TEMA nr.

2
Intocmiti o aplicatie privind interventia la fata locului sau munca pe teren.

ENTITATEA PUBLIC
Serviciul Audit Intern
Nr. 3452 / 15.08.2009

NOTIFICAREA PRIVIND DECLANAREA MISIUNII DE AUDIT INTERN

Ctre: Departamentul Tehnologia Informaiei
De la: eful Serviciului Audit Intern
Referitor la misiunea de audit intern Activitatea IT

Stimate domnule director Ptrulescu George

n conformitate cu Planul de audit intern pe anul 2014, urmeaz ca n perioada 01.09.2014 30.09.2014 s efectum o misiune de audit intern avnd ca tem Activitatea IT.
Echipa de auditori va examina responsabilitile asumate de ctre Departamentul IT cu privire
la organizarea i realizarea activitilor i va determina dac acesta i ndeplinete obligaiile n mod
efectiv i eficient.
Perioada supus evalurii este 01.01.2013 30.06.2014;
Obiectivele misiuni de audit intern vor fi reprezentate de:
Strategia i planificarea sistemelor informatice;
Organizarea i funcionarea departamentului IT;
Operaii ale sistemului informatic;
Securitatea informaiilor;
Testarea programelor i aplicaiilor;
Elaborarea i implementarea proiectelor IT;
Proiectarea i meninerea n funciune a unei reele.
V vom contacta ulterior pentru a stabili de comun acord edina de deschidere n vederea
discutrii diverselor aspecte ale misiunii de audit intern, cuprinznd:
- prezentarea auditorilor;
- prezentarea si discutarea obiectivelor misiunii de audit intern;

- scopul misiunii de audit intern;

- programul interveniei la faa locului;
- alte aspecte privind organizarea si desfurarea misiunii.
Pentru o mai bun nelegere a activitii dumneavoastr, v rugm sa ne punei la dispoziie
urmtoarea documentaie necesar:
cadrul legal si de reglementare aplicabil entitii;
organigrama departamentului;
Regulamentul de organizare i funcionare;
fiele posturilor;
procedurile scrise care descriu activitile ce se desfoar n cadrul
compartimentului;
rapoartele de audit intern anterioare;
alte rapoarte, note, dosarele anterioare care se refer la aceasta tem.
Dac avei unele ntrebri privind aceasta aciune, v rog s contactai pe domnul Popescu
Sorin auditor intern, coordonatorul misiunii sau pe eful structurii de audit intern.

ef Serviciu Audit Intern,

Dumitru Daniel
Data: 15.08.2014

COLECTAREA INFORMAIILOR

Misiunea de audit: Activitatea IT

Perioada auditat: 01.01. 2013 30.06.2014
ntocmit: Popescu Sorin/Radu George Avizat:
Dumitru Daniel

Colectarea informaiilor
Nr. crt.
Departamentul IT
1.
Identificarea legilor i regulamentelor
aplicabile Departamentului IT;
2.
Obinerea organigramei departamentului IT;

Data: 02.09.2014

DA

NU

X
X

Observaii

3.

Obinerea Regulamentului de organizare

funcionare aferent departamentului IT;

i
X

4.
5.

Obinerea fielor posturilor pentru

personalul
departamentului;
Obinerea procedurilor de lucru elaborate la
nivelul departamentului;

X
X

6.
7.
8.
9.
10.
11.
12.
13.
14.
15

16
17

Obinerea
fielor postului
pentru
personalul departamentului;
Obinerea Raportului de audit intern anterior;
Obinerea strategiei i politicilor de dezvoltare
ale departamentului;
Obinerea statului de funcii pentru
personalul departamentului;
Obinerea rapoartelor de evaluare pentru
personalul departamentului;
Obinerea planului de continuare a activitilor n
caz de dezastre;
Obinerea
circuitului
documentelor la
nivelul departamentului;
Identificarea obiectivelor
generale
i
specifice definite la nivelul
Obinerea planului de recuperare a activitilor n
caz de dezastre;
Obinerea listei tuturor aplicaiilor,
programelor, sistemelor achiziionate sau
derulate n cadrul entitii
Obinerea listei privind fiecare post IT i numele
utilizatorilor

ROF-ul nu este actualizat

n conformitate cunoua
structur organizatoric a
departamentului.

Procedurile de lucru sunt

elaborate doar pentru o
parte din activitile
desfurate
la nivelul
departamentului.
Anterior nu au fost
realizate misiuni de audit
intern privind activitatea IT

X
X
X
X
X

Nu exist stabilit un
circuit al documentelor.

X
X
X

Obinerea tuturor metodologiilor de lucru privind

funcionarea aplicaiilor i programelor instalate n X
cadrul organizaiei

Not:
Colectarea i prelucrarea reprezint etapa de procurare a informaiilor n vederea efecturii analizei de
risc i pentru identificarea informaiilor necesare, fiabile, pertinente i utile pentru a atinge obiectivele
misiunii de audit intern.
Activitile realizate n aceast faz contribuie substanial la cunoaterea domeniului auditabil care l ajut
pe auditor s se familiarizeze cu entitatea auditat.

CHESTIONAR DE LUARE LA CUNOTIN

Misiunea de audit: Activitatea IT
Perioada auditat: 01.01.2013 30.06.2014
ntocmit: Popescu Sorin/Radu George
Avizat: Dumitru Daniel
u

INTREBAREA

OBSERVATII

1
2

Cunoaterea contextului socio-economic de funcionare a departamentului IT

Care este numrul salariailor departamentului?
25 salariai.
Exist buget la nivel de
Exist un buget al departamentului?
organizaie, iar achiziiile IT
u

Care sunt atribuiile generale ale compartimentului?

4
5

Atribuiile generale sunt acoperite n totalitate de sarcinile

stabilite posturilor?
Care este nivelul de competene al salariailor?

Care este nivelul de calificare al personalului?

7
8
9

Tot personalul are calificare IT?

Personalul este evaluat cel puin anual?
Complexitatea obiectivele individuale este mbuntit
anual, n corelaie de cunotinele acumulate?

10
11

Aprecierea realizrii obiectivelor este realizat n funcie de

nivelul de criteriile de performan?
Posturile existente asigur realizarea activitilor?

12

Exist un sistem de motivare al salariailor?

13

Motivarea moral
compartimentului?

cadrul

Nu

14

Exist un plan de carier definit pentru funcia de operator

IT?

Nu

15

Exist o politic elaborat la nivelul domeniului de

activitate?

salariailor

exist

sunt stabilite separat.

Elaborarea strategiei de
informatizare a organizaiei
i realizarea sistemului
informatic integrat

Salariaii dein competene

privind
funcionarea
echipamentelor, aplicaiilor
i programelor, n a realiza
testarea i implementarea
noilor
aplicaii,
n
soluionarea
problemele
aprute
n funcionarea
aplicaiilor.
8 salariai sunt asisteni, 9
sunt principali i 8 sunt
superiori.
Sunt meninute anual la
acelai nivel.

ns acestea au un grad de
ocupare de 85%.
Motivarea se face financiar

Da
n

Nu
16
17
18

Exist strategie elaborat privind dezvoltarea IT?

Exist o evaluare a funcionalitii compartimentului IT?
Abilitile de comunicare i profesionale ale personalului se
urmresc a fi dezvoltate?

Da

Nu
Nu

19

Relaiile de autoritate sunt definite i aplicate la nivelul

Da
departamentului IT?
Relaiile ierarhice asigur o bun colaborare ntre posturile
Da
de conducere i cele de execuie?
Sarcinile sunt astfel definite nct s asigure o bun
cooperare ntre posturile de acelai nivel n vederea Da
soluionrii problemelor?
Relaiile de control stabilite personalului conduc la o
evaluare adecvat a modului de utilizare a echipamentelor i Da
aplicaiilor de ctre utilizatori?
Capacitatea managerial a personalului asigur furnizarea
Da
adecvat a informaiilor ctre utilizatorii aplicaiilor?
Structura organizatoric este capabil s rspund cerinelor
Da
organizaiei sau a mediului n care acioneaz?
Exist o analiz SWOT la nivelul departamentului?
Cunoaterea contextului organizaional al departamentului IT
Care este subordonarea departamentului i compartimentelor
componente?
Cu cine are relaii de colaborare?

Care sunt relaiile ierarhice?

n cadrul compartimentului care sunt relaiile ierarhice?

5
6
7
8
9

Mai exist i alte funcii de conducere?

Exist organigram la nivelul departamentului?
Organigrama exprim corect relaiile ierarhice?
Organigrama exprim relaiile cu celelalte compartimente?
Exist obiective definite la nivelul departamentului i n
cadrul serviciilor?
Exist obiective individuale la nivelul posturilor de lucru?
Exist fie ale posturilor pentru toate posturile existente n
cadrul compartimentului?
Fiele posturilor sunt ntocmite n funcie de complexitatea
activitilor stabilite postului sau pregtirea persoanei care l
ocup?
Sarcinile sunt definite clar n cadrul postului?
n cadrul fielor posturilor sunt definite responsabiliti?
Atribuiile posturilor de conducere difer fa de cele ale
posturilor de execuie?
Exist asigurat continuitatea activitilor n cadrul
compartimentului?
Exist o diagram funcional la nivelul compartimentului?
Nivelul de conducere are putere decizional?

20
21

22

23
24
25
B
1

10
11
12

13
14
15
16
17
18

19
20
21

Nu

Nu

n
subordinea
conductorului organizaiei.
Cu
toate
celelalte
compartimente.
Subordonat conductorului
instituiei,
nu
are
compartimente n subordine.
Directorul este subordonat
conductorului
entitii,
efii de
servicii
sunt
subordonai
directorului, iar salariaii
sunt subordonai sefului de
serviciu.

Da
Da
Da
Da
Da
Da
n funcie de complexitatea
activitilor

Da
Da
Da
Da

Exist un circuit al documentelor n cadrul departamentului?

Toate documentele elaborate la nivelul departamentului sunt
Da
cuprinse n circuitul documentelor?
Sarcinile sunt comunicate zilnic salariailor?
Da

Nu
Doar
n
ce
privete
asigurarea
funcionrii
echipamentelor, aplicaiilor
sau programelor

Nu

22

Urmrirea realizrii sarcinilor de ctre salariai este realizat Da

zilnic?

23
24

Structura organizatoric rspunde necesitilor activitilor

derulate?
tatul de funcii corespunde posturilor existente?

25

Exist un sistem de promovare al salariailor?

26

Posturile de lucru asigur flexibilitate n realizarea

activitilor
alocate?
Exist o situaie
a raportrilor de efectuat?

27
28
29

i obiectivelor generale ale organizaiei?

31

Nivelurile
de conducere suntsunt
reduse?
Funciile compartimentelor
definite clar i concis n
comparaie
cu
atribuiile
alocate
Funciile
managementuluidepartamentului?
se
regsesc n

33
34
36
37

metodologiilor?
Activitile asigur conformitatea cu procedurile elaborate?

38

Este respectat principiul echilibrului dintre sarcini i

competene?
Concordana cerinelor postului cu caracteristicile titularului

39
40
41
C
1
2
3
4
5
6
7
8
9
10

se

Da

Datele sunt preluate din

Exist dou

atribuiile
de conducere?
Atribuiile
stabilitepersonalului
departamentului
IT asigur realizarea
atribuiilor
generale
ale
organizaiei?
Activitile
sunt
identificate
n
totalitate
la activitilor
nivelul are
departamentului?
Realizarea
la baz un set de indicatori
stabilii?
Activitile asigur conformitatea cu reglementrile i

35

Promovare

Pentru fiecare raportare exist o metodologie de colectare,

prelucrare
a datelor?corespunde
Structura i transmitere
organizatoric
scopurilor

30
32

Toi salariai sunt

Da

Da

asigur
corespondena
volumul,
natura i
Elaborarea
rapoartelor dedintre
activitate
respect coninutul
tematic?
Lucrrile de sintez i raportare sunt aprobate de conducerea
entitii?
Cunoaterea funcionrii departamentului IT
Fisa postului definete clar cerinele postului?
Da
Nivelul de cunotine al salariatului asigur realizarea
Da
sarcinilor postului pe care l ocup?
n cadrul departamentului sunt elaborate procedurile de
Da
lucru?
Procedurile de lucru acoper toate activitile?
Da
Procedurile de lucru descriu corect activitile ce trebuie
Da
desfurate?
Procedurile de lucru definesc corect responsabilitile?
Da
Procedurile de lucru sunt cunoscute i aplicate de salariai?
Da
Procedurile de lucru asigur separarea sarcinilor?
Da
Exist regulament de organizare i funcionare?
Da
Regulamentul de organizare i funcionare definete corect Da

nivele de

11
12

atribuiile compartimentului?
Exist registru de coresponden la nivelul departamentului?
Care sunt problemele la nivelul departamentului?

13

Care sunt reformele la nivelul departamentului?

14

Exist a procedur de lucru prin care sunt stabilite sau

reglementate raporturile de lucru ntre compartimentele din
cadrul organizaiei?
Exist realizat n cadrul departamentului IT o analiz a
posturilor?
Exist un program de pregtire a personalului?
Da

15
16
17
18

Lipsa de personal.
Insuficiena
bugetului
pentru
achiziionarea
echipamentelor i integrarea
datelor
Tehnica nvechit, ceea ce
creeaz a serie de probleme
n exploatarea aplicaiilor
Instruirea insuficient a
utilizatorilor
Nu exist elaborat nici o
reform.

Documentele primite la nivelul departamentului

nregistreaz i repartizeaz pentru soluionare?

se

Nu
Nu
Programul este realizat pe
baza solicitrilor formulate
de salariai

Programul de pregtire are la baz necesitile rezultate din

evaluarea performanelor individuale i nevoile individuale?

Auditori interni,
Popescu Sorin
Radu George

E
n
t
i

Da

Da

t
a
t
e
a
P
u
b
l
i
c

S
e
r
v
i
c
i
u
l
d
e
A
u
d
i
t
I
n
t
e
r
n

LISTA CENTRALIZATOARE A OBIECTELOR

AUDITABILE
Misiunea de audit:
Activitatea IT
Perioada auditat:
01.01.2013
30.06.2014 ntocmit:
Popescu Sorin/Radu
George Avizat:
Dumitru Daniel

.
0
9
.
2
0
1
4

D
a
t
a
:
0
4
Nr.
crt.
1.

Domeniul
Strategia
planificarea
sistemelor
informatice

Activiti/obiective

Obiecte auditabile

1.1.
Strategia
IT
este
concordant cu
scopurile
organizaiei
1.2. Planurile IT se adreseaz
ntregii organizaii

1.1.1. Strategia IT definete necesitile i prioritile

1.1.2. Strategia IT face trimitere la nevoile viitoare ale organizaiei
1.1.3. Strategia definete direciile i obiectivele de dezvoltare a IT
1.2.1. Strategia IT este transpus n planuri IT
1.2.2. Planurile IT ajut la ndeplinirea misiunii organizaiei
1.2.3. Planurile IT ofer asigurare cu privire la faptul c resursele IT su
concordan cu necesitile
1.3.1. Strategia IT este concordant cu scopurile organizaiei
1.3.2. Planurile IT se adreseaz ntregii organizaii
1.3.3. Obiectivele IT ndeplinesc obiectivele organizaiei
1.4.1. Strategia IT este stabilit de un comitet IT
1.4.2. Comitetul IT transpune strategia n planuri pe termen scurt i pe ter
1.4.3. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea
activitile realizate
1.5.1. Organizarea adecvat a funciei IT
1.5.2. Personalul IT are calificarea i competenele adecvate
1.5.3. Adecvarea practicilor i procedurilor IT la procesele existente
1.6.1. Dotarea actual cu tehnic de calcul a stat la baza elaborrii strateg
1.6.2. Realizarea strategiei IT pe baza evalurii sistemelor existente
2.1.1. Definirea atribuiilor i responsabilitilor n cadrul departamentulu
2.1.2. Atribuiile specifice departamentului sunt stabilite n cadrul atribui
ale entitii

1.3. Obiectivele IT ndeplinesc

obiectivele organizaiei
1.4. Comitetul IT determin
strategia IT

2.

Organizarea
i
funcionarea
departamentului IT

1.5.
Organizarea
IT
corespunde
necesitilor
organizaiei
1.6. Elaborarea strategiei IT
corespunde strategiei entitii
2.1. Definirea atribuiilor i
activitilor

Nr.
crt.

3.

Domeniul

Operaii
sistemului
informatic

Activiti/obiective

ale

2.2.
Stabilirea
organizatorice

structurii

2.3.
responsabilitilor

Stabilirea

3.1
operaiunilor

Managementul

3.2.
problemelor

Managementul

3.3.
Funcionalitatea
activitilor
n
cadrul
departamentului IT

Obiecte auditabile
2.1.3. Atribuiile stabilite asigur realizarea activitilor necesare implementrii
obiectivelor
2.1.4. Identificarea tuturor activitilor care concur la realizarea obiectivelor
2.1.5. Corelaia ntre atribuiile postului i competenele ocupantului postului
2.1.6. Definirea activitilor n cadrul structurii organizatorice
2.2.1. Organizarea funcional a departamentului IT
2.2.2. Definirea relaiilor organizatorice ntre compartimente
2.2.3. Examinarea sistemului de gestionare a riscurilor generale la nivelul
departamentului IT
2.2.4. Riscurile legate de securitatea datelor, programelor i echipamentelor sunt
identificate i evaluate ct mai corect i complet
2.3.1. Definirea limitelor de competen
2.3.2. Definirea responsabilitilor n realizarea activitilor
2.3.3. Definirea sarcinilor prin fia postului
3.1.1. Existena listei operaiunilor zilnice de realizat
3.1.2. Performana, capacitatea i disponibilitatea sistemelor informatice este
monitorizat de administratori
3.1.3. Responsabilitatea pentru supravegherea sarcinilor pe seturi de programe revine
administratorilor
3.1.4. Elaborarea Planului anual de activitate
3.2.1. Incidentele privind funcionarea normal a serviciilor IT sunt rezolvate sau
prevenite n termen
3.2.2. Programele antivirus asigur protecia aplicaiilor
3.2.3. Problemele aprute sunt prioritizate i luate n calcul pentru remediere
3.2.4. Implementarea subsistemelor IT
3.2.5. Activitile operaionale sunt conforme cu instruciunile din manualele de
utilizare
3.3.1. Activitile sunt bine organizate pentru asigurarea bunei funcionrii a
departamentului
3.3.2. Organizarea funcional a activitilor n cadrul departamentului IT
3.3.3. Activitile n cadrul departamentului sunt definite respectnd criteriile de
calitate
3.3.4. Evidena datelor aflate pe mediile de stocare
3.3.5. Distribuirea cu precizie a informaiei ctre utilizatori i mediile de stocare
3.3.6. Asigurarea caracterului secret al datelor

Observaii

Nr.
crt.

Domeniul

Activiti/obiective

3.4.
echipamentelor

Mentenana

3.5. Utilizarea echipamentelor

4.

Securitatea
informaiilor

4.1. Organizarea
securitii informaiilor

4.2. Disponibilitatea datelor

4.3. Asigurarea funcionrii

programelor i aplicaiilor

4.4.
Implementarea
instrumentelor de control

Obiecte auditabile
3.3.7. Soluionarea problemelor presupune parcurgerea etapelor: iniierea,
planificarea, execuia, monitorizarea i analiza, ncheierea
3.4.1. Obinerea de rapoarte de activitate utile
3.4.2. ntreinerea calculatorului i a echipamentelor
3.4.3. Instalarea i configurarea calculatorului
3.1.1. Sistemul este ntreinut pentru a se asigura c este conform cu nevoile
organizaiei
3.5.1. Realizarea eficient a operaiilor n cadrul departamentului IT
3.5.2. Identificarea i raportarea pericolelor
3.5.3. Administrarea eficient a aplicaiilor i programelor
3.5.4. Evaluarea problemelor i soluionarea acestora
3.5.5. Programele corespund cerinelor stabilite
3.5.6. Echipamentele sunt utilizate adecvat asigurnd un confort n exploatare
4.1.1. Crearea politicii de securitate a informaiei
4.1.2. Crearea standardelor i practicilor pentru securitatea informaiei
4.1.3. Stabilirea responsabilitilor privind securitatea informaiei
4.1.4. Elaborarea politicii privind securitatea informaiei
4.1.5. Stabilirea responsabilitilor n cadrul politicii de securitate
4.1.6. Securitatea informaiilor asigur integritatea acestora
4.1.7. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatori
autorizai
4.2.1. Protejarea mpotriva atacurilor informatice
4.2.2. Protejarea datelor mpotriva viruilor
4.2.3. Asigurarea continuitii activitilor
4.2.4. Recuperarea datelor n caz de dezastru
4.2.5. Protejarea mpotriva asumrii unei identitii false
4.3.1. Asigurarea introducerii corecte a datelor i informaiilor pentru prelucrare
4.3.2. Existena licenelor pentru programele utilizate
4.3.3. Prelucrarea datelor
4.3.4. Asigurarea securitii datelor i informaiilor
4.4.1. Accesul la aplicaie este oferit pe baza necesitilor utilizatorului
4.4.2. Mecanismele de securitate configurate i implementate verific i limiteaz
accesul la aplicaii

Observaii

Nr.
crt.

Domeniul

Activiti/obiective

Obiecte auditabile
4.4.3. Introducerea instrumentelor de control fizic
4.4.4. Stabilirea de chei de control pentru fiecare program sau aplicaie

4.5. Securitatea reelei

4.5.1. Mecanismele de securitate configurate i implementate asigur securitatea

informaiilor n cadrul reelei
4.5.2. Monitorizarea securitii reelelor

4.6. Gestionarea parolelor

4.6.1. Utilizatorii au parole de acces individuale

4.6.2. Schimbarea periodic a parolelor
4.6.3. Conturile i parolele generice sunt folosite pentru accesul la sisteme i aplicaii
4.6.4. Protejarea parolelor
4.6.5. Persoanele autorizate au acces la sistemul de operare

4.7. Securitatea logic

4.7.1. Asigurarea securitii funcionrii programelor i aplicaiilor

4.7.2.Protejarea sistemelor informatice mpotriva factorilor de mediu !!
4.7.3. Protejarea informaiei din reea

Proiectarea
testarea
programelor
aplicaiilor

i
i

5.1. Proiectarea i elaborarea

programelor i aplicaiilor

5.1.1. Proiectarea programului informatic

5.1.2. Elaborarea programului informatic
5.1.3. Proiectarea unui program sau aplicaie tine cont de necesitile organizaiei
5.1.4. Proiectarea unui program sau aplicaie pe baza existenei resurselor financiare
5.1.5. Respectarea cerinelor n achiziia unei aplicaii

5.2. Testarea i implementarea

programelor i aplicaiilor

5.2.1. Utilizarea de date ipotetice n testarea unui program

5.2.2. Testarea programului i aplicaiei
5.2.3. Asigurarea corectitudinii rezultatelor
5.2.4. Implementarea unui program dup realizarea testrii acestuia

6.

Elaborarea
implementarea
proiectelor IT

6.1. Dezvoltarea proiectelor IT

(programe i aplicaii)

6.1.1. Metodologia pentru dezvoltarea i achiziia aplicaiei

6.1.2. Iniierea i elaborarea proiectelor IT

Observaii

N
r
.

7.

Domeniul

Activiti/obiective

Obiecte auditabile

Observaii

6.1.3. Monitorizarea performanelor soluiilor IT implementate

6.2.
Implementarea
6.2.1. Reproiectarea soluiilor IT pentru programe i aplicaii
i
funcionarea
programelor
i 6.2.2. Implementarea adecvat a aplicaiilor
aplicaiilor
6.2.3. ntreinerea aplicaiilor garanteaz funcionarea proceselor la
parametrii optimi
Proiectarea
7.1.
Proiectarea, 7.1.1. Asigurarea bunei funcionri a sistemelor bazate pe
i meninerea instalarea
i existena i funcionarea reelei de calculatoare
n funciune administrarea
reelei
7.1.2. Monitorizarea performanelor reelelor
a unei reele
de
7.1.3. Administrarea serverelor
calculatoare
7.1.4. Reeaua de calculatoare corespunde cerinelor funcionale
7.2.
Interconectarea
i securitatea reelei

Radu Gheorghe

7.2.1. Interconectarea reelelor

7.2.2. Proiectarea i asigurarea securitii reelei
7.2.3. Urmrirea adecvrii performanelor unei reele

Autori: Popescu Sorin ,

Serviciul de Audit Intern

IDENTIFICAREA RISCURILOR
Misiunea de audit: Activitatea IT
Nr.
Activiti/
Domeniul
crt.
obiective
1.

Strategia
planificarea
sistemelor
informatice

Obiecte auditabile

1.1. Strategia
1.1.1. Strategia IT definete necesitile i priorit
IT este concordant
cu
scopurile 1.1.2. Strategia IT face trimitere la nevoile
organizaiei
ale organizaiei
1.1.3. Strategia definete direciile i obiectiv
dezvoltare a IT
1.2. Planurile IT se 1.2.1. Strategia IT este transpus n planuri IT
adreseaz
ntregii 1.2.2. Planurile IT ajut la ndeplinirea
organizaii
organizaiei
1.2.3. Planurile IT ofer asigurare cu privire
c resursele IT sunt alocate n concorda
necesitile
1.3. Obiectivele IT 1.3.1. Strategia IT este concordant cu
ndeplinesc
organizaiei
obiectivele
1.3.2. Planurile IT se adreseaz ntregii organiz
organizaiei
1.3.3. Obiectivele IT ndeplinesc obiec
organizaiei
1.4. Comitetul IT 1.4.1. Strategia IT este stabilit de un comitet
determin strategia 1.4.2. Comitetul IT transpune strategia n p
IT
termen scurt i pe termen mediu
1.4.3. Comitetul IT stabilete prioritile pr
ntre dezvoltarea sistemelor i operaiile realizate
1.5. Organizarea IT 1.5.1. Organizarea adecvat a funciei IT
corespunde

Perioada
auditat:01.01.201330.06.2014
ntocmit: Popescu Sorin/ Radu George
Avizat: Dumitru Daniel

Data:
04.09.2014

Nr.
crt.

Activiti/
obiective

Domeniul

Obiecte auditabile

Riscuri semnificative

necesitilor
organizaiei

Organizarea i
funcionarea
departamentului
IT

1.5.2. Personalul IT are calificarea i competenele

adecvate
1.5.3. Adecvarea practicilor i procedurilor IT la
procesele existente
1.6.
Elaborarea 1.6.1. Dotarea actual cu tehnic de calcul a stat la
strategiei
IT baza elaborrii strategiei IT
corespunde strategiei 1.6.2. Realizarea strategiei IT pe baza evalurii
entitii
sistemelor existente
2.1.
Definirea 2.1.1. Definirea atribuiilor i responsabilitilor n
atribuiilor
cadrul departamentului IT
i activitilor
2.1.2. Atribuiile specifice departamentului sunt
stabilite n cadrul atribuiilor generale ale entitii
2.1.3. Atribuiile stabilite asigur realizarea
activitilor necesare implementrii obiectivelor
2.1.4. Identificarea tuturor activitilor care concur la
realizarea obiectivelor
2.1.5. Corelaia ntre atribuiile postului i
competenele ocupantului postului
2.1.6. Definirea activitilor n cadrul structurii
organizatorice
2.2.
Stabilirea
structurii
organizatorice

2.3.
Stabilirea
responsabilitilor

Operaii

N
r.
cr

Domeniul

ale

Activ
iti/
obiec

3.1

Managementul

Lipsa calificrilor necesare;

Programele i aplicaiile nu sunt integrate i nu rspund
cerinelor activitilor;
Infrastructura IT existent nu asigur implementarea
strategiei IT;
Elaborarea strategiei nu are la baz i o evaluare i
identificare a posibilitilor financiare;
Lipsa ariei de competen pentru realizarea activitilor
stabilite structurii funcionale
Definirea de atribuii care nu se regsesc in ROF
Definirea atribuiilor sub form de sarcini
Activiti stabilite incorect pentru realizarea obiectivelor

Stabilirea de sarcini diferite pentru aceleai funcii sau

aceleai sarcini pentru funcii diferite
Activitile realizate la nivelul structurii funcionale nu
se regsesc n totalitate n cadrul sarcinilor stabilite
posturilor
2.2.1. Organizarea funcional a departamentului IT
Structura funcional nu este adaptat complexitii
activitilor derulate
2.2.2. Definirea relaiilor organizatorice ntre Repartizarea activitilor i relaiilor organizatorice fr
compartimente
a se ine cont de natur organizrii compartimentului
2.2.3. Examinarea sistemului de gestionare
Riscurile nu sunt identificate i gestionate la nivelul
a riscurilor generale la nivelul departamentului IT
structurii funcionale
2.2.4.
Riscurile
legate
de
securitatea Gestionarea slab a riscurilor privind securitatea
datelor, programelor i echipamentelor sunt informaiilor
identificate i evaluate ct mai corect i complet
2.3.1. Definirea limitelor de competen
Autoritatea formal n realizarea activitilor este
insuficient stabilit postului
2.3.2. Definirea responsabilitilor n realizarea Definirea doar a atribuiilor, nu i a limitei pn unde
activitilor
rspunde ocupantul postului n realizarea activitilor
2.3.3. Definirea sarcinilor prin fia postului
Sarcinile stabilite postului potrivit fiei postului nu
corespund cu aciunile efectiv realizate de ocupantul
postului
3.1.1. Existena listei operaiunilor zilnice de realizat
Activitile se realizeaz fr o prioritizare a operaiilor

Obiecte auditabile

Riscuri semnificative

Obs.

Obs.

3.

siste
mulu
i
infor
matic

operaiunilor

3.2.
Managementul
problemelor

3.1.2. Performana, capacitatea i

disponibilitatea
sistemelor
informatice este
monitorizat depentru
3.1.3. Responsabilitatea
supravegherea sarcinilor pe
seturi
de
programe
revine administratorilor
3.1.4. Elaborarea
Planului anual de
activitate
3.2.1. Incidentele privind
funcionarea normal a serviciilor IT
sunt rezolvate
sau prevenite
n termen
3.2.2.
Programele
antivirus
asigur
protecia
aplicaiilor
3.2.3.
Problemele aprute sunt
prioritizate i luate n calcul pentru
remediere
3.2.4. Implementarea subsistemelor IT

3.2.5. Activitile operaionale sunt

conforme cu instruciunile din
manualele de utilizare
3.3.
3.3.1. Activitile sunt bine
Funcionalitate organizate pentru asigurarea bunei
funcionrii
a departamentului
a activitilor 3.3.2.
Organizarea
funcional a
n
cadrul activitilor n cadrul departamentului
departamentulu IT
i IT
3.3.3. Activitile n cadrul
departamentului sunt definite
respectnd
criteriile
de aflate
calitatepe mediile
3.3.4.
Evidena
datelor
de stocare
3.3.5.
Distribuirea cu precizie a
informaiei ctre utilizatori i mediile
de
stocare
3.3.6.
Asigurarea caracterului secret al
datelor
3.3.7.
Soluionarea
problemelor
presupune
parcurgerea
etapelor:
iniierea,
planificarea,
execuia,
monitorizarea
i de
analiza,
ncheierea
3.4.
3.4.1. Obinerea
rapoarte
de activitate
utile

Lipsa analizelor privind scopul i

cerinele de realizare a activitilor i
calitatea aplicaiilor sau programelor
utilizate
Responsabilitile operatorilor nu sunt
delimitate i stabilite n funcie de
specializarea fiecruia i tipurile de
aplicaii
i programe
utilizate
Activitile
sunt derulate
n cadrul
departamentului fr a exista o planificare
anual
sau periodic
Soluionarea
cu ntrziere a
problemelor aprute n utilizarea
aplicaiilorneadecvat
i programelor
Utilizarea
a programelor
antivirus
Soluionarea problemelor aprute nu
este realizat potrivit gravitii i
asigurnd
eficiena
realizrii
activitilor
entitii
Programele i aplicaiile derulate la
nivelul organizaiei nu sunt actualizate
potrivit noilor necesiti ca urmare a
modificrii
aciunilor
realizareuneia
Neconcordane
ntre de
utilizarea
aplicaii sau program i precizrile din
caietul tehnic, privind execuia acelei
operaii
Lipsa
revizuirii i urmrii contractelor la
nivel de service i a celor la nivel
operativ
Activitile
i
aciunile
necesare
realizrii acestora nu sunt repartizate
eficient i omogen pe compartimente n
cadrul
departamentului
IT
Activiti
i aciuni neresponsabilizate
Acces nerestricionat la date i informaii
Dependena de tere pri n
centralizarea informaiei i oferirea
rapoartelor
Accesul la datele i informaiile
organizaiei nu este limitat doar pentru
persoanele ndreptite
Soluionarea
unei probleme prin luarea
n calcul doar a execuiei acesteia
Rapoartele obinute nu ofer informaii
suficiente pentru luarea deciziilor

N
r.

4.

Domeniul

Acti
vit

Securit
atea
inform
aiilor

3.4.2. ntreinerea calculatorului i a

echipamentelor
3.4.3. Instalarea i configurarea
calculatorului
3.1.1. Sistemul este ntreinut pentru
a se asigura c este conform cu
3.5.
3.5.1. Realizarea eficient a
operaiilor n cadrul departamentului
3.5.2. Identificarea i raportarea
Utilizarea
echipamentelor pericolelor
3.5.3.
Administrarea eficient a
aplicaiilor i programelor
3.5.4. Evaluarea problemelor i
soluionarea acestora
3.5.5. Programele corespund cerinelor
stabilite
3.5.6. Echipamentele sunt utilizate
adecvat asigurnd un confort n
4.1.
4.1.1. Crearea politicii de securitate a
informaiei
Organizarea
4.1.2. Crearea standardelor i
securitii
practicilor pentru securitatea
informaiilor
4.1.3. Stabilirea responsabilitilor
privind securitatea informaiei
4.1.4. Elaborarea politicii
privind
securitatea
informaiei
4.1.5. Stabilirea responsabilitilor n
cadrul politicii de securitate
4.1.6. Securitatea informaiilor
asigur integritatea acestora
4.1.7. Securitatea datelor asigur
disponibilitatea acestora doar pentru
4.2.
4.2.1. Protejarea mpotriva atacurilor
Disponibilitate informatice
a datelor
4.2.2. Protejarea datelor mpotriva
viruilor
4.2.3. Asigurarea continuitii
activitilor

Obiecte auditabile

Riscuri semnificative
Disfunciile identificate nu sunt
analizate i nlturate n conformitate cu
Echipamentele periferice nu sunt
instalate i conectate conform
ntreinerea sistemului doar la solicitrile
utilizatorilor;
Suportul tehnic cu privire la utilizarea
programelor nu este furnizat n mod
Costuri ridicate cu remedierea
defeciunilor, frecven mare a acestora,
Controlul intern asupra datelor de intrare
nu este asigurat corespunztor;
Lipsa revizuirii i urmrii msurilor
privind corectarea erorilor conduce la
Neadaptarea la schimbrile rapide
ale tehnologiei informaiei;
Lipsa cunotinelor privind exploatarea
echipamentelor la potenialul maxim;
Organizarea
i
responsabilitile
privind securitatea informaiilor nu
constituie o prioritate a politicii de
Standardele privind securitatea
informaiei nu sunt definite formal
Responsabilitile nu sunt separate
clar ntre cele ale administratorilor i
Datele i informaiile prelucrate i
stocate nu sunt asigurate n condiii
de confidenialitate, integritate i
Politica de securitate nu definete
responsabilitile cu privire la
Datele i informaiile nu sunt stocate
n condiii de securitate;
Accesul la informaii i pentru persoanele
neautorizate;
Lipsa programelor de protecie
adecvate pentru aplicaii i programe;
Vulnerabilitate sporit n faa viruilor;
Planurile privind continuitatea
activitilor nu stabilesc msuri

Obs.

N
r.
cr

Domeniul

Acti
viti
/
4.3.
Asigurarea
funcionrii
programelor
i aplicaiilor

4.4.
Implementarea
instrumentelor
de control

4.5.
Securitatea
reelei
4.6.
Gestionarea
parolelor

4.7.

Obiecte auditabile

Riscuri semnificative

4.2.4. Recuperarea datelor n caz de

dezastru
4.2.5.
Protejarea mpotriva asumrii
unei identitii false
4.3.1. Asigurarea introducerii
corecte a datelor i informaiilor
pentruExistena
prelucrarelicenelor pentru
4.3.2.
programele utilizate
4.3.3. Prelucrarea datelor

Lipsa planurilor de recuperare a datelor i

informaiilor informaiilor sau
Sustragerea
echipamentelor, fr autorizare;
Aplicaiile informatice nu sunt utilizate
n conformitate cu instruciunile de
exploatare
Plata
unor despgubiri urmare
implementrii unor programe fr
licen
Introducerea
incorect a datelor i
informaiilor n cadrul programelor i
aplicaiilor
Accesul la datele i informaiile
stocate nu este restricionat i
autorizat la
peprogram,
niveluri ierarhice
Accesul
aplicaie este oferit
pentru ntregul personal ce posed o
parol vulnerabilitile sistemelor nu
Pentru
sunt stabilite i implementate
instrumente
Accesul fizicdelacontrol;
echipamente i aplicaii
este restricionat
Posibilitatea de a obine i utiliza
rezultate nesigure, neverificate;
Metodele de criptare nu asigur
protecia integritii i confidenialitii
datelor sensibile
Comunicarea n reea nu este
monitorizat;
Accesul la aplicaii se realizeaz direct,
fr a fi permis doar pentru personalul
ndreptit;
Risc
crescut de spargere a parolei;

4.3.4. Asigurarea securitii datelor i

informaiilor
4.4.1. Accesul la aplicaie este
oferit pe baza necesitilor
utilizatorului
4.4.2.
Mecanismele de securitate
configurate i implementate verific
i
limiteaz
accesul lainstrumentelor
aplicaii
4.4.3.
Introducerea
de control fizic asupra
echipamentelor
4.4.4.
StabilireaITde chei de control
pentru fiecare program sau aplicaie
4.5.1. Mecanismele de securitate
configurate i implementate asigur
securitatea informaiilor n cadrul
reeleiMonitorizarea securitii reelelor
4.5.2.
4.6.1. Utilizatorii au parole de acces
individuale
4.6.2. Schimbarea periodic a parolelor
4.6.3. Conturile i parolele
generice sunt folosite pentru accesul
la sisteme i aplicaii
4.6.4. Protejarea parolelor

Conturile

i parolele generice
iniiale
nu
sunt personalizate, dup
nceperea
prelucrrilor
de
ctre
Descrcarea ilegal
a unor informaii;

4.6.5. Persoanele autorizate au acces

la sistemul de operare
4.7.1. Asigurarea securitii
funcionrii programelor i aplicaiilor

Accesul la servere este permis

ntregului personal, nefiind nregistrat
i
monitorizat;
Lipsa
controalelor sau controale slabe de
acces

Obs.

Securitatea

N
r.
5

Domeniul
Proiectarea
i testarea
programelo
r
i
aplicaiilor

Acti
vit
5.1.
Proiectarea
i elaborarea
programelor
i aplicaiilor

5.2.
Testarea
i
implementare
a programelor
i aplicaiilor
6.

Elaborarea
i
implement
area
proiectelor
IT

4.7.2.Protejarea sistemelor
informatice mpotriva factorilor de
mediu

Lipsa controalelor de mediu, respectiv

detectoare de foc, incendiu etc.

Obiecte auditabile

Riscuri semnificative

4.7.3. Protejarea informaiei din

reea
5.1.1. Proiectarea programului
informatic
5.1.2. Elaborarea programului
informatic
5.1.3. Proiectarea unui program sau
aplicaie tine cont de necesitile
5.1.4. Proiectarea unui program sau
aplicaie pe baza existenei
5.1.5. Respectarea cerinelor n
achiziia unei aplicaii
5.2.1. Utilizarea de date ipotetice
n testarea unui program
5.2.2. Testarea programului i
aplicaiei
5.2.3. Asigurarea corectitudinii
rezultatelor

Funcii de siguran sau control nu

sunt prevzute n cadrul sistemelor
n proiectarea programului/aplicaiei,
fluxul de date nu este stabilit adecvat
Graficul de realizare a programului i
bugetul aprobat nu sunt respectate
Elaborarea de programe i
aplicaii fr o analiz strategic la
Lipsa resurselor financiare n
elaborarea
i
Costuri suplimentare n achiziia
unui program sau aplicaie
Efectuarea de prelucrri asupra
datelor reale, n cadrul testrii
Neconformitile i erorile
constatate n cursul testrii unui
Opiunile i parametrii de lucru ai
programului/aplicaiei
nu
sunt stabilii conform
Programele
sau
aplicaiile
achiziionate
Lipsa proiectelor de dezvoltare a
achiziiilor
Obiectivele generale ale proiectului
nu sunt stabilite cu respectarea
Parametri de referin i valorile
etalon ale programelor elaborate nu
respect specificaiile i nu se
Soluiile privind mbuntirea
programelor
i aplicaiilor nu in
Rapoartele nu corespund cerinelor;

5.2.4. Implementarea unui

program dup realizarea testrii
6.1.
6.1.1. Metodologia pentru
dezvoltarea i achiziia aplicaiei
6.1.2. Iniierea i elaborarea
Dezvoltarea
proiectelor IT
proiectelor
IT (programe 6.1.3. Monitorizarea
performanelor soluiilor IT
i aplicaii)
implementate
6.2.
6.2.1. Reproiectarea soluiilor IT
Implementare pentru programe i aplicaii
a i
6.2.2. Implementarea adecvat a
funcionarea
aplicaiilor

Obs.

programelor
i aplicaiilor
7.

N
r.
cr

Proiectarea 7.1.
i
meninerea Proiectarea,

Domeniul
reele

6.2.3. ntreinerea aplicaiilor

garanteaz funcionarea proceselor
la parametrii optimi
7.1.1.
Asigurarea
bunei
funcionri a sistemelor bazate
pe existena i funcionarea

Activ
iti/
de calculatoare
obiec

7.2.
Interconectarea
i securitatea
reelei

Supravegherea proceselor aflate

n execuie i a performanelor
aplicaiilor,
sistemelor
sau
Subsistemele existente nu sunt
configurate
i supravegheate
individual

Obiecte auditabile

Riscuri semnificative

7.1.2. Monitorizarea performanelor

reelelor.
7.1.3. Administrarea serverelor

Scderea performanelor reelelor;

Accesul i utilizarea datelor i

informaiilor stocate pe server nu respect
7.1.4. Reeaua de calculatoare
Reeaua de calculatoare nu
corespunde cerinelor funcionale
asigur
integrarea
informaiilor
i elaborarea
7.2.1. Interconectarea reelelor
Conexiunile dintre
reele nurapoartelor
sunt conforme
cu arhitectura prevzut de instruciuni i
7.2.2. Proiectarea i asigurarea securitii Vulnerabilitile i ameninrile nu sunt
identificate i prioritizate
reelei
7.2.3. Urmrirea adecvrii
Proiectarea reelei de calculatoare nu
performanelor unei reele de
asigur integrarea programelor.

Obs.

Not:
Identificarea riscurilor asociate obiectelor auditabile presupune ataarea riscurilor semnificative la operaiile stabilite n Lista centralizatoare a
obiectelor auditabile, n prima faz a procedurii Analiza riscurilor.
Lista privind identificarea riscurilor reprezint documentul prin care pe baza obiectelor audiabile identificate, a funcionalitii controalelor interne
stabilite i implementate de entitate sunt identificate i stabilite riscurile aferente pentru fiecare obiect audiabil.
La un obiect auditabil se pot asocia unul sau mai multe riscuri posibile, determinate de auditorii interni pe baza informaiilor colectate, dar si din propria
experien. n situaia n care la operaiile audiabile se ataeaz mai multe riscuri analiza acestora se va putea realiza pentru fiecare risc n parte, pe grupe de riscuri sau
pe total operaie/obiect audiabil