiale, în scopul asigurării securităţii reţelelor şi sistemelor informatice ?
10
a) se supun controlului desfăşurat de către CERT-RO în vederea stabilirii gradului de respectare
a obligaţiilor ce le revin;
b) stabilesc mijloacele permanente de contact, desemnează responsabilii cu securitatea reţelelor
şi sistemelor informatice însărcinaţi cu monitorizarea mijloacelor de contact şi comunică CERT-
RO în termen de 60 de zile de la înscrierea în Registrul operatorilor de servicii esenţiale lista
acestora, precum şi orice modificări ulterioare de îndată ce au survenit;
c) comunică în termen de maximum 30 de zile către CERT-RO, în calitate de autoritate
competentă la nivel naţional, orice schimbare survenită în datele furnizate în cadrul procesului
de identificare ca operator de servicii esenţiale;
d) atunci când furnizează un serviciu esenţial şi în cadrul altor state membre ale Uniunii
Europene, CERT-RO se consultă cu autorităţile omologe din statele respective înainte de
adoptarea unei decizii privind radierea.
55) Care este semnificația expresiei „securitatea reţelelor şi a sistemelor informatice” ?

a) capacitatea unei reţele de a rezista, la un nivel de încredere dat, oricărei acţiuni care
compromite disponibilitatea, autenticitatea, integritatea, confidenţialitatea sau nonrepudierea
datelor stocate ori transmise sau prelucrate ori a serviciilor conexe oferite de reţeaua sau de
sistemele informatice respective sau accesibile prin intermediul acestora;
b) capacitatea unei reţele şi a unui sistem informatic de a rezista, la un nivel de încredere dat,
oricărei acţiuni care compromite disponibilitatea, autenticitatea datelor stocate ori transmise sau
prelucrate ori a serviciilor conexe oferite de reţeaua sau de sistemele informatice respective sau
accesibile prin intermediul acestora;
c) capacitatea unei reţele şi a unui sistem informatic de a rezista, la un nivel de încredere dat,
oricărei acţiuni care compromite disponibilitatea, autenticitatea, integritatea, confidenţialitatea
sau nonrepudierea datelor stocate ori transmise sau prelucrate ori a serviciilor conexe oferite de
reţeaua sau de sistemele informatice respective sau accesibile prin intermediul acestora;
d) capacitatea unui sistem informatic de a rezista, la un nivel de încredere dat, oricărei acţiuni
care compromite disponibilitatea, autenticitatea, integritatea, confidenţialitatea sau
nonrepudierea datelor stocate ori transmise sau prelucrate ori a serviciilor conexe oferite de
reţeaua sau de sistemele informatice respective sau accesibile prin intermediul acestora;
56) Înscrierea operatorilor de servicii esenţiale în Registrul operatorilor de servicii esenţiale se

realizează prin decizia directorului general al CERT-RO care se comunică operatorului de
servicii esenţiale în urma depunerii unui raport de audit, întocmit de un auditor care deţine
atestat valabil eliberat de către CERT-RO pentru a audita reţele şi sisteme informatice ce
deservesc servicii esenţiale sau servicii digitale. Acest raport de audit întocmit auditor atestă
îndeplinirea:
a) cerinţelor minime de securitate şi notificare şi evaluarea informaţiilor şi documentaţiilor
furnizate de operator în cadrul procesului de identificare;
b) cerinţelor maxime de securitate şi a evaluării informaţiilor şi documentaţiilor furnizate de
operator în cadrul procesului de identificare;
c) cerinţelor minime de securitate şi aprobarea informaţiilor şi documentaţiilor furnizate de
operator în cadrul procesului de operare;
d) cerinţelor minime de securitate a furnizării informaţiilor şi documentaţiilor întocmite de
operator în cadrul procesului de auditare.
57) În stabilirea cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor informatice se

utilizează următoarele domenii de securitate:
a) guvernanță, protecție, apărare cibernetică, reziliență;
b) guvernanță, protecție, apărare cibernetică, managementului incidentelor de securitate;
c) securitatea fizică şi a persoanei, administrarea şi mentenanţa resurselor reţelelor şi sistemelor
informatice, controlul accesului la elementele/componentele reţelelor şi sistemelor informatice;
d) elaborarea şi implementarea politicilor de securitate la nivelul organizaţional; angajamentul
managementului de nivel înalt al organizaţiei în asigurarea sistemului de management al
11
securităţii informaţiei; gestionarea managementului riscurilor privind ameninţările,
vulnerabilităţile şi riscurile identificate.
58) În cadrul cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor informatice

obiectivele domeniului protecţie sunt:
a) asigurarea securităţii reţelelor şi sistemelor informatice, securitatea fizică şi a persoanei;
administrarea şi mentenanţa resurselor reţelelor şi sistemelor informatice; controlul accesului la
elementele/componentele reţelelor şi sistemelor informatice;
b) asigurarea securităţii reţelelor şi sistemelor informatice, securitatea fizică şi a persoanei;
c) controlul accesului la elementele/componentele reţelelor şi sistemelor informatice;
d) securitatea fizică şi a persoanei; administrarea şi mentenanţa resurselor reţelelor şi sistemelor
informatice.
59) În cadrul cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor informatice

obiectivele domeniului rezilienţă sunt:
a) managementul continuităţii serviciilor esenţiale furnizate; gestionarea situaţiilor de criză, în
special a incidentelor de securitate care au un impact major asupra serviciilor esenţiale;
b) angajamentul managementului de nivel înalt al organizaţiei în asigurarea sistemului de
management al securităţii informaţiei; gestionarea managementului riscurilor privind
ameninţările, vulnerabilităţile şi riscurile identificate;
c) asigurarea managementului incidentelor de securitate; detectarea şi tratarea incidentelor de
securitate care afectează securitatea reţelelor şi sistemelor informatice;
d) asigurarea securităţii reţelelor şi sistemelor informatice, securitatea fizică a rețelei şi a
persoanei;
60) Pentru asigurarea unui nivel ridicat de securitate a reţelelor şi sistemelor informatice,
CERT-RO se consultă şi cooperează cu:
a) Parlamentul și Guvernul României, Curtea de Conturi, Curtea Constituțională;
b) instanțele judecătorești, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu
Caracter Personal;
c) Serviciul Român de Informaţii, Ministerul Apărării Naţionale, Ministerul Afacerilor Interne,
Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, Serviciul de Informaţii Externe,
Serviciul de Telecomunicaţii Speciale şi Serviciul de Protecţie şi Pază;
d) Parlamentul și Guvernul României, Curtea de Conturi, Curtea Constituțională, organele de
urmărire penală, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter
Personal.
61) În procesul de identificare ca operator de servicii esenţiale sunt parcurse următoarele etape:
a) Etapa 1. Identificarea serviciilor esenţiale ; Etapa 2. Notificarea CERT-RO de către operatorii
de servicii esenţiale ; Etapa 3. Evaluarea şi înscrierea operatorilor de servicii esenţiale;
b) Etapa 1. Identificarea sistemelor informatice; Etapa 2. Notificarea CERT-RO; Etapa 3 –
auditarea serviciilor;
c) Etapa 1. Identificarea rețelelor principale; Etapa 2. Notificarea autorității competente; Etapa 3
– auditarea rețelelor;
d) Etapa 1. Identificarea caracteristicilor hardware; Etapa 2. Notificarea furnizori de sisteme
hardware; Etapa 3 – auditarea rețelelor intranet;
62) Unul dintre principii care stă la baza a legii privind asigurarea unui nivel comun ridicat de
securitate a rețelelor și a sistemelor informatice este:
a) principiul permanentei metodelor - metodele de evaluare trebuie aplicate în mod
consecvent;
b) principiul responsabilităţii şi conştientizării - constă în efortul continuu derulat de entităţile
de drept public şi privat în conştientizarea rolului şi responsabilităţii individuale pentru
atingerea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice;
12
c) principiul compatibilităţii informaţiilor - elementele prezentate trebuie să dea
posibilitatea comparării în timp a informaţiilor;
d) principiul materialităţii (pragului de semnificaţie) - orice element care are o valoare
semnificativă trebuie prezentat distinct în cadrul situaţiilor financiare iar elementele cu
valori nesemnificative dar care au aceeaşi natură sau au funcţii similare trebuie însumate şi
prezentate într-o poziţie globală. Un element patrimonial este considerat semnificativ dacă
omiterea să ar influenţa în mod vădit decizia utilizatorilor situaţiilor financiare.
63) În cadrul CERT-RO se organizează și funcționează și:

a) echipa de răspuns la incidente de securitate informatică la nivel naţional, denumită în
continuare echipa CSIRT naţională sau CSIRT naţional;
b) Echipele CSIRT proprii;
c) Echipele CSIRT sectoriale;
d) punct de contact la nivel regional.
64) CERT-RO, în calitate de autoritate competentă la nivel naţional, are următoarele atribuţii
generale:
a) identifică, cu consultarea autorităţilor şi entităţilor de reglementare şi administrare a
sectoarelor şi subsectoarelor prevăzute în anexă, operatorii de servicii esenţiale care au sediul
social, filială, sucursală sau punct de lucru pe teritoriul României;
b) elaborează şi actualizează normele specifice privind cerinţele de asigurare a securităţii
reţelelor şi sistemelor informatice;
c) elaborează şi actualizează normele specific privind îndeplinirea obligaţiilor de notificare a
incidentelor de securitate la nivel de entitate;
d) participă, prin reprezentanţi, la Grupul de cooperare la nivel internațioal.
65) Notificarea incidentelor conţine, în mod obligatoriu, următoarele informaţii:

a) elementele de identificare ale infrastructurii şi operatorului sau furnizorului în cauză;
b) descrierea abaterii;
c) impactul economic estimat al incidentului;
d) măsuri de raportare adoptate;
66) Acţiunile specifice de audit al sistemelor informatice din ansamblul competenţelor atribuite
CCR, se desfăşoară pe baza programului anual de activitate, aprobat de Plenul Curţii de Conturi.
Aceste acţiuni se referă la auditul IT / IS, astfel:
a) auditul arhitecturilor şi infrastructurilor IT, precum şi auditul sistemelor, aplicaţiilor şi
serviciilor informatice şi reprezintă o activitate de evaluare a sistemelor informatice prin prisma
optimizării managementului resurselor informatice disponibile;
b) auditul financiar al situațiilor financiare;
c) auditul de conformitate asupra situației, evoluției și a modului de utilizare a sistemului IT;
d) control al operațiunilor speciale.
67) Care dintre următoarele tipuri de audit IT nu sunt desfășurate de Curtea de Conturi:
a) Evaluarea unui sistem informatic în scopul furnizării unei asigurări rezonabile privind
funcţionarea acestuia, asigurare necesară inclusiv misiunilor de audit financiar sau de audit al
performanţei la care este supusă entitatea;
b) Evaluarea securității rețelelor și sistemelor informatice către persoanele juridice de drept
privat;
c) Misiuni de audit mixte, prin integrarea celor trei tipuri de audit: auditul financiar, auditul
performanţei şi auditul IT / IS, acestea urmând a se desfăşura în cadrul unor misiuni comune, în
funcţie de obiectivele stabilite;
d) Auditul sistemelor e-guvernare şi e-administraţie, precum şi al serviciilor electronice
asociate (sistemul e-licitaţie, serviciul electronic declaraţii fiscale online etc.), raportat la
condiţiile prevăzute de Directiva 2006/123/CE);
13
68) În cadrul managementului mentenanței rețelelor și sistemelor informatice, Operatorul de
servicii de securitate (OSE) elaborează şi implementează o procedură care:
a) previne accesul fizic neautorizat, deteriorarea şi interferenţa la informaţiile şi facilităţile de
procesare a informaţiilor în reţelele şi sistemele informatice;
b) defineşte condiţiile care permit menţinerea unui nivel minim de securitate a resurselor;
descrie politica de instalare a oricărei noi versiuni sau măsuri corective pentru o resursă
desemnată; obligă informarea cu privire la informaţii despre vulnerabilităţi şi măsuri corective
de securitate care privesc resursele reţelelor şi sistemelor informatice (hardware şi software);
c) detectează alertele şi incidentele de securitate care afectează reţelele şi sistemele informatice;
d) trebuie să identifice şi analizeze riscurile de securitate referitor la accesul neautorizat.
69) Pornind de la obiectivul general a auditului, se formulează obiective specifice care

determină direcțiile de audit, cerințele concrete şi criteriile care vor sta la baza evaluărilor. Ca
obiective specifice generice, se vor avea în vedere:
a) Evaluarea implicării managementului de la cel mai înalt nivel în perfecționarea
guvernanței IT; Evaluarea soluțiilor arhitecturale şi de implementare a sistemului informatic;
Evaluarea infrastructurii hardware şi software: echipamente, sisteme, aplicaţii;
b) Evaluarea sistemelor informatice, contabile și de control intern;
c) Evaluarea accesului fizic la serverele instituției;
d) Evaluarea chestionarului referitor la sistemele IT ale entității.
70) Pentru identificarea serviciilor digitale, operatorii economici și celelalte entități care
furnizează servicii digitale parcurg următorii pași:
a) Stabilirea categoriei organizaționale; Comunicarea datelor furnizorului de servicii digitale la
Centrului Național de Răspuns la Incidente de Securitate Cibernetică - CERT-RO; Stabilirea
categoriei serviciului digital furnizat.
b) Identificarea serviciului digital furnizat; Comunicarea datelor furnizorului de servicii digitale
la Centrului Național de Răspuns la Incidente de Securitate Cibernetică - CERT-RO; Stabilirea
c) Stabilirea categoriei organizaționale; Identificarea serviciului digital furnizat; Stabilirea
d) Stabilirea categoriei organizaționale; Identificarea serviciului digital furnizat; Comunicarea
datelor furnizorului de servicii digitale la Centrului Național de Răspuns la Incidente de
Securitate Cibernetică - CERT-RO;
71) Auditarea sistemului informatic care furnizează informaţii financiar-contabile

trebuie să:
a) Fie credibile, reale și conforme;
b) Poată răspunde la satisfacerea cerinţelor pentru informaţia financiar contabilă din
punct de vedere al eficacității, eficienţei, confidenţialității, integrității, disponibilității,
conformității şi încrederii;
c) Să fie un audit de tip multidisciplinar cu caracter transversal, interdepartamental ;
d) Analizeze Chestionarului pentru evaluarea sistemului IT și a Chestionarului pentru
evaluarea sistemului contabil al entității verificate.
72) În cadru abordării generale a auditului IT/IS bazat evaluarea riscurilor, vă rugăm să
specificați cum se poate efectua auditul:
a) Auditul se poate efectua pentru întreg ciclul de viaţă al sistemelor şi aplicaţiilor
informatice sau se poate raporta numai la anumite componente specificate sau la
anumite etape de dezvoltare a sistemului ;
14
b) Auditul se efectuează numai asupra sistemelor şi aplicaţiilor informatice sau se
poate raporta numai la anumite componente specificate sau la anumite etape de
dezvoltare a sistemului ;
c) Auditul are drept scop emiterea unei opinii din punct de vedere al economicității,
eficienței și eficacității;
d) In cazul emiterii de recomandări entitatea auditată are obligația de a le implementa
integral.
73) Care dintre următoarele nu sunt obiective specifice generice în cazul auditurilor
sistemelor IT:
a) Evaluarea implicării managementului de la cel mai înalt nivel în
perfecţionarea guvernanţei IT;
b) Identificarea şi analiza riscurilor decurgând din utilizarea sistemului informatic,
precum şi a impactului acestora;
c) Evaluarea efectelor implementării şi utilizării infrastructurii IT în modernizarea
activităţii entităţii auditate;
d) Evaluarea eficacităţii și a conformității cadrului procedural şi de reglementare şi a
focalizării acestuia pe obiectivele entităţii .
74) În cadrul obiectivelor de control conţinute de cadrul COBIT, acestea pot fi

structurate pe criterii funcţionale în următoarele categorii de controale generale,
specificați care dintre urmatoarele criterii nu sunt componentă a acestui cadru :
a) Managementul funcţiei IT;
b) Securitatea fizică şi controalele de mediu;
c) Securitatea informaţiei şi a sistemelor;
d) Securitatea datelor financiare în cadrul sistemului IT.
75) Care dintre următoarele nu sunt considerate riscuri cheie specifice mediilor bazate
pe tehnologii informatice:
a) dependenţa de funcţionarea echipamentelor şi programelor informatice,
vizibilitatea pistei de audit, reducerea implicării factorului uman, erori sistematice
versus erori incidentale,
b) accesul neautorizat, pierderea datelor, externalizarea serviciilor IT/IS,
c) lipsa separării sarcinilor, absenţa autorizării tradiţionale, lipsa de experienţă în
domeniul IT ;
d) riscul inerent de identificare a erorilor/abaterilor în domeniul IT.
76) Care dintre riscurile specifice mediilor bazate pe tehnologii informatice au la bază
vulnerabilități tipice:
a) Securitatea fizică şi controalele de mediu;
b) Securitatea informaţiei şi a sistemelor informatice;
c) lipsa de interes faţă de planificarea continuităţii sistemului (proceduri de salvare a
datelor, securitatea sistemului informatic, recuperarea în caz de dezastru);
d) Continuitatea sistemelor informatice existente la nivelul entității auditate.
77) Care dintre urmatoarele nu reprezinta metode şi tehnici utilizate pentru colectarea
informaţiilor pe parcursul misiunii de audit al sistemelor informatice :
a) Utilizarea chestionarelor şi machetelor şi listelor de verificare; Examinarea unor
documentaţii tehnice, economice, de monitorizare şi de raportare: grafice de
15
implementare, corespondenţă, rapoarte interne, situaţii de raportare, rapoarte de stadiu
al proiectului, registre de evidenţă, documentaţii de monitorizare a utilizării, contracte,
sinteze statistice, metodologii, standarde;
b) Participarea la demonstraţii privind utilizarea sistemului ; Utilizarea tehnicilor şi
instrumentelor de audit asistat de calculator (IDEA sau alte aplicaţii realizate în acest
scop); Inspecţii în spaţiile alocate serverelor şi staţiilor de lucru;
c) Inspecţii în spaţiile alocate depozitelor de date sau locaţiilor de depozitare a
copiilor de back-up; Consultarea legislaţiei aferente tematicii; Documentarea pe
Internet în scopul informării asupra unor evenimente, comunicări, evoluţii legate de
sistemul IT sau pentru consultarea unor documentaţii tehnice;
d) Documentarea pe internet asupra arhitecturii sistemului informatic dacă aceasta
corespunde standardelor internaționale (ISACA) în domeniul auditului IT.
78) Care dintre următoarele sunt considerate proceduri de obținere a probelor de audit
în cazul auditului sistemului IT:
a) interogarea, observarea, inspecţia, confirmarea, reconstituirea traseului tranzacţiei
şi a prelucrărilor (parcurgerea fluxului informaţional şi de prelucrare) şi
monitorizarea ;
b) interogarea, inspecţia, confirmarea, urmarirea traseului tranzacţiei şi a
prelucrărilor (parcurgerea fluxului informaţional şi de prelucrare) şi monitorizarea ;
c) evaluarea chestionarelor intocmite, inspecţia, confirmarea, urmarirea traseului
tranzacţiei şi a prelucrărilor (parcurgerea fluxului informaţional şi de prelucrare) şi
monitorizarea ;
d) inspecţia, confirmarea, urmarirea traseului tranzacţiei şi a prelucrărilor
(parcurgerea fluxului informaţional şi de prelucrare) şi monitorizarea, interviuri cu
personalul de specialitate al entității verificate.
79) Care este scopul auditului sistemului informatic care furnizează informaţii
relevante pentru o misiune de audit financiar:
a) evaluarea sistemului informatic se efectuează în scopul furnizării unei asigurări
rezonabile privind funcţionarea sistemului, necesare auditului financiar la care este
supusă entitatea;
b) datele existente în sistem sunt evaluate cu scopul furnizării unei asigurări
rezonabile privind funcţionarea sistemului, urmare evaluării sitemului informatic;
c) datele sunt furnizate de aplicaţii sau sisteme complexe, în acest caz este necesară
consultarea sau participarea în cadrul echipei de audit a unui specialist care posedă
cunoştinţe şi aptitudini specializate, acesta nevând drept de semnătură a raportului
final;
d) anomaliile constatate pot fi făcute numai de specialistul care posedă cunoștințe şi
aptitudini specializate.
80) În funcţie de concluziile din etapa de planificare, referitoare la configuraţia şi

complexitatea sistemului IT care face obiectul auditului, auditorul public extern poate
să stabilească dacă este oportun sau nu să implice specialişti în audit IT în echipa de
audit. Specificați care sunt factorii care nu vor afecta decizia de cooptare a
specialistului în auditul IT:
a) abilităţile şi experienţa IT a auditorului – auditorii nu trebuie să realizeze evaluări
IT dacă consideră că nu au abilităţile necesare sau experienţa necesară;
16
b) dimensiunea (volumul) operaţiilor entităţii auditate – operaţiile informatice de
volume mari tind să fie mai complexe atât în ceea ce priveşte sistemele propriuzise,
cât şi din punctul de vedere al structurilor organizatorice;
c) complexitatea tehnică a echipamentului IT şi a reţelei – sistemele mai complexe,
care încorporează tehnologii noi, vor necesita asistenţa specialiştilor IT pentru a
identifica şi a evalua riscurile de audit;
d) echipamentul IT prezintă o complexitate tehnică ridicată, acesta fiind externalizat,
datele fiind furnizate de un operator de date autorizat.
81) Care dintre următoarele nu pot fi considerate controale uzuale de aplicație

informatică care furnizează date financiar contabile:
a) Existenţa procedurilor de generare automată de către aplicaţie a situaţiilor de
ieşire;
b) Existenţa funcţiei de export al rapoartelor în format electronic, în cadrul
sistemului;
c) Validitatea şi consistenţa datelor din baza de date a aplicaţiei;
d) Înregistrarea duplicatelor și raportarea acestora numai către prestatorul de servicii
IT;
82) În cadrul misiunii de audit IT, se solicită documente şi informaţii privind

sistemele, proiectele şi aplicaţiile existente în cadrul entităţii auditate. Specificați
care dintre următoarele sunt solicitate în mod uzual :
a) Lista litigiilor existente cu datele conținute de aplicația informatică;
b) Strategia IT şi stadiul de implementare a acesteia;
c) Lista contractelor de mentenanță ;
d) Categoriile de personal pe vârste care utilizează sistemul IT auditat.
83) În cadrul procedurii „dezvoltării informatice planificate”, ce nu va lua în

considerare auditorul la identificarea şi analiza aspectelor legate de dezvoltarea
sistemului informatic şi/sau de schimbările tehnologice:
a) determinarea direcţiei tehnologice, examinarea portofoliului de proiecte IT,
coordonarea şi monitorizarea proiectelor IT;
b) normele metodologice şi standardele în domeniu;
c) Valoarea activelor IT;
d) stadiul de realizare a proiectelor.
84) În cadrul Evaluării mediului de control IT – Obiectivul unei evaluări a mediului

de control IT este de a examina şi de a evalua riscurile, şi controalele care există în
cadrul mediului IT al unei entităţi. O evaluare a mediului de control IT este focalizată
pe:
a) domeniile financiar şi IT (nume, funcţie, locaţie, nr. telefon), care vor colabora cu
auditorul pe parcursul misiunii de audit ;
b) controalele care asigură integritatea şi disponibilitatea programelor şi aplicaţiilor
financiare, în timp ce evaluarea unei aplicaţii se concentrează pe integritatea şi
disponibilitatea tranzacţiilor procesate de respectiva aplicaţie;
c) sistemele /componentele /serviciile informatice care trebuie să fie evaluate în
funcţie de obiectivele auditului ;
d) mărimea departamentului IT care face obiectul auditului, utilizarea reţelelor de
comunicaţii în cadrul entităţii auditate, procesarea de date distribuite, utilizarea de
17
tehnologii noi, sisteme în curs de dezvoltare, cunoaşterea problemelor IT anterioare
ale entităţii auditate şi dacă este de dorit o abordare a auditului bazată pe controale.
85) Care dintre următoarele obiective de control se iau în considerare atunci când se
examinează controalele privind managementul şi organizarea departamentului IT al
entității :
a) Implicarea conducerii în elaborarea şi implementarea unei politici oficiale,
consistente privind serviciile informatice şi în comunicarea acesteia utilizatorilor ;
b) Definirea serviciilor IT şi elaborarea unei strategii de finanţare pentru proiectele
aferente serviciilor IT;
c) Nivelele de finanţare sunt consistente cu obiectivele ;
d) Existenţa unui buget separat pentru investiţii şi cheltuieli legate de IT. Stabilirea
responsabilităţilor privind întocmirea, aprobarea şi urmărirea bugetului.
86) Care dintre următoarele obiective de control se iau în considerare atunci când se
examinează controalele privind managementul costurilor (managementul investițiilor
IT, identificarea şi alocarea costurilor):
a) Definirea serviciilor IT şi elaborarea unei strategii de finanțare pentru proiectele
aferente serviciilor IT ;
b) Strategiile de reducere a riscurilor sunt adoptate pentru a minimiza riscurile
reziduale la un nivel acceptat. ;
c) Este întreţinut şi monitorizat un plan de acţiune pentru reducerea riscului ;
d) Stabilirea rolurilor şi responsabilităţilor în cadrul proiectului.
87) Care dintre următoarele obiective de control sunt luate în considerare atunci când se
examinează controalele privind respectarea reglementărilor în domeniu şi a cerințelor
proiectului:
a) Identificarea nevoilor de învăţare a fiecărui grup de utilizatori ;
b) Definirea şi implementarea unei strategii de creare a unor programe de învățare
eficiente cu rezultate cuantificabile: reducerea erorilor cauzate de utilizatori, creșterea
productivității şi conformității cu controalele cheie, cum ar fi măsurile de securitate ;
c) Realizarea sesiunilor de instruire şi educare;
d) Stabilirea responsabilității asigurării că sistemul implementat este actualizat în
conformitate cu ultima versiune furnizată, că pachetele software au fost furnizate
conform clauzelor contractuale, că au fost furnizate licențele în cadrul contractelor, că
documentația a fost furnizată conform contractului.
88) Care dintre următoarele obiective de control nu se iau în considerare atunci când
se examinează controalele privind administrarea securității:
a) Alocarea responsabilităţii cu privire la administrarea securităţii IT şi definirea în
mod formal a sarcinilor administratorului securităţii ;
b) Asigurarea separării responsabilităţilor pentru administratorul securităţii;
c) Aplicarea unor măsuri pentru a creşte conştientizarea în cadrul entităţii cu privire la
utilizarea sistemului IT (cursuri, prezentări, mesaje pe e-mail) ;
d) Se verifică dacă aplicarea politicilor de securitate acoperă toate activităţile IT într-
un mod consistent.
89) În cadrul procedurii de evaluare a securității aplicației, auditorul va evalua:

a) Volumul şi valoarea tranzacţiilor procesate lunar de aplicaţia financiar contabilă ;
18
b) Evidenţele tranzacţiilor să fie stocate şi să fie complete pentru întreaga perioadă de
raportare;
c) Evaluarea protecţiilor fizice în vigoare pentru a preveni accesul neautorizat la
aplicaţie sau la anumite funcţii ale acesteia, în funcţie de atribuţii, pentru punerea în
aplicare a separării sarcinilor şi a respectării atribuţiilor;
d) Stocarea datelor într-o structură care să permită prelucrările impuse de necesităţile
auditului.
90) Care dintre următoarele definiții reprezintă definiția cloud computing-ului :

a) Software care poate fi utilizat pentru interogarea, analiza şi extragerea de fişiere de
date şi pentru producerea de probe de tranzacţii pentru testele de detaliu ;
b) Stil de utilizare a calculatoarelor în care capabilităţile IT se oferă ca servicii
distribuite şi permit utilizatorului să acceseze servicii bazate pe noile tehnologii, prin
intermediul Internetului, fără a avea cunoştinţe, expertiză sau control privind
infrastructura tehnologică suport a acestor servicii ;
c) Procesul de transformare a programelor şi informaţiilor într-o formă care nu poate
fi înţeleasă fără accesul la algoritmi specifici de decodificare (chei criptografice);
d) Capacitatea de a accesa un sistem, o resursă sau un fişier atunci când este formulată
o cerere în acest scop. Proprietatea informaţiei de a fi accesibilă şi utilizabilă la cerere
de către o entitate autorizată.
91) In cadrul etapei referitoare la „Informații de fond privind sistemul IT” –

configurația hardware, software, a entității auditate, auditorul va colecta informații
privind :
a) Modelul arhitecturii informaţionale a organizaţiei: dicţionarul de date al
organizaţiei şi regulile de sintaxă a datelor, schema de clasificare a datelor; Informaţii
privind personalul implicat în proiectele IT ;
b) dacă strategia IT este aliniată la strategia afacerii; dacă managementul
conştientizează importanţa tehnologiei informaţiei;
c) dacă organizaţia atinge un nivel optim de utilizare a resurselor disponibile; dacă
obiectivele IT sunt înţelese de către toţi membrii organizaţiei;
d) dacă riscurile IT sunt cunoscute şi gestionate; dacă nivelul de calitate al
sistemelor IT răspunde în mod corespunzător nevoilor afacerii.
92) Auditul sistemelor/serviciilor informatice reprezintă :

a) o activitate de evaluare a sistemelor informatice prin prisma optimizării
gestiunii resurselor informatice disponibile (date, aplicaţii, tehnologii, facilităţi,
resurse umane, etc.), în scopul atingerii obiectivelor entităţii, prin asigurarea
unor criterii specifice: eficienţă, confidenţialitate, integritate, disponibilitate,
siguranţă în funcţionare şi conformitate cu un cadru de referinţă (standarde, bune
practici, cadru legislativ, etc.) ;
b) evaluarea complexităţii sistemelor informatice, evaluarea generală a
riscurilor entităţii în cadrul mediului IT, evaluarea riscurilor în cadrul fiecărei
aplicaţii, precum şi un punct de vedere al auditorului privind fezabilitatea unui
demers de audit bazat pe controale ;
c) Documentarea pe Internet în scopul informării asupra unor evenimente,
comunicări, evoluţii legate de sistemul IT;
d) Inspecţii în spaţiile alocate depozitelor de date sau locaţiilor de depozitare a
copiilor de back-up.
19
93) Cele mai uzuale evaluări ale controalelor de aplicaţie se referă la următoarele
aspecte:
a) Existenţa procedurilor de generare automată de către aplicaţie a situaţiilor de
ieşire;
b) Lipsa funcţiei de export al rapoartelor în format electronic, în cadrul sistemului;
c) Lipsa posibilităţii de a reintegra în sistem datele arhivate;
d) Neevidențierea discontinuităţilor şi a duplicatelor.
94) Care dintre următoarele nu sunt luate în considerare de către auditorul public
extern în faza de cunoaștere a entității, referitor la identificarea şi analiza factorilor
legaţi de configuraţia hardware (echipamente), software (programe informatice) şi
personalul IT:
a) componentele sistemului informatic;
b) arhitectura informaţională;
c) factorii care influenţează funcţionalitatea sistemului;
d) Valoarea activelor IT.
95) Specificați care dintre următoarele aspecte se iau în considerare atunci când se
examinează controalele privind calitatea serviciilor furnizate utilizatorilor (care se
reflectă în succesul proiectului, un obiectiv important al conducerii, având efecte
inclusiv în planul încrederii personalului în noile tehnologii) .
a) Nivelul calității serviciilor furnizate utilizatorilor interni se menţionează într-un
document care prevede clauzele referitoare la acestea - SLA (Service Level
Agreement);
b) concluziilor rezultate în urma interviurilor cu persoanele implicate în
managementul proiectelor şi pe baza analizei documentelor privind modul de
monitorizare şi de gestionare a acestora;
c) soluţiile IT trebuie identificate, dezvoltate sau achiziţionate, dar şi implementate şi
integrate în procesele afacerii;
d) Urmărirea gestionării bugetului alocat proiectului se reflectă în evidenţele
operative ale entităţii (procese verbale privind îndeplinirea sarcinilor furnizorilor,
documente conţinând rezultatele unor inspecţii, documente privind analize şi raportări
periodice ale activităţilor şi stadiului proiectului, în raport cu strategia de
implementare).
96) Specificați care este obiectivul controalelor fizice și de mediu :

a) coordonarea operativă a sistemului informatic, baza analizei documentelor privind
modul de alocare şi gestionare a bugetului aferent proiectelor IT, în concordanță cu
obiectivele şi strategia entității;
b) de a preveni accesul neautorizat şi interferenţa cu serviciile IT în scopul
diminuării riscului deteriorării accidentale sau deliberate sau a furtului echipamentelor
IT şi al informaţiilor;
c) dacă funcţiile IT sunt separate de funcţiile de utilizare (financiar, gestiunea
stocurilor, etc.) pentru a nu se opera schimbări neautorizate, de obicei dificil de
detectat, dacă alte funcţii incompatibile, potrivit aspectelor menţionate mai sus, sunt
separate;
d) stabilire a responsabilităţii asigurării că sistemul implementat este actualizat în
conformitate cu ultima versiune furnizată, că pachetele software au fost furnizate
conform clauzelor contractuale, că au fost furnizate licenţele în cadrul contractelor, că
documentaţia a fost furnizată conform contractului.
20
97) O definiţie bazată pe bune practici a guvernării IT, ca parte a guvernării corporaţiei
(întreprinderii) se poate formula astfel:
a) guvernarea IT este responsabilitatea managementului executiv şi a comitetelor de
direcţie şi constă în actul de asumare a conducerii, precum şi în procese şi structuri
organizaţionale care asigură obţinerea de valoare din schimbările induse în activitatea
propriu-zisă (afacerea) şi din schimbările de natură organizaţională facilitate de IT;
b) guvernarea IT este responsabilitatea consiliului de administrație şi a comitetelor de
organizaţionale care asigură că funcţia IT a entităţii susţine şi extinde strategiile şi
obiectivele acesteia;
c) guvernarea IT este responsabilitatea managementului executiv şi a comitetelor de
organizaţionale care asigură că funcţia IT a entităţii susţine şi extinde strategiile şi
obiectivele acesteia;
d) guvernarea IT este un proces care se focalizează pe obiectivele strategice.
98) Unul din controalele asociate obiectelor generice: program (colecţie de proiecte),
proiect, sistem informatic sau resurse informatice, este:
a) nivelul tactic: identificarea celor mai potrivite căi prin care tehnologia informaţiei
poate contribui la îndeplinirea obiectivelor afacerii;
b) nivelul individual: eficienţa cu care este organizată, planificată, condusă şi controlată
desfăşurarea programelor;
c) nivelul operaţional: derularea proiectelor;
d) nivelul aplicaţiilor: utilizarea unor sisteme informatice sau a unor resurse informatice
existente sau nou create.
99) Pe care din următoarele linii de acţiune principale, relevante şi pentru situaţia şi
evoluţiile în planul auditării din România şi-a propus să se focalizeze Grupul de lucru
EUROSAI – IT WG:
a) auditarea furnizării de servicii cat mai diverse;
b) auditarea investiţiilor guvernamentale în resurse hardware, software şi umane relative
la promovarea şi utilizarea eficientă a tehnologiilor informaţiei; c) capacitatea
instituţiilor supreme de audit de a-şi atinge obiectivele din planurile anuale;
d) armonizarea şi convergenţa abordărilor în auditul fondurilor publice, având aceeaşi
ţintă, indiferent de particularităţile naţionale: o bună guvernare şi satisfacerea nevoilor
sociale.
100) Una din cele mai relevante acţiuni inițiate și desfășurate de Curtea de Conturi a
României pentru modernizarea activităţii de auditare şi promovarea unei imagini a
instituţiei în concordanţă cu valoarea sa reală, în conformitate cu direcţiile strategice
promovate în cadrul EUROSAI, este:
a) Abordarea auditului în concordanţă cu evoluţiile şi tendinţele internaţionale de vârf,
astfel încât Curtea de Conturi a României, ca instituţie supremă de audit, să funcţioneze
în armonie cu cerinţele standardelor profesionale ale Organizaţiei Internaţionale a
Instituţiilor Supreme de Audit (INTOSAI), precum şi cu Liniile Directoare Europene de
implementare a acestora;
b) Standardizarea documentelor de planificare a auditului performanței;
c) Obținerea de informații corecte privind acțiunile de eliminarea erorilor şi
neregularităților şi perfecționarea gestionării banului public;
21
d) Extinderea cooperării în cadrul EUROSAI şi exploatarea beneficiilor care decurg din
această cooperare.
101) Care din următoarele procese interdependente ar trebui să implice abordarea

auditului performanței într-un mediu IT?
a) Să obţină o înțelegere a sistemelor de control intern și audit intern şi să determine
semnificația acestora pentru obiectivele auditului performanței;
b) Să identifice existența sistemelor IT necesare pentru atingerea obiectivelor entității;
c) Să evalueze controalele de mediu şi de aplicaţie şi să utilizeze un specialist IT/IS
pentru problemele aferente acestui domeniu;
d) Să evalueze atingerea scopului şi a obiectivelor stabilite prin actele de înfiinţare ale
entităţii publice într-un mod economic, eficient şi eficace.
102) Pe care dintre următoarele activități ar trebui să se orienteze un audit al

performanţei într-un mediu IT ?
a) Să evalueze dacă sistemele IT contribuie la dezvoltarea şi întreţinerea unor sisteme de
colectare, stocare, prelucrare, actualizare şi comunicare a datelor şi informaţiilor
financiare şi nefinanciare;
b) Să identifice orice deficienţe în sistemele informatice şi de control al mediului
informatizat, precum şi efectul rezultat privind performanţa (eficienţa, economicitatea şi
eficacitatea);
c) Să compare dezvoltarea şi practicile de întreţinere a sistemului IT ale entităţii
auditate, cu practici şi standarde altor entități ce activează în același domeniu;
d) Să compare planificarea auditului, managementul riscului derulării auditului şi
managementul de proiect de raport public anual, cu practici şi standarde recunoscute în
domeniu.
103) Care dintre următoarele elemente sunt componente ale arhitecturii de auditare
ISACA:
a) Standardele de audit ale Curtii de Conturi a Romaniei;
b) Ghidul de aplicare a Manualului de audit IT al Curtii de Conturi;
c) Proceduri alternative de audit și exemple de proceduri pe care un auditor de ar trebui
să le urmeze în cadrul unui angajament de audit;
d) resursele COBIT, funcţionează ca o sursă de ghidare pentru "cele mai bune practici"
în materie.
104) COBIT oferă un cadru de referinţă care asigură că:

a) Tehnologiile sunt actualizate;
b) Tehnologiile uşurează procesul de audit;
c) Resursele financiare sunt utilizate cu economicitate, eficiență și eficacitate;
d) Riscurile IT sunt gestionate în mod corespunzător.
105) Căruia din următorii factori din bunele practici în IT au devenit importanți ?
a) Îngrijorarea față de nivelul, în general, tot mai mare al cheltuielilor cu personalul;
b) Creșterea complexității riscurilor IT, cum ar fi securitatea rețelei;
c) Nevoia de a optimiza costurile de personal prin respectarea, acolo unde este posibil,
a unor abordări mai degrabă standardizate decât special dezvoltate;
d) Necesitatea de a îndeplini cerințele de reglementare privind situațiile financiare
realizate cu ajutorul sistemelor informatice.
22
106) Care dintre următoarele afirmații este adevărată?
a) Scopul liniilor directoare pentru auditare este acela de a pune la dispoziţie o
structură simplă pentru auditarea şi evaluarea controalelor bazată pe practici de auditare
general acceptate, care sunt compatibile cu schema COBIT globală;
b) Scopul liniilor directoare pentru auditare este acela de a pune la dispoziţie o
structură simplă pentru auditarea şi evaluarea controalelor bazată pe practici de auditare
general acceptate;
c) Scopul liniilor directoare pentru auditare este acela de a obliga auditori IT să
folosească o structură simplă pentru auditarea şi evaluarea controalelor bazată pe
practici de auditare general acceptate, care sunt compatibile cu schema COBIT globală;
d) Scopul liniilor directoare pentru auditare este acela de a furniza cadrul COBIT
necesar pentru auditarea şi evaluarea controalelor bazată pe practici de auditare general
acceptate.
107) O descriere a liniilor directoare pentru auditare prin prisma modelului de auditare
ia în considerare unul din obiective specifice ale auditării, enumerat mai jos:
a) De a furniza managementului o asigurare rezonabilă asupra faptului că obiectivele de
control sunt atinse;
b) De a lua măsuri de a reduce riscul de audit;
c) De a impune managementului acţiunilor corective necesare;
d) Cadrul de auditare construit pe cerinţele COBIT este prezentat într-o manieră
ierarhizată pe nivele.
108) Care din resursele definite mai jos sunt resursele IT identificate în COBIT ?
a) Aplicaţiile: sunt sistemele informatice pentru prelucrarea automată a datelor care
contribuie la întocmirea situatiilor financiare anuale și trimestriale;
b) Informaţiile: reprezintă datele, de toate tipurile, intrate, procesate şi rezultate din
sistemele informaționale, indiferent de forma sub care sunt utilizate în derularea
afacerii;
c) Infrastructura: este formată din sistemele de productie și vânzare a produselor și
serviciilor;
d) Resursele umane: reprezintă personalul necesar pentru a planifica, executa si raporta
o misiune de audit IT.
109) Care din întrebările de mai jos nu este valabilă când este evaluat domeniul
Planificare şi Organizare (PO) ?
a) Dacă strategia IT este aliniată la strategia afacerii;
b) Dacă organizaţia atinge un nivel optim de maturitate a sistemelor informatice;
c) Dacă obiectivele IT sunt înţelese de către toţi membrii organizaţiei;
d) Dacă riscurile IT sunt cunoscute şi gestionate.
110) Care din întrebările de mai jos nu este valabilă când este evaluat domeniul
Furnizare şi Suport (FS) ?
a) Dacă serviciile IT sunt furnizate în conformitate cu priorităţile afacerii;
b) Dacă sunt optimizate costurile generale ale afacerii;
c) Dacă personalul poate folosi sistemele IT în mod productiv şi în siguranţă;
d) Dacă, în vederea asigurării securităţii, sunt adecvate confidenţialitatea,
disponibilitatea şi integritatea.
23
111) Obiectivele de control IT incluse în COBIT oferă un set complet de cerinţe de
nivel înalt care trebuie luate în considerare de către management, în vederea unui
control eficient al fiecărui proces IT. Care din expresiile enumerate mai jos nu pot fi
considerate că sunt materializate ca forme sau acţiuni?
a) Afirmaţii declarative ale managementului privind creşterea valorii sau reducerea
riscului;
b) Politici, proceduri, practici şi structuri organizaţionale;
c) Alegerea modului de a implementa controalele (frecvenţă, durată, grad de
automatizare etc.);
d) Neacceptarea riscului ca unele controalelor aplicabile să nu fie implementate.
112) Controalele generale sunt incorporate în procesele şi serviciile IT şi includ:

a) dezvoltarea sistemelor, managementul schimbării, securitatea, operarea sistemului;
b) dezvoltarea sistemelor, completitudinea, acurateţea, operarea sistemului;
c) completitudinea, acurateţea, validitatea, autorizarea;
d) completitudinea, acurateţea, autorizarea, separarea sarcinilor de serviciu.
113) Care sunt gradele de maturitate COBIT prezentate in Manualul de audit IT

elaborat de Curtea de Conturi a României?
a) Iniţial / Ad Hoc, Repetabil dar intuitiv, Proces definit, Gestionat şi măsurabil,
Optimizat;
b) Non-existent, Repetabil dar intuitiv, Proces definit, Gestionat şi măsurabil,
Optimizat;
c) Iniţial / Ad Hoc, Repetabil dar intuitiv, Proces definit, Gestionat şi măsurabil;
d) Non-existent, Iniţial / Ad Hoc, Repetabil dar intuitiv, Proces definit, Gestionat şi
măsurabil, Optimizat.
114) Care din riscurile enumerate mai jos nu sunt considerate riscuri IT?
a) Riscul de denaturare semnificativă;
b) Riscuri privind operarea şi livrarea serviciilor IT;
c) Riscuri privind livrarea programelor şi proiectelor IT;
d) Riscurile privind beneficiile/valoarea generate de IT.
115) Ce este toleranța riscului ?

a) Valoarea de risc în sens larg, pe care o societate sau altă entitate este dispusă să o
accepte, în exercitarea misiunii sale (sau viziunii);
b) Variaţia acceptabilă în raport cu realizarea unui obiectiv, cu alte cuvinte, este
abaterea tolerabilă faţă de nivelul stabilit de către apetitul pentru risc şi de obiectivele
afacerii;
c) Combinaţia frecvenţei şi magnitudinii unui risc;
d) Un eveniment legat de IT care poate conduce la un impact asupra afacerii.
116) Care din aspecte enumerate mai jos, nu pot induce ambiguități sau erori pe
parcursul auditului într-un mediul informatizat?
a) externalizarea integrală a serviciilor IT privind sistemul contabil al entității – atât
sistemele informatice, cât şi echipa IT sunt asigurate de o terţă parte;
b) sistemele informatice sunt vulnerabile la accesul de la distanţă şi neautorizat;
c) se pot ascunde sau se pot face invizibile unele procese;
d) se poate şterge sau ascunde pista de audit.
24
117) În cazul în care informaţiile necesare auditului sunt furnizate de aplicaţii sau
sisteme complexe, este necesară consultarea sau participarea în cadrul echipei de audit a
unui specialist care posedă cunoştinţe şi aptitudini specializate în domeniul:
a) auditului financiar, pentru a derula procedurile de audit planificate;
b) auditului sistemelor informatice, pentru a evalua sistemul;
c) științelor juridice pentru a asigura respectarea prevederilor actelor normative în
vigoare;
d) IT pentru a asigura echipei de audit accesul la resursele sistemelor informatice.
118) Care din următoarele elemente nu fac parte din politica de securitate IT ?
a) O definiţie a securităţii informaţiei, obiectivele sale generale şi scopul;
b) O declaraţie de intenţie a managementului prin care acesta susţine scopul şi
principiile securităţii informaţiei;
c) O definire a responsabilităţilor generale şi specifice pentru toate aspectele legate de
securitate;
d) O descriere a procesului de întocmire a situațiilor financiare folosind sistemele
informatice.
119) Din consecințele enumerate mai jos, care nu sunt considerate a fi consecinţele
violării securităţii accesului logic ce se pot reflecta într-o gamă de efecte care pot afecta
atât afacerea, cât şi opinia de audit?
a) Pierderi financiare: pot fi directe, decurgând dintr-o fraudă sau indirecte, decurgând
din costurile modificărilor şi corectării datelor şi programelor;
b) Calificarea opiniei de audit: interesează cel mai mult pe auditorul extern, având în
vedere că datele din sistemul informatic nu pot fi auditate, întrucât nu oferă probe de
încredere, şi pot conţine erori materiale datorate alterării lor;
c) Pierderi ale acţiunilor pe piaţă şi/sau a credibilităţii: sunt foarte grave în special în
sectorul serviciilor financiare (bănci, fonduri de investiţii) unde pot conduce la pierderea
afacerii;
d) Dezvăluiri neautorizate prin acces la informaţii confidenţiale.
120) În cazul misiunilor de audit financiar, care presupun evaluarea sistemului

informatic financiar-contabil pentru a formula o opinie privind încrederea în
informaţiile furnizate de sistemul informatic, auditorul public extern va elabora Lista de
verificare pentru testarea controalelor IT specifice aplicaţiei financiar-contabile, care
conţine categorii de controale de aplicaţie. Care dintre următoarele categorii nu sunt
controale de aplicație ?
a) controale ale datelor de intrare;
b) controale de prelucrare;
c) controale ale ieşirilor;
d) controale ale accesului fizic.
121) Care din categoriile enumerate mai jos nu pot fi considerate controale IT generale?
a) Controale privind operarea sistemului;
b) Controale privind disponibilitatea configuraţiilor hardware/software;
c) Controale privind planificarea continuităţii sistemului şi recuperarea în caz de
dezastru;
d) Completitudinea, acurateţea, validitatea, autorizarea, separarea sarcinilor de
serviciu.
25
122) Care dintre criteriile de mai jos nu se iau în calcul la evaluarea gradului de
perturbare a furnizării serviciului esenţial ?
a) numărul de utilizatori care se bazează pe serviciul furnizat de entitatea în cauză;
b) serviciul este esenţial în susţinerea unor activităţi societale şi/sau economice de cea
mai mare importanţă;
c) impactul pe care l-ar putea avea incidentele, în ceea ce priveşte intensitatea şi durata,
asupra activităţilor economice şi societale sau asupra siguranţei publice;
d) importanţa entităţii pentru menţinerea unui nivel suficient al serviciului, ţinând cont
de disponibilitatea unor mijloace alternative pentru furnizarea serviciului respectiv.
123) Care este semnificatia expresiei “internet exchange point” (IXP) ?

a) IXP necesită trecerea printr-un al treilea sistem autonom a traficului de internet dintre
orice pereche de sisteme autonome participante, nu modifică acest trafic dar interferează
cu acesta;
b) facilitate a reţelei care permite interconectarea a două sisteme autonome
independente, în special în scopul facilitării schimbului de trafic de internet; IXP
furnizează interconectare doar pentru sisteme autonome;
c) IXP necesită trecerea printr-un al patru-lea sistem autonom a traficului de internet pe
care il modifică dar nu interferează cu acest trafic;
d) facilitate a reţelei care permite interconectarea a mai mult de două sisteme autonome
independente, în special în scopul facilitării schimbului de trafic de internet; IXP
furnizează interconectare doar pentru sisteme autonome; IXP nu necesită trecerea printr-
un al treilea sistem autonom a traficului de internet dintre orice pereche de sisteme
autonome participante şi nici nu modifică sau interferează într-un alt mod cu acest
trafic.
124) În cadrul cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor

informatice obiectivele domeniului guvernanță sunt:
a) managementul continuităţii serviciilor esenţiale furnizate;
b) controlul accesului la elementele/componentele reţelelor şi sistemelor informatice;
c) elaborarea şi implementarea politicilor de securitate la nivelul organizaţional;
angajamentul managementului de nivel înalt al organizaţiei în asigurarea sistemului de
management al securităţii informaţiei; gestionarea managementului riscurilor privind
ameninţările, vulnerabilităţile şi riscurile identificate;
d) gestionarea managementului riscurilor privind ameninţările, vulnerabilităţile şi
riscurile.
125) În cadrul cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor

informatice obiectivele domeniului apărare cibernetică sunt:
a) angajamentul managementului de nivel înalt al organizaţiei în asigurarea sistemului
de management al securităţii informaţiei;
b) managementul continuităţii serviciilor esenţiale furnizate;
c) asigurarea managementului incidentelor de securitate; detectarea şi tratarea
incidentelor de securitate care afectează securitatea reţelelor şi sistemelor informatice;
d) asigurarea securităţii reţelelor şi sistemelor informatice, securitatea fizică a rețelei şi a
persoanei.
126) Procesul de identificare a operatorilor de servicii esenţiale în vederea asigurării

unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice, analizează
sectoarele:
26
a) energie, transport, sectorul bancar, intrastructuri ale pieței financiare, sectorul
sănătății, furnizarea și distribuirea de apă potabilă, infrastructura digitală
b) electricitate, petrol, gaze naturale, transport aerian, intrastructuri ale pieței
nonfinanciare și nebancare, infrastructura digitală;
c) transport rutier, transport aerian, furnizarea și distribuirea de apă potabilă,
infrastructura digitală;
d) electricitate, petrol, gaze naturale, transport aerian, transport rutier, furnizarea și
distribuirea de apă potabilă, infrastructura digitală;
12) Coordonarea strategică la nivel naţional a activităţilor de asigurare a unui nivel

comun ridicat de securitate a reţelelor şi sistemelor informatice se realizează de către:
a) Curtea de Conturi a Românei, ca instituție supremă de audit;
b) Guvern prin Ministerul Comunicaţiilor şi Societăţii Informaţionale sub aspectul
politicilor publice şi al iniţiativei legislative în domeniu;
c) CERT-RO, ca autoritatea competentă la nivel naţional;
d) Grupul de lucru interinstituţional pentru determinarea valorilor de prag necesare
pentru stabilirea efectului perturbator semnificativ al incidentelor la nivelul reţelelor şi
sistemelor informatice ale operatorilor de servicii esenţiale – GdLINIS.
128) Poate fi auditor de securitate a reţelelor şi sistemelor informatice:

a) auditorul public extern din cadrul Curtii de Conturi a Romaniei, imputernicit să
efectueze misiunea de audit financiar;
b) persoana fizică ce realizează audit de securitate a reţelelor şi sistemelor informatice,
adică desfăşoară acea activitate prin care se realizează o evaluare sistematică în vederea
identificării disfuncţiilor şi vulnerabilităţilor şi a furnizării unor soluţii de remediere a
acestora;
c) persoana fizică sau persoana juridică ce realizează audit de securitate a reţelelor şi
sistemelor informatice, adică desfăşoară acea activitate prin care se realizează o
evaluare sistematică a tuturor politicilor, procedurilor şi măsurilor de protecţie
implementate la nivelul reţelelor şi sistemelor informatice, în vederea identificării
disfuncţiilor şi vulnerabilităţilor şi a furnizării unor soluţii de remediere a acestora;
d) persoana juridică ce realizează audit de securitate a reţelelor şi sistemelor
informatice, adică desfăşoară acea activitate prin care se realizează o evaluare
sistematică procedurilor sistemelor informatice, în vederea identificării disfuncţiilor şi
vulnerabilităţilor rețelei.
129) Operatorul unui serviciu esențial efectuează şi actualizează periodic o analiză a

riscurilor de securitate a reţelelor şi sistemelor informatice care asigură furnizarea
serviciilor esenţiale, identificând:
a) principalele riscuri;
b) echipamentele informatice critice care stau la baza furnizării serviciului esenţial;
c) sistemele/echipamentele informatice critice care stau la baza furnizării serviciului
esenţial şi principalele riscuri;
d) sistemele și echipamentele hardware critice care stau la baza furnizării serviciului
essential.
130) În scopul asigurării securităţii reţelelor şi sistemelor informatice, operatorii de

servicii esenţiale au următoarele obligaţii:
27
a) comunică în termen de maximum 120 de zile către CERT-RO, în calitate de
autoritate competentă la nivel naţional, orice schimbare survenită în datele furnizate în
cadrul procesului de identificare ca operator de servicii esenţiale;
b) stabilesc mijloacele permanente de contact, desemnează responsabilii cu securitatea
reţelelor şi sistemelor informatice însărcinaţi cu monitorizarea mijloacelor de contact şi
comunică CERT-RO în termen de150 de zile de la înscrierea în Registrul operatorilor
de servicii esenţiale lista acestora, precum şi orice modificări ulterioare de îndată ce au
survenit;
c) se interconectează în Registrul operatorilor de servicii esenţiale la serviciul de
alertare şi cooperare al CERT-RO, asigură monitorizarea permanentă a alertelor şi
solicitărilor primite prin acest serviciu ori prin celelalte modalităţi de contact şi ia în cel
mai scurt timp măsurile adecvate de răspuns la nivelul reţelelor şi sistemelor informatice
proprii;
d) se interconectează în termen de 60 de zile de la înscrierea în Registrul operatorilor de
servicii esenţiale la serviciul de alertare şi cooperare al CERT-RO, asigură
monitorizarea permanentă a alertelor şi solicitărilor primite prin acest serviciu ori prin
celelalte modalităţi de contact şi ia în cel mai scurt timp măsurile adecvate de răspuns la
nivelul reţelelor şi sistemelor informatice proprii;
131) CERT-RO se consultă şi cooperează, după caz, cu:

a) instanțele civile din Romania;
b) Autoritatea Naţională pentru Administrare şi Reglementare în Comunicaţii, atunci
când incidentele au carezultat afectarea securităţii ori funcţionării reţelelor publice de
comunicaţii electronice ori când pentru administrarea unui incident sunt necesare măsuri
ce intră în aria de activitate şi responsabilitate a acesteia;
c) Autoritatea pentru Digitizarea României;
d) Parlamentul și Guvernul României, Curtea de Conturi, Curtea Constituțională.
132) În calitate de punct naţional unic de contact, CERT-RO are următoarele atribuţii:
a) exercită o funcţie de legătură între autorităţile statului şi autorităţile similare din alte
state, Grupul de cooperare şi reţeaua echipelor de răspuns la incidentele de securitate
informatică, denumită în continuare reţeaua CSIRT;
b) elaborează şi transmite Guvernului rapoarte de sinteză privind notificările primite şi
acţiunile întreprinse;
c) transmite incidentele ce afectează funcţionarea serviciilor esenţiale şi a celor digitale
de pe teritoriul României către organismele internaționale;
d) transmite Curții de Conturi și Consiliului Concurenței notificările şi cererile primite
din alte state membre, potrivit ariei de responsabilitate.
133) În cazul operatorilor de servicii esenţiale impactul unui incident se determină

ţinând cont cel puţin de următorii parametri:
a) amploarea perturbării funcţionării serviciului;
b) amploarea impactului asupra activităţilor economice şi societale;
c) numărul de utilizatori afectaţi de perturbarea serviciului esenţial;
d) numărul de utilizatori afectaţi de incident, în special utilizatori care se bazează pe
serviciul pentru furnizarea propriilor servicii.
134) Pentru evaluarea unui serviciu în vederea identificării ca SENIS, OENIS parcurge
următorii paşi:
28
a) Catalogarea importanţei serviciului; Identificarea modului de furnizare a serviciului;
Stabilirea efectului de perturbare a serviciului în cazul producerii unui incident;
b) Identificarea sistemelor informatice; Notificarea CERT-RO; Auditarea serviciilor;
c) Identificarea rețelelor principale; Notificarea autorității competente; auditarea
rețelelor;
d) Identificarea caracteristicilor hardware; Notificarea furnizori de sisteme hardware;
Auditarea rețelelor intranet.
135) Stabilirea efectului de perturbare a serviciului în cazul producerii unui incident

presupune ca:
a) operatorii să analizeze dacă respectivul serviciu depinde de rețele şi sisteme
informatice;
b) operatorii să analizeze dacă respectivul serviciu nu depinde de rețele şi sisteme
informatice;
c) operatorii să verifice dacă serviciul respectiv se regăsește în Lista serviciilor esențiale
întocmită, potrivit legii, de către CERT-RO;
d) operatorii să analizeze riscul producerii, incidentul ținând cont de factori
intersectoriali, precum și, după caz, de factorii sectoriali.
136) Identificarea ca furnizor de servicii digitale de către operatorii economici și alte

entități, se face prin:
a) stabilirea acestei calități de către Centrului Național de Răspuns la Incidente de
Securitate Cibernetică - CERT-RO;
b) autoevaluare;
c) stabilirea acestei calități de către Autoritatea pentru Digitalizarea României;
d) evaluarea de către un evaluator independent.
137) În vederea evaluării furnizorului de servicii digitale, Autoritatea competentă la

nivel național pentru securitatea rețelelor şi sistemelor informatice, din cadrul Centrului
Național de Răspuns la Incidente de Securitate Cibernetică - CERT-RO poate să
solicite:
a) o declarație pe propria răspundere a furnizorului de servicii digitale însoțită de o
documentație de autoevaluare a îndeplinirii cerințelor minime de securitate;
b) lista operatorilor economici pentru care pentru care furnizorul de servicii digitale
furnizează serviciile respective;
c) certificat constatator eliberat de unitatea administrativ-teritorială unde furnizorul de
servicii digitale își are stabilit sediul social;
d) analiza stabilirii interdependenței şi interconectării rețelelor şi sistemelor informatice
cu cele ale altor operatori de servicii esențiale ori furnizori de servicii digitale, inclusiv
documentația care a stat la baza elaborării acesteia.
138) În vederea evaluării furnizorului de servicii digitale, Autoritatea competentă la

nivel național pentru securitatea rețelelor și sistemelor informatice, din cadrul Centrului
Național de Răspuns la Incidente de Securitate Cibernetică - CERT-RO poate să
solicite:
a) lista autorităților statului pentru care furnizorul de servicii digitale furnizează
serviciile respective;
b) o declarație pe propria răspundere a furnizorului de servicii digitale însoțită de o
documentație de autoevaluare a îndeplinirii cerințelor minime de securitate;
29
c) analiza calității de operator de servicii esențiale inclusiv documentația care a stat la
baza elaborării acesteia;
d) certificatul constatator eliberat de unitatea administrativ-teritorială unde furnizorul de
servicii digitale își are stabilit sediul social.
139) În cazul în care furnizorul de servicii digitale constată că anumite date care au stat
la baza identificării ca furnizor de servicii digitale au fost modificate, acesta va proceda
la:
a) operarea de îndată a acestor modificări în aplicația CRONOS;
b) comunicarea către CERT-RO cu privire la modificările survenite;
c) comunicarea către Autoritatea pentru Digitalizarea României și către Centrul
Național de Răspuns la Incidente de Securitate Cibernetică - CERT-RO cu privire la
modificările survenite;
d) operarea de îndată a acestor modificări în aplicația CRONOS și informarea Centrului
Național de Răspuns la Incidente de Securitate Cibernetică - CERT-RO cu privire la
modificările survenite.
140) La finalizarea procesului de radiere a furnizorului de servicii digitale, Autoritatea

competentă la nivel național pentru securitatea rețelelor și sistemelor informatice
procedează la:
a) elaborarea raportului final de radiere a furnizorului de servicii digitale;
b) informarea furnizorului de servicii digitale despre finalizarea procesului de radiere;
c) elaborarea, finalizarea raportului final de radiere şi propunerea emiterii deciziei
directorului general privind radierea furnizorului de servicii digitale;
d) publicarea pe site-ul propriu a informațiilor respective.
30

Tehnologia Informației ȘL Digitalizare - Audit It

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Tehnologia Informației ȘL Digitalizare - Audit It

Încărcat de

Drepturi de autor:

Formate disponibile

TEHNOLOGIA INFORMAȚIEI Șl DIGITALIZARE – AUDIT IT

1) Care dintre următoarele afirmații poate constitui o componentă a auditului sistemelor

2) Care este scopul misiunilor de audit al sistemelor informatice:

3) Care sunt etapele auditului sistemelor informatice:

5) Referitor la misiunile de audit al sistemelor informatice, vă rugăm să precizați care dintre

7) În cadrul entităţilor auditate, o categorie specială de controale IT se referă la

9) Care dintre urmatoarele afimații nu sunt cuprinse ca principale aspecte de auditarea în

11) Controlul IT este definit ca totalitatea politicilor, procedurilor, practicilor şi a structurilor

22) În scopul evaluării dependenței conducerii de tehnologiile informației, auditorul va

23) Care din următoarele definiții reprezintă definiția managementului schimbărilor :

25) Care dintre următoarele definiții reprezintă definiția „guvernării electornice”?

35) Care dintre următoarele afirmații este adevărată?

36) Una din zonele pe care se focalizează guvernarea IT este:

46) Ce este apetitul pentru risc ?

47) Ce este auditul sistemelor/serviciilor informatice?

55) Care este semnificația expresiei „securitatea reţelelor şi a sistemelor informatice” ?

56) Înscrierea operatorilor de servicii esenţiale în Registrul operatorilor de servicii esenţiale se

57) În stabilirea cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor informatice se

58) În cadrul cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor informatice

59) În cadrul cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor informatice

63) În cadrul CERT-RO se organizează și funcționează și:

65) Notificarea incidentelor conţine, în mod obligatoriu, următoarele informaţii:

69) Pornind de la obiectivul general a auditului, se formulează obiective specifice care

71) Auditarea sistemului informatic care furnizează informaţii financiar-contabile

74) În cadrul obiectivelor de control conţinute de cadrul COBIT, acestea pot fi

80) În funcţie de concluziile din etapa de planificare, referitoare la configuraţia şi

81) Care dintre următoarele nu pot fi considerate controale uzuale de aplicație

82) În cadrul misiunii de audit IT, se solicită documente şi informaţii privind

83) În cadrul procedurii „dezvoltării informatice planificate”, ce nu va lua în

84) În cadrul Evaluării mediului de control IT – Obiectivul unei evaluări a mediului

89) În cadrul procedurii de evaluare a securității aplicației, auditorul va evalua:

90) Care dintre următoarele definiții reprezintă definiția cloud computing-ului :

91) In cadrul etapei referitoare la „Informații de fond privind sistemul IT” –

92) Auditul sistemelor/serviciilor informatice reprezintă :

96) Specificați care este obiectivul controalelor fizice și de mediu :

101) Care din următoarele procese interdependente ar trebui să implice abordarea

102) Pe care dintre următoarele activități ar trebui să se orienteze un audit al

104) COBIT oferă un cadru de referinţă care asigură că:

112) Controalele generale sunt incorporate în procesele şi serviciile IT şi includ:

113) Care sunt gradele de maturitate COBIT prezentate in Manualul de audit IT

115) Ce este toleranța riscului ?

120) În cazul misiunilor de audit financiar, care presupun evaluarea sistemului

123) Care este semnificatia expresiei “internet exchange point” (IXP) ?

124) În cadrul cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor

125) În cadrul cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor

126) Procesul de identificare a operatorilor de servicii esenţiale în vederea asigurării

12) Coordonarea strategică la nivel naţional a activităţilor de asigurare a unui nivel

128) Poate fi auditor de securitate a reţelelor şi sistemelor informatice:

129) Operatorul unui serviciu esențial efectuează şi actualizează periodic o analiză a

130) În scopul asigurării securităţii reţelelor şi sistemelor informatice, operatorii de

131) CERT-RO se consultă şi cooperează, după caz, cu:

133) În cazul operatorilor de servicii esenţiale impactul unui incident se determină

135) Stabilirea efectului de perturbare a serviciului în cazul producerii unui incident

136) Identificarea ca furnizor de servicii digitale de către operatorii economici și alte

137) În vederea evaluării furnizorului de servicii digitale, Autoritatea competentă la

138) În vederea evaluării furnizorului de servicii digitale, Autoritatea competentă la

140) La finalizarea procesului de radiere a furnizorului de servicii digitale, Autoritatea

S-ar putea să vă placă și