2
Intocmiti o aplicatie privind interventia la fata locului sau munca pe teren.
ENTITATEA PUBLIC
Serviciul Audit Intern
Nr. 3452 / 15.08.2009
n conformitate cu Planul de audit intern pe anul 2014, urmeaz ca n perioada 01.09.2014 30.09.2014 s efectum o misiune de audit intern avnd ca tem Activitatea IT.
Echipa de auditori va examina responsabilitile asumate de ctre Departamentul IT cu privire
la organizarea i realizarea activitilor i va determina dac acesta i ndeplinete obligaiile n mod
efectiv i eficient.
Perioada supus evalurii este 01.01.2013 30.06.2014;
Obiectivele misiuni de audit intern vor fi reprezentate de:
Strategia i planificarea sistemelor informatice;
Organizarea i funcionarea departamentului IT;
Operaii ale sistemului informatic;
Securitatea informaiilor;
Testarea programelor i aplicaiilor;
Elaborarea i implementarea proiectelor IT;
Proiectarea i meninerea n funciune a unei reele.
V vom contacta ulterior pentru a stabili de comun acord edina de deschidere n vederea
discutrii diverselor aspecte ale misiunii de audit intern, cuprinznd:
- prezentarea auditorilor;
- prezentarea si discutarea obiectivelor misiunii de audit intern;
COLECTAREA INFORMAIILOR
Colectarea informaiilor
Nr. crt.
Departamentul IT
1.
Identificarea legilor i regulamentelor
aplicabile Departamentului IT;
2.
Obinerea organigramei departamentului IT;
Data: 02.09.2014
DA
NU
X
X
Observaii
3.
i
X
4.
5.
X
X
6.
7.
8.
9.
10.
11.
12.
13.
14.
15
16
17
Obinerea
fielor postului
pentru
personalul departamentului;
Obinerea Raportului de audit intern anterior;
Obinerea strategiei i politicilor de dezvoltare
ale departamentului;
Obinerea statului de funcii pentru
personalul departamentului;
Obinerea rapoartelor de evaluare pentru
personalul departamentului;
Obinerea planului de continuare a activitilor n
caz de dezastre;
Obinerea
circuitului
documentelor la
nivelul departamentului;
Identificarea obiectivelor
generale
i
specifice definite la nivelul
Obinerea planului de recuperare a activitilor n
caz de dezastre;
Obinerea listei tuturor aplicaiilor,
programelor, sistemelor achiziionate sau
derulate n cadrul entitii
Obinerea listei privind fiecare post IT i numele
utilizatorilor
X
X
X
X
X
Nu exist stabilit un
circuit al documentelor.
X
X
X
Not:
Colectarea i prelucrarea reprezint etapa de procurare a informaiilor n vederea efecturii analizei de
risc i pentru identificarea informaiilor necesare, fiabile, pertinente i utile pentru a atinge obiectivele
misiunii de audit intern.
Activitile realizate n aceast faz contribuie substanial la cunoaterea domeniului auditabil care l ajut
pe auditor s se familiarizeze cu entitatea auditat.
INTREBAREA
OBSERVATII
1
2
4
5
7
8
9
10
11
12
13
Motivarea moral
compartimentului?
cadrul
Nu
14
Nu
15
salariailor
exist
ns acestea au un grad de
ocupare de 85%.
Motivarea se face financiar
Da
n
Nu
16
17
18
Da
Nu
Nu
19
5
6
7
8
9
20
21
22
23
24
25
B
1
10
11
12
13
14
15
16
17
18
19
20
21
Nu
Nu
n
subordinea
conductorului organizaiei.
Cu
toate
celelalte
compartimente.
Subordonat conductorului
instituiei,
nu
are
compartimente n subordine.
Directorul este subordonat
conductorului
entitii,
efii de
servicii
sunt
subordonai
directorului, iar salariaii
sunt subordonai sefului de
serviciu.
Da
Da
Da
Da
Da
Da
n funcie de complexitatea
activitilor
Da
Da
Da
Da
Nu
Doar
n
ce
privete
asigurarea
funcionrii
echipamentelor, aplicaiilor
sau programelor
Nu
22
23
24
25
26
27
28
29
31
Nivelurile
de conducere suntsunt
reduse?
Funciile compartimentelor
definite clar i concis n
comparaie
cu
atribuiile
alocate
Funciile
managementuluidepartamentului?
se
regsesc n
33
34
36
37
metodologiilor?
Activitile asigur conformitatea cu procedurile elaborate?
38
39
40
41
C
1
2
3
4
5
6
7
8
9
10
se
Da
atribuiile
de conducere?
Atribuiile
stabilitepersonalului
departamentului
IT asigur realizarea
atribuiilor
generale
ale
organizaiei?
Activitile
sunt
identificate
n
totalitate
la activitilor
nivelul are
departamentului?
Realizarea
la baz un set de indicatori
stabilii?
Activitile asigur conformitatea cu reglementrile i
35
Promovare
30
32
Da
asigur
corespondena
volumul,
natura i
Elaborarea
rapoartelor dedintre
activitate
respect coninutul
tematic?
Lucrrile de sintez i raportare sunt aprobate de conducerea
entitii?
Cunoaterea funcionrii departamentului IT
Fisa postului definete clar cerinele postului?
Da
Nivelul de cunotine al salariatului asigur realizarea
Da
sarcinilor postului pe care l ocup?
n cadrul departamentului sunt elaborate procedurile de
Da
lucru?
Procedurile de lucru acoper toate activitile?
Da
Procedurile de lucru descriu corect activitile ce trebuie
Da
desfurate?
Procedurile de lucru definesc corect responsabilitile?
Da
Procedurile de lucru sunt cunoscute i aplicate de salariai?
Da
Procedurile de lucru asigur separarea sarcinilor?
Da
Exist regulament de organizare i funcionare?
Da
Regulamentul de organizare i funcionare definete corect Da
nivele de
11
12
atribuiile compartimentului?
Exist registru de coresponden la nivelul departamentului?
Care sunt problemele la nivelul departamentului?
13
14
15
16
17
18
Lipsa de personal.
Insuficiena
bugetului
pentru
achiziionarea
echipamentelor i integrarea
datelor
Tehnica nvechit, ceea ce
creeaz a serie de probleme
n exploatarea aplicaiilor
Instruirea insuficient a
utilizatorilor
Nu exist elaborat nici o
reform.
se
Nu
Nu
Programul este realizat pe
baza solicitrilor formulate
de salariai
Auditori interni,
Popescu Sorin
Radu George
E
n
t
i
Da
Da
t
a
t
e
a
P
u
b
l
i
c
S
e
r
v
i
c
i
u
l
d
e
A
u
d
i
t
I
n
t
e
r
n
.
0
9
.
2
0
1
4
D
a
t
a
:
0
4
Nr.
crt.
1.
Domeniul
Strategia
planificarea
sistemelor
informatice
Activiti/obiective
Obiecte auditabile
1.1.
Strategia
IT
este
concordant cu
scopurile
organizaiei
1.2. Planurile IT se adreseaz
ntregii organizaii
2.
Organizarea
i
funcionarea
departamentului IT
1.5.
Organizarea
IT
corespunde
necesitilor
organizaiei
1.6. Elaborarea strategiei IT
corespunde strategiei entitii
2.1. Definirea atribuiilor i
activitilor
Nr.
crt.
3.
Domeniul
Operaii
sistemului
informatic
Activiti/obiective
ale
2.2.
Stabilirea
organizatorice
structurii
2.3.
responsabilitilor
Stabilirea
3.1
operaiunilor
Managementul
3.2.
problemelor
Managementul
3.3.
Funcionalitatea
activitilor
n
cadrul
departamentului IT
Obiecte auditabile
2.1.3. Atribuiile stabilite asigur realizarea activitilor necesare implementrii
obiectivelor
2.1.4. Identificarea tuturor activitilor care concur la realizarea obiectivelor
2.1.5. Corelaia ntre atribuiile postului i competenele ocupantului postului
2.1.6. Definirea activitilor n cadrul structurii organizatorice
2.2.1. Organizarea funcional a departamentului IT
2.2.2. Definirea relaiilor organizatorice ntre compartimente
2.2.3. Examinarea sistemului de gestionare a riscurilor generale la nivelul
departamentului IT
2.2.4. Riscurile legate de securitatea datelor, programelor i echipamentelor sunt
identificate i evaluate ct mai corect i complet
2.3.1. Definirea limitelor de competen
2.3.2. Definirea responsabilitilor n realizarea activitilor
2.3.3. Definirea sarcinilor prin fia postului
3.1.1. Existena listei operaiunilor zilnice de realizat
3.1.2. Performana, capacitatea i disponibilitatea sistemelor informatice este
monitorizat de administratori
3.1.3. Responsabilitatea pentru supravegherea sarcinilor pe seturi de programe revine
administratorilor
3.1.4. Elaborarea Planului anual de activitate
3.2.1. Incidentele privind funcionarea normal a serviciilor IT sunt rezolvate sau
prevenite n termen
3.2.2. Programele antivirus asigur protecia aplicaiilor
3.2.3. Problemele aprute sunt prioritizate i luate n calcul pentru remediere
3.2.4. Implementarea subsistemelor IT
3.2.5. Activitile operaionale sunt conforme cu instruciunile din manualele de
utilizare
3.3.1. Activitile sunt bine organizate pentru asigurarea bunei funcionrii a
departamentului
3.3.2. Organizarea funcional a activitilor n cadrul departamentului IT
3.3.3. Activitile n cadrul departamentului sunt definite respectnd criteriile de
calitate
3.3.4. Evidena datelor aflate pe mediile de stocare
3.3.5. Distribuirea cu precizie a informaiei ctre utilizatori i mediile de stocare
3.3.6. Asigurarea caracterului secret al datelor
Observaii
Nr.
crt.
Domeniul
Activiti/obiective
3.4.
echipamentelor
Mentenana
4.
Securitatea
informaiilor
4.1. Organizarea
securitii informaiilor
4.4.
Implementarea
instrumentelor de control
Obiecte auditabile
3.3.7. Soluionarea problemelor presupune parcurgerea etapelor: iniierea,
planificarea, execuia, monitorizarea i analiza, ncheierea
3.4.1. Obinerea de rapoarte de activitate utile
3.4.2. ntreinerea calculatorului i a echipamentelor
3.4.3. Instalarea i configurarea calculatorului
3.1.1. Sistemul este ntreinut pentru a se asigura c este conform cu nevoile
organizaiei
3.5.1. Realizarea eficient a operaiilor n cadrul departamentului IT
3.5.2. Identificarea i raportarea pericolelor
3.5.3. Administrarea eficient a aplicaiilor i programelor
3.5.4. Evaluarea problemelor i soluionarea acestora
3.5.5. Programele corespund cerinelor stabilite
3.5.6. Echipamentele sunt utilizate adecvat asigurnd un confort n exploatare
4.1.1. Crearea politicii de securitate a informaiei
4.1.2. Crearea standardelor i practicilor pentru securitatea informaiei
4.1.3. Stabilirea responsabilitilor privind securitatea informaiei
4.1.4. Elaborarea politicii privind securitatea informaiei
4.1.5. Stabilirea responsabilitilor n cadrul politicii de securitate
4.1.6. Securitatea informaiilor asigur integritatea acestora
4.1.7. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatori
autorizai
4.2.1. Protejarea mpotriva atacurilor informatice
4.2.2. Protejarea datelor mpotriva viruilor
4.2.3. Asigurarea continuitii activitilor
4.2.4. Recuperarea datelor n caz de dezastru
4.2.5. Protejarea mpotriva asumrii unei identitii false
4.3.1. Asigurarea introducerii corecte a datelor i informaiilor pentru prelucrare
4.3.2. Existena licenelor pentru programele utilizate
4.3.3. Prelucrarea datelor
4.3.4. Asigurarea securitii datelor i informaiilor
4.4.1. Accesul la aplicaie este oferit pe baza necesitilor utilizatorului
4.4.2. Mecanismele de securitate configurate i implementate verific i limiteaz
accesul la aplicaii
Observaii
Nr.
crt.
Domeniul
Activiti/obiective
Obiecte auditabile
4.4.3. Introducerea instrumentelor de control fizic
4.4.4. Stabilirea de chei de control pentru fiecare program sau aplicaie
Proiectarea
testarea
programelor
aplicaiilor
i
i
6.
Elaborarea
implementarea
proiectelor IT
Observaii
N
r
.
7.
Domeniul
Activiti/obiective
Obiecte auditabile
Observaii
Radu Gheorghe
IDENTIFICAREA RISCURILOR
Misiunea de audit: Activitatea IT
Nr.
Activiti/
Domeniul
crt.
obiective
1.
Strategia
planificarea
sistemelor
informatice
Obiecte auditabile
1.1. Strategia
1.1.1. Strategia IT definete necesitile i priorit
IT este concordant
cu
scopurile 1.1.2. Strategia IT face trimitere la nevoile
organizaiei
ale organizaiei
1.1.3. Strategia definete direciile i obiectiv
dezvoltare a IT
1.2. Planurile IT se 1.2.1. Strategia IT este transpus n planuri IT
adreseaz
ntregii 1.2.2. Planurile IT ajut la ndeplinirea
organizaii
organizaiei
1.2.3. Planurile IT ofer asigurare cu privire
c resursele IT sunt alocate n concorda
necesitile
1.3. Obiectivele IT 1.3.1. Strategia IT este concordant cu
ndeplinesc
organizaiei
obiectivele
1.3.2. Planurile IT se adreseaz ntregii organiz
organizaiei
1.3.3. Obiectivele IT ndeplinesc obiec
organizaiei
1.4. Comitetul IT 1.4.1. Strategia IT este stabilit de un comitet
determin strategia 1.4.2. Comitetul IT transpune strategia n p
IT
termen scurt i pe termen mediu
1.4.3. Comitetul IT stabilete prioritile pr
ntre dezvoltarea sistemelor i operaiile realizate
1.5. Organizarea IT 1.5.1. Organizarea adecvat a funciei IT
corespunde
Perioada
auditat:01.01.201330.06.2014
ntocmit: Popescu Sorin/ Radu George
Avizat: Dumitru Daniel
Data:
04.09.2014
Nr.
crt.
Activiti/
obiective
Domeniul
Obiecte auditabile
Riscuri semnificative
necesitilor
organizaiei
Organizarea i
funcionarea
departamentului
IT
2.3.
Stabilirea
responsabilitilor
Operaii
N
r.
cr
Domeniul
ale
Activ
iti/
obiec
3.1
Managementul
Obiecte auditabile
Riscuri semnificative
Obs.
Obs.
3.
siste
mulu
i
infor
matic
operaiunilor
3.2.
Managementul
problemelor
N
r.
4.
Domeniul
Acti
vit
Securit
atea
inform
aiilor
Obiecte auditabile
Riscuri semnificative
Disfunciile identificate nu sunt
analizate i nlturate n conformitate cu
Echipamentele periferice nu sunt
instalate i conectate conform
ntreinerea sistemului doar la solicitrile
utilizatorilor;
Suportul tehnic cu privire la utilizarea
programelor nu este furnizat n mod
Costuri ridicate cu remedierea
defeciunilor, frecven mare a acestora,
Controlul intern asupra datelor de intrare
nu este asigurat corespunztor;
Lipsa revizuirii i urmrii msurilor
privind corectarea erorilor conduce la
Neadaptarea la schimbrile rapide
ale tehnologiei informaiei;
Lipsa cunotinelor privind exploatarea
echipamentelor la potenialul maxim;
Organizarea
i
responsabilitile
privind securitatea informaiilor nu
constituie o prioritate a politicii de
Standardele privind securitatea
informaiei nu sunt definite formal
Responsabilitile nu sunt separate
clar ntre cele ale administratorilor i
Datele i informaiile prelucrate i
stocate nu sunt asigurate n condiii
de confidenialitate, integritate i
Politica de securitate nu definete
responsabilitile cu privire la
Datele i informaiile nu sunt stocate
n condiii de securitate;
Accesul la informaii i pentru persoanele
neautorizate;
Lipsa programelor de protecie
adecvate pentru aplicaii i programe;
Vulnerabilitate sporit n faa viruilor;
Planurile privind continuitatea
activitilor nu stabilesc msuri
Obs.
N
r.
cr
Domeniul
Acti
viti
/
4.3.
Asigurarea
funcionrii
programelor
i aplicaiilor
4.4.
Implementarea
instrumentelor
de control
4.5.
Securitatea
reelei
4.6.
Gestionarea
parolelor
4.7.
Obiecte auditabile
Riscuri semnificative
Conturile
i parolele generice
iniiale
nu
sunt personalizate, dup
nceperea
prelucrrilor
de
ctre
Descrcarea ilegal
a unor informaii;
Obs.
Securitatea
N
r.
5
Domeniul
Proiectarea
i testarea
programelo
r
i
aplicaiilor
Acti
vit
5.1.
Proiectarea
i elaborarea
programelor
i aplicaiilor
5.2.
Testarea
i
implementare
a programelor
i aplicaiilor
6.
Elaborarea
i
implement
area
proiectelor
IT
4.7.2.Protejarea sistemelor
informatice mpotriva factorilor de
mediu
Obiecte auditabile
Riscuri semnificative
Obs.
programelor
i aplicaiilor
7.
N
r.
cr
Proiectarea 7.1.
i
meninerea Proiectarea,
Domeniul
reele
Activ
iti/
de calculatoare
obiec
7.2.
Interconectarea
i securitatea
reelei
Obiecte auditabile
Riscuri semnificative
Obs.
Not:
Identificarea riscurilor asociate obiectelor auditabile presupune ataarea riscurilor semnificative la operaiile stabilite n Lista centralizatoare a
obiectelor auditabile, n prima faz a procedurii Analiza riscurilor.
Lista privind identificarea riscurilor reprezint documentul prin care pe baza obiectelor audiabile identificate, a funcionalitii controalelor interne
stabilite i implementate de entitate sunt identificate i stabilite riscurile aferente pentru fiecare obiect audiabil.
La un obiect auditabil se pot asocia unul sau mai multe riscuri posibile, determinate de auditorii interni pe baza informaiilor colectate, dar si din propria
experien. n situaia n care la operaiile audiabile se ataeaz mai multe riscuri analiza acestora se va putea realiza pentru fiecare risc n parte, pe grupe de riscuri sau
pe total operaie/obiect audiabil