Ghid IT Ed II

MINISTERUL FINANELOR PUBLICE
UNITATEA CENTRAL DE ARMONIZARE PENTRU AUDITUL PUBLIC INTERN
GHID PRACTIC
MISIUNEA DE AUDIT INTERN
ACTIVITATEA IT
- ACTUALIZAT -
AVIZAT
GHI MARCEL
ef serviciu pentru Strategie i Metodologie General
ACTUALIZAT
CROITORU ION
Auditor superior
VOINEA DANIEL
Auditor principal
Ghidul practic privind realizarea unei misiuni de audit intern privind activitatea IT
constituie un model pentru desfurarea misiunilor n baza Legii nr. 672/2002 privind auditul
public intern i a Normelor generale pentru exercitarea auditului public intern aprobate prin
OMFP nr. 38/2003, cu modificrile i completrile ulterioare.
Ateptm sugestiile dumneavoastr pe adresa UCAAPI sau pe e-mail:

marcel.ghita@mfinante.ro
ion.croitoru@mfinante.ro
daniel.voinea@mfinante.ro
BUCURETI
2009
2
CUVNT NAINTE
Ghidul de audit intern privind auditarea activitii IT reprezint un model practic de

desfurare a unei misiuni de audit intern, prin parcurgerea in detaliu, a fiecrui pas,
ntr-o manier didactic. Ghidul poate fi utilizat de entitile din sectorul public i n
acelai timp va reprezenta suportul pentru realizarea, de ctre fiecare structur de audit
intern a propriului ghid practic specific activitii IT desfurate n cadrul entitii.
Actualizarea ghidului are la baz prevederile art. 8 lit. c) din Legea nr. 672/2002 privind
auditul public intern i punctul 4, Partea I din Normele generale de exercitare a auditului
public intern, aprobate prin OMFP nr. 38/2003 referitoare la dezvoltarea i implementarea
unor proceduri i metodologii uniforme, bazate pe standardele internaionale.
n conformitate cu prevederile punctului 4, Partea I din Normele generale de exercitare a

auditului public intern, aprobate prin OMFP nr. 38/2003 (Manualul de audit intern), misiunea
de audit intern are drept scop evaluarea sistemelor de management i control intern ale
entitii, urmrind transparena i conformitatea cu cadrul normativ.
Actualizarea ghidului practic a presupus respectarea procedurilor i documentelor

specifice structurate pe cele patru etape ale derulrii unei misiunii de audit public intern,
prezentate prin normele generale, respectiv:
n etapa de pregtire a misiunii de audit intern au fost elaborate i actualizate
documentele prevzute de normele generale, fiind aduse clarificri, n special, cu privire la
modul concret de dezvoltare a procedurii de Analiza riscurilor, succesiunea documentelor,
structura acestora i modul de completare, nivelul de apreciere i mprire a riscurilor n mari,
medii i mici, clasarea i ierarhizarea acestora n vederea finalizrii procedurii pe baza creia
se va elabora Programul interveniei la faa locului i se va concentra munca pe teren.
n etapa de intervenie la faa locului s-a realizat testarea pe teren a operaiilor
auditabile, pe baza Programului interveniei la faa locului, prin utilizarea diferitelor tehnici i
instrumente de audit, tehnici de eantionare, liste de verificare, teste, foi de lucru, interviuri
sau note de relaii, elemente care s-au constituit n probe de audit i care au stat la baza
ntocmirii FIAP-urilor i FCRI-urilor, documente avute n vedere la elaborarea raportului de
audit intern.
n etapa de elaborare a Raportului de audit intern s-a urmrit structurarea
acestuia pe Tematica n detaliu a misiunii de audit obinut n procedura de Analiza riscurilor
i ca acesta s comunice clar cititorului att obiectivele, perioada de timp acoperit de audit,
aria de cuprindere, constatrile, concluziile auditului, recomandrile formulate, ct i nivelul
de asigurare. Totodat s-a avut n vedere ca faptele prezentate s fie susinute cu dovezi de
audit suficiente, iar recomandrile s abordeze chestiunea performanei, a eficacitii
gestionrii i optimizrii utilizrii resurselor.
n etapa de urmrire a recomandrilor s-a urmrit caracterul adecvat,
eficacitatea i oportunitatea aciunilor ntreprinse pentru implementarea recomandrilor
formulate i n afara documentelor stabilite de normele generale au fost propuse unele modele
de documente pentru evaluarea intern i extern a activitii de audit intern.
3
Obiectivele misiunii de audit intern privind activitatea IT, stabilite prin planul de audit
au fost urmtoarele:
Strategia i planificarea sistemelor informatice;
Organizarea i funcionarea departamentului IT;
Operaii ale sistemului informatic;
Securitatea informaiilor;
Achiziionarea i testarea programelor i aplicaiilor;
Elaborarea i implementarea proiectelor IT;
Proiectarea i meninerea n funciune a unei reele.
n continuare, prezentm desfurarea misiunii de audit intern pentru Activitatea IT,

structurat pe etapele, procedurile i documentele care se elaboreaz pe baza acestora n
conformitate cu Schema de derulare a misiunilor de audit intern.
4
PROCEDURA P01 INIIEREA AUDITULUI
ENTITATEA PUBLIC
Serviciul Audit Intern
Nr. 11/12.08.2009
ORDIN DE SERVICIU
n conformitate cu prevederile art. 8, litera c) din Legea nr. 672/2002 privind auditul public
intern, a OMFP nr. 38/2003 de aprobare a normelor metodologice generale privind exercitarea
activitii de audit intern, cu modificrile i completrile ulterioare i a Planului de audit intern
pentru anul 2009, se va efectua o misiune de audit intern privind Activitatea IT, n perioada
01.09.2009 20.10.2009.
Scopul misiunii de audit este de a da asigurri asupra modului de organizare i desfurare a

activitii IT, n conformitate cu cadrul legislativ i normativ, iar obiectivele acestuia au n
vedere:
Proiectarea i testarea programelor i aplicaiilor;
Menionm c se va efectua un audit de conformitate privind modul de organizare i desfurare

a activitii IT.
Echipa de auditori interni este format din urmtorii auditori:

Popescu Sorin, auditor superior, coordonator
Radu George, auditor superior
ef Serviciu Audit Intern,

Dumitru Daniel
5
6
Procedura - P02: INIIEREA AUDITULUI
ENTITATEA PUBLIC
DECLARAIA DE INDEPENDEN
Nume i prenume: Popescu Sorin

Misiunea de audit : Activitatea IT Data: 14.08.2009
Incompatibiliti n legtur cu entitatea/structura auditat DA NU

Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze
msura n care putei s v interesai, s descoperii sau s constatai slbiciuni de audit n orice - X
fel?
Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea s v
- X
influeneze n misiunea de audit?
Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n activitatea
X -
entitii/structurii ce va fi auditat?
Avei responsabiliti n derularea programelor i proiectelor finanate integral sau parial de
- X
Uniunea European?
Ai fost implicat n elaborarea i implementarea sistemelor de control ale entitii/structurii ce
X
urmeaz a fi auditat?
Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii
- X
ce va fi auditat sau cu membrii organului de conducere colectiv?
Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene
- X
de la vreun grup anume, sau organizaie sau nivel guvernamental?
Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru entitatea/structura ce
X -
va fi auditat?
Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? - X
Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi
- X
auditat?
Putei s selectai responsabilitile i problemele, s stabilii riscurile specifice activitilor supuse
X -
auditri i s construii proceduri specifice de identificare a disfunciilor i abaterilor?
Stpnii tehnicile i metodele de colectare, analiz i interpretare a datelor i informaiilor
X -
specifice unui audit al conformitii?
Dac n timpul misiunii de audit apare orice incompatibilitate personal, extern sau
organizaional care ar putea s v afecteze abilitatea de a lucra i a face rapoartele de audit X -
impariale, notificai eful Serviciului de audit intern de urgen?
Auditor, ef serviciu
Popescu Sorin Dumitru Daniel
1. Incompatibiliti personale: Cu aproximativ 2 ani n urma am a lucrat la compartimentul
contabilitate i am realizat plata salariilor personalului IT.
2. Pot fi eliminate incompatibilitile: Da
3. Dac da, explicai cum anume: Misiunea planificata nu are nici o tangen cu activitatea de
salarizare a personalului departamentului. Totodat prezenta misiune are ca obiective modul de
funcionare a sistemelor IT.
Data: 14.08.2009 Semntura: Dumitru Daniel
7
ENTITATEA PUBLIC
DECLARAIA DE INDEPENDEN
Nume i prenume: Radu George Data: 14.08.2009

Misiunea de audit: Activitatea IT
Incompatibiliti n legtur cu entitatea/structura auditat DA NU

Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v
limiteze msura n care putei s v interesai, s descoperii sau s constatai slbiciuni - X
de audit n orice fel?
Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea
- X
s v influeneze n misiunea de audit?
Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n
X -
activitatea entitii/structurii ce va fi auditat?
Avei responsabiliti n derularea programelor i proiectelor finanate integral sau
- X
parial de Uniunea European?
Ai fost implicat n elaborarea i implementarea sistemelor de control ale
- X
entitii/structurii ce urmeaz a fi auditat?
Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul
- X
entitii/structurii ce va fi auditat sau cu membrii organului de conducere colectiva?
Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de
- X
redevene de la vreun grup anume, sau organizaie sau nivel guvernamental?
Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru
- X
entitatea/structura ce va fi auditat?
Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? - X
Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce
- X
va fi auditat?
Putei s selectai responsabilitile i problemele, s stabilii riscurile specifice
activitilor supuse auditri i s construii proceduri specifice de identificare a X -
disfunciilor i abaterilor?
Stpnii tehnicile i metodele de colectare, analiz i interpretare a datelor i
- X
informaiilor specifice unui audit al conformitii?
Dac n timpul misiunii de audit apare orice incompatibilitate personal, extern sau
organizaional care ar putea s v afecteze abilitatea de a lucra i a face rapoartele de X -
audit impariale, notificai eful Serviciului de audit intern de urgen?
Auditor, ef serviciu
Radu George Dumitru Daniel
1. Incompatibiliti personale:
a) nu am cunotine solide privind managementul IT, astfel nct s pot face o analiz
obiectiv a modului de funcionare a programelor i aplicaiilor.
2. Pot fi eliminate incompatibilitile:
a) Da;
3. Dac da, explicai cum anume:
a) pentru evaluarea sistemelor, aplicaiilor sau programelor echipa de audit se va
suplimenta cu un auditor cu experien n acest domeniu, respectiv Ionescu Gabriel, acesta va avea
ca responsabiliti s evalueze modul de funcionare a acestora n comparaie cu necesitile i s
formuleze constatrile de audit.
Data: 14.08.2009 Semntura: Dumitru Daniel
8
ENTITATEA PUBLIC
Nr. 3452 / 15.08.2009
NOTIFICAREA PRIVIND DECLANAREA MISIUNII DE AUDIT INTERN
Ctre: Departamentul Tehnologia Informaiei

De la: eful Serviciului Audit Intern
Referitor la misiunea de audit intern Activitatea IT
Stimate domnule director Ptrulescu George
n conformitate cu Planul de audit intern pe anul 2009, urmeaz ca n perioada 01.09.2009 -

30.09.2009 s efectum o misiune de audit intern avnd ca tem Activitatea IT.
Echipa de auditori va examina responsabilitile asumate de ctre Departamentul IT cu privire
la organizarea i realizarea activitilor i va determina dac acesta i ndeplinete obligaiile n mod
efectiv i eficient.
Perioada supus evalurii este 01.01.2008 30.06.2009;
Obiectivele misiuni de audit intern vor fi reprezentate de:

Testarea programelor i aplicaiilor;
V vom contacta ulterior pentru a stabili de comun acord edina de deschidere n vederea
discutrii diverselor aspecte ale misiunii de audit intern, cuprinznd:
- prezentarea auditorilor;
- prezentarea si discutarea obiectivelor misiunii de audit intern;
- scopul misiunii de audit intern;
- programul interveniei la faa locului;
- alte aspecte privind organizarea si desfurarea misiunii.
Pentru o mai bun nelegere a activitii dumneavoastr, v rugm sa ne punei la dispoziie

urmtoarea documentaie necesar:
cadrul legal si de reglementare aplicabil entitii;
organigrama departamentului;
Regulamentul de organizare i funcionare;
fiele posturilor;
9
procedurile scrise care descriu activitile ce se desfoar n cadrul
compartimentului;
rapoartele de audit intern anterioare;
alte rapoarte, note, dosarele anterioare care se refer la aceasta tem.
Dac avei unele ntrebri privind aceasta aciune, v rog s contactai pe domnul Popescu
Sorin auditor intern, coordonatorul misiunii sau pe eful structurii de audit intern.
ef Serviciu Audit Intern,

Dumitru Daniel
Data: 15.08.2009
10
Procedura P04: COLECTAREA I PRELUCRAREA INFORMAIILOR
ENTITATEA PUBLIC
Serviciul Audit Public Intern
COLECTAREA INFORMAIILOR

Perioada auditat: 01.01. 2008 30.06.2009
ntocmit: Popescu Sorin/Radu George Data: 02.09.2009
Avizat: Dumitru Daniel Data: 02.09.2009
Colectarea informaiilor
Nr.
Departamentul IT DA NU Observaii
crt.
1. Identificarea legilor i regulamentelor aplicabile
X -
Departamentului IT;
2. Obinerea organigramei departamentului IT; X -
3. Obinerea Regulamentului de organizare i ROF-ul nu este actualizat n
funcionare aferent departamentului IT; conformitate cu noua
X -
structur organizatoric a
departamentului.
4. Obinerea fielor posturilor pentru personalul
X
departamentului;
5. Obinerea procedurilor de lucru elaborate la nivelul Procedurile de lucru sunt
departamentului; elaborate doar pentru o
X parte din activitile
desfurate la nivelul
departamentului.
6. Obinerea fielor postului pentru personalul
X -
departamentului;
7. Obinerea Raportului de audit intern anterior; Anterior nu au fost realizate
X - misiuni de audit intern
privind activitatea IT
8. Obinerea strategiei i politicilor de dezvoltare ale
X
departamentului;
9. Obinerea statului de funcii pentru personalul
X
departamentului;
10. Obinerea rapoartelor de evaluare pentru personalul
X
departamentului;
11. Obinerea planului de continuare a activitilor n caz
X
de dezastre;
12. Obinerea circuitului documentelor la nivelul Nu exist stabilit un circuit
X
departamentului; al documentelor.
13. Identificarea obiectivelor generale i specifice
X
definite la nivelul departamentului;
14. Obinerea planului de recuperare a activitilor n caz
X
de dezastre;
15 Obinerea listei tuturor aplicaiilor, programelor,
sistemelor achiziionate sau derulate n cadrul X
entitii
11
16 Obinerea listei privind fiecare post IT i numele
X
utilizatorilor
17 Obinerea tuturor metodologiilor de lucru privind
funcionarea aplicaiilor i programelor instalate n X
cadrul organizaiei
Not:
Colectarea i prelucrarea reprezint etapa de procurare a informaiilor n vederea efecturii
analizei de risc i pentru identificarea informaiilor necesare, fiabile, pertinente i utile pentru a atinge
obiectivele misiunii de audit intern.
Activitile realizate n aceast faz contribuie substanial la cunoaterea domeniului auditabil
care l ajut pe auditor s se familiarizeze cu entitatea auditat.
12
Procedura PO4 : COLECTAREA I PRELUCRAREA INFORMAIILOR
Entitatea Public
Serviciul de Audit Intern
CHESTIONAR DE LUARE LA CUNOTIN

Perioada auditat: 01.01.2008 30.06.2009
r.
rt. NTREBAREA A U BSERVAII
Cunoaterea contextului socio-economic de funcionare a departamentului IT
1 Care este numrul salariailor departamentului? 25 salariai.
2 Exist un buget al departamentului? Exist buget la nivel de
u organizaie, iar achiziiile IT
sunt stabilite separat.
3 Care sunt atribuiile generale ale compartimentului? Elaborarea strategiei de
informatizare a organizaiei
i realizarea sistemului
informatic integrat
4 Atribuiile generale sunt acoperite n totalitate de sarcinile
stabilite posturilor?
5 Care este nivelul de competene al salariailor? Salariaii dein competene
privind funcionarea
echipamentelor, aplicaiilor
i programelor, n a realiza
testarea i implementarea
noilor aplicaii, n
soluionarea problemele
aprute n funcionarea
aplicaiilor.
6 Care este nivelul de calificare al personalului? 8 salariai sunt asisteni, 9
sunt principali i 8 sunt
superiori.
7 Tot personalul are calificare IT?
8 Personalul este evaluat cel puin anual?
9 Complexitatea obiectivele individuale este mbuntit Sunt meninute anual la
anual, n corelaie de cunotinele acumulate? acelai nivel.
10 Aprecierea realizrii obiectivelor este realizat n funcie de
nivelul de criteriile de performan?
11 Posturile existente asigur realizarea activitilor? ns acestea au un grad de
ocupare de 85%.
12 Exist un sistem de motivare al salariailor? Da Motivarea se face financiar
13 Motivarea moral a salariailor exist n cadrul
Nu
compartimentului?
14 Exist un plan de carier definit pentru funcia de operator
Nu
IT?
15 Exist o politic elaborat la nivelul domeniului de
Nu
activitate?
16 Exist strategie elaborat privind dezvoltarea IT? Da
17 Exist o evaluare a funcionalitii compartimentului IT? Nu
18 Abilitile de comunicare i profesionale ale personalului se
Nu
urmresc a fi dezvoltate?
13
19 Relaiile de autoritate sunt definite i aplicate la nivelul
Da
departamentului IT?
20 Relaiile ierarhice asigur o bun colaborare ntre posturile
Da
de conducere i cele de execuie?
21 Sarcinile sunt astfel definite nct s asigure o bun
cooperare ntre posturile de acelai nivel n vederea Da
soluionrii problemelor?
22 Relaiile de control stabilite personalului conduc la o
evaluare adecvat a modului de utilizare a echipamentelor i Da
aplicaiilor de ctre utilizatori?
23 Capacitatea managerial a personalului asigur furnizarea
Da
adecvat a informaiilor ctre utilizatorii aplicaiilor?
24 Structura organizatoric este capabil s rspund cerinelor
Da
organizaiei sau a mediului n care acioneaz?
25 Exist o analiz SWOT la nivelul departamentului? Nu
B Cunoaterea contextului organizaional al departamentului IT
1 Care este subordonarea departamentului i compartimentelor n subordinea
componente? conductorului organizaiei.
2 Cu cine are relaii de colaborare? Cu toate celelalte
compartimente.
3 Care sunt relaiile ierarhice? Subordonat conductorului
instituiei, nu are
compartimente n subordine.
4 n cadrul compartimentului care sunt relaiile ierarhice? Directorul este subordonat
conductorului entitii,
efii de servicii sunt
subordonai directorului, iar
salariaii sunt subordonai
sefului de serviciu.
5 Mai exist i alte funcii de conducere? Nu
6 Exist organigram la nivelul departamentului? Da
7 Organigrama exprim corect relaiile ierarhice? Da
8 Organigrama exprim relaiile cu celelalte compartimente? Da
9 Exist obiective definite la nivelul departamentului i n
Da
cadrul serviciilor?
10 Exist obiective individuale la nivelul posturilor de lucru? Da
11 Exist fie ale posturilor pentru toate posturile existente n
Da
cadrul compartimentului?
12 Fiele posturilor sunt ntocmite n funcie de complexitatea
n funcie de complexitatea
activitilor stabilite postului sau pregtirea persoanei care l activitilor
ocup?
13 Sarcinile sunt definite clar n cadrul postului? Da
14 n cadrul fielor posturilor sunt definite responsabiliti? Da
15 Atribuiile posturilor de conducere difer fa de cele ale
Da
posturilor de execuie?
16 Exist asigurat continuitatea activitilor n cadrul
Da
compartimentului?
17 Exist o diagram funcional la nivelul compartimentului? Nu
18 Nivelul de conducere are putere decizional? Doar n ce privete
asigurarea funcionrii
echipamentelor, aplicaiilor
sau programelor
19 Exist un circuit al documentelor n cadrul departamentului? Nu
20 Toate documentele elaborate la nivelul departamentului sunt
Da
cuprinse n circuitul documentelor?
21 Sarcinile sunt comunicate zilnic salariailor? Da
22 Urmrirea realizrii sarcinilor de ctre salariai este realizat Da
14
zilnic?
23 Structura organizatoric rspunde necesitilor activitilor Toi salariai sunt implicai
derulate? n realizarea tuturor
activitilor. Este necesar o
compartimentare a
activitilor i o specializare
pe acestea a salariailor
24 tatul de funcii corespunde posturilor existente? Da
25 Exist un sistem de promovare al salariailor? Promovare se face n
condiiile stabilite de lege
26 Posturile de lucru asigur flexibilitate n realizarea
Da
activitilor alocate?
27 Exist o situaie a raportrilor de efectuat? Da
28 Pentru fiecare raportare exist o metodologie de colectare, Datele sunt preluate din
prelucrare i transmitere a datelor? registrele de eviden i
dosarele de instan
29 Structura organizatoric corespunde scopurilor i
Da
obiectivelor generale ale organizaiei?
30 Exist dou nivele de
Nivelurile de conducere sunt reduse? conducere
31 Funciile compartimentelor sunt definite clar i concis n
Da
comparaie cu atribuiile alocate departamentului?
32 Funciile managementului se regsesc n atribuiile
Nu n totalitate
personalului de conducere?
33 Atribuiile stabilite departamentului IT asigur realizarea
Da
atribuiilor generale ale organizaiei?
34 Activitile sunt identificate n totalitate la nivelul
Da
departamentului?
35 Realizarea activitilor are la baz un set de indicatori
Nu
stabilii?
36 Activitile asigur conformitatea cu reglementrile i
Da
metodologiilor?
37 Activitile asigur conformitatea cu procedurile elaborate? Da
38 Este respectat principiul echilibrului dintre sarcini i
Da
competene?
39 Concordana cerinelor postului cu caracteristicile titularului
asigur corespondena dintre volumul, natura i
Da
complexitatea sarcinilor, competenelor i responsabilitilor
postului cu aptitudinile, deprinderile i experiena acestuia?
40 Elaborarea rapoartelor de activitate respect coninutul
Da
tematic?
41 Lucrrile de sintez i raportare sunt aprobate de conducerea
Da
entitii?
C Cunoaterea funcionrii departamentului IT
1 Fisa postului definete clar cerinele postului? Da
2 Nivelul de cunotine al salariatului asigur realizarea
Da
sarcinilor postului pe care l ocup?
3 n cadrul departamentului sunt elaborate procedurile de
Da
lucru?
4 Procedurile de lucru acoper toate activitile? Da
5 Procedurile de lucru descriu corect activitile ce trebuie
Da
desfurate?
6 Procedurile de lucru definesc corect responsabilitile? Da
7 Procedurile de lucru sunt cunoscute i aplicate de salariai? Da
8 Procedurile de lucru asigur separarea sarcinilor? Da
9 Exist regulament de organizare i funcionare? Da
10 Regulamentul de organizare i funcionare definete corect Da
15
atribuiile compartimentului?
11 Exist registru de coresponden la nivelul departamentului? Da
12 Care sunt problemele la nivelul departamentului? Lipsa de personal.
Insuficiena bugetului
pentru achiziionarea
echipamentelor i integrarea
datelor
Tehnica nvechit, ceea ce
creeaz a serie de probleme
n exploatarea aplicaiilor
Instruirea insuficient a
utilizatorilor
13 Care sunt reformele la nivelul departamentului? Nu exist elaborat nici o
reform.
14 Exist a procedur de lucru prin care sunt stabilite sau
reglementate raporturile de lucru ntre compartimentele din Nu
cadrul organizaiei?
15 Exist realizat n cadrul departamentului IT o analiz a
Nu
posturilor?
16 Exist un program de pregtire a personalului? Da
17 Programul este realizat pe
Programul de pregtire are la baz necesitile rezultate din
baza solicitrilor formulate
evaluarea performanelor individuale i nevoile individuale? de salariai
18 Documentele primite la nivelul departamentului se
Da
nregistreaz i repartizeaz pentru soluionare?
Auditori interni,
Popescu Sorin
Radu George
16
Procedura PO5 : Analiza riscului
Entitatea Public
LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE

Nr.
Domeniul Activiti/obiective Obiecte auditabile Observaii
crt.
1. Strategia i 1.1. Strategia IT este 1.1.1. Strategia IT definete necesitile i prioritile
planificarea concordant cu scopurile 1.1.2. Strategia IT face trimitere la nevoile viitoare ale organizaiei
sistemelor organizaiei 1.1.3. Strategia definete direciile i obiectivele de dezvoltare a IT
informatice 1.2. Planurile IT se adreseaz 1.2.1. Strategia IT este transpus n planuri IT
ntregii organizaii 1.2.2. Planurile IT ajut la ndeplinirea misiunii organizaiei
1.2.3. Planurile IT ofer asigurare cu privire la faptul c resursele IT sunt alocate n
concordan cu necesitile
1.3. Obiectivele IT ndeplinesc 1.3.1. Strategia IT este concordant cu scopurile organizaiei
obiectivele organizaiei 1.3.2. Planurile IT se adreseaz ntregii organizaii
1.3.3. Obiectivele IT ndeplinesc obiectivele organizaiei
1.4. Comitetul IT determin 1.4.1. Strategia IT este stabilit de un comitet IT
strategia IT 1.4.2. Comitetul IT transpune strategia n planuri pe termen scurt i pe termen mediu
1.4.3. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea sistemelor i
activitile realizate
1.5. Organizarea IT 1.5.1. Organizarea adecvat a funciei IT
corespunde necesitilor 1.5.2. Personalul IT are calificarea i competenele adecvate
organizaiei 1.5.3. Adecvarea practicilor i procedurilor IT la procesele existente
1.6. Elaborarea strategiei IT 1.6.1. Dotarea actual cu tehnic de calcul a stat la baza elaborrii strategiei IT
corespunde strategiei entitii 1.6.2. Realizarea strategiei IT pe baza evalurii sistemelor existente
2. Organizarea i 2.1. Definirea atribuiilor i 2.1.1. Definirea atribuiilor i responsabilitilor n cadrul departamentului IT
funcionarea activitilor 2.1.2. Atribuiile specifice departamentului sunt stabilite n cadrul atribuiilor generale
departamentului IT ale entitii
17
Nr.
crt.
2.1.3. Atribuiile stabilite asigur realizarea activitilor necesare implementrii
obiectivelor
2.1.4. Identificarea tuturor activitilor care concur la realizarea obiectivelor
2.1.5. Corelaia ntre atribuiile postului i competenele ocupantului postului
2.1.6. Definirea activitilor n cadrul structurii organizatorice
2.2. Stabilirea structurii 2.2.1. Organizarea funcional a departamentului IT
organizatorice 2.2.2. Definirea relaiilor organizatorice ntre compartimente
2.2.3. Examinarea sistemului de gestionare a riscurilor generale la nivelul
departamentului IT
2.2.4. Riscurile legate de securitatea datelor, programelor i echipamentelor sunt
identificate i evaluate ct mai corect i complet
2.3. Stabilirea 2.3.1. Definirea limitelor de competen
responsabilitilor 2.3.2. Definirea responsabilitilor n realizarea activitilor
2.3.3. Definirea sarcinilor prin fia postului
3. Operaii ale 3.1 Managementul 3.1.1. Existena listei operaiunilor zilnice de realizat
sistemului operaiunilor 3.1.2. Performana, capacitatea i disponibilitatea sistemelor informatice este
informatic monitorizat de administratori
3.1.3. Responsabilitatea pentru supravegherea sarcinilor pe seturi de programe revine
administratorilor
3.1.4. Elaborarea Planului anual de activitate
3.2. Managementul 3.2.1. Incidentele privind funcionarea normal a serviciilor IT sunt rezolvate sau
problemelor prevenite n termen
3.2.2. Programele antivirus asigur protecia aplicaiilor
3.2.3. Problemele aprute sunt prioritizate i luate n calcul pentru remediere
3.2.4. Implementarea subsistemelor IT
3.2.5. Activitile operaionale sunt conforme cu instruciunile din manualele de
utilizare
3.3. Funcionalitatea 3.3.1. Activitile sunt bine organizate pentru asigurarea bunei funcionrii a
activitilor n cadrul departamentului
departamentului IT 3.3.2. Organizarea funcional a activitilor n cadrul departamentului IT
3.3.3. Activitile n cadrul departamentului sunt definite respectnd criteriile de
calitate
3.3.4. Evidena datelor aflate pe mediile de stocare
3.3.5. Distribuirea cu precizie a informaiei ctre utilizatori i mediile de stocare
3.3.6. Asigurarea caracterului secret al datelor
18
Nr.
crt.
3.3.7. Soluionarea problemelor presupune parcurgerea etapelor: iniierea,
planificarea, execuia, monitorizarea i analiza, ncheierea
3.4. Mentenana 3.4.1. Obinerea de rapoarte de activitate utile
echipamentelor 3.4.2. ntreinerea calculatorului i a echipamentelor
3.4.3. Instalarea i configurarea calculatorului
3.1.1. Sistemul este ntreinut pentru a se asigura c este conform cu nevoile
organizaiei
3.5. Utilizarea echipamentelor 3.5.1. Realizarea eficient a operaiilor n cadrul departamentului IT
3.5.2. Identificarea i raportarea pericolelor
3.5.3. Administrarea eficient a aplicaiilor i programelor
3.5.4. Evaluarea problemelor i soluionarea acestora
3.5.5. Programele corespund cerinelor stabilite
3.5.6. Echipamentele sunt utilizate adecvat asigurnd un confort n exploatare
4. Securitatea 4.1. Organizarea securitii 4.1.1. Crearea politicii de securitate a informaiei
informaiilor informaiilor 4.1.2. Crearea standardelor i practicilor pentru securitatea informaiei
4.1.3. Stabilirea responsabilitilor privind securitatea informaiei
4.1.4. Elaborarea politicii privind securitatea informaiei
4.1.5. Stabilirea responsabilitilor n cadrul politicii de securitate
4.1.6. Securitatea informaiilor asigur integritatea acestora
4.1.7. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatori
autorizai
4.2. Disponibilitatea datelor 4.2.1. Protejarea mpotriva atacurilor informatice
4.2.2. Protejarea datelor mpotriva viruilor
4.2.3. Asigurarea continuitii activitilor
4.2.4. Recuperarea datelor n caz de dezastru
4.2.5. Protejarea mpotriva asumrii unei identitii false
4.3. Asigurarea funcionrii 4.3.1. Asigurarea introducerii corecte a datelor i informaiilor pentru prelucrare
programelor i aplicaiilor 4.3.2. Existena licenelor pentru programele utilizate
4.3.3. Prelucrarea datelor
4.3.4. Asigurarea securitii datelor i informaiilor
4.4. Implementarea 4.4.1. Accesul la aplicaie este oferit pe baza necesitilor utilizatorului
instrumentelor de control
4.4.2. Mecanismele de securitate configurate i implementate verific i limiteaz
accesul la aplicaii
19
Nr.
crt.
4.4.3. Introducerea instrumentelor de control fizic
4.4.4. Stabilirea de chei de control pentru fiecare program sau aplicaie
4.5. Securitatea reelei 4.5.1. Mecanismele de securitate configurate i implementate asigur securitatea
informaiilor n cadrul reelei
4.5.2. Monitorizarea securitii reelelor
4.6. Gestionarea parolelor 4.6.1. Utilizatorii au parole de acces individuale
4.6.2. Schimbarea periodic a parolelor
4.6.3. Conturile i parolele generice sunt folosite pentru accesul la sisteme i aplicaii
4.6.4. Protejarea parolelor
4.6.5. Persoanele autorizate au acces la sistemul de operare
4.7. Securitatea logic 4.7.1. Asigurarea securitii funcionrii programelor i aplicaiilor
4.7.2.Protejarea sistemelor informatice mpotriva factorilor de mediu !!
4.7.3. Protejarea informaiei din reea
5 Proiectarea i 5.1. Proiectarea i elaborarea 5.1.1. Proiectarea programului informatic
testarea programelor i aplicaiilor
programelor i 5.1.2. Elaborarea programului informatic
aplicaiilor 5.1.3. Proiectarea unui program sau aplicaie tine cont de necesitile organizaiei
5.1.4. Proiectarea unui program sau aplicaie pe baza existenei resurselor financiare
5.1.5. Respectarea cerinelor n achiziia unei aplicaii
5.2. Testarea i implementarea 5.2.1. Utilizarea de date ipotetice n testarea unui program
programelor i aplicaiilor
5.2.2. Testarea programului i aplicaiei
5.2.3. Asigurarea corectitudinii rezultatelor
5.2.4. Implementarea unui program dup realizarea testrii acestuia
6. Elaborarea i 6.1. Dezvoltarea proiectelor IT 6.1.1. Metodologia pentru dezvoltarea i achiziia aplicaiei
implementarea (programe i aplicaii)
proiectelor IT 6.1.2. Iniierea i elaborarea proiectelor IT
20
Nr.
crt.
6.1.3. Monitorizarea performanelor soluiilor IT implementate
6.2. Implementarea i 6.2.1. Reproiectarea soluiilor IT pentru programe i aplicaii
funcionarea programelor i
aplicaiilor 6.2.2. Implementarea adecvat a aplicaiilor
6.2.3. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametrii optimi
7. Proiectarea i 7.1. Proiectarea, instalarea i 7.1.1. Asigurarea bunei funcionri a sistemelor bazate pe existena i funcionarea
meninerea n administrarea reelei de reelei de calculatoare
funciune a unei calculatoare 7.1.2. Monitorizarea performanelor reelelor
reele
7.1.3. Administrarea serverelor
7.1.4. Reeaua de calculatoare corespunde cerinelor funcionale
7.2. Interconectarea i 7.2.1. Interconectarea reelelor
securitatea reelei 7.2.2. Proiectarea i asigurarea securitii reelei
7.2.3. Urmrirea adecvrii performanelor unei reele
Auditori,
Popescu Sorin
Radu George
21
22
Procedura PO5 : ANALIZA RISCULUI
Entitatea Public
IDENTIFICAREA RISCURILOR

ntocmit: Popescu Sorin/ Radu George Data: 04.09.2009
Nr. Activiti/
Domeniul Obiecte auditabile Riscuri semnificative Obs.
crt. obiective
1. Strategia i 1.1. Strategia 1.1.1. Strategia IT definete necesitile i prioritile Achiziia i implementarea programelor i aplicaiilor nu
planificarea IT este concordant este corelat cu obiectivele propuse;
sistemelor cu scopurile 1.1.2. Strategia IT face trimitere la nevoile viitoare Sistemele nu sunt dezvoltate ntr-o manier planificat i
informatice organizaiei ale organizaiei controlat
1.1.3. Strategia definete direciile i obiectivele de Strategia IT nu are o viziune orientat spre viitor, fiind o
dezvoltare a IT extrapolare a tendinelor trecute
1.2. Planurile IT se 1.2.1. Strategia IT este transpus n planuri IT Dezvoltarea IT nu acoper toate procesele;
adreseaz ntregii 1.2.2. Planurile IT ajut la ndeplinirea misiunii Planurile IT nu contribuie la realizarea scopului entitii
organizaii organizaiei n domeniul IT;
1.2.3. Planurile IT ofer asigurare cu privire la faptul Resursele IT nu sunt identificate pentru fiecare element
c resursele IT sunt alocate n concordan cu al planului;
necesitile
1.3. Obiectivele IT 1.3.1. Strategia IT este concordant cu scopurile Utilizatorii i IT nu au aceleai opinii cu privire la
ndeplinesc organizaiei responsabilitile i autoritatea lor
obiectivele 1.3.2. Planurile IT se adreseaz ntregii organizaii Planul IT nu acoper cerinele pe termen mediu;
organizaiei 1.3.3. Obiectivele IT ndeplinesc obiectivele Obiectivele n domeniul IT nu deriv i nu contribuie la
organizaiei realizarea obiectivelor entitii;
1.4. Comitetul IT 1.4.1. Strategia IT este stabilit de un comitet IT Strategia IT este definit de departamentul IT;
determin strategia 1.4.2. Comitetul IT transpune strategia n planuri pe Comitetul IT nu contribuie la dezvoltarea i
IT termen scurt i pe termen mediu implementarea strategiei n domeniu;
1.4.3. Comitetul IT stabilete prioritile proiectelor Stabilirea dezvoltrii IT de ctre departamentul IT;
ntre dezvoltarea sistemelor i operaiile realizate
1.5. Organizarea IT 1.5.1. Organizarea adecvat a funciei IT Responsabilitile nu sunt definite clar n cadrul
corespunde compartimentelor i posturilor;
23
Nr. Activiti/
crt. obiective
necesitilor 1.5.2. Personalul IT are calificarea i competenele Lipsa calificrilor necesare;
organizaiei adecvate
1.5.3. Adecvarea practicilor i procedurilor IT la Programele i aplicaiile nu sunt integrate i nu rspund
procesele existente cerinelor activitilor;
1.6. Elaborarea 1.6.1. Dotarea actual cu tehnic de calcul a stat la Infrastructura IT existent nu asigur implementarea
strategiei IT baza elaborrii strategiei IT strategiei IT;
corespunde strategiei 1.6.2. Realizarea strategiei IT pe baza evalurii Elaborarea strategiei nu are la baz i o evaluare i
entitii sistemelor existente identificare a posibilitilor financiare;
2 Organizarea i 2.1. Definirea 2.1.1. Definirea atribuiilor i responsabilitilor n Lipsa ariei de competen pentru realizarea activitilor
funcionarea atribuiilor i cadrul departamentului IT stabilite structurii funcionale
departamentului activitilor 2.1.2. Atribuiile specifice departamentului sunt Definirea de atribuii care nu se regsesc in ROF
IT stabilite n cadrul atribuiilor generale ale entitii
2.1.3. Atribuiile stabilite asigur realizarea Definirea atribuiilor sub form de sarcini
activitilor necesare implementrii obiectivelor
2.1.4. Identificarea tuturor activitilor care concur la Activiti stabilite incorect pentru realizarea obiectivelor
realizarea obiectivelor
2.1.5. Corelaia ntre atribuiile postului i Stabilirea de sarcini diferite pentru aceleai funcii sau
competenele ocupantului postului aceleai sarcini pentru funcii diferite
2.1.6. Definirea activitilor n cadrul structurii Activitile realizate la nivelul structurii funcionale nu
organizatorice se regsesc n totalitate n cadrul sarcinilor stabilite
posturilor
2.2. Stabilirea 2.2.1. Organizarea funcional a departamentului IT Structura funcional nu este adaptat complexitii
structurii activitilor derulate
organizatorice 2.2.2. Definirea relaiilor organizatorice ntre Repartizarea activitilor i relaiilor organizatorice fr
compartimente a se ine cont de natur organizrii compartimentului
2.2.3. Examinarea sistemului de gestionare a Riscurile nu sunt identificate i gestionate la nivelul
riscurilor generale la nivelul departamentului IT structurii funcionale
2.2.4. Riscurile legate de securitatea datelor, Gestionarea slab a riscurilor privind securitatea
programelor i echipamentelor sunt identificate i informaiilor
evaluate ct mai corect i complet
2.3. Stabilirea 2.3.1. Definirea limitelor de competen Autoritatea formal n realizarea activitilor este
responsabilitilor insuficient stabilit postului
2.3.2. Definirea responsabilitilor n realizarea Definirea doar a atribuiilor, nu i a limitei pn unde
activitilor rspunde ocupantul postului n realizarea activitilor
2.3.3. Definirea sarcinilor prin fia postului Sarcinile stabilite postului potrivit fiei postului nu
corespund cu aciunile efectiv realizate de ocupantul
postului
Operaii ale 3.1 Managementul 3.1.1. Existena listei operaiunilor zilnice de realizat Activitile se realizeaz fr o prioritizare a operaiilor
24
Nr. Activiti/
crt. obiective
3. sistemului operaiunilor 3.1.2. Performana, capacitatea i disponibilitatea Lipsa analizelor privind scopul i cerinele de realizare a
informatic sistemelor informatice este monitorizat de activitilor i calitatea aplicaiilor sau programelor
administratori utilizate
3.1.3. Responsabilitatea pentru supravegherea Responsabilitile operatorilor nu sunt delimitate i
sarcinilor pe seturi de programe revine stabilite n funcie de specializarea fiecruia i tipurile de
administratorilor aplicaii i programe utilizate
3.1.4. Elaborarea Planului anual de activitate Activitile sunt derulate n cadrul departamentului fr a
exista o planificare anual sau periodic
3.2. Managementul 3.2.1. Incidentele privind funcionarea normal a Soluionarea cu ntrziere a problemelor aprute n
problemelor serviciilor IT sunt rezolvate sau prevenite n termen utilizarea aplicaiilor i programelor
3.2.2. Programele antivirus asigur protecia Utilizarea neadecvat a programelor antivirus
aplicaiilor
3.2.3. Problemele aprute sunt prioritizate i luate n Soluionarea problemelor aprute nu este realizat
calcul pentru remediere potrivit gravitii i asigurnd eficiena realizrii
activitilor entitii
3.2.4. Implementarea subsistemelor IT Programele i aplicaiile derulate la nivelul organizaiei
nu sunt actualizate potrivit noilor necesiti ca urmare a
modificrii aciunilor de realizare a activitilor
3.2.5. Activitile operaionale sunt conforme cu Neconcordane ntre utilizarea unei aplicaii sau program
instruciunile din manualele de utilizare i precizrile din caietul tehnic, privind execuia acelei
operaii
3.3. Funcionalitatea 3.3.1. Activitile sunt bine organizate pentru Lipsa revizuirii i urmrii contractelor la nivel de service
activitilor n cadrul asigurarea bunei funcionrii a departamentului i a celor la nivel operativ
departamentului IT 3.3.2. Organizarea funcional a activitilor n cadrul Activitile i aciunile necesare realizrii acestora nu
departamentului IT sunt repartizate eficient i omogen pe compartimente n
cadrul departamentului IT
3.3.3. Activitile n cadrul departamentului sunt Activiti i aciuni neresponsabilizate
definite respectnd criteriile de calitate
3.3.4. Evidena datelor aflate pe mediile de stocare Acces nerestricionat la date i informaii
3.3.5. Distribuirea cu precizie a informaiei ctre Dependena de tere pri n centralizarea informaiei i
utilizatori i mediile de stocare oferirea rapoartelor
3.3.6. Asigurarea caracterului secret al datelor Accesul la datele i informaiile organizaiei nu este
limitat doar pentru persoanele ndreptite
3.3.7. Soluionarea problemelor presupune Soluionarea unei probleme prin luarea n calcul doar a
parcurgerea etapelor: iniierea, planificarea, execuia, execuiei acesteia
monitorizarea i analiza, ncheierea
3.4. Mentenana 3.4.1. Obinerea de rapoarte de activitate utile Rapoartele obinute nu ofer informaii suficiente pentru
echipamentelor luarea deciziilor
25
Nr. Activiti/
crt. obiective
3.4.2. ntreinerea calculatorului i a echipamentelor Disfunciile identificate nu sunt analizate i nlturate n
conformitate cu instruciunile i manualele de ntreinere
3.4.3. Instalarea i configurarea calculatorului Echipamentele periferice nu sunt instalate i conectate
conform documentaiei
3.1.1. Sistemul este ntreinut pentru a se asigura c ntreinerea sistemului doar la solicitrile utilizatorilor;
este conform cu nevoile organizaiei
3.5. Utilizarea 3.5.1. Realizarea eficient a operaiilor n cadrul Suportul tehnic cu privire la utilizarea programelor nu
echipamentelor departamentului IT este furnizat n mod corespunztor utilizatorilor;
3.5.2. Identificarea i raportarea pericolelor Costuri ridicate cu remedierea defeciunilor, frecven
mare a acestora, timpi mari pn la reluarea lucrului;
3.5.3. Administrarea eficient a aplicaiilor i Controlul intern asupra datelor de intrare nu este asigurat
programelor corespunztor;
3.5.4. Evaluarea problemelor i soluionarea acestora Lipsa revizuirii i urmrii msurilor privind corectarea
erorilor conduce la persistena unora dintre acestea;
3.5.5. Programele corespund cerinelor stabilite Neadaptarea la schimbrile rapide ale tehnologiei
informaiei;
3.5.6. Echipamentele sunt utilizate adecvat asigurnd Lipsa cunotinelor privind exploatarea echipamentelor
un confort n exploatare la potenialul maxim;
4. Securitatea 4.1. Organizarea 4.1.1. Crearea politicii de securitate a informaiei Organizarea i responsabilitile privind securitatea
informaiilor securitii informaiilor nu constituie o prioritate a politicii de
informaiilor securitate
4.1.2. Crearea standardelor i practicilor pentru Standardele privind securitatea informaiei nu sunt
securitatea informaiei definite formal
4.1.3. Stabilirea responsabilitilor privind securitatea Responsabilitile nu sunt separate clar ntre cele ale
informaiei administratorilor i cele ale operatorilor;
4.1.4. Elaborarea politicii privind securitatea Datele i informaiile prelucrate i stocate nu sunt
informaiei asigurate n condiii de confidenialitate, integritate i
disponibilitate
4.1.5. Stabilirea responsabilitilor n cadrul politicii Politica de securitate nu definete responsabilitile cu
de securitate privire la securitatea datelor i informaiilor
4.1.6. Securitatea informaiilor asigur integritatea Datele i informaiile nu sunt stocate n condiii de
acestora securitate;
4.1.7. Securitatea datelor asigur disponibilitatea Accesul la informaii i pentru persoanele neautorizate;
acestora doar pentru utilizatori autorizai
4.2. Disponibilitatea 4.2.1. Protejarea mpotriva atacurilor informatice Lipsa programelor de protecie adecvate pentru aplicaii
datelor i programe;
4.2.2. Protejarea datelor mpotriva viruilor Vulnerabilitate sporit n faa viruilor;
4.2.3. Asigurarea continuitii activitilor Planurile privind continuitatea activitilor nu stabilesc
msuri concrete pentru reluarea activitii;
26
Nr. Activiti/
crt. obiective
4.2.4. Recuperarea datelor n caz de dezastru Lipsa planurilor de recuperare a datelor i informaiilor
4.2.5. Protejarea mpotriva asumrii unei identitii Sustragerea informaiilor sau echipamentelor, fr
false autorizare;
4.3. Asigurarea 4.3.1. Asigurarea introducerii corecte a datelor i Aplicaiile informatice nu sunt utilizate n conformitate
funcionrii informaiilor pentru prelucrare cu instruciunile de exploatare
programelor i 4.3.2. Existena licenelor pentru programele utilizate Plata unor despgubiri urmare implementrii unor
aplicaiilor programe fr licen
4.3.3. Prelucrarea datelor Introducerea incorect a datelor i informaiilor n cadrul
programelor i aplicaiilor
4.3.4. Asigurarea securitii datelor i informaiilor Accesul la datele i informaiile stocate nu este
restricionat i autorizat pe niveluri ierarhice
4.4. Implementarea 4.4.1. Accesul la aplicaie este oferit pe baza Accesul la program, aplicaie este oferit pentru ntregul
instrumentelor de necesitilor utilizatorului personal ce posed o parol
control 4.4.2. Mecanismele de securitate configurate i Pentru vulnerabilitile sistemelor nu sunt stabilite i
implementate verific i limiteaz accesul la aplicaii implementate instrumente de control;
4.4.3. Introducerea instrumentelor de control fizic Accesul fizic la echipamente i aplicaii este restricionat
asupra echipamentelor IT
4.4.4. Stabilirea de chei de control pentru fiecare Posibilitatea de a obine i utiliza rezultate nesigure,
program sau aplicaie neverificate;
4.5. Securitatea 4.5.1. Mecanismele de securitate configurate i Metodele de criptare nu asigur protecia integritii i
reelei implementate asigur securitatea informaiilor n confidenialitii datelor sensibile
cadrul reelei
4.5.2. Monitorizarea securitii reelelor Comunicarea n reea nu este monitorizat;
4.6. Gestionarea 4.6.1. Utilizatorii au parole de acces individuale Accesul la aplicaii se realizeaz direct, fr a fi permis
parolelor doar pentru personalul ndreptit;
4.6.2. Schimbarea periodic a parolelor Risc crescut de spargere a parolei;
4.6.3. Conturile i parolele generice sunt folosite Conturile i parolele generice iniiale nu sunt
pentru accesul la sisteme i aplicaii personalizate, dup nceperea prelucrrilor de ctre
utilizatori;
4.6.4. Protejarea parolelor Descrcarea ilegal a unor informaii;
4.6.5. Persoanele autorizate au acces la sistemul de Accesul la servere este permis ntregului personal,
operare nefiind nregistrat i monitorizat;
4.7. Securitatea 4.7.1. Asigurarea securitii funcionrii programelor Lipsa controalelor sau controale slabe de acces
logic i aplicaiilor
4.7.2.Protejarea sistemelor informatice mpotriva Lipsa controalelor de mediu, respectiv detectoare de foc,
factorilor de mediu incendiu etc.
27
Nr. Activiti/
crt. obiective
4.7.3. Protejarea informaiei din reea Funcii de siguran sau control nu sunt prevzute n
cadrul sistemelor de aplicaii
5 Proiectarea i 5.1. Proiectarea i 5.1.1. Proiectarea programului informatic n proiectarea programului/aplicaiei, fluxul de date nu
testarea elaborarea este stabilit adecvat rezultatelor ateptate
programelor i programelor i 5.1.2. Elaborarea programului informatic Graficul de realizare a programului i bugetul aprobat nu
aplicaiilor aplicaiilor sunt respectate
5.1.3. Proiectarea unui program sau aplicaie tine cont Elaborarea de programe i aplicaii fr o analiz
de necesitile organizaiei strategic la nivelul utilizatorilor
5.1.4. Proiectarea unui program sau aplicaie pe baza Lipsa resurselor financiare n elaborarea i
existenei resurselor financiare implementarea unui program sau aplicaie
5.1.5. Respectarea cerinelor n achiziia unei aplicaii Costuri suplimentare n achiziia unui program sau
aplicaie
5.2. Testarea i 5.2.1. Utilizarea de date ipotetice n testarea unui Efectuarea de prelucrri asupra datelor reale, n cadrul
implementarea program testrii programelor;
programelor i 5.2.2. Testarea programului i aplicaiei Neconformitile i erorile constatate n cursul testrii
aplicaiilor unui program nu sunt analizate cu atenie
5.2.3. Asigurarea corectitudinii rezultatelor Opiunile i parametrii de lucru ai programului/aplicaiei
nu sunt stabilii conform specificaiilor din
documentaiile tehnice
5.2.4. Implementarea unui program dup realizarea Programele sau aplicaiile achiziionate sunt
testrii acestuia implementate fr a fi testate
6. Elaborarea i 6.1. Dezvoltarea 6.1.1. Metodologia pentru dezvoltarea i achiziia Lipsa proiectelor de dezvoltare a achiziiilor
implementarea proiectelor IT aplicaiei
proiectelor IT (programe i 6.1.2. Iniierea i elaborarea proiectelor IT Obiectivele generale ale proiectului nu sunt stabilite cu
aplicaii) respectarea strategiei generale a organizaiei
6.1.3. Monitorizarea performanelor soluiilor IT Parametri de referin i valorile etalon ale programelor
implementate elaborate nu respect specificaiile i nu se ncadreaz n
standarde
6.2. Implementarea i 6.2.1. Reproiectarea soluiilor IT pentru programe i Soluiile privind mbuntirea programelor i
funcionarea aplicaii aplicaiilor nu in cont de punctele slabe i critice,
programelor i precum i evoluiile tehnologice
aplicaiilor 6.2.2. Implementarea adecvat a aplicaiilor Rapoartele nu corespund cerinelor;
6.2.3. ntreinerea aplicaiilor garanteaz funcionarea Supravegherea proceselor aflate n execuie i a
proceselor la parametrii optimi performanelor aplicaiilor, sistemelor sau programelor
nu respect procedurile i instruciunile
7. Proiectarea i 7.1. Proiectarea, 7.1.1. Asigurarea bunei funcionri a sistemelor Subsistemele existente nu sunt configurate i
meninerea n instalarea i bazate pe existena i funcionarea reelei de supravegheate individual
funciune a unei administrarea reelei calculatoare
28
Nr. Activiti/
crt. obiective
reele de calculatoare 7.1.2. Monitorizarea performanelor reelelor. Scderea performanelor reelelor;
7.1.3. Administrarea serverelor Accesul i utilizarea datelor i informaiilor stocate pe
server nu respect strategia de securitate a reelei
7.1.4. Reeaua de calculatoare corespunde cerinelor Reeaua de calculatoare nu asigur integrarea
funcionale informaiilor i elaborarea rapoartelor
7.2. Interconectarea 7.2.1. Interconectarea reelelor Conexiunile dintre reele nu sunt conforme cu arhitectura
i securitatea reelei prevzut de instruciuni i nu respect standardele
7.2.2. Proiectarea i asigurarea securitii reelei Vulnerabilitile i ameninrile nu sunt identificate i
prioritizate
7.2.3. Urmrirea adecvrii performanelor unei reele Proiectarea reelei de calculatoare nu asigur integrarea
de calculatoare programelor.
Auditori,
Popescu Sorin
Radu George
Not:
Identificarea riscurilor asociate obiectelor auditabile presupune ataarea riscurilor semnificative la operaiile stabilite n Lista centralizatoare a obiectelor
auditabile, n prima faz a procedurii Analiza riscurilor.
Lista privind identificarea riscurilor reprezint documentul prin care pe baza obiectelor audiabile identificate, a funcionalitii controalelor interne stabilite
i implementate de entitate sunt identificate i stabilite riscurile aferente pentru fiecare obiect audiabil.
La un obiect auditabil se pot asocia unul sau mai multe riscuri posibile, determinate de auditorii interni pe baza informaiilor colectate, dar si din propria
experien. n situaia n care la operaiile audiabile se ataeaz mai multe riscuri analiza acestora se va putea realiza pentru fiecare risc n parte, pe grupe de riscuri sau
pe total operaie/obiect audiabil.
29
30
Entitatea Public
CHESTIONAR DE CONTROL INTERN

A. INTREBRI ADRESATE MANAGEMENTULUI

DA NU OBSERVAII
GENERAL
Exist un sistem de proceduri care sa reglementeze activitatea departamentului IT? X
Procedurile de lucru sunt scrise si formalizate? X
Exist proceduri scrise privind achiziionarea programelor i aplicaiilor
X
informatice?
Exist proceduri scrise privind ntreinerea aplicaiilor informatice? Sunt realizate pe baz de
X contracte de prestri de
servicii
Exist o strategie clar i obiective stabilite pentru IT? X
Strategia IT are viziunea orientat spre viitor? X
Managementul este mulumit cu rolul sau valoarea IT n cadrul organizaiei? X
Sistemul IT este dezvoltat ntr-o manier planificat i controlat? Anual se realizeaz o
X
evaluare a indicatorilor
Este supravegheat respectarea strategiei? X
Utilizatorii contribuie la prioritile i la dezvoltarea n domeniul IT? Exist un sistem prin care
utilizatorii pot formula
X
propuneri si soluii, care
apoi sunt analizate
Planurile IT sunt aplicate n practic? Numai n caz de
X
necesitate
Rspunderea i responsabilitatea pentru sistemele de informaii aparine
X
personalului de conducere?
Utilizatorii au o bun percepie asupra capacitilor sau performanei
X
departamentului IT?
Rotaie personalului este redus n cadrul departamentului IT? X
Ocuparea posturilor este adecvat n cadrul departamentului? Grad de ocupare 95%
Managementul are cunotin asupra tehnologiilor prezente i viitoare necesare
X
entitii pentru asigurarea realizrii activitilor i mandatului?
Exist capacitate adecvat de a planifica i implementa resursele IT? X
Exist capacitate de a monitoriza performana IT? X
Exist o strategie adecvat de achiziii IT? X
Exist concordan ntre obiective i strategii de achiziii IT? X
Riscurile legate de achiziii IT sunt administrate att de entitate, ct i de furnizori? Nu exist un proces de
identificare i gestionare a
X
riscurilor la nivelul
entitii
B. INTREBARI ADRESATE MANAGEMENTULUI DE LINIE DA NU Auditorii
Strategia i planificarea sistemelor informatice
Strategia definete principalele direcii n IT? X
Strategia definete principalele obiective ale entitii? Definete obiectivele
X
strategice
Strategia IT este concordant cu strategia entitii? X
Exist planuri de dezvoltare IT? Planuri de continuitate a
X activitii i planuri de
recuperare a datelor
31
Planurile IT pe termen scurt sau mediu asigur dezvoltarea informaional la
X
nivelul entitii?
Obiectivele IT ndeplinesc planurile entitii? X
Competenele i funcionarea comitetului IT sunt definite clar? nu exist un regulament
de organizare i
X
funcionare al acestui
comitat
Comitetul IT determin strategia IT? Realizeaz doar o
X evaluare a necesitilor de
achiziii IT
Comitetul IT transpune strategia IT n planuri IT? Realizeaz doar o
achiziii IT
Comitetul IT stabilete prioritile proiectelor de dezvoltare? Realizeaz doar o
achiziii IT
Funcia IT este organizat adecvat n concordan cu strategia IT? X
Personalul IT asigur calitatea serviciilor IT? X
Personalul IT asigur competena necesar continuitii activitilor? X
Separarea sarcinilor exist ntre dezvoltarea sistemelor i deservirea acestora? X
Separarea sarcinilor exist ntre dezvoltarea sistemelor i operaii? X
Separarea sarcinilor exist ntre deservirea sistemelor i securitatea informaiei? X
Separarea sarcinilor exist ntre operaii i utilizatori? X
Personalul a luat la cunotin de sarcinile posturilor? X
Exist cooperare interdepartamental pentru dezvoltarea sistemelor integrate? X
Achiziiile electronice sunt legate cu profilurile performanei ateptate? Sunt legate doar de
X necesitile de
mbuntire a activitilor
Sistemele informatice achiziionate asigur calitatea informaiilor potrivit nevoilor? X
Planificarea continuitii activitilor
Scopul planului de continuitate a activitii este de a limita pierderile? X
Toate activitile critice i resursele sunt incluse n planul de continuitate a
X
activitilor?
n cadrul planului de continuitate a activitilor sunt stabilite responsabiliti clare? X
Planurile de continuitate a activitilor sunt comunicate ? Sunt cunoscute doar de
X
departamentul IT
Eficiena planurilor de continuitate a activitilor a fost testat? X
Planul de continuitate a activitilor este testat regulat? X
Planul de continuitate a activitilor este aprobat de conducere? X
Planul de continuitate a activitilor a fost realizat urmare unei analize a riscurilor? X
Planul de continuitate a activitilor are la baz i o evaluare a impactului? X
Prioritile sunt stabilite corect n cadrul planului de continuitate a activitilor? X
Locaia de recuperare este disponibil? X
Infrastructura locaiei de recuperare permite recuperarea la timp a activitilor? X
Echipamentul necesar este instalat n cadrul locaiei de recuperare? X
Exist o bun relaie ntre utilizatori i personalul IT? X
Exist prghii de siguran sau control prevzute n funcionarea sistemelor? X
Cerinele de recuperare ale activitilor sunt revizuite periodic? X
Planul de continuitate cuprinde ntregul sistem informatic din entitate? X
Sunt realizate informrii periodice ale coninutului planului de continuitate? X
Exist o gestiune adecvat a riscurilor legate de departamentul IT? nu exist o gestionare a
X
riscurilor legate de IT
Impactul materializrii riscurilor legate de IT este cunoscut i evaluat? nu sunt cunoscute
X consecinele materializrii
riscurilor
Personalul entitii este pregtit i capabil s rspund Planurilor de continuitate? X nu cunoate aceste planuri
Implementarea software i hardware este conceput i realizat conform
X
programelor?
Implementarea software i hardware este realizat dup testarea corespunztoare? X
IT asigur continuitatea i eficiena operaiilor n derularea activitilor entitii? X
Planurile de rezerv sunt actuale, comprehensive i complet testate? X
Securitatea informaiilor
32
Exist o politic de securitatea informaiei? X
Exist o practic privind securitatea informaiei? X
Exist proceduri privind securitatea informaiei? X
Politica de securitate este definit i aprobat de conducere? X
Securitatea informaiei este cunoscut i nsuit de conducere? X
Doar n legtur cu
Politica de securitate a informaiei este cunoscut de utilizatori? X obligaiile cei revin
postului respectiv
Descrierile i responsabilitile posturilor n raport cu securitatea informaiilor este
X
clar definit i cunoscut?
Exist disponibile descrieri clare ale sarcinilor? X
Responsabilitile sunt clar definite privind securitatea informaiei? X
Responsabilitile i sarcinile sunt comunicate corespunztor? X
Administrarea utilizatorilor este adecvat? X
Drepturile de acces sunt alocate corect? X
Drepturile de acces sunt alocate pe baza nevoii utilizatorului de a executa sarcinile
X
atribuite?
Exist cazuri n care
Drepturile de acces sunt alocate/schimbate corect i la timp? X dreptul de acces este lsat
i dup eliberarea postului
Drepturile de acces sunt verificate regulat? X Numai la solicitri
Utilizatorii au parole de autorizare individuale? X
Parolele au lungimea adecvat i sunt greu de aflat? X
Exist cazuri n care
aceeai parol este
Parolele sunt regulat schimbate? X
meninut i chiar un an
de zile
Parolele i profilurile utilizatorilor privilegiai sunt folosite la accesul la sisteme i
X
aplicaii cu un grad nalt de securitate?
Utilizarea parolelor i profilurilor utilizatorilor privilegiai este urmrita cu
X
strictee?
Mecanismele de securitate logic au fost implementate i configurate pentru a
X
verifica i limita accesul la sistemul de operare?
La sistemele de operare au acces doar persoanele autorizate? X
Accesul la funciile aplicaiei este permis pe baza necesitilor utilizatorului de a-i
X
realiza sarcinile?
Mecanismele de securitate logic verific i limiteaz accesul la aplicaie? X
Confidenialitatea i integritatea datelor este suficient de securizat? X
Mecanismele de securitate logic implementate i configurate asigur securitatea
X
informaiilor din cadrul reelei?
Informaia din reea este protejat de virui? X
Accesul neautorizat la reea este blocat suficient? X
Criptarea este folosit ca protecie necesar integritii i confidenialitii datelor? X
Sistemele informatice sunt adecvat protejate mpotriva factorilor de catastrof? X
Securitatea informaiei impune o analiz de risc n mod regulat? X
Securitatea informaiei asigur protejarea informaiei i raportarea deficienelor? Raportarea deficienelor
X numai n caz de probleme
la aplicaii, programe etc.
Securitatea informaiei permite protejarea informaiei prin respectarea cerinelor de
X
confidenialitate, integritate i disponibilitate?
Politica de securitate a informaiei interzice utilizarea informaiilor i sistemelor
X
fr autorizaie i pentru scopuri care nu au legtur cu munca?
Politica de securitate interzice copierea sau scoaterea neautorizat din sediu a
X
informaiei fr autorizare?
Ieirea din sistem este realizat ori de cte ori un terminal este lsat Ieirea din sistem este
nesupravegheat? X realizat pentru fiecare
terminal manual
Politica de securitate este comunicat i cunoscut de ntregul personal i prile
X
externe cu acces la informaiile i sistemele entitii?
Accesul fizic la sistemele de calculatoare este restricionat pentru personalul
X
autorizat n afara programului de lucru?
Mijloacele i documentaia critic este asigurat atunci cnd nu este n uz? X
33
Echipamentele sunt protejate mpotriva furtului? Se afl n gestiunea
X
utilizatorului
Utilizatorii sistemului au acces numai pentru scopuri clare i autorizate? Accesul le este permis
X
doar dac sunt autorizai
Utilizatorii sistemului sunt instruii cu privire la cerinele de siguran i sunt Informaiile critice sunt
X
supravegheai permanent? securizate suplimentar
Implementarea aplicaiilor i administrarea lor
Metodologia de achiziionare sau dezvoltare a noilor aplicaii este conform cu
X
scopurile entitii?
Metodologia aplicat garanteaz c aplicaiile corespund nevoilor? X
Achiziia de noi aplicaii este aprobat de conducere? X
Aplicaiile sunt testate suficient i eficient? X
Testrile aplicaiei garanteaz c aceasta funcioneaz corect i corespunde
X
cerinelor?
Implementarea unei aplicaii asigur continuitatea activitilor? X
ntreinerea unei aplicaii garanteaz funcionalitatea proceselor? X
Modificrile aplicaiilor sunt autorizate? X
Exist metodologie pentru dezvoltarea sau achiziia unei aplicaii? X
Metodologia este asigurat de proceduri? X
Sunt respectate criteriile de licitaie la achiziia unei aplicaii? X
Exist o analiz funcional a cerinelor de lucru pentru dezvoltarea unei aplicaii? X
Utilizatorii sunt implicai n analiza funcional? X
Analiza funcional este confirmat printr-o analiz tehnic? X
Limbajele de programare sunt adecvate? X
Sunt stabilite planuri de testare a unei aplicaii? X
Utilizatorii sunt implicai n testarea aplicaiilor? Numai n implementarea
X
aplicaiilor
Datele folosite pentru testare sunt protejate? X
Transferarea unei aplicaii din mediul de dezvoltare n mediul de producie este
X
realizat de personalul responsabilizat?
Programatorii au acces la mediul de producie? X
Exist analize de calitate privind dezvoltarea unei aplicaii? X
Rezultatele controalelor de calitate sunt documentate? X
Sunt comparate funcionalitile aplicaiei cu cerinele iniiale? X
Exist un control adecvat din punct de vedere temporal al tranzaciilor? X
Funciunile de introducere de date i de autorizare sunt restricionate i separate? X
Introducerea parametrilor i altor date ce urmeaz a fi procesate este strict
X
controlat?
Sunt efectuate verificri pentru detectarea posibilelor nregistrri duble? X
Procesarea datelor se realizeaz n mod planificat i este neleas de utilizatori i
X
personalul operativ?
Datele, inclusiv cele transferate din alte sisteme,sunt supuse validrii n timpul
X
prelucrrii?
Programele furnizeaz confirmri cu privire la finalizarea procesrii i exist
X
proceduri de recuperare i de reintroducere n caz de anomalii n funcionare?
nregistrrile sunt armonizate n cazurile n care sunt trecute dintr-un sistem n
X
altul?
Utilizatorii sunt responsabili de introducerea, modificarea sau tergerea operaiilor
X
nregistrate n cadrul unui sistem?
Fiierele sunt salvate la intervale regulate de timp n timpul prelucrrii pentru a
X
permite recuperarea operaiunilor?
Implementarea i gestionarea bazelor de date
Achiziia unui program de baze de date este aprobat de conducere? X

Programul de baze de date este selectat conform nevoilor? X
Programul de baze de date este standardizat? X
Baza de date este testat nainte de implementare? X
Modificrile asigur un impact minim asupra proceselor? X
Performana unei baze de date este urmrit adecvat? X
Programele de baze de date posed licene? X
Integritatea bazelor de date sunt verificate periodic i se rein copii de siguran de X
34
la o verificare la alta?
Instruciunile operatorilor i utilizatorilor specific clar procedurile de urmat n
X
cazul unei deficiene a aplicaiei n timpul prelucrrilor?
Accesul la echipamente este protejat prin securitatea fizic i/sau supravegherea
X
continu?
Autorizarea fizic la echipamente este realizat n conformitate cu standardele sau
X
proceduri?
Msurile de control a accesului in seama de politica de securitate a informaiilor? X
Utilizatori sunt pregtii corespunztor cu privire la implementarea bazelor de
X
date?
Este acordat asisten utilizatorilor pe perioada implementrii bazei de date?
X
Timpul de rspuns la un apel de la operatori este sczut? X
Msurile de control a accesului asigur rspunderea personal? X
Msurile de control a accesului asigur punerea n practic a unor instrumente
X
suplimentare de control n cazul utilizatorilor cu acces special?
Msurile de control intern privind utilizarea sistemelor asigur separarea
X
sarcinilor?
Operaiuni ale sistemelor informatice
Organizarea operaiunilor de sistem sigur funcionarea eficient i eficace? X
Activitile operaionale sunt conforme cu instruciunile date de operatori? X
Problemele sunt identificate i rezolvate n termen? X
Problemele sunt administrate i urmrite adecvat? X
Problemele sunt prioritizate i planificate? X
Rezultatul procesului este stocat cu precizie? X
Rezultatul procesului este asigurat mpotriva accesului neautorizat? X
Mediile de stocare sunt pstrate adecvat? X
Integritatea datelor de pe mediile de stocare este asigurat? X
Procedurile de back-up i recuperare asigur disponibilitatea datelor i
X
informaiilor importante?
Recuperarea este testat regulat? X
Sarcinile realizate de operatori sunt monitorizate? X
Identitatea utilizatorilor este controlat? X
Exist procese prin care se asigur remedierea deficienelor de funcionare? X
Exist numit o persoan responsabil cu supervizarea noilor dezvoltri i cu
X
ntreinerea i integrarea sistemelor n fiecare arie de activitate?
Utilizatorii sunt instruii pentru fiecare aplicaie a sistemului? X
Departamentul msoar aspectele cheie ale performanei IT? X
Mecanismele de control sunt potrivite pentru minimizarea riscurilor? X
Administrarea reelelor software i hardware
Achiziia hardware i software este aprobat de conducere? X
Hardware i software sunt selectate pe baza criteriilor stabilite n funcie de
X
necesiti?
Hardware i softul sunt standardizate? X
Hardware i softul sunt testate nainte de implementare? X
Modificrile asigur un impact minim asupra proceselor? X
Programele de reea au licene? X
Exist contracte la nivel de service privind ntreinerea sistemelor i
X
aplicaiilor?
Timpul mediu de intervenie i soluionare a defeciunii este redus? X
Controlul implementat funcioneaz asupra informaiilor la care accesul este
X
limitat?
Abuzul de informaii este gestionat corespunztor? X
Normele de siguran privind computerele sunt dezvoltate? X
Auditori,
Popescu Sorin
Radu George
35
Not:
Chestionarul de control intern este structurat pe obiectivele misiunii de audit intern i permit prin
intermediul ntrebrilor formulate i rspunsurilor primite, identificarea controalelor interne instituite de
management i aprecierea funcionalitii acestora, astfel nct riscurile s poat fi identificate n totalitate i
apreciat corect nivelul acestora.
36
Procedura P05: ANALIZA RISCULUI
Entitatea Public
STABILIREA FACTORILOR DE RISC, A PONDERILOR ACESTORA

I APRECIEREA NIVELURILOR RISCURILOR

Ponderea Nivelul de apreciere al riscului (Ni)

Factori de risc factorilor de
(Fi) risc N1 N2 N3
(Pi)
Exist proceduri,
Aprecierea controlului Exist proceduri i Nu exist
P1 50% sunt cunoscute,
intern F1 se aplic proceduri
dar nu se aplic
Aprecierea cantitativ Impact financiar Impact financiar Impact financiar

P2 30%
F2 sczut mediu ridicat
Aprecierea calitativ Vulnerabilitate Vulnerabilitate Vulnerabilitate

P3 20%
F3 mic medie mare
Auditori,
Popescu Sorin
Radu George
Not:
Prin acest document se stabilesc, n funcie de importana i greutatea factorilor de risc,
ponderile i nivelurile de apreciere ale riscurilor.
Cei trei factori de risc sunt stabilii prin normele generale i sunt acoperitori pentru entitate, ns
dac se dorete evidenierea i a altor factori de risc, cu nivelurile de apreciere corespunztoare,
trebuie s se aib n vedere ca suma ponderilor factorilor de risc s rmn 100%.
37
38
Entitatea Public
STABILIREA NIVELULUI RISCULUI I A PUNCTAJULUI TOTAL AL RISCURILOR

Criterii de analiz a riscurilor
Aprecierea
Nr Activiti/ Aprecierea Aprecierea Punctaj
Domeniul Obiecte auditabile Riscuri semnificative controlului
crt obiective cantitativ calitativ total
intern
P1 P2 P3
N1 N2 N3
50% 30% 20%
1. Strategia i 1.1. Strategia IT 1.1.1. Strategia IT definete Achiziia i implementarea
planificarea este concordant necesitile i prioritile programelor i aplicaiilor nu este 0,5 3 0,3 1 0,2 2 2,20
sistemelor cu scopurile corelat cu obiectivele propuse;
informatice organizaiei 1.1.2. Strategia IT face trimitere Sistemele nu sunt dezvoltate ntr-o
la nevoile viitoare ale manier planificat i controlat 0,5 2 0,3 1 0,2 3 1,90
organizaiei
1.1.3. Strategia definete Strategia IT nu are o viziune
direciile i obiectivele de orientat spre viitor, fiind o 0,5 1 0,3 1 0,2 1 1,00
dezvoltare a IT extrapolare a tendinelor trecute
1.2. Planurile IT 1.2.1. Strategia IT este transpus Dezvoltarea IT nu acoper toate
0,5 2 0,3 1 0,2 1 1,50
se adreseaz n planuri IT procesele;
ntregii 1.2.2. Planurile IT ajut la Planurile IT nu contribuie la
organizaii ndeplinirea misiunii organizaiei realizarea scopului entitii n 0,5 2 0,3 2 0,2 2 2,00
domeniul IT;
1.2.3. Planurile IT ofer Resursele IT nu sunt identificate
asigurare cu privire la faptul c pentru fiecare element al planului;
0,5 2 0,3 2 0,2 2 2,00
resursele IT sunt alocate n
39
Aprecierea
intern
P1 P2 P3
N1 N2 N3
50% 30% 20%
1.3. Obiectivele 1.3.1. Strategia IT este Utilizatorii i IT nu au aceleai opinii
IT ndeplinesc concordant cu scopurile cu privire la responsabilitile i 0,5 2 0,3 3 0,2 1 2,10
obiectivele organizaiei autoritatea lor
organizaiei 1.3.2. Planurile IT se adreseaz Planul IT nu acoper cerinele pe
0,5 2 0,3 1 0,2 1 1,50
ntregii organizaii termen mediu;
1.3.3. Obiectivele IT ndeplinesc Obiectivele n domeniul IT nu deriv
obiectivele organizaiei i nu contribuie la realizarea 0,5 2 0,3 1 0,2 2 1,70
obiectivelor entitii;
1.4. Comitetul IT 1.4.1. Strategia IT este stabilit Strategia IT este definit de
0,5 2 0,3 2 0,2 2 2,00
determin de un comitet IT departamentul IT;
strategia IT 1.4.2. Comitetul IT transpune Comitetul IT nu contribuie la
strategia n planuri pe termen dezvoltarea i implementarea 0,5 3 0,3 2 0,2 3 2,70
scurt i pe termen mediu strategiei n domeniu;
1.4.3. Comitetul IT stabilete Stabilirea dezvoltrii IT de ctre
prioritile proiectelor de departamentul IT; 0,5 2 0,3 3 0,2 3 2,50
dezvoltare a sistemelor IT
1.5. Organizarea 1.5.1. Organizarea adecvat a Responsabilitile nu sunt definite
IT corespunde funciei IT clar n cadrul compartimentelor i 0,5 2 0,3 2 0,2 2 2,00
necesitilor posturilor;
organizaiei 1.5.2. Personalul IT are Lipsa calificrilor necesare;
calificarea i competenele 0,5 2 0,3 1 0,2 2 1,70
adecvate
1.5.3. Adecvarea practicilor i Programele i aplicaiile nu sunt
procedurilor IT la procesele integrate i nu rspund cerinelor 0,5 2 0,3 3 0,2 3 2,50
existente activitilor;
1.6. Elaborarea 1.6.1. Dotarea actual cu tehnic Infrastructura IT existent nu asigur
strategiei IT de calcul a stat la baza elaborrii implementarea strategiei IT; 0,5 3 0,3 3 0,2 3 3,00
corespunde strategiei IT
strategiei entitii 1.6.2. Realizarea strategiei IT pe Elaborarea strategiei nu are la baz i
baza evalurii sistemelor o evaluare i identificare a 0,5 2 0,3 1 0,2 1 1,50
existente posibilitilor financiare;
2 Organizarea i 2.1. Definirea 2.1.1. Definirea atribuiilor i Lipsa ariei de competen pentru
funcionarea atribuiilor i responsabilitilor n cadrul realizarea activitilor stabilite 0,5 3 0,3 1 0,2 3 2,40
departamentul activitilor departamentului IT structurii funcionale
40
Aprecierea
intern
P1 P2 P3
N1 N2 N3
50% 30% 20%
ui IT 2.1.2. Atribuiile specifice Definirea de atribuii care nu se
departamentului sunt stabilite n regsesc in ROF
0,5 2 3 1 0,2 1 1,50
cadrul atribuiilor generale ale
entitii
2.1.3. Atribuiile stabilite asigur Definirea atribuiilor sub form de
realizarea activitilor necesare sarcini 0,5 2 0,3 2 0,2 1 1,80
implementrii obiectivelor
2.1.4. Identificarea tuturor Activiti stabilite incorect pentru
activitilor care concur la realizarea obiectivelor 0,5 2 0,3 2 0,2 1 1,80
realizarea obiectivelor
2.1.5. Corelaia ntre atribuiile Stabilirea de sarcini diferite pentru
postului i competenele aceleai funcii sau aceleai sarcini 0,5 2 0,3 1 0,2 1 1,50
ocupantului postului pentru funcii diferite
2.1.6. Definirea activitilor n Activitile realizate la nivelul
cadrul structurii organizatorice structurii funcionale nu se regsesc
0,5 3 0,3 1 0,2 3 2,40
n totalitate n cadrul sarcinilor
stabilite posturilor
2.2. Stabilirea 2.2.1. Organizarea funcional a Structura funcional nu este adaptat
0,5 2 0,3 1 0,2 3 1,90
structurii departamentului IT complexitii activitilor derulate
organizatorice 2.2.2. Definirea relaiilor Repartizarea activitilor i relaiilor
organizatorice ntre organizatorice fr a se ine cont de 0,5 2 0,3 1 0,2 1 1,50
compartimente natura organizrii compartimentului
2.2.3. Examinarea sistemului de Riscurile nu sunt identificate i
gestionare a riscurilor generale gestionate la nivelul structurii 0,5 2 0,3 3 0,2 3 2,50
la nivelul departamentului IT funcionale
2.2.4. Riscurile legate de Gestionarea slab a riscurilor privind
securitatea datelor, programelor securitatea informaiilor
i echipamentelor sunt 0,5 2 0,3 1 0,2 3 2,40
identificate i evaluate ct mai
corect i complet
2.3. Stabilirea 2.3.1. Definirea limitelor de Autoritatea formal n realizarea
responsabilitilo competen activitilor este insuficient stabilit 0,5 1 0,3 3 0,2 1 1,60
r postului
41
Aprecierea
intern
P1 P2 P3
N1 N2 N3
50% 30% 20%
2.3.2. Definirea Definirea doar a atribuiilor, nu i a
responsabilitilor n realizarea limitei pn unde rspunde ocupantul 0,5 1 0,3 3 0,2 2 1,80
activitilor postului n realizarea activitilor
2.3.3. Definirea sarcinilor prin Sarcinile stabilite postului potrivit
fia postului fiei postului nu corespund cu
0,5 2 0,3 3 0,2 3 2,50
aciunile efectiv realizate de
ocupantul postului
Operaii ale 3.1 3.1.1. Existena listei Activitile se realizeaz fr o
0,5 2 0,3 1 0,2 1 1,50
3. sistemului Managementul operaiunilor zilnice de realizat prioritizare a operaiilor
informatic operaiunilor 3.1.2. Performana, capacitatea i Lipsa analizelor privind scopul i
disponibilitatea sistemelor cerinele de realizare a activitilor i
0,5 2 0,3 2 0,2 3 2.20
informatice este monitorizat de calitatea aplicaiilor sau programelor
administratori utilizate
3.1.3. Responsabilitatea pentru Responsabilitile operatorilor nu
supravegherea sarcinilor pe sunt delimitate i stabilite n funcie
0,5 3 0,3 2 0,2 2 2,50
seturi de programe revine de specializarea fiecruia i tipurile
administratorilor de aplicaii i programe utilizate
3.1.4. Elaborarea Planului anual Activitile sunt derulate n cadrul
de activitate departamentului fr a exista o 0,5 2 0,3 2 0,2 3 2,20
planificare anual sau periodic
3.2. 3.2.1. Incidentele privind Soluionarea cu ntrziere a
Managementul funcionarea normal a problemelor aprute n utilizarea
0,5 1 0,3 1 0,2 1 1,00
problemelor serviciilor IT sunt rezolvate sau aplicaiilor i programelor
prevenite n termen
3.2.2. Programele antivirus Utilizarea neadecvat a programelor
0,5 2 0,3 3 0,2 3 2,50
asigur protecia aplicaiilor antivirus
3.2.3. Problemele aprute sunt Soluionarea problemelor aprute nu
prioritizate i luate n calcul este realizat potrivit gravitii i
0,5 1 0,3 1 0,2 3 1,40
pentru remediere asigurnd eficiena realizrii
activitilor entitii
3.2.4. Implementarea Programele i aplicaiile derulate la
subsistemelor IT nivelul organizaiei nu sunt
actualizate potrivit noilor necesiti 0,5 3 0,3 1 0,2 2 2,20
ca urmare a modificrii aciunilor de
realizare a activitilor
42
Aprecierea
intern
P1 P2 P3
N1 N2 N3
50% 30% 20%
3.2.5. Activitile operaionale Neconcordane ntre utilizarea unei
sunt conforme cu instruciunile aplicaii sau program i precizrile
0,5 1 0,3 3 0,2 2 1,80
din manualele de utilizare din caietul tehnic, privind execuia
acelei operaii
3.3. 3.3.1. Activitile sunt bine Lipsa revizuirii i urmrii
Funcionalitatea organizate pentru asigurarea contractelor la nivel de service i a
0,5 1 0,3 2 0,2 2 1,50
activitilor n bunei funcionrii a celor la nivel operativ
cadrul departamentului
departamentului 3.3.2. Organizarea funcional a Activitile i aciunile necesare
IT activitilor n cadrul realizrii acestora nu sunt repartizate
0,5 3 0,3 2 0,2 2 2,50
departamentului IT eficient i omogen pe compartimente
n cadrul departamentului IT
3.3.3. Activitile n cadrul Activiti i aciuni
departamentului sunt definite neresponsabilizate 0,5 1 0,3 1 0,2 3 1,40
respectnd criteriile de calitate
3.3.4. Evidena datelor aflate pe Acces nerestricionat la date i
0,5 2 0,3 1 0,2 2 1,70
mediile de stocare informaii
3.3.5. Distribuirea cu precizie a Dependena de tere pri n
informaiei ctre utilizatori i centralizarea informaiei i oferirea 0,5 2 0,3 2 0,2 1 1,80
mediile de stocare rapoartelor
3.3.6. Asigurarea caracterului Accesul la datele i informaiile
secret al datelor organizaiei nu este limitat doar 0,5 3 0,3 2 0,2 1 2,30
pentru persoanele ndreptite
3.3.7. Soluionarea problemelor Soluionarea unei probleme prin
presupune parcurgerea etapelor: luarea n calcul doar a execuiei
iniierea, planificarea, execuia, acesteia 0,5 2 0,3 1 0,2 1 1,50
monitorizarea i analiza,
ncheierea
3.4. Mentenana 3.4.1. Obinerea de rapoarte de Rapoartele obinute nu ofer
echipamentelor activitate utile informaii suficiente pentru luarea 0,5 2 0,3 2 0,2 2 2,00
deciziilor
3.4.2. ntreinerea calculatorului Disfunciile identificate nu sunt
i a echipamentelor analizate i nlturate n conformitate
0,5 2 0,3 2 0,2 3 2,20
cu instruciunile i manualele de
ntreinere
43
Aprecierea
intern
P1 P2 P3
N1 N2 N3
50% 30% 20%
3.4.3. Instalarea i configurarea Echipamentele periferice nu sunt
calculatorului instalate i conectate conform 0,5 3 0,3 3 0,2 2 2,80
documentaiei
3.1.1. Sistemul este ntreinut ntreinerea sistemului doar la
pentru a se asigura c este solicitrile utilizatorilor 0,5 1 0,3 1 0,2 2 1,20
conform cu nevoile organizaiei
3.5. Utilizarea 3.5.1. Realizarea eficient a Suportul tehnic cu privire la
echipamentelor operaiilor n cadrul utilizarea programelor nu este
0,5 2 0,3 3 0,2 2 2,30
departamentului IT furnizat n mod corespunztor
utilizatorilor
3.5.2. Identificarea i raportarea Costuri ridicate cu remedierea
pericolelor defeciunilor, frecven mare a
0,5 1 0,3 1 0,2 3 1,40
acestora, timpi mari pn la reluarea
lucrului
3.5.3. Administrarea eficient a Controlul intern asupra datelor de
0,5 3 0,3 2 0,2 3 2,70
aplicaiilor i programelor intrare nu este asigurat corespunztor
3.5.4. Evaluarea problemelor i Lipsa revizuirii i urmrii msurilor
soluionarea acestora privind corectarea erorilor conduce la 0,5 2 0,3 1 0,2 3 1,90
persistena unora dintre acestea
3.5.5. Programele corespund Neadaptarea la schimbrile rapide ale
0,5 1 0,3 1 0,2 3 1,40
cerinelor stabilite tehnologiei informaiei
3.5.6. Echipamentele sunt Lipsa cunotinelor privind
utilizate adecvat asigurnd un exploatarea echipamentelor la 0,5 1 0,3 2 0,2 2 1,50
confort n exploatare potenialul maxim
4. Securitatea 4.1. Organizarea 4.1.1. Crearea politicii de Organizarea i responsabilitile
informaiilor securitii securitate a informaiei privind securitatea informaiilor nu
0,5 2 0,3 1 0,2 1 1,50
informaiilor constituie o prioritate a politicii de
securitate
4.1.2. Crearea standardelor i Standardele privind securitatea
practicilor pentru securitatea informaiei nu sunt definite formal 0,5 3 0,3 2 0,2 2 2,50
informaiei
4.1.3. Stabilirea Responsabilitile nu sunt separate
responsabilitilor privind clar ntre cele ale administratorilor i 0,5 1 0,3 2 0,2 2 1,50
securitatea informaiei cele ale operatorilor;
44
Aprecierea
intern
P1 P2 P3
N1 N2 N3
50% 30% 20%
4.1.4. Elaborarea politicii Datele i informaiile prelucrate i
privind securitatea informaiei stocate nu sunt asigurate n condiii
0,5 3 0,3 2 0,2 2 2,50
de confidenialitate, integritate i
disponibilitate
4.1.5. Stabilirea Politica de securitate nu definete
responsabilitilor n cadrul responsabilitile cu privire la 0,5 2 0,3 2 0,2 2 2,00
politicii de securitate securitatea datelor i informaiilor
4.1.6. Securitatea informaiilor Datele i informaiile nu sunt stocate
0,5 2 0,3 1 0,2 1 1,50
asigur integritatea acestora n condiii de securitate
4.1.7. Securitatea datelor asigur Accesul la informaii i pentru
disponibilitatea acestora doar persoanele neautorizate 0,5 3 0,3 2 0,2 2 2,50
pentru utilizatori autorizai
4.2. 4.2.1. Protejarea mpotriva Lipsa programelor de protecie
0,5 2 0,3 2 0,2 1 1,80
Disponibilitatea atacurilor informatice adecvate pentru aplicaii i programe
datelor 4.2.2. Protejarea datelor Vulnerabilitate sporit n faa
0,5 3 0,3 2 0,2 3 2,70
mpotriva viruilor viruilor
4.2.3. Asigurarea continuitii Planurile privind continuitatea
activitilor activitilor nu stabilesc msuri 0,5 1 0,3 2 0,2 2 1,50
concrete pentru reluarea activitii
4.2.4. Recuperarea datelor n caz Lipsa planurilor de recuperare a
0,5 1 0,3 2 0,2 2 1,50
de dezastru datelor i informaiilor
4.2.5. Protejarea mpotriva Sustragerea informaiilor sau a
0,5 1 0,3 2 0,2 3 1,70
asumrii unei identitii false echipamentelor, fr autorizare;
4.3. Asigurarea 4.3.1. Asigurarea introducerii Aplicaiile informatice nu sunt
funcionrii corecte a datelor i informaiilor utilizate n conformitate cu 0,5 3 0,3 2 0,2 1 2,30
programelor i pentru prelucrare instruciunile de exploatare
aplicaiilor 4.3.2. Existena licenelor pentru Plata unor despgubiri urmare
programele utilizate implementrii unor programe fr 0,5 2 0,3 1 0,2 1 1,50
licen
4.3.3. Prelucrarea datelor Introducerea incorect a datelor i
informaiilor n cadrul programelor i 0,5 3 0,3 2 0,2 2 2,50
aplicaiilor
4.3.4. Asigurarea securitii Accesul la datele i informaiile
datelor i informaiilor stocate nu este restricionat i 0,5 2 0,3 2 0,2 2 2,00
autorizat pe niveluri ierarhice
45
Aprecierea
intern
P1 P2 P3
N1 N2 N3
50% 30% 20%
4.4. 4.4.1. Accesul la aplicaie este Accesul la program, aplicaie este
Implementarea oferit pe baza necesitilor oferit pentru ntregul personal ce 0,5 3 0,3 1 0,2 3 2,40
instrumentelor utilizatorului posed o parol
de control 4.4.2. Mecanismele de securitate Pentru vulnerabilitile sistemelor nu
configurate i implementate sunt stabilite i implementate
0,5 2 0,3 1 0,2 1 1,50
verific i limiteaz accesul la instrumente de control
aplicaii
4.4.3. Introducerea Accesul fizic la echipamente i
instrumentelor de control fizic aplicaii este restricionat 0,5 3 0,3 2 0,2 2 2,50
asupra echipamentelor IT
4.4.4. Stabilirea de chei de Posibilitatea de a obine i utiliza
control pentru fiecare program rezultate nesigure, neverificate 0,5 1 0,3 3 0,2 2 1,20
sau aplicaie
4.5. Securitatea 4.5.1. Mecanismele de securitate Metodele de criptare nu asigur
reelei configurate i implementate protecia integritii i
0,5 2 0,3 1 0,2 1 1,50
asigur securitatea informaiilor confidenialitii datelor sensibile
n cadrul reelei
4.5.2. Monitorizarea securitii Comunicarea n reea nu este
0,5 2 0,3 2 0,2 1 1,80
reelelor securizat
4.6. Gestionarea 4.61. Utilizatorii au parole de Accesul la aplicaii se realizeaz
parolelor acces individuale direct, fr a fi permis doar pentru 0,5 2 0,3 2 0,2 2 2,00
personalul ndreptit
4.6.2. Schimbarea periodic a Risc crescut de spargere a parolei
0,5 2 0,3 3 0,2 1 2,10
parolelor
4.6.3. Conturile i parolele Conturile i parolele generice iniiale
generice sunt folosite pentru nu sunt personalizate dup nceperea 0,5 1 0,3 2 0,2 2 1,50
accesul la sisteme i aplicaii prelucrrilor de ctre utilizatori
4.6.4. Protejarea parolelor Descrcarea ilegal a unor informaii 0,5 3 0,3 2 0,2 1 2,30
4.6.5. Persoanele autorizate au Accesul la servere este permis
acces la sistemul de operare ntregului personal, nefiind 0,5 3 0,3 2 0,2 2 2,50
nregistrat i monitorizat
4.7. Securitatea 4.7.1. Asigurarea securitii Lipsa controalelor sau controale
logic funcionrii programelor i slabe de acces 0,5 3 0,3 2 0,2 2 2,50
aplicaiilor
46
Aprecierea
intern
P1 P2 P3
N1 N2 N3
50% 30% 20%
4.7.2.Protejarea sistemelor Lipsa controalelor de mediu,
informatice mpotriva factorilor respectiv detectoare de foc, incendiu 0,5 2 0,3 1 0,2 1 1,50
de mediu etc.
4.7.3. Protejarea informaiei din Funcii de siguran sau control nu
reea sunt prevzute n cadrul sistemelor 0,5 2 0,3 2 0,2 1 1,80
de aplicaii
5 Proiectarea i 5.1. Proiectarea 5.1.1. Proiectarea programului n proiectarea programului/aplicaiei,
testarea i elaborarea informatic fluxul de date nu este stabilit adecvat 0,5 2 0,3 2 0,2 2 2,00
programelor i programelor i rezultatelor ateptate
aplicaiilor aplicaiilor 5.1.2. Elaborarea programului Graficul de realizare a programului i
0,5 3 0,3 2 0,2 2 2,50
informatic bugetul aprobat nu sunt respectate
5.1.3. Proiectarea unui program Elaborarea de programe i aplicaii
sau aplicaie tine cont de fr o analiz strategic la nivelul 0,5 2 0,3 2 0,2 1 1,80
necesitile organizaiei utilizatorilor
5.1.4. Proiectarea unui program Lipsa resurselor financiare n
sau aplicaie pe baza existenei elaborarea i implementarea unui 0,5 2 0,3 2 0,2 2 1,80
resurselor financiare program sau aplicaie
5.1.5. Respectarea cerinelor n Costuri suplimentare n achiziia unui
0,5 1 0,3 1 0,2 3 1,40
achiziia unei aplicaii program sau aplicaie
5.2. Testarea i 5.2.1. Utilizarea de date ipotetice Efectuarea de prelucrri asupra
implementarea n testarea unui program datelor reale n cadrul testrii 0,5 3 0,3 2 0,2 2 2,50
programelor i programelor
aplicaiilor 5.2.2. Testarea programului i Neconformitile i erorile constatate
aplicaiei n cursul testrii unui program nu 0,5 2 0,3 2 0,2 2 2,00
sunt analizate cu atenie
5.2.3. Asigurarea corectitudinii Opiunile i parametrii de lucru ai
rezultatelor programului/aplicaiei nu sunt
0,5 3 0,3 1 0,2 2 2,20
stabilii conform specificaiilor din
5.2.4. Implementarea unui Programele sau aplicaiile
program dup realizarea testrii achiziionate sunt implementate fr 0,5 2 0,3 1 0,2 1 1,50
acestuia a fi testate
6. Elaborarea i 6.1. Dezvoltarea 6.1.1. Metodologia pentru Lipsa proiectelor de dezvoltare a
0,5 1 0,3 2 0,2 2 1,50
implementarea proiectelor IT dezvoltarea i achiziia aplicaiei achiziiilor
47
Aprecierea
intern
P1 P2 P3
N1 N2 N3
50% 30% 20%
proiectelor IT (programe i 6.1.2. Iniierea i elaborarea Obiectivele generale ale proiectului
aplicaii) proiectelor IT nu sunt stabilite cu respectarea 0,5 3 0,3 2 0,2 2 2,50
strategiei generale a organizaiei
6.1.3. Monitorizarea Parametri de referin i valorile
performanelor soluiilor IT etalon ale programelor elaborate nu
0,5 3 0,3 2 0,2 2 2,50
implementate respect specificaiile i nu se
ncadreaz n standarde
6.2. 6.2.1. Reproiectarea soluiilor IT Soluiile privind mbuntirea
Implementarea i pentru programe i aplicaii programelor i aplicaiilor nu in cont
0,5 2 0,3 2 0,2 2 2,00
funcionarea de punctele slabe i critice, precum i
programelor i evoluiile tehnologice
aplicaiilor 6.2.2. Implementarea adecvat a Rapoartele nu corespund cerinelor
0,5 2 0,3 1 0,2 2 1,70
aplicaiilor
6.2.3. ntreinerea aplicaiilor Supravegherea proceselor aflate n
garanteaz funcionarea execuie i a performanelor
proceselor la parametrii optimi aplicaiilor, sistemelor sau 0,5 3 0,3 2 0,2 2 2,50
programelor nu respect procedurile
i instruciunile
7. Proiectarea i 7.1. Proiectarea, 7.1.1. Asigurarea bunei Subsistemele existente nu sunt
meninerea n instalarea i funcionri a sistemelor bazate configurate i supravegheate
0,5 3 0,3 2 0,2 2 2,50
funciune a administrarea pe existena i funcionarea individual
unei reele reelei de reelei de calculatoare
calculatoare 7.1.2. Monitorizarea Scderea performanelor reelelor
0,5 1 0,3 2 0,2 2 1,50
performanelor reelelor
7.1.3. Administrarea serverelor Accesul i utilizarea datelor i
informaiilor stocate pe server nu
0,5 2 0,3 2 0,2 2 2,00
respect strategia de securitate a
reelei
7.1.4. Reeaua de calculatoare Reeaua de calculatoare nu asigur
corespunde cerinelor integrarea informaiilor i elaborarea 0,5 2 0,3 1 0,2 1 1,50
funcionale rapoartelor
7.2. 7.2.1. Interconectarea reelelor Conexiunile dintre reele nu sunt
Interconectarea conforme cu arhitectura prevzut de 0,5 3 0,3 1 0,2 3 2,40
i securitatea instruciuni i nu respect standardele
48
Aprecierea
intern
P1 P2 P3
N1 N2 N3
50% 30% 20%
reelei 7.2.2. Proiectarea i asigurarea Vulnerabilitile i ameninrile nu
0,5 2 0,3 2 0,2 2 2,00
securitii reelei sunt identificate i prioritizate
7.2.3. Urmrirea adecvrii Conceperea unei reele nu asigur
0,5 2 0,3 1 0,2 2 1,70
performanelor unei reele integrarea programelor
Auditori,
Popescu Sorin
Radu George
Not:
Stabilirea nivelului riscului i determinarea punctajului total al riscurilor este documentul din procedura Analiza riscurilor n care auditorii apreciaz
nivelul riscului pe factorii de risc i determin punctajul total al riscurilor pe baza documentelor n posesia crora au intrat pn n acel moment, dar i pe baza
expertizei personale n domeniu.
Elaborarea documentului Stabilirea nivelului riscului i a punctajului total al riscului comport dou etape: n prima faz se realizeaz evaluarea nivelelor
riscurilor asociate operaiilor audiabile, iar n a doua faz se determin punctajul total pe baza formulei din Normele metodologice privind auditul intern, respectiv:
T= Pi x Ni unde: Pi = ponderea riscului pentru fiecare criteriu

i=1
Ni = nivelul riscurilor pentru fiecare criteriu utilizat
Evaluarea riscurilor asociate operaiilor audiabile pe baza informaiilor n posesia crora a intrat auditorul intern, pn n acest moment, din documentele
primite de la entitate i/sau din rapoarte anterioare, dar i din propria expertiza n domeniu are un oarecare grad de subiectivitate.
49
50
Entitatea Public
CLASAREA OPERAIILOR N FUNCIE DE ANALIZA RISCURILOR

Nr Activiti/ Pct.
Domeniul Obiecte auditabile Riscuri semnificative Clasare Obs.
crt obiective total
1. Strategia i 1.1. Strategia IT este 1.1.1. Strategia IT definete necesitile i Achiziia i implementarea programelor i
2,20 Mare
planificarea concordant cu prioritile aplicaiilor nu este corelat cu obiectivele propuse;
sistemelor scopurile organizaiei 1.1.2. Strategia IT face trimitere la nevoile viitoare Sistemele nu sunt dezvoltate ntr-o manier
1,90 Mediu
informatice ale organizaiei planificat i controlat
1.1.3. Strategia definete direciile i obiectivele de Strategia IT nu are o viziune orientat spre viitor,
1,00 Mic
dezvoltare a IT fiind o extrapolare a tendinelor trecute
1.2. Planurile IT se 1.2.1. Strategia IT este transpus n planuri IT Dezvoltarea IT nu acoper toate procesele; 1,50 Mic
adreseaz ntregii 1.2.2. Planurile IT ajut la ndeplinirea misiunii Planurile IT nu contribuie la realizarea scopului
2,00 Mediu
organizaii organizaiei entitii n domeniul IT;
1.2.3. Planurile IT ofer asigurare cu privire la Resursele IT nu sunt identificate pentru fiecare
faptul c resursele IT sunt alocate n concordan element al planului; 2,00 Mediu
cu necesitile
1.3. Obiectivele IT 1.3.1. Strategia IT este concordant cu scopurile Utilizatorii i IT nu au aceleai opinii cu privire la
2,10 Mare
ndeplinesc organizaiei responsabilitile i autoritatea lor
obiectivele 1.3.2. Planurile IT se adreseaz ntregii organizaii Planul IT nu acoper cerinele pe termen mediu; 1,50 Mic
organizaiei 1.3.3. Obiectivele IT ndeplinesc obiectivele Obiectivele n domeniul IT nu deriv i nu contribuie
1,70 Mic
organizaiei la realizarea obiectivelor entitii;
1.4. Comitetul IT 1.4.1. Strategia IT este stabilit de un comitet IT Strategia IT este definit de departamentul IT; 2,00 Mediu
determin strategia 1.4.2. Comitetul IT transpune strategia n planuri Comitetul IT nu contribuie la dezvoltarea i
2,70 Mare
IT pe termen scurt i pe termen mediu implementarea strategiei n domeniu;
1.4.3. Comitetul IT stabilete prioritile Stabilirea dezvoltrii IT de ctre departamentul IT;
2,50 Mare
proiectelor de dezvoltare a sistemelor IT
1.5. Organizarea IT 1.5.1. Organizarea adecvat a funciei IT Responsabilitile nu sunt definite clar n cadrul
2,00 Mediu
corespunde compartimentelor i posturilor;
51
Nr Activiti/ Pct.
crt obiective total
necesitilor 1.5.2. Personalul IT are calificarea i competenele Lipsa calificrilor necesare;
1,70 Mic
organizaiei adecvate
1.5.3. Adecvarea practicilor i procedurilor IT la Programele i aplicaiile nu sunt integrate i nu
2,50 Mare
procesele existente rspund cerinelor activitilor;
1.6. Elaborarea 1.6.1. Dotarea actual cu tehnic de calcul a stat la Infrastructura IT existent nu asigur implementarea
3,00 Mare
strategiei IT baza elaborrii strategiei IT strategiei IT;
corespunde strategiei 1.6.2. Realizarea strategiei IT pe baza evalurii Elaborarea strategiei nu are la baz i o evaluare i
1,50 Mic
entitii sistemelor existente identificare a posibilitilor financiare;
2 Organizarea i 2.1. Definirea 2.1.1. Definirea atribuiilor i responsabilitilor n Lipsa ariei de competen pentru realizarea
2,40 Mare
funcionarea atribuiilor i cadrul departamentului IT activitilor stabilite structurii funcionale
departamentul activitilor 2.1.2. Atribuiile specifice departamentului sunt Definirea de atribuii care nu se regsesc in ROF
1,50 Mic
ui IT stabilite n cadrul atribuiilor generale ale entitii
2.1.3. Atribuiile stabilite asigur realizarea Definirea atribuiilor sub form de sarcini
1,80 Mic
activitilor necesare implementrii obiectivelor
2.1.4. Identificarea tuturor activitilor care Activiti stabilite incorect pentru realizarea
1,80 Mic
concur la realizarea obiectivelor obiectivelor
2.1.5. Corelaia ntre atribuiile postului i Stabilirea de sarcini diferite pentru aceleai funcii
1,50 Mic
competenele ocupantului postului sau aceleai sarcini pentru funcii diferite
2.1.6. Definirea activitilor n cadrul structurii Activitile realizate la nivelul structurii funcionale
organizatorice nu se regsesc n totalitate n cadrul sarcinilor 2,40 Mare
stabilite posturilor
2.2. Stabilirea 2.2.1. Organizarea funcional a departamentului Structura funcional nu este adaptat complexitii
1,90 Mediu
structurii IT activitilor derulate
organizatorice 2.2.2. Definirea relaiilor organizatorice ntre Repartizarea activitilor i relaiilor organizatorice
compartimente fr a se ine cont de natura organizrii 1,50 Mic
compartimentului
2.2.3. Examinarea sistemului de gestionare a Riscurile nu sunt identificate i gestionate la nivelul
2,50 Mare
riscurilor generale la nivelul departamentului IT structurii funcionale
2.2.4. Riscurile legate de securitatea datelor, Gestionarea slab a riscurilor privind securitatea
programelor i echipamentelor sunt identificate i informaiilor 2,40 Mare
evaluate ct mai corect i complet
2.3. Stabilirea 2.3.1. Definirea limitelor de competen Autoritatea formal n realizarea activitilor este
1,60 Mic
responsabilitilor insuficient stabilit postului
2.3.2. Definirea responsabilitilor n realizarea Definirea doar a atribuiilor, nu i a limitei pn unde
1,80 Mic
activitilor rspunde ocupantul postului n realizarea activitilor
2.3.3. Definirea sarcinilor prin fia postului Sarcinile stabilite postului potrivit fiei postului nu
corespund cu aciunile efectiv realizate de ocupantul 2,50 Mare
postului
52
Nr Activiti/ Pct.
crt obiective total
3. Operaii ale 3.1 Managementul 3.1.1. Existena listei operaiunilor zilnice de Activitile se realizeaz fr o prioritizare a
1,50 Mic
sistemului operaiunilor realizat operaiilor
informatic 3.1.2. Performana, capacitatea i disponibilitatea Lipsa analizelor privind scopul i cerinele de
sistemelor informatice este monitorizat de realizare a activitilor i calitatea aplicaiilor sau 2.20 Mare
administratori programelor utilizate
3.1.3. Responsabilitatea pentru supravegherea Responsabilitile operatorilor nu sunt delimitate i
sarcinilor pe seturi de programe revine stabilite n funcie de specializarea fiecruia i 2,50 Mare
administratorilor tipurile de aplicaii i programe utilizate
3.1.4. Elaborarea Planului anual de activitate Activitile sunt derulate n cadrul departamentului
2,20 Mare
fr a exista o planificare anual sau periodic
3.2. Managementul 3.2.1. Incidentele privind funcionarea normal a Soluionarea cu ntrziere a problemelor aprute n
problemelor serviciilor IT sunt rezolvate sau prevenite n utilizarea aplicaiilor i programelor 1,00 Mic
termen
3.2.2. Programele antivirus asigur protecia Utilizarea neadecvat a programelor antivirus
2,50 Mare
aplicaiilor
3.2.3. Problemele aprute sunt prioritizate i luate Soluionarea problemelor aprute nu este realizat
n calcul pentru remediere potrivit gravitii i asigurnd eficiena realizrii 1,40 Mic
activitilor entitii
3.2.4. Implementarea subsistemelor IT Programele i aplicaiile derulate la nivelul
organizaiei nu sunt actualizate potrivit noilor
2,20 Mare
necesiti ca urmare a modificrii aciunilor de
3.2.5. Activitile operaionale sunt conforme cu Neconcordane ntre utilizarea unei aplicaii sau
instruciunile din manualele de utilizare program i precizrile din caietul tehnic, privind 1,80 Mic
execuia acelei operaii
3.3. Funcionalitatea 3.3.1. Activitile sunt bine organizate pentru Lipsa revizuirii i urmrii contractelor la nivel de
1,50 Mic
activitilor n cadrul asigurarea bunei funcionrii a departamentului service i a celor la nivel operativ
departamentului IT 3.3.2. Organizarea funcional a activitilor n Activitile i aciunile necesare realizrii acestora nu
cadrul departamentului IT sunt repartizate eficient i omogen pe compartimente 2,50 Mare
n cadrul departamentului IT
3.3.3. Activitile n cadrul departamentului sunt Activiti i aciuni neresponsabilizate
1,40 Mic
definite respectnd criteriile de calitate
3.3.4. Evidena datelor aflate pe mediile de stocare Acces nerestricionat la date i informaii 1,70 Mic
3.3.5. Distribuirea cu precizie a informaiei ctre Dependena de tere pri n centralizarea informaiei
1,80 Mic
utilizatori i mediile de stocare i oferirea rapoartelor
3.3.6. Asigurarea caracterului secret al datelor Accesul la datele i informaiile organizaiei nu este
2,30 Mare
limitat doar pentru persoanele ndreptite
53
Nr Activiti/ Pct.
crt obiective total
3.3.7. Soluionarea problemelor presupune Soluionarea unei probleme prin luarea n calcul
parcurgerea etapelor: iniierea, planificarea, doar a execuiei acesteia 1,50 Mic
execuia, monitorizarea i analiza, ncheierea
3.4. Mentenana 3.4.1. Obinerea de rapoarte de activitate utile Rapoartele obinute nu ofer informaii suficiente
2,00 Mediu
echipamentelor pentru luarea deciziilor
3.4.2. ntreinerea calculatorului i a Disfunciile identificate nu sunt analizate i nlturate
echipamentelor n conformitate cu instruciunile i manualele de 2,20 Mare
ntreinere
3.4.3. Instalarea i configurarea calculatorului Echipamentele periferice nu sunt instalate i
2,80 Mare
conectate conform documentaiei
3.1.1. Sistemul este ntreinut pentru a se asigura ntreinerea sistemului doar la solicitrile
1,20 Mic
c este conform cu nevoile organizaiei utilizatorilor
3.5. Utilizarea 3.5.1. Realizarea eficient a operaiilor n cadrul Suportul tehnic cu privire la utilizarea programului
2,30 Mare
echipamentelor departamentului IT nu este acordat n mod corespunztor utilizatorilor
3.5.2. Identificarea i raportarea pericolelor Costuri ridicate cu remedierea defeciunilor,
frecven mare a acestora, timpi mari pn la 1,40 Mic
reluarea lucrului
3.5.3. Administrarea eficient a aplicaiilor i Controlul intern asupra datelor de intrare nu este
2,70 Mare
programelor asigurat corespunztor
3.5.4. Evaluarea problemelor i soluionarea Lipsa revizuirii i urmrii msurilor privind
acestora corectarea erorilor conduce la persistena unora 1,90 Mediu
dintre acestea
3.5.5. Programele corespund cerinelor stabilite Neadaptarea la schimbrile rapide ale tehnologiei
1,40 Mic
informaiei
3.5.6. Echipamentele sunt utilizate adecvat Lipsa cunotinelor privind exploatarea
1,50 Mic
asigurnd un confort n exploatare echipamentelor la potenialul maxim
4. Securitatea 4.1. Organizarea 4.1.1. Crearea politicii de securitate a informaiei Organizarea i responsabilitile privind securitatea
informaiilor securitii informaiilor nu constituie o prioritate a politicii de 1,50 Mic
informaiilor securitate
4.1.2. Crearea standardelor i practicilor pentru Standardele privind securitatea informaiei nu sunt
2,50 Mare
securitatea informaiei definite formal
4.1.3. Stabilirea responsabilitilor privind Responsabilitile nu sunt separate clar ntre cele ale
1,50 Mic
securitatea informaiei administratorilor i cele ale operatorilor
4.1.4. Elaborarea politicii privind securitatea Datele i informaiile prelucrate i stocate nu sunt
informaiei asigurate n condiii de confidenialitate, integritate i 2,50 Mare
disponibilitate
4.1.5. Stabilirea responsabilitilor n cadrul Politica de securitate nu definete responsabilitile
2,00 Mediu
politicii de securitate cu privire la securitatea datelor i informaiilor
54
Nr Activiti/ Pct.
crt obiective total
4.1.6. Securitatea informaiilor asigur integritatea Datele i informaiile nu sunt stocate n condiii de
1,50 Mic
acestora securitate
4.1.7. Securitatea datelor asigur disponibilitatea Accesul la informaii i pentru persoanele
2,50 Mare
acestora doar pentru utilizatori autorizai neautorizate
4.2. Disponibilitatea 4.2.1. Protejarea mpotriva atacurilor informatice Lipsa programelor de protecie adecvate pentru
1,80 Mic
datelor aplicaii i programe;
4.2.2. Protejarea datelor mpotriva viruilor Vulnerabilitate sporit n faa viruilor 2,70 Mare
4.2.3. Asigurarea continuitii activitilor Planurile privind continuitatea activitilor nu
1,50 Mic
stabilesc msuri concrete pentru reluarea activitii
4.2.4. Recuperarea datelor n caz de dezastru Lipsa planurilor de recuperare a datelor i
1,50 Mic
informaiilor
4.2.5. Protejarea mpotriva asumrii unei identitii Sustragerea informaiilor sau echipamentelor, fr
1,70 Mic
false autorizare
4.3. Asigurarea 4.3.1. Asigurarea introducerii corecte a datelor i Aplicaiile informatice nu sunt utilizate n
2,30 Mare
funcionrii informaiilor pentru prelucrare conformitate cu instruciunile de exploatare
programelor i 4.3.2. Existena licenelor pentru programele Plata unor despgubiri urmare implementrii unor
1,50 Mic
aplicaiilor utilizate programe fr licen
4.3.3. Prelucrarea datelor Introducerea incorect a datelor i informaiilor n
2,50 Mare
cadrul programelor i aplicaiilor
4.3.4. Asigurarea securitii datelor i informaiilor Accesul la datele i informaiile stocate nu este
2,00 Mediu
restricionat i autorizat pe niveluri ierarhice
4.4. Implementarea 4.4.1. Accesul la aplicaie este oferit pe baza Accesul la program, aplicaie este oferit pentru
2,40 Mare
instrumentelor de necesitilor utilizatorului ntregul personal ce posed o parol
control 4.4.2. Mecanismele de securitate configurate i Pentru vulnerabilitile sistemelor nu sunt stabilite i
implementate verific i limiteaz accesul la implementate instrumente de control 1,50 Mic
aplicaii
4.4.3. Introducerea instrumentelor de control fizic Accesul fizic la echipamente i aplicaii este
2,50 Mare
asupra echipamentelor IT restricionat
4.4.4. Stabilirea de chei de control pentru fiecare Posibilitatea de a obine i utiliza rezultate nesigure,
1,20 Mic
program sau aplicaie neverificate
4.5. Securitatea 4.5.1. Mecanismele de securitate configurate i Metodele de criptare nu asigur protecia integritii
reelei implementate asigur securitatea informaiilor n i confidenialitii datelor sensibile 1,50 Mic
cadrul reelei
4.5.2. Monitorizarea securitii reelelor Comunicarea n reea nu este monitorizat 1,80 Mic
4.6. Gestionarea 4.6.1. Utilizatorii au parole de acces individuale Accesul la aplicaii se realizeaz direct, fr a fi
2,00 Mediu
parolelor permis doar pentru personalul ndreptit
4.6.2. Schimbarea periodic a parolelor Risc crescut de spargere a parolei 2,10 Mare
55
Nr Activiti/ Pct.
crt obiective total
4.6.3. Conturile i parolele generice sunt folosite Conturile i parolele generice iniiale nu sunt
pentru accesul la sisteme i aplicaii personalizate dup nceperea prelucrrilor de ctre 1,50 Mic
utilizatori
4.6.4. Protejarea parolelor Descrcarea ilegal a unor informaii 2,50 Mare
4.6.5. Persoanele autorizate au acces la sistemul de Accesul la servere este permis ntregului personal,
2.30 Mare
operare nefiind nregistrat i monitorizat
4.7. Securitatea 4.7.1. Asigurarea securitii funcionrii Lipsa controalelor sau controale slabe de acces
2,50 Mare
logic programelor i aplicaiilor
4.7.2.Protejarea sistemelor informatice mpotriva Lipsa controalelor de mediu, respectiv detectoare de
1,50 Mic
factorilor de mediu foc, incendiu etc.
4.7.3. Protejarea informaiei din reea Funcii de siguran sau control nu sunt prevzute n
1,80 Mic
cadrul sistemelor de aplicaii
5 Proiectarea i 5.1. Proiectarea i 5.1.1. Proiectarea programului informatic n proiectarea programului/aplicaiei, fluxul de date
2,00 Mediu
testarea elaborarea nu este stabilit adecvat rezultatelor ateptate
programelor i programelor i 5.1.2. Elaborarea programului informatic Graficul de realizare a programului i bugetul
2,50 Mare
aplicaiilor aplicaiilor aprobat nu sunt respectate
5.1.3. Proiectarea unui program sau aplicaie tine Elaborarea de programe i aplicaii fr o analiz
1,80 Mic
cont de necesitile organizaiei strategic la nivelul utilizatorilor
5.1.4. Proiectarea unui program sau aplicaie pe Lipsa resurselor financiare n elaborarea i
1,80 Mic
baza existenei resurselor financiare implementarea unui program sau aplicaie
5.1.5. Respectarea cerinelor i programelor n Costuri suplimentare n achiziia unui program sau
1,40 Mic
achiziia unei aplicaii aplicaie
5.2. Testarea i 5.2.1. Utilizarea de date ipotetice n testarea unui Efectuarea de prelucrri asupra datelor reale n
2,50 Mare
implementarea program cadrul testrii programelor
programelor i 5.2.2. Testarea programului i aplicaiei Neconformitile i erorile constatate n cursul
2,00 Mediu
aplicaiilor testrii unui program nu sunt analizate cu atenie
5.2.3. Asigurarea corectitudinii rezultatelor Opiunile i parametrii de lucru ai
programului/aplicaiei nu sunt stabilii conform 2,20 Mare
specificaiilor din documentaiile tehnice
5.2.4. Implementarea unui program dup realizarea Programele sau aplicaiile achiziionate sunt
1,50 Mic
testrii acestuia implementate fr a fi testate
6. Elaborarea i 6.1. Dezvoltarea 6.1.1. Metodologia pentru dezvoltarea i achiziia Lipsa proiectelor de dezvoltare a achiziiilor
1,50 Mic
implementarea proiectelor IT aplicaiei
proiectelor IT (programe i 6.1.2. Iniierea i elaborarea proiectelor IT Obiectivele generale ale proiectului nu sunt stabilite
2,50 Mare
aplicaii) cu respectarea strategiei generale a organizaiei
6.1.3. Monitorizarea performanelor soluiilor IT Parametri de referin i valorile etalon ale
implementate programelor elaborate nu respect specificaiile i nu 2,50 Mare
se ncadreaz n standarde
56
Nr Activiti/ Pct.
crt obiective total
6.2. Implementarea i 6.2.1. Reproiectarea soluiilor IT pentru programe Soluiile privind mbuntirea programelor i
funcionarea i aplicaii aplicaiilor nu in cont de punctele slabe i critice, 2,00 Mediu
programelor i precum i evoluiile tehnologice
aplicaiilor 6.2.2. Implementarea adecvat a aplicaiilor Rapoartele nu corespund cerinelor 1,70 Mic
6.2.3. ntreinerea aplicaiilor garanteaz Supravegherea proceselor aflate n execuie i a
funcionarea proceselor la parametrii optimi performanelor aplicaiilor, sistemelor sau 2,50 Mare
programelor nu respect procedurile i instruciunile
7. Proiectarea i 7.1. Proiectarea, 7.1.1. Asigurarea bunei funcionri a sistemelor Subsistemele existente nu sunt configurate i
meninerea n instalarea i bazate pe existena i funcionarea reelei de supravegheate individual 2,50 Mare
funciune a administrarea reelei calculatoare
unei reele de calculatoare 7.1.2. Monitorizarea performanelor reelelor Scderea performanelor reelelor 1,50 Mic
7.1.3. Administrarea serverelor Accesul i utilizarea datelor i informaiilor stocate
2,00 Mediu
pe server nu respect strategia de securitate a reelei
7.1.4. Reeaua de calculatoare corespunde Reeaua de calculatoare nu asigur integrarea
1,50 Mic
cerinelor funcionale informaiilor i elaborarea rapoartelor
7.2. Interconectarea 7.2.1. Interconectarea reelelor Conexiunile dintre reele nu sunt conforme cu
i securitatea reelei arhitectura prevzut de instruciuni i nu respect 2,40 Mare
standardele
7.2.2. Proiectarea i asigurarea securitii reelei Vulnerabilitile i ameninrile nu sunt identificate
2,00 Mediu
i prioritizate
7.2.2. Urmrirea adecvrii performanelor unei Proiectarea reelei de calculatoare nu asigur
1,70 Mic
reele integrarea programelor
Auditori,
Popescu Sorin
Radu George
57
Not:
Clasarea activitilor sau operaiilor n funcie de punctajul riscurilor este a asea faz a procedurii Analiza riscurilor, n care riscurile se mpart n mari, medii i
mici.
mprirea riscurilor n cele trei categorii se realizeaz innd cont de importana riscurilor i de resursele de audit de care dispunem, respectiv numrul de
auditori intern si numrul de ore efectuate pentru desfurarea misiunii de audit.
n mod special, activitatea de mprire a riscurilor pe cele trei categorii trebuie s in cont de resursele alocate misiunii (numr de persoane, timpul aferent
.a.), respectiv s aib n vedere volumul riscurilor pe care le poate auditat i s renune pentru moment la riscurile care pot fi neglijate. Numrul riscurilor medii se
recomand s fie foarte redus ( 5-10%), pentru c acesta demonstreaz o nehotrre din partea auditorilor interni. n general, riscurile medii se acord pentru operaiile
pe care auditorii interni nu le cunosc bine din practic i care vor fi cuprinse n auditare.
Pentru continuarea analizei, auditorii interni au mprit in cele trei categorii (mari, medii si mici) riscurile din documentul Stabilirea nivelului riscului i a
punctajului total, innd cont i de resursele alocate misiunii (numr de persoane, timpul aferent .a.), astfel:
Riscuri mici 1,0 - 1,7
Riscuri medii 1,8 - 2,3
Riscuri mari 2,4 - 3,0
Pentru moment, riscurile mici vor fi ignorate, in sensul ca nu vor fi auditate, iar riscurile semnificative (mari i medii) vor intra n faza de ierarhizare, ocazie
cu care se va elabora documentul Tabelul puncte tari i puncte slabe.
58
Entitatea Public
TABELUL PUNCTE TARI I PUNCTE SLABE

T/ Consecina Grad
Nr Activiti/ S funcionarii/ ncredere
crt obiective nefuncionrii in control
controlului intern intern
1. Strategia i 1.1. Strategia IT 1.1.1. Strategia IT definete Achiziia i implementarea
planificarea este concordant cu necesitile i prioritile programelor i aplicaiilor nu
S Sczut
sistemelor scopurile este corelat cu obiectivele
informatice organizaiei propuse;
1.2. Planurile IT se1.2.2. Planurile IT ajut la Planurile IT nu contribuie la
adreseaz ntregii ndeplinirea misiunii realizarea scopului entitii n S Sczut
organizaii organizaiei domeniul IT;
1.2.3. Planurile IT ofer Resursele IT nu sunt
asigurare cu privire la faptul c identificate pentru fiecare
S Sczut
resursele IT sunt alocate n element al planului;
1.3. Obiectivele IT 1.3.1. Strategia IT este Utilizatorii i IT nu au
ndeplinesc concordant cu scopurile aceleai opinii cu privire la
S Sczut
obiectivele organizaiei responsabilitile i
organizaiei autoritatea lor
1.4. Comitetul IT 1.4.1. Strategia IT este stabilit Strategia IT este definit de
T Ridicat
determin strategia de un comitet IT departamentul IT;
IT 1.4.2. Comitetul IT transpune Comitetul IT nu contribuie la
strategia n planuri pe termen dezvoltarea i implementarea S Sczut
scurt i pe termen mediu strategiei n domeniu;
59
T/ Consecina Grad
1.4.3. Comitetul IT stabilete Stabilirea dezvoltrii IT de
prioritile proiectelor de ctre departamentul IT; S Sczut
dezvoltare a sistemelor IT
1.5. Organizarea IT 1.5.1. Organizarea adecvat a Responsabilitile nu sunt
corespunde funciei IT definite clar n cadrul
S Sczut
necesitilor compartimentelor i
organizaiei posturilor;
1.5.3. Adecvarea practicilor i Programele i aplicaiile nu
procedurilor IT la procesele sunt integrate i nu rspund S Sczut
existente cerinelor activitilor;
1.6. Elaborarea 1.6.1. Dotarea actual cu Infrastructura IT existent nu
strategiei IT tehnic de calcul a stat la baza asigur implementarea
S Sczut
corespunde elaborrii strategiei IT strategiei IT;
strategiei entitii
2. Organizarea i 2.1. Definirea 2.1.1. Definirea atribuiilor i Lipsa ariei de competen
funcionarea atribuiilor i responsabilitilor n cadrul pentru realizarea activitilor S Sczut
departamentulu activitilor departamentului IT stabilite structurii funcionale
i IT 2.1.6. Definirea activitilor n Activitile realizate la
cadrul structurii organizatorice nivelul structurii funcionale
nu se regsesc n totalitate n S Sczut
cadrul sarcinilor stabilite
posturilor
2.2. Stabilirea 2.2.1. Organizarea funcional a Structura funcional nu este
structurii departamentului IT adaptat complexitii S Sczut
organizatorice activitilor derulate
2.2.3. Examinarea sistemului de Riscurile nu sunt identificate
gestionare a riscurilor generale i gestionate la nivelul S Sczut
la nivelul departamentului IT structurii funcionale
2.2.4. Riscurile legate de Gestionarea slab a riscurilor
securitatea datelor, programelor privind securitatea
i echipamentelor sunt informaiilor T Ridicat
identificate i evaluate ct mai
corect i complet.
60
T/ Consecina Grad
2.3. Stabilirea 2.3.3. Definirea sarcinilor prin Sarcinile stabilite postului
responsabilitilor fia postului potrivit fiei postului nu
corespund cu aciunile efectiv S Sczut
realizate de ocupantul
postului
Operaii ale 3.1 Managementul 3.1.2. Performana, capacitatea Lipsa analizelor privind
3. sistemului operaiunilor si disponibilitatea sistemelor scopul i cerinele de realizare
informatic informatice este monitorizat de a activitilor i calitatea S Sczut
administratori aplicaiilor sau programelor
utilizate
3.1.3. Responsabilitatea pentru Responsabilitile
supravegherea sarcinilor pe operatorilor nu sunt
seturi de programe revine delimitate i stabilite n
S Sczut
administratorilor funcie de specializarea
fiecruia i tipurile de
aplicaii i programe utilizate
3.1.4. Elaborarea Planului anual Activitile sunt derulate n
de activitate cadrul departamentului fr a
S Sczut
exista o planificare anual sau
periodic
3.2. Managementul 3.2.2. Programele antivirus Utilizarea neadecvat a
S Sczut
problemelor asigur protecia aplicaiilor programelor antivirus
3.2.4. Implementarea Programele i aplicaiile
subsistemelor IT derulate la nivelul
organizaiei nu sunt
actualizate potrivit noilor S Sczut
necesiti ca urmare a
modificrii aciunilor de
3.3. 3.3.2. Organizarea funcional a Activitile i aciunile
Funcionalitatea activitilor n cadrul necesare realizrii acestora nu
activitilor n departamentului IT sunt repartizate eficient i S Sczut
cadrul omogen pe compartimente n
departamentului IT cadrul departamentului IT
61
T/ Consecina Grad
3.3.6. Asigurarea caracterului Accesul la datele i
secret al datelor informaiile organizaiei nu
S Sczut
este limitat doar pentru
persoanele ndreptite
3.4. Mentenana 3.4.1. Obinerea de rapoarte de Rapoartele obinute nu ofer
echipamentelor activitate utile informaii suficiente pentru T Ridicat
luarea deciziilor
3.4.2. ntreinerea calculatorului Disfunciunile identificate nu
i a echipamentelor sunt analizate i nlturate n
S Sczut
conformitate cu instruciunile
i manualele de ntreinere
3.4.3. Instalarea i configurarea Echipamentele periferice nu
calculatorului sunt instalate i conectate S Sczut
conform documentaiei
3.5. Utilizarea 3.5.1. Realizarea eficient a Suportul tehnic cu privire la
echipamentelor operaiilor n cadrul utilizarea programelor nu este
S Sczut
departamentului IT furnizat n mod corespunztor
utilizatorilor
3.5.3. Administrarea eficient a Controlul intern asupra
aplicaiilor i programelor datelor de intrare nu este S Sczut
asigurat corespunztor
3.5.4. Evaluarea problemelor i Lipsa revizuirii i urmririi
soluionarea acestora msurilor privind corectarea
S Sczut
erorilor conduce la persistena
unora dintre acestea
4. Securitatea 4.1. Organizarea 4.1.2. Crearea standardelor i Standardele privind
informaiilor securitii practicilor pentru securitatea securitatea informaiei nu T Ridicat
informaiilor informaiei sunt definite formal
4.1.4. Elaborarea politicii Datele i informaiile
privind securitatea informaiei prelucrate i stocate nu sunt
asigurate n condiii de S Sczut
confidenialitate, integritate i
disponibilitate;
62
T/ Consecina Grad
4.1.5. Stabilirea Politica de securitate nu
responsabilitilor n cadrul definete responsabilitile cu
S Sczut
politicii de securitate privire la securitatea datelor i
informaiilor
4.1.7. Securitatea datelor Accesul la informaii i
asigur disponibilitatea acestora pentru persoanele S Sczut
doar pentru utilizatori autorizai neautorizate
4.2. 4.2.2. Protejarea datelor Vulnerabilitate sporit n faa
Disponibilitatea mpotriva viruilor viruilor S Sczut
datelor
4.2.3. Asigurarea continuitii Planurile privind
activitilor continuitatea activitilor nu
S Sczut
stabilesc msuri concrete
pentru reluarea activitii
4.2.4. Recuperarea datelor n Lipsa planurilor de recuperare
S Sczut
caz de dezastru a datelor i informaiilor
4.3. Asigurarea 4.3.1. Asigurarea introducerii Aplicaiile informatice nu
funcionrii corecte a datelor i informaiilor sunt utilizate n conformitate S Sczut
programelor i pentru prelucrare cu instruciunile de exploatare
aplicaiilor 4.3.3. Prelucrarea datelor Introducerea incorect a
datelor i informaiilor n
S Sczut
cadrul programelor i
aplicaiilor
4.3.4. Asigurarea securitii Accesul la datele i
datelor i documentelor informaiile stocate nu este
S Sczut
restricionat i autorizat pe
niveluri ierarhice
4.4. Implementarea 4.4.1. Accesul la aplicaie este Accesul la program, aplicaie
instrumentelor de oferit pe baza necesitilor este oferit pentru ntregul S Sczut
control utilizatorului personal ce posed o parol
4.4.3. Introducerea Accesul fizic la echipamente
instrumentelor de control fizic i aplicaii nu este S Sczut
asupra echipamentelor IT restricionat
63
T/ Consecina Grad
4.5. Securitatea 4.5.2. Monitorizarea securitii Comunicarea datelor n reea
reelei reelelor nu este monitorizat S Sczut
4.6. Gestionarea 4.61. Utilizatorii au parole de Accesul la aplicaii se

parolelor acces individuale realizeaz direct, fr a fi
S Sczut
permis doar pentru personalul
ndreptit
4.6.2. Schimbarea periodic a Risc crescut de spargere a
S Sczut
parolelor parolei
4.6.4. Protejarea parolelor Descrcarea ilegal a unor
S Sczut
informaii
4.6.5. Persoanele autorizate au Accesul la servere este permis
acces la sistemul de operare ntregului personal, nefiind S Sczut
nregistrat i monitorizat
4.7. Securitatea 4.7.1. Asigurarea securitii Lipsa controalelor sau
logic funcionrii programelor i controale slabe de acces S Sczut
aplicaiilor
5 Proiectarea i 5.1. Proiectarea i 5.1.1. Proiectarea programului n proiectarea programului/
testarea elaborarea informatic aplicaiei, fluxul de date nu
S Sczut
programelor i programelor i este stabilit adecvat
aplicaiilor aplicaiilor rezultatelor ateptate
5.1.2. Elaborarea programului Graficul de realizare a
informatic programului i bugetul S Sczut
aprobat nu sunt respectate
5.2. Testarea i 5.2.1. Utilizarea de date Efectuarea de prelucrri
implementarea ipotetice n testarea unui asupra datelor n cadrul T Ridicat
programelor i program testrii programelor
aplicaiilor 5.2.2. Testarea programului i Neconformitile i erorile
aplicaiei constatate n cursul testrii
S Sczut
unui program nu sunt
analizate cu atenie
64
T/ Consecina Grad
5.2.3. Asigurarea corectitudinii Opiunile i parametrii de
rezultatelor lucru ai
programului/aplicaiei nu sunt
S Sczut
stabilii conform
specificaiilor din
6. Elaborarea i 6.1. Dezvoltarea 6.1.2. Iniierea i elaborarea Obiectivele generale ale
implementarea proiectelor IT proiectelor IT proiectului nu sunt stabilite cu
S Sczut
proiectelor IT (programe i respectarea strategiei generale
aplicaii) a organizaiei
6.1.3. Monitorizarea Parametri de referin i
performanelor soluiilor IT valorile etalon ale
implementate programelor elaborate nu S Sczut
respect specificaiile i nu se
ncadreaz n standarde
6.2. Implementarea 6.2.1. Reproiectarea soluiilor Soluiile privind
i funcionarea IT pentru programe i aplicaii mbuntirea programelor i
programelor i aplicaiilor nu in cont de
S Sczut
aplicaiilor punctele slabe i critice,
precum i evoluiile
tehnologice
6.2.3. ntreinerea aplicaiilor Supravegherea proceselor
garanteaz funcionarea aflate n execuie i a
proceselor la parametrii optimi performanelor aplicaiilor,
S Sczut
sistemelor sau programelor
nu respect procedurile i
instruciunile
7. Proiectarea i 7.1. Proiectarea, 7.1.1. Asigurarea bunei Subsistemele existente nu
meninerea n instalarea i funcionri a sistemelor bazate sunt configurate i
S Sczut
funciune a administrarea pe existena i funcionarea supravegheate individual,
unei reele reelei de reelei de calculatoare
65
T/ Consecina Grad
calculatoare 7.1.3. Administrarea serverelor Accesul i utilizarea datelor i
informaiilor stocate pe server
S Sczut
nu respect strategia de
securitate a reelei
7.2. Interconectarea 7.2.1. Interconectarea reelelor Conexiunile dintre reele nu
i securitatea reelei sunt conforme cu arhitectura
S Sczut
prevzut de instruciuni i nu
respect standardele;
7.2.2. Proiectarea i asigurarea Vulnerabilitile i
securitii reelei ameninrile nu sunt S Sczut
identificate i prioritizate
Auditori,
Popescu Sorin
Radu George
Not:
n faza de ierarhizare se elaboreaz documentul Tabelul puncte tari i puncte slabe, prin preluarea operaiilor auditabile cu riscuri semnificative (mari i
medii) din documentul Clasarea operaiilor, respectiv un numr de 70 obiecte audiabile i 70 de riscuri asociate acestora.
Ierarhizarea obiectelor audiabile const n evaluarea funcionalitii sistemelor de control intern care limiteaz efectele riscurilor i care dau posibilitatea
auditorilor interni s aprecieze acele obiecte audiabile ca fiind puncte tari, celelalte riscuri pentru care nu exista activiti de control sau acestea sunt nefuncionale
sunt in continuare considerate puncte slabe. Astfel, n urma analizei au rezultat 6 riscuri asociate obiectelor audiabile care au fost evaluate ca fiind puncte tari i
care vor fi eliminate din auditare.
Pornind de la documentul Tabelul puncte tari i puncte slabe se va elabora documentul Tematica n detaliu a misiunii de audit n care vor fi preluate numai
operaiile considerate ca fiind puncte slabe, ocazie cu care vor fi renumerotate si stabilita corespondenta cu paragrafele din Raportul de audit intern..
Un punct tare sau un punct slab trebuie s fie exprimat n funcie de un obiectiv de control intern sau de o caracteristic urmrit, pentru a asigura buna
funcionare a structurii auditate.
Documentul Tabelul puncte tari i puncte slabe conine att gradul de ncredere al auditorului intern n funcionarea controlului intern, ct i consecinele
funcionrii/nefuncionrii acestuia, care va conduce la minimizarea riscului, atunci cnd gradul de ncredere este mare (punct tare), i la maximizarea apariiei riscului,
atunci cnd gradul de ncredere este mic (punct slab).
66
Entitatea Public
TEMATICA N DETALIU

Paragraful
Nr Activiti/
Domeniul Obiecte auditabile corespunzto
crt obiective
r din RAI
1. Strategia i Strategia IT este Strategia IT definete necesitile i prioritile
planificarea concordant cu II 1.1.1.
sistemelor scopurile organizaiei
informatice Planurile IT se Planurile IT ajut la ndeplinirea misiunii organizaiei II 1.2.1
adreseaz ntregii Planurile IT ofer asigurare cu privire la faptul c
organizaii II 1.2.2
resursele IT sunt alocate n concordan cu necesitile
Obiectivele IT Strategia IT este concordant cu scopurile organizaiei
ndeplinesc
II 1.3.1
obiectivele
organizaiei
Comitetul IT Comitetul IT transpune strategia n planuri pe termen
II 1.4.1.
determin strategia scurt i pe termen mediu
IT Comitetul IT stabilete prioritile proiectelor ntre
II 1.4.2.
dezvoltarea sistemelor i activitile realizate
Organizarea IT Organizarea adecvat a funciei IT II 1.5.1.
corespunde Adecvarea practicilor i procedurilor IT la procesele
necesitilor existente II 1.5.2.
organizaiei
Elaborarea strategiei Dotarea actual cu tehnic de calcul a stat la baza
IT corespunde strategiei IT II 1.6.1.
strategiei entitii
2 Organizarea Definirea atribuiilor Definirea atribuiilor i responsabilitilor n cadrul
II 2.1.1.
i i activitilor departamentului IT
funcionarea Definirea activitilor n cadrul structurii organizatorice II 2.1.2.
departament Stabilirea structurii Organizarea funcional a departamentului IT II 2.2.1.
ului IT organizatorice Examinarea sistemului de gestionare a riscurilor generale
II 2.2.2.
la nivelul departamentului IT
Stabilirea Definirea sarcinilor prin fia postului
II 2.3.1.
responsabilitilor
3. Operaii ale Managementul Performana, capacitatea si disponibilitatea sistemelor
II 3.1.1.
sistemului operaiunilor informatice este monitorizat de administratori
informatic Responsabilitatea pentru supravegherea sarcinilor pe
II 3.1.2.
seturi de programe revine administratorilor
Elaborarea planului anual de activitate II 3.1.3.
Managementul Programele antivirus asigur protecia aplicaiilor II 3.2.1.
problemelor Implementarea subsistemelor IT II 3.2.2.
Funcionalitatea Organizarea funcional a activitilor n cadrul
II 3.3.1.
activitilor n cadrul departamentului IT
departamentului IT Asigurarea caracterului secret al datelor
II 3.3.2.
Mentenana ntreinerea calculatorului i a echipamentelor II 3.4.21

echipamentelor Instalarea i configurarea calculatorului II 3.4.2.
67
Paragraful
Nr Activiti/
Domeniul Obiecte auditabile corespunzto
crt obiective
r din RAI
Utilizarea Realizarea eficient a operaiilor n cadrul
II 3.5.1.
echipamentelor departamentului IT
Administrarea eficient a aplicaiilor i programelor II 3.5.2.
Evaluarea problemelor i soluionarea acestora II 3.5.3.
Securitatea Organizarea Elaborarea politicii privind securitatea informaiei II 4.1.1.
4. informaiilor securitii
informaiilor Stabilirea responsabilitilor n cadrul politicii de
II 4.1.2.
securitate
Securitatea datelor asigur disponibilitatea acestora doar
II 4.1.3.
pentru utilizatori autorizai
Disponibilitatea Protejarea datelor mpotriva viruilor II 4.2.1.
datelor Asigurarea continuitii activitilor II 4.2.2.
Recuperarea datelor n caz de dezastru II 4.2.3.
Asigurarea Asigurarea introducerii corecte a datelor i informaiilor
II 4.3.1.
funcionrii pentru prelucrare
programelor i Prelucrarea datelor II 4.3.2.
aplicaiilor Asigurarea securitii datelor i documentelor II 4.3.3.
Implementarea Accesul la aplicaie este oferit pe baza necesitilor
II 4.4.1.
instrumentelor de utilizatorului
control Introducerea instrumentelor de control fizic asupra
II 4.4.2.
echipamentelor IT
Securitatea reelei Monitorizarea securitii reelelor II 4.5.1.
Gestionarea parolelor Utilizatorii au parole de acces individuale II 4.6.1.
Schimbarea periodic a parolelor II 4.6.2.
Protejarea parolelor II 4.6.3.
Persoanele autorizate au acces la sistemul de operare II 4.6.4.
Securitatea logic Asigurarea securitii funcionrii programelor i
II 4.7.1.
aplicaiilor
5 Proiectarea Proiectarea i Proiectarea programului informatic II 5.1.1.
i testarea elaborarea
programelor programelor i Elaborarea programului informatic
II 5.1.2.
i aplicaiilor
aplicaiilor Testarea i Testarea programului i aplicaiei II 5.2.1.
implementarea Asigurarea corectitudinii rezultatelor
programelor i II 5.2.2.
aplicaiilor
6. Elaborarea Dezvoltarea Iniierea i elaborarea proiectelor IT
II 6.1.1.
i proiectelor IT
implementar (programe i Monitorizarea performanelor soluiilor IT implementate
ea aplicaii) II 6.1.22.
proiectelor Implementarea i Reproiectarea soluiilor IT pentru programe i aplicaii
IT funcionarea II 6.2.1.
programelor i ntreinerea aplicaiilor garanteaz funcionarea
aplicaiilor II 6.2.2.
proceselor la parametrii optimi
7. Proiectarea Proiectarea, Asigurarea bunei funcionri a sistemelor bazate pe
II 7.1.1.
i instalarea i existena i funcionarea reelei de calculatoare
meninerea administrarea reelei Administrarea serverelor
II 7.1.2.
n funciune de calculatoare
a unei reele Interconectarea i Interconectarea reelelor II 7.2.1.
securitatea reelei Proiectarea i asigurarea securitii reelei II 7.2.2
Auditori,
Popescu Sorin
Radu George
68
Not:
Procedura Analiza riscurilor a nceput cu elaborarea documentului Lista centralizatoare a obiectelor
audiabile i se finalizeaz cu Tematica n detaliu a misiunii de audit.
Tematica n detaliu a misiunii de audit, este acea faz din procedura Analizei riscurilor, care se
realizeaz prin selectarea obiectelor audiabile, pornind de la documentul Tabelul puncte tari i puncte slabe,
care au fost evaluate ca fiind puncte slabe si care vor fi avute in vedere, in continuare, pentru auditare.
Documentul, semnat de echipa de auditori i de supervizorul misiunii, respectiv de eful
compartimentului de audit intern, va fi adus la cunotin principalilor responsabili ai entitii auditate n
cadrul edinei de deschidere.
n continuare, operaii/obiecte audiabile, vor fi avute n vedere n activitatea de auditare, deoarece
reprezint riscuri semnificative pentru domeniul auditat i vor fi supuse diferitelor testri, stabilite pe baza
Programului interveniei la faa locului, care se vor materializa n FIAP-uri i FCRI-uri, acolo unde este cazul,
i n final vor fi transferate i comentate n Raportul de audit intern, n ordinea din Tematica n detaliu a
misiunii de audit.
69
70
Procedura PO6: ELABORAREA PROGRAMULUI DE AUDIT
Entitatea Public
PROGRAMUL DE AUDIT
OBIECTIVELE DURATA PERSOANELE LOCUL

ACTIVITILE PROGRAMATE
AUDITULUI (H) IMPLICATE DESFURRII
Tema general: Activitatea IT 388
1. Pregtirea misiunii 54
de audit 1. Tiprirea i procesarea Ordinului de serviciu 2 Dumitru Daniel SAI
2. Tiprirea i procesarea Declaraiei de independena 2 Popescu Sorin SAI
3. Pregtirea i transmiterea Notificrii privind declanarea misiunii
4 Radu George SAI
de audit intern ctre prile interesate
4. Colectarea i prelucrarea informaiilor Popescu Sorin SAI
8
Radu George AUDITAT
5. ntocmirea Listei centralizatoare a obiectelor audiabile Popescu Sorin
8 SAI
Radu George
6. Elaborarea Tabelului puncte tari i puncte slabe Radu George
8 SAI
Popescu Sorin
7. ntocmirea Programului de audit intern 8 Radu George SAI
8. ntocmirea Notei i a Programului interveniei la faa locului 8 Popescu Sorin SAI
9. Obinerea aprobrii Notei i a anexelor acesteia: Colectarea i
prelucrarea datelor, Tabelul - Puncte tari i puncte slabe i 2 Popescu Sorin SAI
Programul interveniei la faa locului.
10. Planificarea i organizarea edinei de deschidere cu SAI
2 Popescu Sorin
Departamentul IT AUDITAT
11. Redactarea Minutei edinei de deschidere. Obinerea numelui
persoanelor de contact i stabilirea unui loc pentru desfurarea 2 Radu George AUDITAT
activitii de audit.
2. Intervenia la faa locului 272
Obiectivul I. 1.1 Efectuarea testrilor 22 Popescu Sorin
71
Strategia i planificarea 1.2 Discutarea constatrilor cu eful de serviciu 2
sistemelor informatice 1.3 Elaborare FIAP - urilor 8 AUDITAT
1.4 Colectarea dovezilor 4 SAI
1.5 Revizuirea documentelor de lucru din punct de vedere al
coninutului i al formei i ntocmirea Notei centralizatoare a 4
documentelor de lucru
Obiectivul II. 2.1 Efectuarea testrilor 22
Organizarea i 2.2 Discutarea constatrilor cu eful de serviciu 2
funcionarea 2.3 Elaborarea FIAP - urilor 8
departamentului IT 2.4 Colectarea dovezilor 4 Radu George AUDITAT
2.5 Revizuirea documentelor de lucru din punct de vedere al SAI
Obiectivul III. Operaii 3.1 Efectuarea testrilor 22
ale sistemului 3.2 Discutarea constatrilor cu eful de serviciu 2
informatic 3.3 Elaborarea FIAP - urilor 8
3.4 Colectarea dovezilor 4 Popescu Sorin AUDITAT
3.5 Revizuirea documentelor de lucru din punct de vedere al SAI
Obiectivul IV. 4.1 Efectuarea testrilor 22
Securitatea 4.2 Discutarea constatrilor cu eful de serviciu 2
informaiilor 4.3 Elaborarea FIAP - urilor 8
AUDITAT
4.4 Colectarea dovezilor 4 Radu George
SAI
Obiectivul V. 5.1 Efectuarea testrilor 20
Achiziionarea i 5.2 Discutarea constatrilor cu eful de serviciu 2
testarea aplicaiilor 5.3 Elaborarea FIAP - urilor 8 AUDITAT
5.4 Colectarea dovezilor 4 Popescu Sorin
SAI
Obiectivul VI. 6.1 Efectuarea testrilor 20 Radu George
Elaborarea i 6.2 Discutarea constatrilor cu eful de serviciu 2
implementarea 6.3 Elaborarea FIAP - urilor 8 AUDITAT
72
proiectelor IT 6.4 Colectarea dovezilor 4 SAI
Obiectivul VII. 6.1 Efectuarea testrilor 18
Proiectarea i 6.2 Discutarea constatrilor cu eful de serviciu 2
meninerea n funciune 6.3 Elaborarea FIAP - urilor 8
a unei reele 6.4 Colectarea dovezilor 4 Popescu Sorin
12. Planificarea si organizarea edinei de nchidere Radu George AUDITAT
13. Discutarea constatrilor cu Departamentul IT Radu George
4 AUDITAT
Popescu Sorin
14. Concluzii 4 Radu George SAI
III. Raportul de audit 58
intern 15. Redactarea proiectului de Raport de audit intern Radu George
16 SAI
Popescu Sorin
16. Revizuirea Raportului de audit intern Radu George
8 SAI
Popescu Sorin
17. Obinerea proiectului de Raport de audit intern aprobat de
8 Popescu Sorin SAI
conducere
18. Transmiterea proiectului de Raport de audit intern la auditat i
2 Popescu Sorin SAI
solicitarea de rspuns n 15 zile
19. Planificarea i organizarea Reuniunii de conciliere, dac este
4 Popescu Sorin AUDITAT
cazul
20. Includerea n Raportul de audit intern a aspectelor reinute din Radu George
4 SAI
punct de vedere al auditatului Popescu Sorin
21. Finalizarea Raportului de audit intern Radu George
4 SAI
Popescu Sorin
22. Obinerea Raportului de audit intern aprobat de conducerea
8 Popescu Sorin SAI
instituiei
23. Transmiterea recomandrilor aprobate ctre auditat 4 Popescu Sorin SAI
IV. Urmrirea 24. ntocmirea Fisei de urmrire a recomandrilor
4 Popescu Sorin SAI
recomandrilor
Data: 08.09.2009 Auditori, ef compartiment audit intern,
Radu George
73
Not:
Programul de audit intern este documentul prin care repartizm resursele de audit n vederea realizrii misiunii de audit intern respectiv, stabilim ntre membri
echipei de auditori activitile pe care le vor desfura n vederea atingerii obiectivelor stabilite si timpul necesar pentru parcurgerea etapelor si procedurilor specifice in
vederea ncadrrii in perioadele afectate prin Planul de audit intern.
Programul de audit este un document intern de lucru al compartimentului de audit intern, care se ntocmete pe baza Tematicii n detaliu a misiunii de audit
prin care se realizeaz ordinea de parcurgere a procedurilor misiunii de audit pe timpul derulrii acesteia. De fapt, Programul de audit presupune un plan detaliat al
activitii ce trebuie realizat n etapa de Intervenie la faa locului i care trebuie s cuprind procedurile necesare atingerii obiectivelor misiunii de audit.
74
Procedura PO6 : ELABORAREA PROGRAMULUI DE AUDIT
Entitatea Public
PROGRAMUL INTERVENIEI LA FAA LOCULUI

Durata Nr. lista de Nr.

Nr. Locul
Obiecte audiabile Tipul testrii testrii verificare test Auditori
crt. testrii
(h)
OBIECTIVUL NR. 1 STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE
A 1.1. Strategia IT este concordant cu scopurile organizaiei
1 1.1.1. Strategia IT definete Analiza sistemului de elaborarea a strategiei Structura 6 I T1 Popescu
necesitile i prioritile; Compararea obiectivelor strategie ale IT cu cele ale auditat Sorin
organizaiei
Examinarea direciilor strategice n domeniul IT
Analiza responsabilitilor n elaborarea strategiei
Analiza politicilor privind implementarea strategiei
Analiza obiectivelor IT strategice
Analiza managementului IT
B 1.2. Planurile IT se adreseaz ntregii organizaii
1 1.2.2. Planurile IT ajut Analiza planurilor de activitate Structura 4 I T2 Popescu
ndeplinirea misiunii Examinarea cunoaterii obiectivelor planului de activitate auditat Sorin
organizaiei Analiza echilibrului ndeplinirii planului de activitate cu
resursele alocate
Analiza adaptabilitii planului la necesiti
Analiza corelrii planului de activitate cu politica i
strategia
2 1.2.3. Planurile IT ofer Analiza monitorizrii obiectivelor i direciilor de activitate Structura 4 I T3 Popescu
asigurare cu privire la faptul Analiza implicaiei strategiei IT asupra organizaiei auditat Sorin
c resursele IT sunt alocate n
75
Nr. Locul
crt. testrii
(h)
C 1.3. Obiectivele IT ndeplinesc obiectivele organizaiei
1 1.3.1. Strategia IT este Observarea modului de cunoatere i implementare a Structura 4 I T4 Popescu

concordant cu scopurile
strategiei auditat Sorin
organizaiei Analiza organizrii funcionale a departamentului IT
Analiza impactului obiectivelor strategice
Examinarea misiunii organizaiei n comparaie cu
scopurile strategice
Analiza modalitilor de implementare a strategiei
Analiza fundamentrii necesarului de resurse n
fundamentarea strategiei
D 1.4. Comitetul IT determin strategia IT
1 1.4.2. Comitetul IT transpune Examinarea constituirii Comitetului de dezvoltare IT Structura 4 I T5 Popescu

strategia n planuri pe termen Examinarea atribuiilor Comitetului IT auditat Sorin
scurt i mediu Analiza responsabilitilor Comitetului IT
Analiza activitilor realizate de Comitetul IT
2 1.4.3. Comitetul IT stabilete Examinarea programului de dezvoltare IT a organizaiei Structura 4 I T6 Popescu
prioritile proiectelor ntre Analiza modului de fundamentare a programului de auditat Sorin
dezvoltarea sistemelor i dezvoltare IT a organizaiei
operaiile realizate Analiza calitativ a echipamentelor si aplicaiilor
achiziionate
E 1.5. Organizarea IT corespunde necesitilor organizaiei
1 1.5.1. Organizarea adecvat a Examinarea deciziilor IT i transformrile mediului Structura 4 I T7 Popescu
funciei IT organizaional auditat Sorin
Analiza adecvrii i conformitii procedurilor
Analiza performanelor activitii IT
Analiza competenelor i responsabilitilor IT
2 1.5.3. Adecvarea practicilor i Examinarea modului de instruire a utilizatorilor 4 I Popescu
procedurilor IT la procesele Analiza dac sistemele i aplicaiile IT acoper nevoile i Sorin
existente necesitile organizaiei
Examinarea adecvrii practicii IT la procesele din
organizaie
Examinarea suficienei procedurilor n domeniul IT
F 1.6. Elaborarea strategiei IT corespunde strategiei entitii
1 1.6.1. Infrastructura IT a stat la Analiza existentei controlului asupra echipamentelor Structura 8 I T8 Popescu
baza elaborrii strategiei IT Examinarea realizrii achiziiilor n concordan cu auditat Sorin
76
Nr. Locul
crt. testrii
(h)
realizarea obiectivelor strategice
OBIECTIVUL NR. 2 ORGANIZAREA I FUNCIONAREA DEPARTAMENTULUI IT

A 2.1. Definirea atribuiilor i activitilor
1 2.1.1. Definirea atribuiilor i Analiza activitilor stabilite Structura 10 II T9 Radu
responsabilitilor n cadrul Analiza gradului de procedurare a activitilor auditat George
departamentului IT Analiza atribuiilor stabilite
Compararea atribuiilor cu aria de competen necesar
pentru realizarea activitilor
2 2.1.6. Definirea activitilor n Examinarea stabilirii omogene a activitilor n cadrul Structura 10 II T10 Radu
cadrul structurii organizatorice compartimentelor funcionale ale departamentului IT auditat George
Analiza aciunilor stabilite pentru realizarea activitilor
Examinarea repartizrii activitilor pe compartimente n
funcie de rolul acestora
B 2.2. Stabilirea structurii organizatorice
1 2.2.1. Organizarea funcional Analiza organigramei departamentului Structura 5 II T11 Radu
a departamentului IT Analiza ROF-ului departamentului auditat George
Analiza ocuprii posturilor
Analiza specializrii posturilor
Analiza dotrii tehnice a posturilor
Analiza limitelor decizionale la nivelul posturilor de
conducere i execuie
Analiza modului de proiectare a sistemului informaional
2 2.2.3. Examinarea sistemului Analiza politicii de gestionare a riscurilor Structura 5 II T12 Radu
de gestionare a riscurilor Analiza modului de control i gestiune a riscurilor auditat George
generale la nivelul Analiza modului de conducere a Registrului riscurilor
Departamentului IT Analiza nivelului decizional privind implementarea
instrumentelor de control
Analiza modului de identificare i gestionare a riscurilor pe
activiti i obiective
Analiza modului revizuire a riscurilor
C 2.3. Stabilirea responsabilitilor
1 2.3.3. Definirea sarcinilor prin Analiza elaborrii fiei postului in raport cu cerinele Structura 10 II T13 Radu
fia postului potului auditat George
Analiza modului de delegare a activitilor
Analiza capacitii titularului postului de a realiza
77
Nr. Locul
crt. testrii
(h)
atribuiile alocate
Analiza stabilirii atribuiilor n raport cu nivelul postului
OBIECTIVUL NR. 3 OPERAII ALE SISTEMULUI INFORMATIC
A 3.1. Managementul operaiunilor
1 3.1.2. Performana, capacitatea Verificarea dac mesajele de eroare sunt abordate n Structura 3 III T14 Popescu
si disponibilitatea sistemelor conformitate cu manualele de operare auditat Sorin
informatice este monitorizat Verificarea dac informatizarea organizaiei ia n
de operatori considerare toate departamentele din cadrul acesteia
Verificarea dac este estimat timpul maxim de
nefuncionare care poate fi acceptat, i costurile asociate
acestuia.
2 3.1.3. Responsabilitatea pentru Verificarea dac utilizatorii sunt instruii pentru nsuirea Structura 3 III T15 Popescu
supravegherea sarcinilor pe modului de lucru cu aplicaiile noi auditat Sorin
seturi de programe revine Verificarea dac utilizatorii primesc asisten n rularea
operatorilor aplicaiilor
Verificarea dac responsabilitatea funcionrii fiecrui
program este n sarcina unui administrator
Verificarea dac exist o supraveghere permanent n
cadrul sistemului asupra derulrii unui program sau
aplicaie
3 3.1.4. Elaborarea planului Verificarea dac politica n domeniul IT se reflect n Structura 2 III T16 Popescu
anual de activitate planul anual de activitate n domeniul IT auditat Sorin
Examinarea dac managerii cu responsabiliti n
monitorizarea implementrii politicii IT, au fost consultai
la elaborarea planului anual de activitate n domeniul IT
Examinarea dac responsabilitile sunt clar definite
pentru realizarea activitilor IT
Identificarea deciziilor luate n vederea elaborrii i
actualizrii planului i analiza dac acestea sunt n
conformitate cu activitile stabilite
B 3.2. Managementul problemelor
1 3.2.2. Programele antivirus Verificarea dac exist proceduri pentru protecia Structura 4 III T17 Popescu
asigur protecia aplicaiilor mpotriva viruilor, care s specifice modul de configurare auditat Sorin
al programului antivirus
Verificarea dac sunt alese cele mai potrivite soluii
antivirus;
Verificarea dac se realizeaz scanarea antivirus pe
78
Nr. Locul
crt. testrii
(h)
servere, staii de lucru sau pota electronic
Verificarea configurrii programului antivirus
2 3.2.4. Implementarea Analiza criteriilor avute n vedere la elaborarea Structura 4 III T18 Popescu
subsistemelor IT subsistemelor IT pentru funciile principale auditat Sorin
Verificarea dac departamentele nou nfiinate au fost
solicitate s-i exprime cerinele specifice privind
realizarea unor subsisteme IT specifice activitii lor
Verificarea stabilirii de responsabiliti personalului de
specialitate, pe linia implementrii sistemului IT
Examinarea cunoaterii reglementrilor specifice privind
implementarea sistemului IT de ctre responsabilii cu
realizarea acestei activiti
Examinarea modului de alocare a resurselor necesare
realizrii subsistemelor IT
Verificarea activitii de monitorizare a implementrii
subsistemelor IT
C 3.3. Funcionalitatea activitilor n cadrul departamentului IT
1 3.3.2. Organizarea funcional Analiza dac departamentul IT este subordonat unui nivel Structura 4 III T19 Popescu
a activitilor n cadrul managerial corespunztor auditat Sorin
departamentului IT Verificarea dac organigrama departamentului IT
corespunde organizrii actuale a departamentului;
Verificarea dac numrul de posturi existent n cadrul
departamentului IT asigur realizarea activitilor i
atribuiilor
Analiza dac atribuiile departamentului sunt definite
corect i n totalitate n cadrul ROF-ului
Analiza modului de asigurare a continuitii activitilor n
funcie de pregtirea salariailor i vechimea n munc
Analizai dac pregtirea i calificarea salariailor
departamentului IT asigur utilizarea optim a
programelor, aplicaiilor, echipamentelor i dezvoltarea
informaional a entitii
2 3.3.6. Asigurarea caracterului Verificarea dac aplicaiile respect schemele privind Structura 4 III T20 Popescu
secret al datelor nivele de secretizare n conformitate cu standardele auditat Sorin
organizaiei;
Verificarea dac secretizarea informaiilor ia n
considerare impactul pierderii confidenialitii, integritii
sau disponibilitilor informaiei asupra activitii
79
Nr. Locul
crt. testrii
(h)
Verificarea dac monitorizarea sistemelor se concentreaz
pe punctele vulnerabile
Verificarea dac sunt nregistrate toate evenimentele cheie
n cadrul unui sistem
D 3.4. Mentenana echipamentelor
1 3.4.2. ntreinerea Verificarea dac operaiunile de mentenan se efectueaz Structura 4 III T21 Popescu
calculatorului i a conform planificrii, folosindu-se procedurile standard de auditat Sorin
echipamentelor testare
Verificarea dac disfuncionalitile hardware sunt
identificate corect i n timp util i sunt nlturate n
conformitate cu instruciunile i manualele de ntreinere
Verificarea dac produsele software sunt instalate i
configurate conform documentaiilor i indicaiilor
furnizorilor
Verificai dac corecia erorilor se realizeaz n limita
competenelor
2 3.4.3. Instalarea i Verificarea dac sursele de alimentare sunt alese i Structura 4 III T22 Popescu
configurarea calculatorului verificate n conformitate cu cerinele tehnice; auditat Sorin
Verificarea dac sistemul de operare, componentele
software, componentele de acces n reea sunt instalate i
configurate corect;
Verificarea dac partajarea resurselor se face verificnd
tipul de acces permis utilizatorilor;
E 3.5. Utilizarea echipamentelor
1 3.5.1. Realizarea eficient a Verificarea dac este analizat impactul produs de Structura 3 III T23 Popescu
operaiilor n cadrul funcionarea incorect a unei operaii asupra ntregului auditat Sorin
departamentului IT sistem;
Verificarea dac operaiile IT sunt realizate ntr-o manier
eficient, n timp util i la intervale bine stabilite
Identificarea proceselor care utilizeaz o cantitate mai
mare de resurse i alocarea optim a acestora.
2 3.5.3. Administrarea eficient Verificarea dac se utilizeaz funcii de verificare prin Structura 2 III T24 Popescu
a aplicaiilor i programelor totaluri, chei i algoritmi; auditat Sorin
Verificarea dac utilizatorii finali pot obine rapoarte
diverse fr a afecta tranzaciile curente;
Verificai dac utilizatorilor li se acord suport tehnic
corespunztor pentru aplicaiile existente;
80
Nr. Locul
crt. testrii
(h)
Verificai dac administrarea aplicaiilor se realizeaz de
ctre administratori autorizai, care au ca atribuii
protejarea aplicaiilor mpotriva distrugerilor, a accesului
neautorizat sau utilizrii incorecte.
3 3.5.4. Evaluarea problemelor Verificarea modului de prevenire i rezolvare a Structura 3 III T25 Popescu
i soluionarea acestora incidentelor care afecteaz funcionarea normal a auditat Sorin
serviciilor IT;
Verificarea dac msurile de corectare a erorilor asigur
prevenirea reapariiei acestora;
Verificarea respectrii etapelor n soluionarea unei
probleme.
OBIECTIVUL NR. 4 SECURITATEA INFORMAIILOR
A 4.1. Organizarea securitii informaiilor
1 4.1.4. Elaborarea politicii Verificarea dac politica privind securitatea informaiei Structura 3 IV T26 Radu
privind securitatea informaiei stabilete responsabilitile asociate i principiile de auditat George
securitate care trebuie urmate de ctre personal;
Verificarea dac politica de securitate a informaiei supune
informaiile i sistemele importante unei analize de risc n
mod regulat;
Verificarea dac politica de securitate este revizuit
periodic i dac este concordant cu cultura organizaiei.
2 4.1.5. Stabilirea Verificarea dac exist un comitet nsrcinat cu Structura 3 IV T27 Radu
responsabilitilor n cadrul coordonarea activitii de securitate a informaiei; auditat George
politicii de securitate Verificai dac comitetul nsrcinat cu coordonarea
activitii de securitate a informaiei este responsabil
pentru integrarea informaiei pentru toate sectoarele
organizaiei;
Verificai dac comitetul nsrcinat cu coordonarea
activitii de securitate a informaiei asigur coordonarea
implementrii instrumentelor de control aferente securitii
informaiei.
3 4.1.7. Securitatea datelor Verificarea dac dispozitivele de stocare sunt pstrate n Structura 2 IV T28 Radu
asigur disponibilitatea condiii de securitate pentru a evita distrugerea fizic, auditat George
acestora doar pentru utilizatori pierderea sau modificarea coninutului;
autorizai Verificarea dac salvrile de date sunt efectuate cu
periodicitatea impus de importana datelor i de regulile
prestabilite;
81
Nr. Locul
crt. testrii
(h)
Verificarea dac permisiunile curente de acces la resursele
partajate sunt verificate, n vederea conformitii cu
regulile de securitate impuse.
B 4.2. Disponibilitatea datelor
1 4.2.2. Protejarea datelor Verificarea dac actualizarea produselor antivirus se Structura 2 IV T29 Radu
mpotriva viruilor realizeaz cu regularitate; auditat George
Verificarea dac programele anti-virus sunt adecvate
necesitilor utilizatorilor staiilor de lucru
Verificai dac este realizat o monitorizarea sistematic a
funcionalitii programelor anti-virus.
2 4.2.3. Asigurarea continuitii Verificarea dac resursele umane, precum i cele Structura 2 IV T30 Radu
activitilor hardware/software implicate n procesul de aplicare a auditat George
planului de asigurare a continuitii sunt prestabilite i sunt
disponibile;
Verificarea dac planul privind asigurarea continuitii
activitilor stabilete criteriile i procedurile de
recunoatere a unei crize;
Verificarea dac planul definete procedurile tehnice de
reluare sau continuare a proceselor critice;
Verificarea dac echipa de intervenie n caz de dezastru
este implicat n conceperea planului privind continuitatea
activitilor;
Verificarea dac planurile privind continuitatea
activitilor sunt conforme cu obiectivele generale i cu
strategia de administrare a riscurilor.
3 4.2.4. Recuperarea datelor n Verificarea modului de elaborare a planului de recuperare Structura 2 IV T30 Radu
caz de dezastru a datelor n caz de dezastru; auditat George
Verificarea responsabilitilor echipa nsrcinate cu
implementarea planului;
Analiza modului de testare i modificare periodic a
planului;
Verificarea modului de creare a salvrilor de siguran;
Stabilirea dac locaia n care sunt stocate datele pentru a
fi recuperate n caz de dezastru este adecvat.
C 4.3. Asigurarea funcionrii programelor i aplicaiilor
1 4.3.1. Asigurarea introducerii Verificarea procedurilor de introducere a datelor; Structura 3 IV T31 Radu
corecte a datelor i Verificarea monitorizrii prelucrrii electronice a datelor; auditat George
82
Nr. Locul
crt. testrii
(h)
informaiilor pentru prelucrare Verificarea rapoartelor de erori nregistrate de sistemul
informatic i a modului de efectuare a testelor pentru
identificarea cauzelor apariiei acestora;
Verificarea modului de ntocmire a jurnalului interveniilor
operatorilor, jurnalul utilizrii bibliotecii de programe i a
arhivelor de date i aplicaii;
Verificarea conformitii datelor introduse cu documentele
primare.
2 4.3.3. Prelucrarea datelor Verificarea modului de depistare i corectare a erorilor Structura 3 IV T32 Radu
aprute n timpul rulrilor aplicaiilor informatice; auditat George
Verificarea modului de funcionare a programelor, folosind
ca date de test fie nregistrri originale, fie nregistrri
mostr i corectarea eventualelor erori aprute n procesul
de introducere a datelor;
Verificarea n mod regulat a drepturilor de acces
3 4.3.4. Asigurarea securitii Verificarea modului de realizare a copiilor de siguran pe Structura 4 IV T33 Radu
datelor i documentelor suporturi de stocare adecvate; auditat George
Verificarea condiiilor de pstrare a datelor i
documentelor;
Verificarea dac accesul utilizatorilor la echipamente i la
suporturi de date este realizat numai n limita permisiunilor
cerute de efectuarea sarcinilor curente;
Verificarea dac regulile de securitate referitoare la
accesul la echipamente sunt respectate;
Definirea i comunicarea corespunztoare a descrierilor i
responsabilitilor posturilor n raport cu securitatea
informaiei.
D 4.4. Implementarea instrumentelor de control
1 4.4.1. Accesul la aplicaie este Verificarea dac drepturile de acces sunt acordate conform Structura 4 IV T34 Radu
oferit pe baza necesitilor regulilor specifice; auditat George
utilizatorului Verificarea dac responsabilitatea pentru administrarea i
operarea aplicaiei este definit clar;
Verificarea dac utilizatorii sunt instruii cu privire la
utilizarea reelei i securitatea acesteia;
Verificarea dac activitatea n reea este monitorizat,
asigurndu-se c securitatea acesteia este adecvat;
Verificarea proiectrii reelelor astfel nct s asigure
eficiena traficului de date.
2 4.4.3. Introducerea Verificarea restriciilor asupra accesului fizic la sistemele Structura 2 IV T35 Radu
83
Nr. Locul
crt. testrii
(h)
instrumentelor de control fizic de calculatoare; auditat George
asupra echipamentelor IT Verificarea dac echipamentele i documentaia de
importan critic sunt asigurate suplimentar;
Verificarea modului de supraveghere a camerelor n care
sunt adpostite echipamente i faciliti critice;
Verificai dac msurile de protecie sunt n acord cu
politica de securitate a organizaiei.
E 4.5. Securitatea reelei
1 4.5.2. Monitorizarea securitii Verificarea existenei unui program de management al Structura 2 IV T36 Radu
reelelor vulnerabilitilor reelei; auditat George
Verificarea gruprii i clasificrii dispozitivelor din reea
n funcie de prioriti, de la sisteme de importan redus
la sisteme de importan vital;
Verificarea dac expunerea la risc este monitorizat prin
reprezentarea strii de ansamblu a reelei;
Verificarea dac panoul de afiare privind expunerea la
risc este actualizat permanent;
Verificarea dac este urmrit permanent reducerea
timpilor necesari pentru identificarea, remedierea i
validarea soluiilor aplicate.
F 4.6. Gestionarea parolelor
1 4.61. Utilizatorii au parole de Verificarea dac programele i aplicaiile au nivele de Structura 2 IV T37 Radu
acces individuale acces n funcie de nivelul postului; auditat George
Verificai dac parolele sunt schimbate periodic,
respectnd regulile de complexitate impuse.
2 4.6.2. Schimbarea periodic a Verificarea dac permisiunile sau drepturile utilizatorilor Structura 2 IV T38 Radu
parolelor sunt verificate periodic, pentru a corespunde strict auditat George
sarcinilor acestora;
Verificarea dac administratorul sistemului creeaz i
configureaz corespunztor conturile fiecrui utilizator;
Verificarea dac parolele generice iniiale sunt schimbate
de ctre fiecare utilizator n parte.
3 4.6.4. Persoanele autorizate au Verificarea dac accesul la sistem se realizeaz numai pe Structura 2 IV T39 Radu
acces la sistemul de operare baza conturilor de utilizatori n funcie de tipurile specifice auditat George
i de atribuiile specifice fiecrui angajat;
Verificarea modului de instruire a utilizatorilor n legtur
cu regulile de securitate logic.
G 4.7. Securitatea logic
84
Nr. Locul
crt. testrii
(h)
1 4.7.1. Asigurarea securitii Verificarea modului de identificare a ameninrilor Structura 2 IV T40 Radu
funcionrii programelor i aferente sistemelor informatice; auditat George
aplicaiilor Verificarea proteciilor n cazul accesului de la distan;
Verificarea modului de utilizare a algoritmilor de criptare
a datelor;
Verificarea modului de administrare a securitii sistemelor
de ctre persoane specializate;
OBIECTIVUL NR. 5 PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR
A 5.1. Proiectarea i elaborarea programelor i aplicaiilor
1 5.1.1. Proiectarea programului Verificarea procedurilor utilizate n proiectarea Structura 10 V T41 Popescu
informatic programelor, din punct de vedere al corectitudinii i auditat Sorin
completitudinii prelucrrile care se vor efectua asupra
datelor;
Verificarea dac instrumentele de dezvoltare a
programului/aplicaiei sunt stabilite cu respectarea
specificaiilor;
Verificarea dac pentru fiecare aplicaie n parte sunt
stabilite urmtoarele: numrul de utilizatori, rolurile
acestora, privilegiile i restriciile aplicabile fiecrui rol in
parte, accesul restricionat;
Verificarea dac proiectarea aplicaiei este monitorizat;
Verificarea dac versiunile aplicaiilor instalate ulterior sunt
compatibile i utilizeaz toate resursele versiunilor
anterioare;
Verificarea dac comunicarea cu echipa de specialiti este
permanent pe timpul proiectrii i utilizrii aplicaiei.
2 5.1.2. Elaborarea programului Verificarea algoritmului programului/aplicaiei din punct Structura 10 V T42 Popescu
informatic de vedere al conformitii cu logica operaiilor; auditat Sorin
Verificarea dac algoritmul respect cerinele de integrare
ale aplicaiei;
Verificarea performanei soluiilor de programare;
Verificarea integrrii componentelor unui program n
funcie de cerinele utilizatorilor.
B 5.2. Testarea i implementarea programelor i aplicaiilor
1 5.2.2. Testarea programului i Verificarea dac datele de test sunt definite corespunztor Structura 10 V T43 Popescu
aplicaiei prelucrrilor programului pe toate ramurile acestuia; auditat Sorin
Evaluarea rezultatelor testrii n funcie de documentaia
programului/aplicaiei;
85
Nr. Locul
crt. testrii
(h)
Verificarea conformitii datelor de testare cu manualele
de operare i utilizare;
Verificarea dac simulrile se realizeaz conform
manualului de utilizare.
2 5.2.3. Asigurarea Verificarea dac opiunile i parametrii de lucru ai Structura 10 V T44 Popescu
corectitudinii rezultatelor programului/aplicaiei sunt stabilii conform specificaiilor auditat Sorin
din documentaii;
Verificarea condiiilor de funcionare a
programului/aplicaiei, n funcie de solicitrile
utilizatorului;
Verificarea opiunilor i a parametrilor de operare ai
programului/aplicaiei, n funcie de specificaiilor din
documentaii;
Analiza modului de nsuire de ctre utilizatori a
specificaiilor programului/aplicaiei.
OBIECTIV NR. 6 ELABORAREA I IMPLEMENTAREA PROIECTELOR IT
A 6.1. Dezvoltarea proiectelor IT (programe i aplicaii)

1 6.1.2. Iniierea i elaborarea Verificarea oportunitii soluiile propuse pentru Structura 10 VI T45 Radu
proiectelor IT implementarea proiectelor IT; auditat George
Verificarea compatibilitii proiectului cu proiectele aflate
n derulare;
Verificarea necesitii asistenei tehnice;
Verificarea competitivitii proiectelor.
2 6.1.3. Monitorizarea Verificarea parametrilor de referin i a valorilor etalon Structura 10 VI T46 Radu
performanelor soluiilor IT ale programelor elaborate; auditat George
implementate Verificarea regulilor i procedurilor stabilite pentru
supravegherea i colectarea valorilor parametrilor de
referin;
Analiza rapoartelor privind implementarea proiectelor IT
propuse din punct de vedere al rigurozitii.
B 6.2. Implementarea i funcionarea programelor i aplicaiilor
1 6.2.1. Reproiectarea soluiilor Verificarea modului de identificare a punctelor slabe i a Structura 10 VI T47 Radu
IT pentru programe i aplicaii limitrilor unui program/aplicaie; auditat George
Verificarea dac documentaia cu fluxul de date i
prelucrrile necesare este elaborat adecvat situaiei reale;
Verificarea dac soluiile IT sunt proiectate pornind de la
punctele slabe, critice detectate, de la evoluiile tehnologice
86
Nr. Locul
crt. testrii
(h)
existente i cele prefigurate de dezvoltare a entitii.
2 Verificarea monitorizrii mesajelor de eroare;
6.2.3. ntreinerea aplicaiilor Structura 10 VI T48 Radu
garanteaz Verificarea dac sistemele de operare i aplicaiile sunt
funcionarea auditat George
instalate, actualizate sau configurate corespunztor,
proceselor la parametrii optimi
folosind proceduri standardizate;
Verificarea dac utilizatorii beneficiaz permanent de
asisten tehnic;
Verificarea modului de ntreinere a aplicaiilor i dac
asigur funcionarea proceselor.
OBIECTIV NR. 7 PROIECTAREA I MENINEREA N FUNCIUNE A UNEI REELE
A 7.1. Proiectarea, instalarea i administrarea reelei de calculatoare
1 7.1.1. Asigurarea bunei Verificarea dac echipamentele din reea sunt administrate Structura 10 VII T49 Radu
funcionri a sistemelor bazate centralizat; auditat George
pe existena i funcionarea Verificarea dac configurarea reelei, conectarea
reelei de calculatoare componentelor n reea, distribuirea serviciilor contribuie
la creterea productivitii muncii n organizaie;
Verificarea dac serverele i staiile client sunt amplasate
n reea i configurate conform regulilor impuse prin
strategia de securitate;
Verificarea dac regulile stabilite i implementate asigur
accesul controlat i sigur al utilizatorilor numai la acele
resurse de care au nevoie pentru ndeplinirea sarcinilor de
serviciu conform fiei postului.
2 7.1.3. Administrarea Verificarea dac accesul i utilizarea resurselor serverului Structura 10 VII T50 Radu
serverelor respect strategia de securitate a reelei; auditat George
Verificarea dac permisiunea de administrare a unui
program este acordat numai personalului calificat;
Verificai dac jurnalele identific utilizatorii care au avut
acces la program, n limita permisiunilor ce le-au fost
acordate.
B 7.2. Interconectarea i securitatea reelei
1 7.2.1. Interconectarea reelelor Verificarea dac conexiunile dintre reele sunt conforme cu Structura 10 VII T51 Radu
arhitectura general i respect standardele de auditat George
interconectare;
Verificarea dac componentele hardware i software ale
echipamentelor de legtur sunt configurate respectnd
regulile de securitate a transmisiilor de date din strategia
de securitate a organizaiei;
87
Nr. Locul
crt. testrii
(h)
Verificarea dac tabelele de rutare sunt corect configurate
i indic adresele reelelor accesibile.
2 7.2.2. Proiectarea i asigurarea Verificarea dac vulnerabilitile i ameninrile sunt Structura 10 VII T52 Radu
securitii reelei corect identificate i prioritizate; auditat George
Verificarea dac procedurile de securitate ce trebuie
implementate sunt aduse operativ la cunotina
personalului;
Analiza siguranei accesului la reea i a comunicrii
datelor n reea.
Analiza rapoartelor de monitorizare a traficului datelor n
reea.
Data: 09.09.2009 Auditori,

Popescu Sorin
Radu George
Not:
Programul de intervenie la faa locului sau Programul preliminar se elaboreaz pe baza Programului de audit i prezint detaliat lucrrile pe care auditorii
interni i propun s le efectueze, tipurile de teste i eantioanele pe baza crora se vor realiza acestea, locul i durata testrii.
n practica, se recomand realizarea unui grad mai mare de detaliere a testrilor, care se vor efectua n etapa de Intervenie la faa locului, prin completarea
Programului preliminar cu modalitile concrete de determinare a eantioanelor, n conformitate cu regulile statisticii, dar i prin diversificarea tipurilor testrilor ce se
vor realiza de ctre auditorii interni.
88
Procedura PO7 : EDINA DE DESCHIDERE
ENTITATEA PUBLICA
MINUTA EDINEI DE DESCHIDERE
Misiunea de audit: Tehnologia informaiei

A. Lista participanilor:
Direcia/ Nr.
Numele Funcia E-mail Semntura
Serviciul telefon
Dumitru Daniel Coordonator CAPI
Popescu Sorin Auditor SAPI
Radu George Auditor SAPI
Ptrulescu George Director DIT
Voiculescu Alin Sef STDAM
Boerescu Ilie Sef SCD
Teodorescu Rodica Sef SEE
Eleodor Darius Sef SAPP
Iordache Camelia Sef SRC
Pun Elena Sef SSD
Badea tefan Sef SAT
B. Stenograma edinei
n cadrul edinei de deschidere s-a procedat la:

- prezentarea echipei de auditori care urmeaz s efectueze misiunea de audit;
- prezentarea funciei de audit intern de ctre eful Serviciului Audit Public Intern, n special a
obiectivelor generale ale auditului intern i semnificaia auditului intern;
- Prezentarea Programului interveniei la faa locului, obiectivele auditabile care se intenioneaz a fi
realizate, dup analizele de risc efectuate. A fost cerut prerea audiailor cu privire la aceste obiective, unde s-
au fcut remarci c acestea n general reprezint zone cu risc, dar s-au fcut i unele comentarii cu privire la
complexitatea activitii Direciei IT; resursele umane insuficiente i neatractivitatea nivelului salariului pentru
atragerea unor specialiti; fluctuaia mare a personalului implicat in activitatea IT.
De asemenea, s-au stabilit:

- persoanele pe care auditorii le pot contacta n vederea colectrii informaiilor, modul de efectuare a
testelor, chestionarelor i interviurilor, programul ntlnirilor i timpul necesar pentru realizarea acestor
proceduri;
- condiiile minime pe care auditatul trebuie s le asigure n vederea realizrii misiunii de audit (spaiu
de lucru, calculatoare, posibilitate de editare etc.)
89
- aspectele procedurale, respectiv eventualitatea unor edine intermediare n cursul misiunii, informarea
sistematic asupra constatrilor;
- data edinei de nchidere, inclusiv a participanilor;
- convenirea unor aspecte procedurale, respectiv eventualitatea unor edine intermediare n cursul
auditului, informarea sistematic asupra constatrilor.
- stabilirea modalitii de redactare a Raportului de audit intern (cnd, cum i cui va fi distribuit).
Recomandrile formulate, ca urmare a eventualelor disfuncionaliti constatate, vor fi discutate i analizate cu
structura auditat, inclusiv calendarul implementrii i persoanele rspunztoare cu implementarea
recomandrilor.
90
Procedura P10 INTERVENIA LA FAA LOCULUI
ENTITATEA PUBLIC
LISTA DE VERIFICARE nr. 1

Obiectivul I.
STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE
Nr.
Activitatea de audit Da Nu Observaii
crt.
1. Examinarea procedurilor privind planul strategic
1.1. Examinarea procedurilor privind definirea i elaborarea strategiei X
1.2. Verificai dac procedurile sunt aprobate de ctre persoanele competente; X
Verificai dac sunt stabilite posturile de lucru responsabile de elaborarea
1.3. X
strategiei;
1.4. Verificai dac sunt stabilite competentele n elaborarea procedurilor; X
1.5. Verificai dac se realizeaz actualizarea sistematic a procedurilor; X
Verificai dac sunt nglobate activiti de control intern n punctele cheie
1.6. X
ale proceselor;
1.7. Verificai dac se respect principiul dublei semnturi; X
1.8. Verificai dac procedurile sunt cunoscute i aplicate; X
A Strategia IT este concordant cu scopurile organizaiei
1. Strategia IT definete necesitile i prioritile
Examinarea dac exist strategie elaborat la nivelul structurii
1.1 X
funcionale;
1.2. Analiza sistemului de fundamentare a strategiei X
1.3 Analiza corelrii strategiei cu planurile anuale X
Examinarea prioritilor strategice in domeniul IT n corelare cu direciile
1.4. X
de dezvoltare;
Verificarea dac strategia elaborat la nivelul structurii funcionale este
1.5. X
n concordan cu strategia organizaiei;
Verificarea dac strategia elaborat la nivelul structurii funcionale a avut
1.6.
n vedere:
a. evaluarea situaiei actuale pe baza analizei diagnostic; Test nr. 1.2.
b. identificarea punctelor tari i a punctelor slabe ale entitii; Nota de relaii
X
c. formularea misiunii structurii organizatorice; 1.1.
d. fundamentarea variantelor strategice; Interviu nr. 1.1.
e. identificarea i proveniena resurselor; FIAP nr. 1.2.
f. implementarea strategiei ;
Analiza dac identificarea punctelor tari i a punctelor slabe s-a realizat
1.7. X
pe baza analizei ameninrilor i oportunitilor;
Verificarea dac strategia definit la nivelul structurii funcionale
1.8. X
definete clar obiectivele;
Analizai dac direciile de activitate din cadrul strategiei sunt
1.9. X
monitorizate i evaluate, respectiv:
a) exist concordan cu strategia elaborat la nivelul entitii;
91
b) responsabilitile stabilite Comisiei de dezvoltare IT conduc la Test nr. 1.1
implementarea IT i asigur o decizie eficient FIAP nr. 1.1
c) analiza proceselor verbale ale Comisiei numit la nivelul entitii n
domeniul dezvoltrii IT i urmrirea dac politica de dezvoltare IT are ca
obiectiv implementarea strategiei entitii cu privire la domeniul IT;
d) urmrirea dac toate activitile de implementare a strategiei sunt
monitorizate i evaluate;
Stabilirea obiectivelor strategice a inut cont de mediul intern i de Test nr.. 1.3.
1.10.
mediul extern Interviu nr. 1.2.
Obiectivele definite n cadrul strategiei asigur: Not de relaii
a) definirea realist a acestora; nr. 1.2.
b) asigurarea factorului de mobilizare FIAP nr. 1.3.
1.11. c) definirea lor astfel nct s fie nelese de ctre salariai
d) definirea lor n form stimulatoare
e) asigurarea necesarului de resurse n vederea implementrii obiectivelor
Obiectivele generale sunt definite n termeni de impact X

1.12.
Obiectivele generale deriv din obiectivele strategice
1.13.
Obiectivele generale acoper strategia definit n cadrul domeniului de
1.14.
activitate
Obiectivele generale n domeniul resurselor umane ofer direcia i inta
1.15.
final ce urmeaz a fi atins
Obiectivele sunt formulate de o manier precis, riguroas fr
1.16.
interpretri
Verificarea dac strategia dezvolt funciile eseniale ale structurii
1.17. X
funcionale;
1.18. Verificarea dac exist persoan responsabil cu actualizarea strategiei; X
1.19. Analiza dac la elaborarea strategiei s-a urmrit:
a. definirea obiectivelor strategice n consens cu direciile de aciune ale
organizaiei
b. dezvoltarea strategiei este asigurat pe baza unui management
X
funcional
c. analiza domeniului de activitate i definirea mandatului i misiunii
structurii organizaionale
d. definirea i analiza tuturor domeniilor i activitilor specifice
Verificarea dac exist planul de activitate pentru implementarea
1.20. X
strategiei;
Analiza politicilor entitii publice n domeniul IT i stabilirea dac
1.21. X
asigur atingerea obiectivelor entitii publice
Verificarea dac politicile entitii publice n domeniul IT se reflect n
1.22. X
planul strategic i n planurile anuale
Examinarea dac managerii cu responsabiliti n monitorizarea
1.23. implementrii politicilor IT, au fost consultai la elaborarea planului X
strategic
1.24. Analiza activitii de actualizare a planului strategic X
B. Planurile IT se adreseaz ntregii organizaii
1. Planurile IT ajut la ndeplinirea misiunii organizaiei
Verificarea dac exista planuri de activitate elaborate la nivelul
1.1. X
departamentului IT
1.2. Examinarea dac planurile de activitate sunt elaborate anual X
1.3. Verificarea dac obiectivele sunt clar definite n cadrul planurilor X
Verificarea dac planul de activitate anual este comunicat i cunoscut de Test nr. 1.4.
1.4. personalul implicat n realizarea acestuia; X Interviu nr. 1.3.
FIAP nr. 1.4.
Analiza dac planul este fundamentat, iar resursele necesare
1.5. X
implementrii acestuia sunt dimensionate corect;
Examinarea dac la realizarea activitilor planificate sunt asigurate
1.6. X
competenele necesare;
Verificarea dac salariaii cunosc metodologia de realizare i de
1.7. X
implementare a activitilor planificate;
92
Verificarea dac planul de activitate este alctuit n concordan cu
1.8. X
bugetul anual de venituri i cheltuieli;
Analiza dac pentru realizarea planului anual de activitate managementul
1.9. X
a luat n considerare i cunoaterea nevoilor salariailor;
Verificarea dac planul anual de activitate coreleaz obiectivele
1.10. X
individuale cu cele organizaionale;
Examinarea dac planul anual de activitate permite ncadrarea n
1.11. X
resursele financiare planificate;
Examinarea dac managementul organizaiei acioneaz consecvent
1.12. X
pentru implementarea planului de activitate;
Analiza dac managementul a elaborat strategii, politici, programe etc.
1.13. pentru orientarea unitar a activitii organizaiei n vederea realizrii X
scopurilor fundamentale;
Verificarea dac planurile de activitate sunt adaptate la condiiile externe
1.14. X
organizaiei;
Identificarea proiectelor n derulare i examinarea planurilor de proiecte
1.15 X
n raport cu Standardele IT aprobate pentru gestionarea proiectului.
Analizai dac planul aprobat este n conformitate cu politicile entitii
1.16. X
publice n domeniul IT;
1.17. Analiza dac elaborarea planurilor de activitate au avut n vedere:
a) cunoaterea de ctre salariai;
b) motivarea salariailor i cointeresarea lor n realizarea obiectivelor;
c) necesarul de resurse este fundamentat i dimensionat potrivit Test nr. 1.4.
necesitilor; Interviu nr. 1.3.
d) realizarea obiectivelor planurilor sunt asigurate competenele necesare; FIAP nr. 1.4.
e) metodologia de implementare este cunoscut;
f) bugetele de venituri i cheltuieli;
Verificarea dac planul anual de activitate ia n considerare necesitile X
1.18
salariailor;
Evaluarea dac planul anual de activitate coreleaz obiectivele
1.19.
departamentului IT cu obiectivele individuale ale salariailor;
Examinarea dac realizarea planului se ncadreaz n limitele resurselor
1.20.
financiare alocate;
Analiza dac tendinele viitoare de dezvoltare sunt luate n calcul la
1.21.
elaborarea planurilor de activitate
Analizai realizarea subsistemelor IT pentru funciile principale din
1.22. X
cadrul entitii publice;
Planurile IT ofer asigurare cu privire la faptul c resursele IT sunt alocate n concordan cu
2.
necesitile
Examinarea dac proiectele sunt monitorizate permanent, urmrindu-se
2.1. dac sunt realizate n termen, n vederea sincronizrii realizrii X
obiectivelor strategice;
Examinarea procesului-verbal al grupului de strategie pentru a se garanta
2.2. X
examinarea i luarea de msuri cu privire la ndeplinirea obiectivelor;
Obinerea de exemplare ale unor analize referitoare la proiectele IT care
2.3. au fost realizate, pentru a se garanta c sunt luate n considerare de X
grupul de strategie i de conducerea superioar.
Obinerea unui exemplar al documentului de politic strategic i
2.4. X
identificarea principalelor obiective;
Verificarea dac strategia IT ia n considerare obiectivele de afaceri n
2.5. X
totalitate i sprijin atingerea acestora.
Verificarea dac strategia IT ia n considerare organigrama organizaiei,
2.6. pentru a se asigura c toate departamentele au fost luate n considerare la X
elaborarea strategiei;
Examinarea dac subsistemele IT acoper n totalitate nevoile pentru
2.7.
funciile principale ale entitii
Analiza dac nevoile de subsisteme IT pentru funciile principale nou
2.8. Test nr. 1.5.
create au fost acoperite
X Interviu nr. 1.4.
Verificarea dac departamentele nfiinate ca urmare a funciilor
FIAP nr. 1.5.
2.9. principale nou create au fost solicitate s-i exprime cerinele specifice
privind realizarea unor subsisteme IT proprii activitii lor
2.10. Analiza procedurilor pe baza crora se realizeaz subsistemele IT i
93
stabilirea dac acestea sunt suficiente pentru implementarea acestor
subsisteme n condiii optime
2.11. Verificai dac strategia IT este distribuit tuturor prilor interesate. X
Examinai dac angajaii i conducerea superioar au cunotin de
2.12. coninutul strategiei i de implicaiile acesteia pentru dezvoltarea IT n X
domeniul lor de activitate.
C. Obiectivele IT ndeplinesc obiectivele organizaiei
1. Strategia IT este concordant cu scopurile organizaiei
Analiza Planului strategic n domeniul IT n raport cu obiectivele
1.1. X
strategice stabilite pentru domeniul IT;
Verificai dac planului strategic i documentele de politic strategic
1.2. sunt cunoscute de ctre prile interesate i implicate n implementarea X
lui;
1.3. Examinai dac dezvoltarea IT este asigurat prin obiectivele strategice; X
Examinarea concordanei dintre direciile de dezvoltare stabilite prin
1.4. Planul strategic n domeniul IT i organizarea funcional actual a X
departamentului IT.
Analizai dac la stabilirea obiectivelor strategice s-a inut cont de mediul
1.5 X
intern i de mediul extern;
Analizai dac obiectivele definite reprezint o component important n
1.6. X
cadrul sistemului de management al organizaiei.
Examinai dac strategia acoper mandatul cu care a fost investit
1.7. X
structura funcional;
1.8. Verificai dac exist o fundamentare detaliat a strategiei; X
Verificai dac planul de aciune pentru implementarea strategiei este
1.9. X
dezvoltat suficient;
1.10. Verificai dac exist persoan responsabil cu actualizarea strategiei; X
Examinai dac definirea prioritilor strategice este realizat n
1.11. X
concordan cu scopul entitii, n cadrul domeniului de activitate
1.12. Analizai dac strategia elaborat definete X
a) misiunea structurii organizaionale X
b) stabilirea scopurilor fundamentale X
c) precizarea modalitilor de aciune X
d) fundamentarea necesarului de resurse X
e) ealonarea termenelor X
D. Comitetul IT determin strategia IT
1. Comitetul IT transpune strategia n planuri pe termen scurt i pe termen mediu
1.1. Verificai dac Comitetul de dezvoltare IT este constituit n mod adecvat; X
Analizai dac planul este examinat periodic pentru a se verifica
1.2. X
ndeplinirea acestuia.
Examinai procesul-verbal al grupului de strategie i urmrii dac
1.3. garanteaz examinarea i luarea de msuri cu privire la ndeplinirea X
obiectivelor strategice.
Obinerea de exemplare ale unor analize referitoare la proiectele de
1.4. suport IT care au fost realizate, pentru a se garanta c sunt luate n X
considerare de grupul de strategie i de conducerea superioar.
Verificai dac sunt definite termenele i etapele de realizare a
1.5. X
activitilor;
Verificai dac planul este alctuit n concordan cu bugetul anual de
1.6. X
venituri i cheltuieli;
1.7. Analizai dac prioritile sunt judicios ierarhizate n cadrul planului; X
Analizai dac gradul de adecvare al prioritilor este raportat la misiunea
1.8. X
organizaiei;
Analizai dac indicatorii ataai obiectivelor converg spre economicitate,
1.9. X
eficien i eficacitate;
1.10. Analizai dac planurile sunt adaptate la condiiile externe organizaiei; X
Verificai dac resursele sunt delimitate pentru implementarea planurilor
1.11.
de activitate;
a) cunoaterea de ctre toi salariaii a panului anual de activitate;
b) interesul salariailor n realizarea obiectivelor planului anual;
c) asigurarea competenelor necesare pentru realizarea activitilor;
d) cunoaterea metodologiei de realizare i implementare a activitilor n
94
rndul salariailor;
e) cunoaterea nevoilor salariailor;
f) corelarea obiectivelor individuale cu obiectivele organizaiei; X
g) ncadrarea n resursele financiare planificate;
Analizai dac impactul planurilor este raportat la performana
1.12. X
organizaiei;
Analizai dac nivelul cunotinelor personalului asigur realizarea
1.13. X
programelor;
Analizai dac instrumentele de implementare a programelor sunt bine
1.14. X
definite;
Verificai dac posturile care vor aprea sau se vor schimba sunt luate n
1.15. X
calcul la definirea strategiei;
Analizai dac competenele necesare n viitor sunt definite n cadrul
1.16. X
strategiei;
Verificai dac posibilitatea reorientrii i recalificrii profesionale este
1.17. X
luat n calcul la stabilirea resurselor necesare implementrii strategiei;
1.18. Verificai dac strategia ine cont de schimbrile la nivel managerial; X
1.19 Verificai dac nevoile de instruire sunt definite n cadrul strategiei; X
2. 1.4.3. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea sistemelor i activitile realizate
2.1. Verificai dac exist un program de dezvoltare IT X
Verificai dac programul de dezvoltare IT conine achiziii de aplicaii i
2.2. X
echipamente;
Verificai dac exist o fundamentare a necesitii achiziiilor de
2.3. X
echipamente;
Verificai dac exist o fundamentare a necesitii achiziiilor de aplicaii
2.4. X
i programe;
Verificai dac achiziiile de echipamente sunt prioritizate n funcie de
2.5. X
necesiti
Verificai dac achiziiile de programe i aplicaii sunt prioritizate n
2.6. funcie de necesiti i de dezvoltarea strategic a organizaiei n X
domeniul IT;
Verificai dac programele de achiziii de echipamente i aplicaii sunt
2.7. X
evaluate de ctre Comitetul IT;
Verificai dac Comitetul IT a realizat i o evaluare calitativ i tehnic a
2.8. X
echipamentelor i aplicaiilor planificate a fi achiziionate
Verificai dac achiziiile de echipamente i aplicaii sunt realizate cu
2.9. X
respectarea criteriilor planificate;
2.10. Verificai dac procesul de achiziii IT este monitorizat de Comitetul IT; X
Verificai dac Comitetul IT raporteaz periodic managementului
2.11. X
necesitile aprute i stadiul derulrii programelor n domeniul IT.
E. Organizarea IT corespunde necesitilor organizaiei
1. Organizarea adecvat a funciei IT
Verificai dac deciziile sunt n corelaie cu transformrile din mediul
1.1. X
organizaional;
Verificai dac persoana care emite decizia deine sarcinile, competenele
1.2. X
i responsabilitile necesare;
Examinarea dac subsistemele IT acoper nevoile pentru funciile
1.3. X
principale ale entitii;
Analiza dac nevoile pentru funciile principale nou-create sunt Test nr. 1.5
1.4. X
acoperite; Interviu nr. 1.5
1.5. Analiza dac structurile din cadrul IT si-au definit clar propriile activiti; X FIAP nr. 1.5
1.6. Examinarea dac procedurile elaborate acoper toate activitile derulate; X
Verificai dac responsabilitile sunt stabilite clar i precis n sarcina
1.7. X
utilizatorilor;
1.8. Verificai dac competenele asigur realizarea activitilor; X
Verificai dac este realizat evaluarea performanelor actuale ale
1.9. X
activitilor desfurate;
Verificai dac este realizat analiza sistemului actual de organizare i
1.10. X
conducere a activitii;
Verificai dac mediul i factorii externi de influen sunt examinai i
1.11. X
analizai la stabilirea proceselor organizaionale;
1.12. Verificai dac mediul intern i factorii interni de influen sunt analizai X
95
i evaluai la stabilirea proceselor organizaionale;
Verificai dac au fost elaborate instrumentele i procedurile de
1.13. X
implementare a strategiei;
Analizai dac s-a determinat volumul i structura resurselor necesare
1.14. X
pentru realizarea obiectivelor;
1.15 Analizai dac au fost elaborate instrumentele i procedurile de control; X
2. Adecvarea practicii i procedurilor IT la procesele existente
Analizai sistemul de elaborare a subsistemelor IT pentru funciile
2.1. X
principale.
2.2. Existena programului pentru instruirea utilizatorilor subsistemului IT X
Examinai dac subsistemele IT acoper n totalitate nevoile pentru
2.3. X
funciile principale ale entitii publice
Analizai dac nevoile de subsisteme IT pentru funciile principale nou-
2.4. X
create au fost acoperite.
Verificai dac departamentele nfiinate ca urmare a funciilor principale
2.5. nou-create au fost solicitate s-i exprime cerinele specifice privind X
realizarea unor subsisteme IT proprii activitii lor
2.6. Analizai existena corelrii ntre termenele de realizare a subsistemelor. X
Analizai procedurile pe baza crora se realizeaz subsistemele IT i
2.7. stabilii dac acestea sunt suficiente pentru implementarea acestor X
subsisteme n condiii optime.
Stabilii dac exist studii de fezabilitate pentru subsistemele IT
2.8. X
planificate.
Verificai dac exist proceduri pentru toate aplicaiile derulate n cadrul
2.9. X
organizaiei;
Verificai dac aplicaiile derulate n cadrul posturilor de lucru sunt
2.10. X
suficiente, necesare i asigur eficientizarea activitilor;
2.11. Verificai dac aplicaiile derulate sunt adecvate proceselor organizaiei; X
2.12. Verificai dac aplicaiile sunt cunoscute i aplicate de utilizatori. X
F. Elaborarea strategiei IT corespunde strategiei organizaiei
1. Dotarea actual cu tehnic de calcul a stat la baza elaborrii strategiei IT
1.1. Verificarea dac exist un control asupra strii echipamentelor; X
Verificarea dac obiectivele strategice n domeniul IT sunt stabilite pe
1.2. X
baza unei analize a strii actuale;
Verificarea dac achiziia aplicaiilor i programelor are n vederea
1.3. X
dezvoltarea strategic a organizaiei;
Verificarea dac achiziia echipamentelor i tehnicii de calcul ine cont
1.4. X
de dotarea existent;
Verificarea dac achiziiile de echipamente in cont de caracteristicile
1.5. X
calitative i de performante acestora;
Verificarea dac achiziiile de echipamente sunt adaptate nevoilor i
1.6. X
necesitilor organizaiei;
Verificarea dac aplicaiile i programele de achiziionat sunt adecvate
1.7 X
proceselor organizaiei;
Verificarea dac aplicaiile i programele achiziionate conduc la
1.8. X
integrarea datelor i informaiilor;
Verificarea dac strategia IT conduce la informatizarea n totalitate a
1.9. X
organizaiei;
Verificarea dac strategia asigur pregtirea personalului n concordan
1.10. X
cu programele de dezvoltare IT.
Auditori,
Popescu Sorin
Radu George
96
Procedura P08: Colectarea dovezilor
ENTITATEA PUBLIC
TEST nr. 1.1

Obiectul Strategia IT definete necesitile i prioritile

testului
Obiectivele Analiza direciilor de aciune stabilite n cadrul strategiei IT i urmrirea dac acestea
testului contribuie la realizarea mandatului i scopului entitii i dac acestea au fost
implementate, conform programelor aprobate.
Descrierea 1. Populaia avut n vedere pentru constituirea eantionului este format din:
testului - strategia elaborat n domeniul IT, direciile de aciune definite i obiectivele
strategice stabilite cu privire la dezvoltarea entitii n domeniul IT;
- procesele verbale ale comisiei numite la nivelul entitii cu responsabiliti
n domeniul planificrii, elaborrii i urmririi implementrii strategiei;
- programele i aplicaiile informatice, aprobate la nivelul entitii, n
perioada analizat, care corespund direciilor de implementare a strategiei.
2. Eantionul a fost constituit astfel:

- strategia entitii n domeniul IT a fost analizat i evaluat n totalitatea ei i comparat
cu strategia entitii;
- n perioada suspus auditrii, au fost aprobate n vederea implementrii patru proiecte
informatice, n acest sens toate acestea fiind evaluate cu privire condiiile de
implementare, termenele de implementate i concordana cu direciile strategice
aprobate.
- n perioada supus auditrii, Comisia numit la nivelul entitii cu responsabiliti n
domeniul dezvoltrii IT s-a ntrunit trimestrial, n acest sens au fost analizate i evaluate
toate procesele verbale ntocmite dup fiecare edin de lucru organizat;
3. Prin testarea ce se va realiza se va urmri, dac activitile desfurate n realizarea

direciilor de aciune stabilite n cadrul Strategiei sunt monitorizate i evaluate cu privire
la modul de implementare, respectiv:
- concordana strategiei elaborate n domeniul IT cu strategia entitii;
- responsabilitile stabilite Comisiei numit la nivelul entitii cu atribuii n domeniul
dezvoltrii IT, contribuie la asigurarea unei decizii eficiente la nivelul entitii.
- analiza proceselor verbale ale Comisiei numit la nivelul entitii cu atribuii n
domeniul dezvoltrii IT
- urmrirea dac toate activitile de implementare a strategiei sunt monitorizate i
evaluate;
Constatri Potrivit deciziei de numire, Comisia de planificare strategic nfiinat la nivelul entitii
are rolul de a stabili obiectivele strategice, relaiile cu celelalte componente structurale
din cadrul entitii, fundamentarea modalitilor de realizare a proiectelor, dimensionarea
resurselor ce urmeaz a fi angajate, stabilirea termenelor intermediare i finale de
realizare a proiectelor, monitorizarea implementrii proiectelor aprobate.
1. Cu privire la armonizarea strategiei n domeniul IT cu strategia entitii, s-a

constatat c aceasta deriv i este elaborat n conformitate cu direciile i principiile de
dezvoltare ale entitii, contribuie la dezvoltarea i eficientizarea activitilor entitii i
prin implementare se urmrete realizarea unui sistem informatic integrat, care s asigure
97
corelarea tuturor informaiilor i datelor la nivelul entitii, respectiv juridice, economice,
comerciale, tehnice, financiar-contabile, de personal, sociale i patrimoniale.
2. Din analiza atribuiilor stabilite Comisiei numit la nivelul entitii cu

responsabiliti n domeniul dezvoltrii IT, s-a constatat c acestea sunt, n general, de
natur metodologic, respectiv planificarea i elaborarea strategiei n domeniul IT i
armonizarea acesteia cu strategia i mandatul entitii. Totui, aceast comisie are i
atribuii cu privire la monitorizarea activitilor privind implementarea strategiei, ns
analiza realizrii acestor activiti este rezumat doar la analiza raportrilor periodice
realizate de departamentul IT, cu privire la stadiul implementrii proiectelor IT.
Limitarea exercitrii acestor atribuii, doar la analiza raportrilor efectuate de
departamentul IT, fr o evaluare fizic, din partea comisiei, a modului de implementare
a programelor informatice, conduce la formularea unor constatri i concluzii
insuficiente, care au influen n decizia managerial i dezvoltarea strategic.
3. Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu

responsabiliti n dezvoltarea IT, a direciilor de aciune strategice i a deciziilor luate n
vederea implementrii strategiei a pus n eviden unele disfuncionaliti, legate de
faptul c anumite proiecte de dezvoltare IT, derulate n cadrul entitii, nu au fost supuse
analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei
au privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul
entitii, ns potrivit proceselor verbale ntocmite n urma edinelor, a rezultat c
discuiile s-au derulat doar cu privire la proiectele pentru care au fost naintate de ctre
departamentul IT, rapoarte privind stadiul implementrii, astfel c propunerile formulate
de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea resursele
financiare, au fost legate doar de acestea.
n urma examinrii i analizelor efectuate, s-a constatat c anumite proiecte nu au fost

implementate sau sunt ntrzieri n implementarea acestora, respectiv:
a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei,
inclusiv stadiul soluionrii lor, a fost aprobat a fi implementat, inclusiv asigurarea
resurselor financiare, nc din cursul anului anterior, dar pn n prezent nu s-a realizat
nici o procedur legat de stabilirea condiiilor tehnice ale aplicaiei, demararea
aciunilor de realizare a caietului de sarcini, sau procedurilor privind achiziia, cu toate c
n buget au fost alocate fondurile necesare.
Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii
entitii, a rezultat c acest program informatic nu a fost demarat, deoarece la nivelul
departamentului IT nu existau specialiti n testarea i implementarea lui, iar fondurile
aprobate permiteau doar achiziia aplicaiei.
n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de

implementare a proiectelor, greutile ntmpinate se puteau cunoate i gsi soluiile
necesare, respectiv, n acest caz a condiiilor de pregtire a personalului n vederea
utilizrii acestui program informatic.
b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea
datelor la nivelul organizaiei, a fost raportat stadiul de implementare la comisie, ns nu
i termenele de realizare. n urma evalurii, s-a constatat c au fost demarate procedurile
pentru achiziia acestuia, ns pn n prezent acestea s-au limitat la studiul pieei i
alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va putea fi
realizat n timp util. Aceasta va avea consecine negative n implementarea altor aplicaii,
care depind de acesta, n acest sens va trebui amnat termenul de ncepere a procedurilor
privind implementarea proiectului Crearea unei structuri IT care s permit urmrirea
circuitului unui document, stadiul de realizare i persoanele care au intervenit asupra
acestuia, autorizarea pe niveluri ierarhice prestabilite. ntrzierea implementrii acestui
program a determinat nerealizarea n termenul planificat a obiectivului strategic
Modernizarea infrastructurii IT din cadrul entitii.
Concluzii Neatribuirea Comisiei numit la nivelul entitii de responsabiliti n domeniul
98
dezvoltrii IT, a unor atribuii de urmrire fizic a modului de implementare a direciilor
strategice, respectiv a proiectelor informatice de dezvoltare i informatizare a entitii, a
condus la ntrzieri n achiziia, testarea i implementarea programelor, nenceperea
procedurilor de achiziie i implementare a altor programe sau aplicaii informatice.
Obiectivele strategice stabilite n domeniul IT nu au fost ndeplinite n termenele
stabilite.
Auditor intern, Supervizor,

99
ENTITATEA PUBLIC
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 1.1

Problema Nerealizarea n termen a procedurilor de achiziie i implementare a programelor i

aplicaiilor informatice.
Constatarea 1. Cu privire la armonizarea strategiei n domeniul IT cu strategia entitii, s-a
constatat c aceasta deriv i este elaborat n conformitate cu direciile i principiile
de dezvoltare ale entitii, contribuie la dezvoltarea i eficientizarea activitilor
entitii i prin implementare se urmrete realizarea unui sistem informatic integrat,
care s asigure integrarea tuturor informaiilor i datelor la nivelul entitii, respectiv
juridice, economice, comerciale, tehnice, financiar-contabile, de personal, sociale i
patrimoniale.
2. Din analiza atribuiilor stabilite Comisiei numit la nivelul entitii cu
responsabiliti n domeniul dezvoltrii IT, s-a constatat c acestea sunt, n general, de
natur metodologic, respectiv planificarea i elaborarea strategiei n domeniul IT i
armonizarea acesteia cu strategia i mandatul entitii. Totui, aceast comisie are i
atribuii cu privire la monitorizarea activitilor privind implementarea strategiei, ns
analiza realizrii acestor activiti este rezumat doar la raportrile periodice realizate
de departamentul IT, cu privire la stadiul implementrii proiectelor IT. Limitarea
exercitrii acestor atribuii, doar la analiza raportrilor efectuate de departamentul IT,
fr o evaluare fizic, din partea comisiei, a modului de implementare a programelor
informatice, conduce la formularea unor constatri i concluzii insuficiente, care au
influen n decizia managerial i dezvoltarea strategic.
3. Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu
responsabiliti n dezvoltarea IT, a direciilor de aciune strategice i a deciziilor luate
n vederea implementrii strategiei a pus n eviden unele disfuncionaliti, legate de
faptul c anumite proiecte de dezvoltare IT derulate n cadrul entitii nu au fost supuse
analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei
au privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul
entitii, ns potrivit proceselor verbale ntocmite n urma edinelor, a rezultat c
discuiile s-au derulat doar cu privire la proiectele pentru care au fost naintate de ctre
departamentul IT, rapoarte privind stadiul implementrii, astfel c propunerile
formulate de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea
resursele financiare, au fost legate doar de aceste aspecte.
n urma examinrii i analizelor efectuate s-a constatat c anumite proiecte nu au fost
implementate sau sunt ntrzieri n implementarea acestora, respectiv:
a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei,
inclusiv stadiul soluionrii lor, a fost aprobat a fi implementat, inclusiv au fost
asigurate resursele financiare nc din cursul anului anterior, dar pn n prezent nu s-a
realizat nici o procedur legat de stabilire a condiiilor tehnice ale aplicaiei,
demararea aciunilor de realizare a caietului de sarcini, sau a procedurilor de realizare a
achiziiei, cu toate c prin buget au fost alocate fondurile necesare.
Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii
entitii, a rezultat c acest program informatic nu a fost demarat, deoarece la nivelul
departamentului IT nu existau specialiti n testarea i implementarea programului, iar
fondurile aprobate permiteau doar achiziia aplicaiei.
100
n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de
implementare a proiectelor, greutile ntmpinate se puteau cunoate i se puteau gsi
soluiile necesare, respectiv, n acest caz a condiiilor de pregtire a personalului n
vederea utilizrii programului informatic.
b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea
datelor la nivelul organizaiei, a fost raportat stadiul de implementare la comisie, ns
nu i termenele de realizare. n urma evalurii s-a constatat c au fost demarate
procedurile pentru achiziia acestuia, ns pn n prezent acestea s-au limitat la studiul
pieei i alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va
putea fi realizat n timp util. Aceasta va avea consecine negative n implementarea
altor aplicaii, care au legtur cu acesta, n acest sens va trebui decalat termenul de
ncepere a procedurilor privind implementarea proiectului Crearea unei structuri IT
care s permit urmrirea circuitului unui document, stadiul de realizare i persoanele
care au intervenit asupra acestuia, autorizarea pe niveluri ierarhice prestabilite.
ntrzierea implementrii acestui program a determinat decalarea termenul planificat a
obiectivului strategic Modernizarea infrastructurii IT din cadrul entitii.
Cauza Neatribuirea Comisiei numit la nivelul entitii de responsabiliti n domeniul
dezvoltrii IT, a unor atribuii de urmrire fizic a modului de implementare a
direciilor strategice, respectiv a proiectelor informatice de dezvoltare i informatizare
a entitii.
Potrivit deciziei de numire, Comisia de planificare strategic nfiinat la nivelul
entitii are rolul de a stabili obiectivele strategice, relaiile cu celelalte componente
structurale din cadrul entitii, fundamentarea modalitilor de realizare a proiectelor,
dimensionarea resurselor ce urmeaz a fi angajate, stabilirea termenelor intermediare i
finale de realizare a proiectelor, monitorizarea implementrii proiectelor aprobate.
Consecina ntrzieri n achiziia, testarea i implementarea programelor.
Totodat, unele programe preconizate a fi achiziionate ulterior i care urmau a fi
implementate dup punerea n funciune a acestora nu s-au mai achiziionat.
Recomandri Reanalizarea atribuiilor Comisiei de planificare strategic n domeniul IT i
redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii
proiectelor informatice i informarea periodic a conducerii asupra realizrii acestora.
Analiza proiectelor informatice aprobate a fi implementate i pentru care au fost
alocate i resursele financiare, stabilirea de termene de implementare i respectarea
acestora.
Auditor intern, Supervizor, Pentru conformitate,

Popescu Sorin Dumitru Daniel Structura auditat
101
ENTITATEA PUBLIC
TEST nr. 1.2

Obiectul Strategia IT definete necesitile i prioritile

testului
Obiectivele Analiza sistemului de fundamentare a necesarului de resurse pentru realizarea
testului strategiei n domeniul IT.
Descrierea Evaluarea condiiilor privind elaborarea strategiei va urmri analiza modului n
testului care au fost respectate i analizate urmtoarele activiti cuprinse n procedura de
realizare a strategiei din Lista de verificare nr. 1, poziia 1.2.
Strategia elaborat la nivelul structurii funcionale a avut n vedere urmtoarele:
a) evaluarea situaiei actuale pe baza analizei diagnostic;
b) identificarea punctelor tari i a punctelor slabe ale entitii;
c) formularea misiunii organizaiei;
d) fundamentarea variantelor strategice;
e) identificarea i proveniena resurselor;
f) implementarea strategiei .
Testarea s-a realizat prin evaluarea sistemului de elaborare a strategiei i a
documentelor rezultate, dar i n baza Notei de relaii nr. 1 privind modul de elaborare i
fundamentare a strategiei, adresat domnului Georgescu Mihai ef serviciu.
Constatri Din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat
urmtoarele etape:
a) definirea rolului IT n cadrul organizaiei, fiind identificat i definit
importana departamentului IT;
b) definirea misiunii structurii funcionale n concordan cu obiectivele
strategice i direciile de aciune stabilite la nivelul organizaiei;
c) identificarea i proveniena resurselor financiare, materiale i umane
necesare aplicrii i implementrii strategiei;
d) implementarea strategiei, fiind fixate termenele necesare atingerii
obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor precum i
concentrarea eforturilor umane i materiale.
Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii funcionale,
nu s-au avut n vedere urmtoarele etape:
a) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv orientarea
activitii pentru o anumit perioad, prin strategie, presupune ca, n prealabil, s fie
cunoscut situaia actual, pe baza unei analize diagnostic, pentru a avea o imagine ct
mai complet asupra domeniului de activitate al organizaiei. Analiza diagnostic trebuia
elaborat n baza unor studii privind potenialului intern, folosind metode statistice,
matematice, analiza pe baz de bilan etc. care s surprind evoluia proceselor i
fenomenelor specifice domeniului de activitate. Informaiile de intrare nu fac referire la
aspecte cum sunt: dimensiunea structurii funcionale, resursele umane, nzestrarea
tehnic, managementul utilizat;
b) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea
determinrii ameninrilor i oportunitilor cu care se confrunt entitatea;
c) Fundamentarea variantelor strategice obiectivele strategice stabilite nu au
fost corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi.
Realizarea strategiei implic fixarea i respectarea termenelor necesare atingerii
obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor, precum i
102
concentrarea eforturilor umane i materiale. Totodat, trebuie avut n vedere
compatibilitatea variantei strategice elaborat teoretic cu realitatea i modul n care s-a
reuit surprinderea aciunii factorilor de influen.
Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize
diagnostic, astfel nct s putem avea o imagine ct mai completa asupra organizaiei,
asupra rezultatelor pe care i-a propus s le obin, a potenialului su financiar, ct i a
importanei n cadrul realizrii programului de guvernare. Totodat nu au fost
identificate nici punctele tari i punctele slabe n vederea determinrii ameninrilor i
oportunitilor cu care se confrunt entitatea.
De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul
strategiei, nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii interni
i factori externi. Realizarea strategiei implica fixarea i respectarea termenelor necesare
atingerii obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor
precum i concentrarea eforturilor umane i materiale.
Concluzii n activitatea de fundamentare a strategiei nu s-a respectat procedura operaional
de lucru aprobat de conducerea entitii, astfel:
a) Nerealizarea, pe baza analizei diagnostic, a evalurii situaiei actuale n
vederea elaborrii strategiei.
b) neidentificarea punctelor tari i a punctelor slabe n vederea determinrii
ameninrilor i oportunitilor.
c) obiectivele strategice definite n cadrul strategiei nu au fost corelate cu
posibilitile efective ale organizaiei, cu factorii interni i factori externi.

103
ENTITATEA PUBLIC
NOT DE RELAII nr. 1.1

privind elaborarea i fundamentarea strategiei
adresat
Domnului Georgescu Mihai, ef serviciu

ntrebarea nr. 1. Cine rspunde de elaborarea strategiei n domeniul IT?

Rspuns nr. 1. Compartimentul metodologie i dezvoltare IT.
ntrebarea nr. 2. Cum au fost determinate necesitile de achiziii IT i cuprinse n cadrul strategiei?
Rspuns nr. 2. Pe baza analizei importanei activitilor pe care le desfoar organizaia i a modului de
satisfacere a cerinelor colaboratorilor.
ntrebarea nr. 3. Definirea misiunii departamentului pe ce a fost fundamentat?

Rspuns nr. 3. Pe baza mandatului stabilit de Consiliul de Administraie.
ntrebarea nr. 4. Strategia elaborat a fost implementat?

Rspuns nr. 4. Pe baza strategiei au fost elaborate politici pentru fiecare domeniu de activitate al
departamentului, politici pe baza crora au fost stabilite activitile i aciunile necesare.
ntrebarea nr. 5. La elaborarea strategiei, evaluarea situaiei actuale s-a realizat pe baza unei analize
diagnostic?
Rspuns nr. 5. Nu.
ntrebarea nr. 6. Cum au fost analizate i interpretate, la elaborarea strategiei punctele tari i punctele
slabe?
Rspuns nr. 6. Nu a fost realizat o analiza a punctelor tari i punctelor slabe la elaborarea strategiei.
ntrebarea nr. 7. Fundamentarea strategiei s-a bazat pe elaborarea mai multor variante?
Rspuns nr. 7. Nu.
ntrebarea nr. 6. Mai avei ceva de adugat?
Rspuns nr. 6. Nu.
Data: 13.09.2009
Dat n faa noastr: Auditori ef serviciu,

Popescu Sorin Georgescu Mihai
Radu George
104
ENTITATEA PUBLIC
INTERVIU nr. 1.1

privind elaborarea i fundamentarea planului strategic,
adresat domnului Ionescu Adrian, director general DGTI

Nr.
crt. ntrebri Da Nu Observaii
1. Exist un sistem de fundamentare a planului
X
strategic?
2. Planul strategic este corelat cu planurile anuale? Planul strategic este defalcat n
X
planurile anuale.
3. Exist un sistem de prioritizare a activitilor X Prin planul strategic aprobat se
cuprinse n plan? urmrete atingerea
obiectivelor strategice stabilite
prin politicile entitii publice
n domeniul IT.
4. Strategia definit la nivelul entitii publice definete
X
clar obiectivele?
5. Obiectivele strategice sunt n concordan cu
X
direciile de aciune ale entitii publice?
6. La elaborarea planului strategic ai avut n vedere
definirea mandatului i a misiunii structurii X
organizaionale?
7. Planul strategic are n vedere principalele domenii de
X
interes n domeniul IT?
8. Planul strategic stabilete politica n domeniul IT? X
9. Planul strategic precizeaz modalitile de aciune? X
10. Planul strategic conine o ealonare a termenelor de
X
realizare a obiectivelor?
11. Au fost previzionate resursele necesare pentru
X
ndeplinirea planului strategic?
12. Necesitile de actualizare a planului strategic sunt
analizate periodic?
13. Ai desemnat persoane responsabile cu centralizarea
X
noutilor n vederea actualizrii planului strategic?
Data: 13.09.2009
Formulat n prezena noastr: Auditori

Intervievat,
Popescu Sorin
Director general, Ionescu Adrian
Radu George
105
ENTITATEA PUBLIC

Problema Nerespectarea procedurii de elaborare i fundamentare a strategiei i a politicilor

de dezvoltare.
Constatarea Din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat
urmtoarele etape:
a) stabilirea rolului IT n cadrul organizaiei, fiind identificat i definit
importana acesteia;
b) definirea misiunii structurii funcionale n concordan cu obiectivele
strategice i direciile de aciune stabilite la nivelul organizaiei;
c) identificarea i proveniena resurselor financiare, materiale i umane
necesare aplicrii i implementrii strategiei;
d) implementarea strategiei, fiind fixate termenele necesare atingerii
obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor
precum i concentrarea eforturilor umane i materiale.
Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii
funcionale, nu s-au avut n vedere urmtoarelor etape:
a) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv
orientarea activitii pentru o anumit perioad, prin strategie, presupune ca, n
prealabil, s fie cunoscut situaia actual, pe baza unei analize diagnostic, pentru
a avea o imagine ct mai complet asupra domeniului de activitate al organizaiei.
Analiza diagnostic trebuia elaborat n baza unor studii privind potenialului
intern, folosind metode statistice, matematice, analiza pe baz de bilan etc. care
s surprind evoluia proceselor i fenomenelor specifice domeniului de activitate.
Informaiile de intrare nu fac referire la aspecte cum sunt: dimensiunea structurii
funcionale, resursele umane, nzestrarea tehnic, managementul utilizat;
b) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea
determinrii ameninrilor i oportunitilor cu care se confrunt entitatea;
c) Fundamentarea variantelor strategice obiectivele strategice stabilite
pentru IT nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii
interni i factori externi. Realizarea strategiei implic fixarea i respectarea
termenelor necesare atingerii obiectivelor n raport cu care se urmresc asigurarea
i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Totodat, trebuie avuta n vedere compatibilitatea variantei strategice elaborata
teoretic cu realitatea i modul n care s-a reuit surprinderea aciunii factorilor de
influenta.
Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize
diagnostic, astfel nct s putem avea o imagine ct mai completa asupra
organizaiei, asupra rezultatelor pe care i-a propus s le obin, a potenialului su
financiar, ct i a importanei n cadrul realizrii programului de guvernare.
Totodat nu au fost identificate nici punctele tari i punctele slabe n vederea
determinrii ameninrilor i oportunitilor cu care se confrunt entitatea.
De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul
strategiei, nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii
interni i factori externi. Realizarea strategiei implica fixarea i respectarea
106
termenelor necesare atingerii obiectivelor n raport cu care se urmresc asigurarea
i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Cauza Personalul responsabil de elaborarea strategiei nu a avut pregtirea necesara n
vederea realizrii unei analize de ansamblu a organizaiei i a unei analize a
domeniului de activitate, a identificrii factorilor interni i a factorilor externi care
influeneaz realizarea activitilor specifice, ct i a ameninrilor i
oportunitilor n ndeplinirea obiectivelor.
Consecina Implementarea strategiei nu contribuie la realizarea mandatului cu care a fost
investit organizaia, la atingerea obiectivelor generale definite i la realizarea
direciilor de aciune cu privire la dezvoltarea domeniului de activitate.
Recomandri Pregtirea profesional anticipat a personalului implicat n elaborarea
strategiei, de ctre managementul responsabil cu aceasta.
Reanalizarea strategiei definite la nivelul structurii funcionale n
conformitate cu procedura operaional aprobat.
Actualizarea acesteia astfel nct implementarea sa s contribuie la realizarea
unui management modern in domeniul de activitate i la atingerea obiectivelor
strategice ale organizaiei.
mbuntirea procedurilor operaionale de lucru privind sistemul de fundamentare
a necesarului de resurse pentru elaborarea strategiei.

Radu George Dumitru Daniel Structur auditat
107
ENTITATEA PUBLIC
TEST nr. 1.3

Obiectul testului Strategia IT definete necesitile i prioritile

Obiectivele testului Definirea obiectivelor generale derivate din obiectivele strategice.
Descrierea testului Evaluarea condiiilor privind elaborarea strategiei va urmri analiza modului n
care au fost definite obiectivele generale, derivate din obiectivele strategice, n
conformitate cu Lista de verificare nr. 1, poziia 1.3 respectiv:
- Stabilirea obiectivelor strategice a inut cont de mediul intern i de mediul
extern;
- Obiectivele definite n cadrul strategiei asigur:
a. definirea realist a acestora;
b. asigurarea factorului de mobilizare;
c. definirea lor astfel nct s fie nelese de ctre salariai;
d. definirea lor n form stimulatoare;
e. asigurarea necesarului de resurse n vederea implementrii
obiectivelor
- Obiectivele generale sunt definite n termeni de impact;
- Obiectivele generale deriv din obiectivele strategice;
- Obiectivele generale acoper strategia definit n cadrul domeniului de
activitate;
- Obiectivele generale n domeniul resurselor umane ofer direcia i inta
final ce urmeaz a fi atins;
- Obiectivele sunt formulate de o manier precis, riguroas fr interpretri.
Testarea a fost completat cu elaborarea unui Interviu privind definirea n

termeni de impact a obiectivelor strategice, adresat domnului Stnescu Cristian - ef
serviciu.
Constatri Obiectivele strategice reprezint exprimrile cantitative i calitative ale scopului
pentru care exist i funcioneaz organizaia.
Din analiza modului de definire i stabilire a obiectivelor strategice s-a constatat
c acestea nu ntrunesc urmtoarele caracteristici definitorii:
- nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile efective
de realizare de care dispune organizaia n condiiile actuale;
- nu sunt mobilizatoare i nu implic eforturi de autodepire din partea
salariailor;
- nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier care
s permit nelegerea coninutului lor de ctre salariai;
- nu sunt stimulatoare i nu asigur o abordare sistemic a intereselor
organizaiei i componentelor sale organizatorice ntr-o viziune optimizant pe termen
mediu i lung.
Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de
natura sa (economic, tehnic), deoarece aceste obiective reprezint punctul de plecare
n conturarea unui sistem unitar de obiective ce vizeaz toate componentele procesuale
i structurale ale organizaiei.
Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect
modaliti i opiuni de realizare care condiioneaz decisiv coninutul i
funcionalitatea strategiei, ceea ce impune ca la implementarea lor s se ia n
considerare principalele variabile exogene ce influeneaz comportamentul economic
108
i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare.
La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu
s-a realizat o dimensionare corect a fondurilor de investiii i a mijloacelor circulante
pe baza unor indicatori specifici, cantitativi i calitativi.
De asemenea, personalului nu i-au fost asigurate n toate situaiile, condiiile de
instruire pentru dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor
individuale, pentru a contribui astfel, n condiii de performan, la obinerea
impactului definit de obiectivele strategice.
Concluzii Obiectivele strategice nu sunt definite, in toate cazurile, n mod realist, respectiv
nu deriv din atribuiile generale ce revin structurii funcionale, ceea ce creeaz
confuzii privind modul practic de realizare a acestora i implicit de asigurare a
impactului stabilit i de asigurare a definirii corespunztoare a obiectivelor specifice.

109
ENTITATEA PUBLIC
Interviu nr. 1.2

privind definirea n termeni de impact a obiectivelor strategice,
adresat domnului Stnescu Cristian - ef serviciu
Misiunea de audit: Audit IT

Perioada auditat: 01.01.2006 - 31.12.2008
Nr.
NTREBRI DA NU OBSERVAII
crt.
1. Exist un responsabil cu elaborarea strategiei? X
2. La definirea obiectivelor strategice a existat o analiz a Obiectivele strategice
domeniilor pentru care acestea au fost definite?
X nu sunt realiste
3. La definirea obiectivelor strategice au fost luate n calcul Obiectivele strategice
capacitile i posibilitile efective ale organizaiei privind X nu sunt mobilizatoare
implementarea acestora? pentru salariai
4. Obiectivele strategice
Obiectivele strategice sunt definite pentru nivelul de nelegere
al salariailor?
X nu sunt nelese de
salariai
5. La stabilirea obiectivelor au fost dimensionate resursele pe
baza unor indicatori calitativi i cantitativi?
X
6. La definirea obiectivelor strategice s-a urmrit ca termenul de
implementare al acestora s fie multianual?
X
7. Salariaii au fost pregtii i instruii astfel nct s asigure
implementarea obiectivelor?
X
8. Obiectivele strategice sunt definite cu respectarea atribuiilor
i funciilor generale ale organizaiei?
X
9. Obiectivele generale sunt definite n cadrul strategiei elaborate
la nivelul organizaiei?
X
10. Obiectivele generale ofer pentru domeniile pe care sunt
definite, direcia i inta final ce urmeaz a fi atinse?
X
11. Obiectivele generale sunt definite ntr-o form riguroas, fr Obiectivele generale
interpretri i ntr-o manier precis? definite nu sunt
X antrenante pentru
salariai
Data: ef Serviciu,
13.09.2009 Stnescu Cristian
Elaborat n prezena noastr: Auditori

Popescu Sorin
Radu George
110
ENTITATEA PUBLIC
Not de relaii nr. 1.2

privind elaborarea planului strategic i a planurilor anuale,
adresat domnului ef serviciu Dezvoltare aplicaii

ntrebarea nr. 1: Au fost elaborate planuri strategice i planuri anuale?

Rspuns nr. 1: Planul strategic a fost elaborat pentru o perioad de 5 ani n urm cu doi ani. Planul strategic
iniial este defalcat n planuri anuale pentru a se asigura coordonarea implementrii subsistemelor IT.
ntrebarea nr. 2: Elaborarea acestor planuri s-a realizat ntr-un cadru formalizat?
Rspuns nr. 2: Prin decizia managerului general a fost numit o comisie format din conductorii
principalelor departamente din cadrul entitii publice avnd responsabilitatea elaborrii planului strategic i
a planurilor anuale. n calitate de conductor al departamentului IT fac parte din aceast comisie.
ntrebarea nr. 3: Exist un sistem de fundamentare a planului strategic?

Rspuns nr. 3: Fundamentarea planului strategic s-a realizat pe baza analizei nevoilor de informatizare
formulate de ctre departamentele ce asigur realizarea funciilor principale ale entitii publice, pornindu-se
de la sistemul IT existent i urmrindu-se realizarea msurilor necesare n vederea atingerii parametrilor
stabilii prin politica IT.
ntrebarea nr. 4: Exist un sistem de prioritizare a activitilor cuprinse n plan?

Rspuns nr. 4: Da. Implementarea subsistemelor IT se va realiza conform planificrii, pornind de la
importana acestora pentru entitatea public i inndu-se cont de resursele de care dispune organizaia.
ntrebarea nr. 5: Mai avei ceva de adugat?

Rspuns nr. 5: Nu.
Data: 13.09.2009
Intervievat,
Adrian Ionescu
Dat n faa noastr: Auditori

Popescu Sorin
Radu George
111
ENTITATEA PUBLIC
FIS DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 1.3

Problema Obiectivelor strategice nu asigur acoperirea domeniului de activitate al

structurii funcionale i nu contribuie la asigurarea realizrii mandatului organizaiei.
Constatarea Obiectivele strategice reprezint exprimrile cantitative i calitative ale
scopului pentru care exist i funcioneaz organizaia.
Din analiza modului de definire i stabilire a obiectivelor strategice s-a
constatat c acestea nu ntrunesc urmtoarele caracteristici definitorii:
- nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile
efective de realizare de care dispune organizaia n condiiile actuale;
- nu sunt mobilizatoare i nu implic eforturi de autodepire din partea
salariailor;
- nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier
care s permit nelegerea coninutului lor de ctre salariai;
- nu sunt antrenante i nu asigur o abordare sistemic a intereselor
organizaiei i componentelor sale organizatorice ntr-o viziune optimizant pe
termen mediu i lung.
Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de
natura sa (economic, tehnic), deoarece aceste obiective reprezint punctul de
plecare n conturarea unui sistem unitar de obiective ce vizeaz toate componentele
procesuale i structurale ale organizaiei.
Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect
modaliti i opiuni de realizare care condiioneaz decisiv coninutul i
funcionalitatea strategiei, ceea ce impune ca la implementarea lor s se ia n
considerare principalele variabile exogene ce influeneaz comportamentul economic
i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare.
La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu
s-a realizat o dimensionare corect a fondurilor de investiii i a mijloacelor
circulante pe baza unor indicatori specifici, cantitativi i calitativi.
De asemenea, nu n toate situaiile, personalului i-au fost asigurate condiiile de
instruire pentru dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor
individuale pentru a contribui astfel, n condiii de performan, la obinerea
impactului definit de obiectivele strategice.
Cauza Personalul implicat n elaborarea strategiei nu a fost pregtit n cadrul organizaiei i
nu a reuit s neleag obiectivele strategice i s stabileasc corect obiectivele
generale, care vor sta la baza stabilirii obiectivelor specifice ale acesteia.
Consecina n forma n care au fost identificate i stabilite obiectivele strategice i generale,
departamentul nu poate pune la dispoziia organizaiei o strategie care s asigure
posibilitatea de a-i dezvolta un management eficient i eficace al domeniului de
activitate n consens cu mandatul su.
Recomandarea Evaluarea performanelor actuale ale sistemului de organizare i conducere a
activitilor desfurate n cadrul structurii funcionale, innd cont de influena
factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice.
112
Implicarea managementului pentru ca obiectivele strategice redefinite s
ntruneasc caracteristicile de a fi realiste, mobilizatoare, stimulative i s poat fi
nelese de salariai, stabilite de metodologie.
Totodat, la redefinirea acestora se va urmri asigurarea resurselor necesare
(materiale, financiare i umane) implementrii lor.

Popescu Sorin Dumitru Daniel Structur auditat
113
ENTITATEA PUBLIC
TEST nr. 1.4

Obiectul testului Planurile IT ajut la ndeplinirea misiunii organizaiei

Obiectivele Fundamentarea resurselor n vederea elaborrii planului anual de activitate.
testului
Descrierea Evaluarea resurselor n vederea elaborrii planului anual de activitate a pornit de la
testului analiza fundamentrii planului, pe baza elementelor prezentate n Lista de verificare
elaborat.
La elaborarea planului de activitate au fost avute n vedere urmtoarele:
- planul de activitate anual a fost comunicat i este cunoscut de personalul
implicat n realizarea acestuia;
- salariaii sunt motivai i cointeresai n realizarea obiectivelor planului de
activitate;
- este fundamentat i dimensionat necesarul de resurse;
- pentru realizarea activitilor planificate sunt asigurate competenele
necesare;
- salariaii cunosc metodologia de realizare i implementare a activitilor
planificate;
- planul este alctuit n concordan cu bugetul anual de venituri i
cheltuieli;
- pentru realizarea planului anual de activitate, managementul a luat n
considerare i cunoaterea nevoilor salariailor;
- planul anual de activitate coreleaz obiectivele individuale cu cele
organizaionale;
- stabilirea planului anual de activitate permite ncadrarea n resursele
financiare planificate.
- sunt anticipate condiiile viitoare n care va funciona organizaia.
Testarea a fost completat cu un Interviu privind fundamentarea resurselor pentru
asigurarea implementrii planului de activitate, adresat domnului Popescu Valentin -
ef serviciu Dezvoltare Aplicaii.
Constatri Din analiz s-a constatat c eforturile pentru elaborarea planului anual de activitate
implic alocarea de costuri i resurse ridicate din partea organizaiei, care, n cele mai
multe din cazuri, nu au ca referin atingerea scopului fundamental al acesteia.
n acelai timp, activitile considerate prioritare ale planului anual nu au fost
realizate sau implementate n mod corespunztor, deoarece nu au fost repartizate
atribuiile n cadrul compartimentelor n corelaie cu noile obiective stabilite n cadrul
planului. Aceasta a nsemnat c, n unele cazuri, obiectivele i activitile, dei erau
cunoscute de personal, acesta nu avea competena necesar, n special a celor care erau
realizate n colaborare cu alte structuri funcionale, ceea ce a necesitat solicitarea unor
competene pentru realizarea acestora, proces care a ngreunat implementarea
obiectivelor i realizarea activitilor.
n alte cazuri, activitile de realizat nu au fost comunicate obiectiv salariailor,
respectiv obiectivele individuale au rmas aceleai, n condiiile n care obiectivele
cuprinse n planul compartimentului au fost cu totul altele. Aceasta a nsemnat stabilirea
msurilor n cursul anului, instruirea, sub diferite forme, a personalului pentru
nelegerea acestora i stabilirea prioritilor de implementare, ceea ce a condus la
ntrzieri n atingerea unor obiective ale planului.
Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-
114
informaionale i organizatorice, pentru creterea eficienei i reducerea costurilor, a
presupus definirea n cadrul planului anual, a unor asemenea obiective i activiti, ns
pentru implementarea acestora nu a fost corelat necesarul de mijloace i echipamente cu
necesitile pentru atingerea obiectivelor planului.
n cadrul planului, reducerea costurilor a fost definit i prin reducerea
personalului, prin care s-au pierdut o serie de competene care, din motive financiare, nu
au mai putut fi nlocuite, ceea ce a condus la realizarea activitilor, fr a fi ndeplinite
condiiile de performan stabilite.
Monitorizarea resurselor financiare utilizate n derularea obiectivelor planului
anual a fost de multe ori deficitar, ceea ce a contribuit la majorarea costurilor .
n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de
cunoatere a normelor, legislaiei i metodologiei n domeniile de activitate, importana
obiectivelor stabilite spre ndeplinire i modul cum acestea contribuie la atingerea
obiectivelor generale i a obiectivelor strategice.
Activitile considerate prioritare ale planului anual nu au fost realizate sau
implementate corespunztor, deoarece nu s-au reanalizat i repartizat atribuiile
compartimentelor pentru a asigura competena necesar realizrii obiectivelor i
activitilor stabilite n cadrul planului.
De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale
care s derive din noile obiective stabilite n cadrul planului de activitate i care se aflau
n competena compartimentului funcional.
n cadrul planului anual nu au fost definite obiective i activiti care s asigure
nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-
informaionale i organizatorice, creterea eficienei i reducerea costurilor, prin
corelarea necesarului de echipamente cu necesitile de atingere a obiectivelor planului.
S-a constatat monitorizarea deficitar a resurselor financiare utilizate n derularea
obiectivelor planului anual, ceea ce a dus la costuri suplimentare fa de cele planificate
pentru implementarea obiectivelor stabilite.
Concluzii Necorelarea atribuiilor compartimentelor n vederea organizrii i asigurrii
competenelor necesare realizrii noilor obiective i activiti stabilite.
Necunoaterea de ctre toi salariaii a structurii planului anual de activitate, ceea ce
nu a asigurat implicarea acestora n implementarea obiectivelor.
Neasigurarea n totalitate a necesarului de mijloace pentru realizarea planului,
respectiv nu a existat un echilibru ntre necesitile de realizare a planului i necesarul de
echipamente.
Depirea costurilor planificate n realizarea i implementarea obiectivelor.
Performanele stabilite n realizarea activitilor nu au fost atinse n toate cazurile.

115
ENTITATEA PUBLIC
INTERVIU nr. 1.3

privind fundamentarea resurselor pentru asigurarea implementrii planului de activitate, adresat
Domnului Popescu Valentin ef serviciu Dezvoltare Aplicaii

Nr.
crt.
1. Exist un plan de activitate elaborat? X
2. Planul de activitate este elaborat pe domenii de activitate? X
3. La elaborarea planului de activitate s-a realizat o analiz SWOT
a domeniilor de activitate?
X
4. Planul de activitate este corelat cu posibilitile materiale,
financiare i umane existente n cadrul organizaiei? X
5. Planul de activitate a fost adus la cunotina i este cunoscut de
salariaii implicai n realizarea lui?
X
6. Politicile i strategiile elaborate n cadrul organizaiei i care X Nu este realizat o analiz a
asigur implementarea i realizarea planului de activitate, comportamentului salariailor
inclusiv metodologiile interne de lucru sunt cunoscute de X cu privire la intele i
salariai? indicatorii planului
x
7. Atribuiile definite compartimentelor s-a realizat n corelaie cu Unele activiti nu au fost
activitile i sarcinile repartizate acestora?
X implementate corespunztor
8. Pentru realizarea activitilor n cadrul compartimentelor au
existat competenele necesare?
X
9. Activitile au fost comunicate corespunztor salariailor prin Realizarea cu ntrziere a
atribuirea de obiective individuale corespunztoare?
X activitilor
10. Monitorizarea realizrii activitilor planificate s-a realizat
corespunztor, pe niveluri de responsabiliti?
X
11. Personalul implicat n realizarea obiectivelor i activitile Depirea costurilor
planificate a deinut cunotinele necesare realizrii acestora ? X planificate n realizarea
obiectivelor
12. Pentru realizarea activitilor au fost asigurate echipamentele i Nu a existat echilibru ntre
tehnologiile necesare ? X necesitile planului i
necesarul de echipamente
Data: 13.09.2009 ef serviciu Dezvoltare aplicaii,

Popescu Valentin
Popescu Sorin
Radu George
116
ENTITATEA PUBLIC

Problema Resursele nu sunt fundamentate corect n vederea implementrii planului anual de

activitate;
Constatarea Din analiz s-a constatat c eforturile pentru elaborarea planului anual de activitate
implic alocarea de fonduri i resurse ridicate din partea organizaiei care, n cele mai
multe din cazuri, nu au ca referin atingerea scopului fundamental al acesteia.
n acelai timp, activitile considerate prioritare ale planului anual nu au fost
realizate sau implementate n totalitate, n mod corespunztor, deoarece nu au fost
reanalizate i repartizate atribuiile n cadrul compartimentelor n corelaie cu noile
obiective i activiti stabilite n cadrul planului. Aceasta a nsemnat c, n unele cazuri,
obiectivele i activitile dei erau cunoscute de personal, acesta nu avea competena
necesar, n special a celor care erau realizate n colaborare cu alte structuri funcionale,
ceea ce a necesitat solicitarea unor competene pentru realizarea acestora, proces care a
ngreunat implementarea obiectivelor i realizarea activitilor.
n alte cazuri, activitile nu au fost comunicate salariailor, respectiv obiectivele
individuale au rmas aceleai, n condiiile n care obiectivele cuprinse n planul
compartimentului au fost cu totul altele. Aceasta a nsemnat stabilirea msurilor n cursul
anului, instruirea, sub diferite forme, a personalului pentru nelegerea acestora i
stabilirea prioritilor de implementare, ceea ce a condus la ntrzieri n atingerea unor
obiective ale planului.
Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-
informaionale i organizatorice, pentru creterea eficienei i reducerea costurilor, a
presupus definirea n cadrul planului anual a unor asemenea obiective i activiti, ns
pentru implementarea acestora nu a fost corelat necesarul de mijloace i echipamente cu
necesitile pentru atingerea obiectivelor planului.
n cadrul planului reducerea costurilor a fost definit i prin reducerea personalului,
prin care s-au pierdut o serie de competene care, din motive financiare, nu au fost
nlocuite, prin dezvoltarea altor angajai, ceea ce a condus la realizarea activitilor, dar nu
au fost atinse condiiile de performan stabilite.
Monitorizarea resursele financiare utilizate n derulare obiectivelor planului anual a
fost de multe ori deficitar, ceea ce a contribuit la realizarea de costuri suplimentare fa
de cele planificate pentru implementarea obiectivelor stabilite.
n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de
cunoatere a normelor, legislaiei i metodologiei n domeniile de activitate, a diferitelor
culturi din cadrul organizaiei, importana obiectivelor stabilite spre ndeplinire i modul
cum acestea contribuie la atingerea obiectivelor generale i a obiectivelor strategice, i
nelegerea comportamentului competitiv ca un sistem n care oamenii i resursele
interacioneaz continuu.
Activitile considerate prioritare ale planului anual nu au fost realizate sau
implementate corespunztor deoarece nu s-au reanalizat i repartizat atribuiile
compartimentelor pentru a asigura competena necesar realizrii obiectivelor i
activitilor stabilite n cadrul planului.
De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale
care deriv din noile obiective stabilite n cadrul planului de activitate i care se aflau n
117
competena compartimentului funcional.
Definirea n cadrul planului anual a obiectivelor i activitilor s-a realizat fr s se
asigure: nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-
informaionale i organizatorice;creterea eficienei i reducerea costurilor; corelarea
necesarul de echipamente cu necesitile de atingere a obiectivelor planului.
Cauza Inexistena unui sistem de reglementare i monitorizare a instruirii personalului, la
nivelul structurilor funcionale, prin care s se asigure comunicarea clar a sarcinilor de
realizat, a instrumentelor de aplicat i urmrirea utilizrii acestora.
Inexistena programelor de formare care se bazeaz pe dezvoltarea aptitudinilor de
cercetare-analiz-diagnoz, pe cultivarea capacitii de asumare a responsabilitilor de a
decide sau de a conduce activitatea unui grup.
Atitudinea fa de sarcini i responsabiliti nu este ntotdeauna pozitiv, iar politica de
cointeresare este slab.
Consecina Planurile anuale de activitate nu sunt ndeplinite n condiii de performan, iar indicatorii
de impact sau rezultat ataai obiectivelor nu sunt realizai n condiii de eficien,
economicitate i eficacitate.
Recomandarea Dezvoltarea unui sistem de instruire i pregtire a salariailor astfel nct
metodologia specific domeniului de activitate, normativ i procedural, s fie aplicat
corespunztor pentru dezvoltarea i implementarea planurilor anuale.
n baza planurilor elaborate s se identifice toate atribuiile necesare pentru
atingerea obiectivelor stabilite, iar acestea s fie repartizate corespunztor n cadrul
compartimentelor.
Promovarea dezvoltrii resurselor umane pentru a obine competenele necesare
creterii economice n condiiile n care au loc reduceri de personal.
Evaluarea cuprinztoare a resurselor (financiare, instituionale, programe, personal)
necesare implementrii planurilor anuale de activitate i monitorizarea eficient pentru a
se asigura ncadrarea n limitele stabilite.

118
ENTITATEA PUBLIC
TEST nr. 1.5

Obiectul testului Planurile IT ofer asigurare cu privire la faptul c nevoile IT sunt alocate n
Obiectivele testului Implementarea subsistemele IT pentru funcii principale stabilite urmare direciilor
de dezvoltare ale organizaiei.
Descrierea testului Populaia statistic a fost constituit din cele trei de funcii principale nou-create la
nivelul entitii publice n baza recomandrilor Comisiei Europene, identificate ca urmare
a analizei modificrilor operate n organigram la data elaborrii planului strategic.
Eantionul pentru realizarea testrii situaiei subsistemelor IT pentru funciile
principale a fost constituit din cele trei funcii identificate.
Testarea a constat n examinarea urmtoarelor elemente:
- examinarea dac subsistemele IT acoper n totalitate nevoile pentru funciile
principale ale entitii publice
- analiza dac nevoile de subsisteme IT pentru funciile principale nou-create au
fost acoperite
- verificarea dac departamentele nfiinate ca urmare a funciilor principale nou-
create au fost solicitate s-i exprime cerinele specifice privind realizarea unor subsisteme
IT proprii activitii lor
- analiza procedurile pe baza crora se realizeaz subsistemele IT i stabilirea dac
acestea sunt suficiente pentru implementarea acestor subsisteme n condiii optime
Testarea s-a concretizat n elaborarea unei Liste de control privind analiza
subsistemelor IT pentru funciile principale nou-create.
Constatri Din analiza efectuat s-a constatat c n cadrul entitii publice exist structuri nou-
nfiinate, ca urmare a schimbrilor legislative aprute, pentru care nu s-au realizat
aplicaii informatice specifice, respectiv Autoritatea de Management a Fondurilor
Structurale, Autoritatea de Management a Fondurilor de Coeziune, Autoritatea
competent pentru acreditarea ageniilor de plat. n acelai timp, exist i o structur
nou nfiinat Autoritatea de Management a Fondurilor de Coeziune care a notificat
departamentul IT, dar implementarea nu s-a realizat n termen.
Concluzii Nu exist aplicaii informatice implementate la nivelul tuturor structurilor funcionale din
cadrul entitii

119
ENTITATEA PUBLIC
INTERVIU nr. 1.4

privind subsistemele IT pentru funciile principale
adresat
domnului Ionescu Adrian, Director General

Nr.
ntrebri Da Nu Observaii
crt.
1. Planul strategic prevede elaborarea de
subsisteme IT pentru funciile principale?
X
2. Au fost elaborate subsisteme IT pentru Procesul de elaborare a subsistemelor IT este nc
toate funciile principale?
X n derulare.
3. Procesul de elaborare a subsistemelor IT Prin planul strategic au fost stabilite termene de
pentru funciile principale este X realizare a subsistemelor IT.
procedurat?
4. Au fost elaborate subsisteme IT pentru Resursele umane de care dispunem sunt implicate
funcii principale aprute la solicitarea n elaborarea subsistemelor IT prevzute prin
Comisiei Europene sau ca urmare a X planul strategic defalcat n planuri anuale. Pn n
schimbrilor legislative aprute n prezent planul strategic iniial nu a fost modificat.
Romnia?
5. A fost efectuat periodic (trimestrial, Realizarea acestei analize nu este n sfera de
anual) o analiz a nevoilor de subsisteme competene a conductorului departamentului IT
IT la nivelul funciilor principale nou-
X
create?
6. Sunt corelate termenelor de realizare a Da, prin planul strategic.
subsistemelor IT?
X
7. Au fost realizate subsistemele IT la S-au nregistrat ntrzieri n realizarea
termenele prevzute?
X subsistemelor IT
8. Au fost previzionate resursele necesare Departamentul IT asigur resursele umane
pentru elaborarea subsistemelor IT?
X necesare pentru elaborarea subsistemelor IT.
Data: 13.09.2009
Intervievat,
Director general, Ionescu Adrian
Popescu Sorin
Radu George
120
ENTITATEA PUBLIC

Problema Unele departamente din cadrul entitii nu dispun de subsisteme IT specifice

activitilor care se desfoar n cadrul acestora.
Din analiz s-a constatat c n cadrul entitii publice exist structuri nou-
Constatarea nfiinate ca urmare a recomandrilor Comisiei Europene i a schimbrilor
legislative, care nu au notificat departamentul IT n privina nevoilor lor de
aplicaii informatice specifice. n acelai timp, s-au constatat i departamente nou
nfiinate care i-au exprimat nevoile pentru realizarea subsistemelor IT specifice
activitii lor, dar care nu au beneficiat de implementarea acestora, conform
planificrii, datorit ntrzierilor n realizarea achiziiilor.
Cauza Inexistena la nivelul entitii publice a unor proceduri complete de elaborare
a strategiei IT care s permit actualizarea sistematica, funcie de schimbrile
legislative;
Insuficiena personalului de specialitate.
Consecina Domenii importante de activitate ale entitii publice pentru care nu s-a
realizat implementarea subsistemelor IT necesare pentru desfurarea activitii au
randamente sczute, ceea ce afecteaz pe ansamblul realizarea activitilor entitii
publice
Recomandarea Coroborarea atribuiilor prezentate prin proceduri cu cele stabilite prin fiele
posturilor;
Inventarierea stadiului implementrii subsistemelor IT la nivelul
departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n
strategia IT.

121
122
ENTITATEA PUBLIC
LISTA DE VERIFICARE nr. 2

Obiectivul I.
ORGANIZAREA I FUNCIONAREA DEPARTAMENTULUI IT
Nr. Activitatea de audit Da Nu Observaii

crt.
A Definirea atribuiilor i activitilor
1. Definirea atribuiilor i responsabilitilor n cadrul departamentului IT
1.1. Funcionalitatea procedurilor de lucru n corelaie cu activitile
X
derulate
1.2. Verificarea gradului de acoperire prin procedur a activitilor privind
X
organizarea i definirea structurilor organizatorice.
1.3. Verificarea concordanei atribuiilor stabilite Departamentului IT cu
cele ale organizaiei
1.4. Verificarea definirii clare a atribuiilor pe compartimentele funcionale
ale Departamentului IT
1.5. Verificarea definirii activitilor ce trebuie realizate n cadrul
Departamentului IT
1.6. Examinarea constituirii structurii funcionale de IT
1.7. Analiza criteriilor avute n vedere la crearea compartimentelor
funcionale ale structurii organizatorice;
1.8. nglobarea activitilor de control intern n punctele cheie de realizare a
activitilor
1.9. Atribuiile sunt stabilite urmare a evalurii posturilor;
1.10. Verificai dac definirea atribuiilor ine cont de reglementrile legale
aplicabile;
1.11. Verificai dac atribuiile executate n cadrul compartimentului IT sunt
n responsabilitatea acestui compartiment;
1.12. Verificai dac responsabilitile sunt delimitate clar de atribuii i
competene;
1.13. Verificai dac sunt definite atribuiile i aria de competen
1.14. Verificai dac aria de competen asigur realizarea activitilor i
aciunilor stabilite Test nr. 2.1
1.15. Verificai dac relaiile cu celelalte posturi din cadrul FIAP nr. 2.1
compartimentului cu care ar trebui s aib relaii funcionale sunt clar
definite
1.16. Verificai dac definirea atribuiilor ine cont de obiectivele generale i
specifice;
2. Definirea activitilor n cadrul structurii organizatorice
2.1. Verificai dac activitile sunt identificate la nivelul departamentului
X
IT;
2.2. Verificai dac activitile sunt definite omogen n cadrul structurii
X
funcionale
2.3. Verificai dac atribuiile specifice care asigur realizarea activitilor
X
sunt definite n cadrul atribuiilor generale ale organizaiei;
2.4. Verificai dac activitile repartizate n cadrul compartimentelor
123
respect criteriile avute n vedere la nfiinarea acestora, respectiv
exist atribuii definite pentru realizarea lor;
2.5. Analizai dac aciunile efectuate pentru realizarea activitilor se
regsesc n sarcinile definite la nivelul posturilor;
2.6. Verificai dac la realizarea unei activiti contribuie un singur
compartiment;
2.7. Verificai dac la repartizarea activitilor pe compartimente se ine
seama de rolul acestora;
2.8. Verificai dac atribuiile stabilite pentru realizarea activitii asigur
competena necesar pentru realizarea acesteia;
2.9. Verificai dac pentru fiecare activitate sunt stabilite aciunile necesare;
2,10. Verificate dac pentru fiecare aciune stabilit exist sarcin definit n
fia postului;
2.11. Verificai dac personalul are calificarea necesar pentru realizarea
activitilor;
2.12. Verificai dac pentru activitile identificate exist competena alocat
n vederea realizrii lor;
2.13. Verificai dac activitile identificate i alocate obiectivelor asigur
realizarea acestora i obinerea rezultatelor ateptate;
2.14. Verificai dac activitile repartizate n cadrul compartimentelor Test nr. 2.2.
respect criteriile avute n vedere la nfiinarea acestora; Interviu nr. 2.1.
a) definirea omogen a activitilor Not de relaii
b) activitile repartizate n cadrul compartimentelor respect criteriile nr. 2.1.
avute n vedere la nfiinarea acestora FIAP nr. 2.2.
c) atribuiile stabilite pentru realizarea activitilor definesc aria
necesar realizrii activitilor
d) aciunile stabilite n realizarea activitilor se regsesc n sarcinile
definite la nivelul posturilor;
2.15. Verificai dac personalul are calificarea adecvat pentru realizarea
activitilor;
B. Stabilirea structurii organizatorice
1. Organizarea funcional a departamentului IT
1.1. Verificai modul de elaborare i funcionalitatea organigramei
departamentului IT;
a) stabilirea structurii funcionale a departamentului, pe baza
organigramei
Test nr. 2.3
b) organigrama permite vizualizarea de ansamblu a organizrii X
FIAP nr. 2.3
departamentului
c) definirea n termen a relaiilor din cadrul departamentului
d) definirea raporturilor de subordonare n cadrul organigramei
e) definirea numrului de posturi prin intermediul organigramei
1.2. Elaborarea organigramei n consens cu structura organizatoric; X
1.3. Constituirea compartimentelor a avut n vedere natura activitilor; X
1.4. Verificarea aprobrii organigramei de ctre persoanele competente; X
1.5. Examinarea organigramei departamentului IT; X
1.6. Evaluai demersurile realizate de departamentul IT pentru ocuparea
posturilor de conducere;
1.7. Analizai consecinele funcionrii departamentului IT prin delegarea Test nr. 2.4
X
persoanelor de conducere; Lista de control
1.8. Verificai dac organigrama departamentului IT asigur: 2.1
a) numrul total de posturi de conducere FIAP nr. 2.4
b) numrul total de posturi de conducere ocupate cu delegaie
c) numrul de posturi de execuie
d) numrul de posturi de execuie neocupate
1.9. Verificai dac demersurile efectuate pentru ocuparea posturilor de
conducere:
a) numrul de concursuri organizate
b) numrul de solicitri ctre departamentul de resurse umane n
vederea organizrii concursurilor
1.10. Verificai dac conducerea a avut preocupri pentru ocuparea
posturilor de execuie
a) numrul de concursuri organizate
124
b) numrul de solicitri ctre departamentul de resurse umane n
vederea organizrii concursurilor
1.11. Verificai existena un ui plan de implementare a msurilor necesare,
menit s asigure buna desfurare a activitii n cazul existenei unui
numr mare de posturi vacante
1.8. Evaluai preocuparea conducerii pentru ocuparea posturilor de
X
execuie;
1.9. Existena unui plan de implementare a msurilor necesare menite s
asigure buna desfurare a activitii n cazul existenei unui numr X
mare de posturi vacante;
1.10. Analizai dotarea departamentului cu echipamente hard i soft adecvate
pentru desfurarea activitilor specifice, astfel:
a) numr suficient de calculatoare dotate corespunztor;
b) numr suficient de servere; X
c) numr suficient de echipamente auxiliare (imprimante, xerox-uri,
scanere, conexiuni la intranet/Internet);
- programe IT adecvate.
1.11. Verificai dac exista responsabil monitorizarea stadiului i modului de
X
realizare a obiectivelor generale i specifice ale departamentului;
1.12. Verificarea limitelor decizionale stabilite n derularea i realizarea
X
activitilor;
1.13. Examinarea modului de analiz a posturilor i de definire a sarcinilor
X
pe posturi;
1.14. Analiza modului de specializarea a posturilor n corelaie cu tipul de
X
activiti ce sunt realizate
1.15. Verificai dac elaborarea organigramei este realizat n consens cu
X
structura organizatoric;
1.16. Verificai dac posturile atribuite compartimentelor asigur realizarea
X
activitilor repartizate;
1.17. Verificai dac sistemul informaional este proiectat n conformitate cu
X
strategia;
1.18. Verificai dac sunt stabilite circuitele informaionale; X
1.19. Analizai dac mijloacele de realizare a circuitelor informaionale sunt
X
definite i cunoscute;
1.20. Verificai dac sistemul informaional este operaional i este folosit
X
eficient i eficace;
1.21. Verificai dac tehnologiile informaionale sunt folosite i exploatate:
Internetul
X
E-mail-ul
Intranetul
1.22. Verificai dac oportunitatea, calitatea i cantitatea informaiilor este
X
bine precizat;
1.23. Verificai dac organigrama stabilete responsabilii structurilor
X
funcionale corespunztor fiecrui nivel ierarhic;
1.24. Analizai dac organigrama stabilete autoritatea de care responsabili
X
structurilor funcionale dispun.
2. Examinarea sistemului de gestionare a riscurilor generale la nivelul departamentului IT
2.1. Verificarea existenei politicii unitare privind gestionarea riscurilor X
2.2. Verificarea existenei sistemului de evaluare a riscurilor X
2.3. Verificai dac pentru riscurile identificate sunt stabilite i funcioneaz Test nr. 2.5
controale interne Interviu 2.2
2.4. Verificai modalitatea de stabilire i introducere a instrumentelor de FIAP nr. 2.5
control pentru meninerea lor n limita de acceptare i dac acestea
menin riscurile la niveluri inferioare
2.5. Analizai dac exist un responsabil cu gestionarea riscurilor la nivelul
X
departamentului IT
2.6. Verificarea existenei Registrului riscurilor la nivelul Departamentului
X
IT
2.7. Verificai dac actualizarea Registrului riscurilor se realizeaz
X
sistematic
2.8. Verificai dac riscurile majore prezentate n Registrul riscurilor
X
elaborat la nivelul Direciei IT se regsesc n Registrul riscurilor
125
elaborat la nivelul ntregii entiti publice;
2.9. Verificai dac exist un proces formal de analiz a riscurilor, utilizat
nainte de introducerea i ameliorarea noilor sisteme i pregtirea unor
X
planuri realiste de meninere a serviciilor n cazul n care operaiunile
nu decurg aa cum au fost proiectate.
2.10. Examinai dac se realizeaz monitorizarea i administrarea riguroas a
X
riscurilor care privesc implementarea aplicaiilor
2.11. Analizai dac implementarea controlului intern a urmrit dac acesta Test. nr. 2.6
este proiectat, implementat i meninut pentru a aborda riscurile care FIAP nr. 2.6
amenin atingerea oricruia dintre obiectivele departamentului cu
privire la: X
a) credibilitatea raportrii financiare
b) eficiena i eficacitatea operaiilor sale
c) respectarea legilor i reglementrilor aplicabile
2.12. Verificai dac riscurile sunt clar identificate i delimitate pe programe; X
2.13. Verificai dac riscurile sunt tratate ca responsabilitate a conducerii
superioare, dat fiind impactul potenial al acestora asupra proiectului i X
utilizrii resurselor;
2.14. Evaluai dac probabilitatea i impactul riscurilor sunt analizate
X
separat i sunt numite persoane care rspund de reducerea acestora;
2.15. Verificai dac revizuirea planurilor de diminuare i de gestionare a
X
riscurilor se realizeaz n mod regulat;
2.16. Examinai dac un risc identificat este raportat conducerii superioare i
sunt dispuse msuri de control intern pentru meninerea acestuia n X
limite acceptabile;
2.17. Verificai dac criteriile de performan sunt utilizate corect n
X
procesele informaionale;
2.18. Analizai dac aprecierea criteriilor de performan are la baz
X
capacitile i abilitile demonstrate de salariai;
2.19. Verificai dac procesul decizional este implementat la toate nivelurile
X
ierarhice;
2.20 Analizai dac structura compartimentala este corect stabilit n funcie
X
de natura i omogenitatea activitilor;
C. Stabilirea responsabilitilor
1. Definirea sarcinilor prin fia postului
1.1. Verificai dac elaborarea fiei postului este realizat n corelaie cu
X
cerinele postului;
1.2. Verificai dac sunt definite responsabiliti n realizarea sarcinilor din
X
fia postului;
1.3. Verificai dac fia postului definete corect cunotinele IT necesare
X
ocuprii postului;
1.4. Verificai dac este asigurat continuitatea realizrii activitilor la
X
eliberarea postului;
1.5. Abilitile, cunotinele i aptitudinile definite posturilor asigur
X
realizarea activitilor repartizate i a celor stabilite departamentului;
1.6. Verificai dac la definirea obiectivelor i sarcinilor se urmrete i
X
dezvoltarea capacitii profesionale a salariatului;
1.7. Verificai dac stabilirea obiectivelor individuale este realizat n
X
corelaie cu obiectivele departamentului;
1.8. Verificai dac persoana care ocup postul are capacitatea de a asigura
X
ndeplinirea atribuiilor i sarcinilor stabilite;
1.9. Verificai dac atribuiile definite n fia postului au caracter individual X
1.10. Verificai dac stabilirea sarcinilor din fia postului este realizat n
X
concordan cu atribuiile din ROF;
1.11. Analizai modul de definire a competenelor manageriale; X
1.12. Examinarea stabilirii sarcinilor n corelaie cu gradul profesional pe
X
care l definete postul;
1.13. Verificai dac atribuiile definite n fia postului sunt n concordan
X
cu activitile efectiv realizate de persoana ocupant a postului;
1.14. Urmrirea alocrii sarcinilor n fia postului n concordan cu
X
competenele manageriale:
1.15. a) modul de definire pentru funciile de execuie; X
126
b) modul de definire pentru funciile de conducere; X
1.16. Analizai dac fia postului definete: Test nr. 2.7
a) condiiile privind studiile de specialitate Interviu 2.3
b) condiiile privind specializrile necesare pentru ocuparea postului Not de relaii
c) condiiile privind cunotinele informatice X nr. 2.1
d) definirea sarcinilor n funcie de nivelul postului FIAP nr. 2.7
e) alocarea sarcinilor n concordan cu competenele manageriale
necesare postului
1.17. Verificarea definirii sarcinilor n conformitate cu activitile derulate; X
1.18. Verificai dac atribuiile sunt definite astfel nct s asigure aria de Test nr. 2.8
competen necesar realizrii activitilor, respectiv: FIAP nr. 2.8
a) analiza atribuiilor stabilite compartimentului i stabilirea dac aria
de competen a acestora ajut la realizarea activitilor
b) urmrirea ca aria de competen s asigure realizarea activitilor i X
aciunilor stabilite compartimentului funcional
c) analiza relaiilor cu celelalte structuri funcionale din cadrul
organizaiei cu care are sau ar trebui s aib relaii funcionale pentru
realizarea atribuiilor i activitilor
Auditori,
Popescu Sorin
Radu George
127
ENTITATEA PUBLIC
TEST nr. 2.1.

Obiectul testului Definirea atribuiilor i responsabilitilor n cadrul Departamentului IT

Obiectivele Evaluarea i urmrirea dac atribuiile stabilite personalului definesc aria de competen
testului necesar realizrii activitilor i aciunilor;
Descrierea Eantionul s-a constituit prin selectarea a cte dou posturi din cadrul fiecrui
testului compartiment funcional al Departamentului IT, respectiv un numr de 6 posturi. In cazul
acestora se vor evalua atribuiile i relaiile funcionale definite cu privire la:
- definirea atribuiilor i a ariei de competen a acestora;
- urmrirea dac aria de competen asigur realizarea activitilor i aciunilor
stabilite;
- analiza relaiilor cu celelalte posturi din cadrul compartimentului cu care ar
trebui s aib relaii funcionale.
Constatri Atribuiile definite n sarcina salariailor nu sunt ntotdeauna conforme i nu asigur
competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la
modul general, nu indic, prin modul de formulare o aciune, nu asigur un coninut clar,
fiind definite sub forma unei relaii funcionale sau avnd caracter de activitate.
Concluzii Atribuiile stabilite salariailor nu asigur ntotdeauna aria de competen necesar pentru
realizarea activitilor.

128
ENTITATEA PUBLIC
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 2.1.

Problema Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur

ntotdeauna aria de competen privind realizarea activitilor i aciunilor
repartizate.
Constatarea Atribuiile definite in sarcina salariailor nu sunt ntotdeauna conforme i nu
asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n
multe cazuri la modul general, nu indic, prin modul de formulare o aciune, nu
asigur un coninut clar, fiind definite sub forma unei relaii funcionale sau avnd
caracter de activitate.
Cauza Definirea atribuiilor specifice postului s-a realizat de ctre fiecare ef de
compartiment, fr a mai fi analizate i evaluate de ctre persoanele responsabile
de la nivelul departamentului.
Persoanele din cadrul compartimentelor funcionale nu au dispus de cunotinele
necesare astfel nct s poat defini corect o atribuie i n acelai timp s
urmreasc daca acestea asigur aria de competen a realizrii activitilor
repartizate postului.
Consecina Nu se asigur o arie de competen necesar i suficient pentru realizarea
activitilor i aciunilor.
Recomandarea Contientizarea managementului responsabil cu procesul de stabilire i definire a
atribuiilor prin informri i consilieri pentru clarificarea modalitilor practice de
definire a unei atribuii sau unui set de atribuii pentru asigurarea ariei de
competen necesar pentru realizarea activitilor.

129
ENTITATEA PUBLIC
TEST nr. 2.2.

Obiectul testului Definirea activitilor n cadrul structurii organizatorice.
Obiectivele Delimitarea activitilor compartimentului pe posturi.

testului
Descrierea Populaia eantionat o reprezint activitile i atribuiile alocate i stabilite pentru
testului dou servicii din cadrul departamentului IT, respectiv serviciul responsabil de
ntreinerea i implementarea aplicaiilor i serviciul responsabil cu programarea n
cadrul organizaiei.
Criteriile avute n vedere la analiza i evaluarea activitilor sunt reprezentate de cele
definite n Lista de verificare, i anume:
definirea omogen a activitilor;
activitile repartizate n cadrul compartimentelor respect criteriile avute n
vedere la nfiinarea acestora;
atribuiile stabilite pentru realizarea activitilor definesc aria necesar;
aciunile necesare realizrii activitilor se regsesc n sarcinile definite n fia
postului.
Pentru realizarea testului a fost realizat un interviu privind modul de stabilire a

activitilor n cadrul compartimentului, cu domnul Ionescu Adrian director general
Departament IT i a fost luat o not de relaii domnului Popescu Marin, ef serviciu
ntreinere i Implementare Aplicaii.
Constatri La proiectarea structurii organizatorice se pleac de la inventarierea activitilor

existente sau necesare pentru realizarea obiectivelor i se efectueaz o analiz critic
pentru a se putea constata n ce msur acestea sunt adecvate realizrii funciunii.
La definirea activitilor se are n vedere complexitatea acestora, respectiv
gradul de difereniere a muncii pe orizontal i pe vertical. Diferenierea pe orizontal
const n numrul de activiti (specializri) i de subuniti funcionale (birouri,
servicii). Diferenierea pe vertical se refer la numrul de niveluri ierarhice de-a
lungul crora se exercit autoritatea n organizaie.
Analiza coninutului i modului de definire a activitilor necesare pentru
realizarea fiecrui obiectiv specific a pus n eviden urmtoarele:
unele activiti sunt definite sub forma unor relaii de colaborare care fie nu
indic aciuni concrete de realizare a acestora, fie indic o aciune comun de
realizare;
altele sunt definite sub forma unor relaii de colaborare, n condiiile n care
sunt exercitate aciuni concrete de realizare i pentru care exist rezultate ateptate
stabilite;
nu sunt identificate toate activitile care contribuie la realizarea
obiectivelor specifice i care asigur conformitatea cu reglementrilor legale.
Prin modul de organizare a activitilor structurilor organizatorice ale direciei
nu se asigur evitarea dublrii aciunilor, respectiv exist activiti identice sau
similare, desfurate de mai multe departamente i probleme semnificative de
130
suprapunere i coordonare.
De asemenea, pentru realizarea unor activiti nu se respect principiul
convergenei n definirea i stabilirea coninutului activitilor care sunt necesare
pentru realizarea unui obiectiv.
Concluzii Activitile nu sunt corect identificate i definite n cadrul compartimentelor,

astfel nct s contribuie la realizarea i implementarea obiectivelor.

131
ENTITATEA PUBLIC
INTERVIU NR. 2.1

privind definirea activitilor i responsabilitilor n cadrul departamentului IT,
adresat domnului Adrian Ionescu, director general DGTI

Nr.
crt.
1. Avei o strategie de dezvoltare la nivelul structurii
X
funcionale?
2. Exist un responsabil cu actualizarea strategiei n
X
cadrul compartimentului IT?
3. Strategia de dezvoltare a compartimentului IT este n
X
concordan cu strategia general a organizaiei?
4. Ai aprobat un plan de activitate anual pentru
X
compartimentul IT?
5. Ai dezvoltat politici publice n domeniul IT pentru
X
asigurarea atingerii obiectivelor stabilite prin plan?
6. Exist proceduri operaionale de lucru pentru toate Da, au fost elaborate
activitile care se desfoar n cadrul proceduri operaionale de
X
compartimentului? lucru, sunt cunoscute i
nsuite de ctre salariai
7. Exist responsabili desemnai pentru elaborarea i
X
actualizarea sistematic a procedurilor operaionale?
8. Ai aprobat procedurile operaionale de lucru? X
9. Pn n prezent s-a realizat vreo revizie pentru Da, anumite proceduri au
X
actualizarea procedurilor operaionale de lucru? fost actualizate de 2 ori.
10. Considerai c procedurile operaionale sunt
complete, funcionale i asigur desfurarea Da, dup efectuarea mai
X
corespunztoare a activitilor din cadrul multor revizii.
compartimentului IT?
11. Mai avei ceva de adugat referitor la cele de mai sus? X
Data: 15.09.2009 Intervievat,

Director General Adrian Ionescu
Elaborat n faa noastr; Auditori
Popescu Sorin
Radu George
132
ENTITATEA PUBLIC

privind modul de stabilire a activitilor n cadrul compartimentului
adresat
domnului Popescu Marin ef serviciu ntreinere i Implementare Aplicaii.

ntrebarea nr. 1: Ai participat la stabilirea atribuiilor i activitilor compartimentului?
Rspuns nr. 1: Activitile n cadrul compartimentului au fost stabilite pe baza atribuiilor definite.
ntrebarea nr. 2: Ai fost implicat n elaborarea atribuiilor compartimentului?
Rspuns nr. 2: n anul 2007 a fost elaborat Regulamentul de organizare i funcionare unde am participat
efectiv pentru departamentul pe care l coordonez. De fapt atribuiile stabilite de mine au rmas
neschimbate n urma aprobrii regulamentului.
ntrebarea nr. 3: La proiectarea structurii organizatorice s-a inut cont de inventarierea activitilor
executabile ?
Rspuns nr. 3: Structura compartimentului i numrul de posturi au fost prestabilite, iar noi a trebuit
doar s alocm activitile i atribuiile.
ntrebarea nr. 4: Activitile definite indic aciuni concrete de realizare i rezultate ateptate?
Rspuns nr. 4: n unele cazuri da, n alte cazuri le-am definit sub form de relaii de colaborare sau
participare n funcie de scopul urmrit.
ntrebarea nr. 5: Cum explicai faptul c nu sunt identificate toate activitile necesare realizrii
obiectivelor?
Rspuns nr. 5: Ulterior direcia a mai primit i alte activiti n vederea realizrii, ns pentru acestea nu
s-a mai procedat la reanalizarea obiectivelor i redefinirea acestora.
ntrebarea nr. 6: Din analiza unor activiti a rezultat c acestea sunt realizate mpreun cu alte
compartimente, ns, evalund obiectivele, s-a constatat c realizarea acestora include i activitile
realizate de celelalte compartimente. Cum explicai aceasta?
Rspuns nr. 6: Aceste obiective i activiti se regsesc la ambele compartimente, ns fiecare

compartiment realizeaz numai partea pentru care este responsabilizat.
Rspuns nr. 7: Nu.
Data: 15.09.2009 ef serviciu

Dat n faa noastr: Auditori Popescu Marin
Popescu Sorin
Radu George
133
ENTITATEA PUBLIC

Problema Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea
complexitii acestora nu se realizeaz n funcie de nivelurile de calificare ale
posturilor existente.
Constatarea La proiectarea structurii organizatorice se pleac de la inventarierea
activitilor existente sau necesare pentru realizarea obiectivelor i se efectueaz o
analiz critic pentru a se constata n ce msur acestea sunt adecvate realizrii
funciunii.
La definirea activitilor se are n vedere complexitatea acestora, respectiv
gradul de difereniere a muncii pe orizontal i pe vertical. Diferenierea pe
orizontal const n numrul de activiti (specializri) i de subuniti funcionale
(birouri, servicii). Diferenierea pe vertical se refer la numrul de niveluri
ierarhice de-a lungul crora se exercit autoritatea n organizaie.
Analiza coninutului i modului de definire a activitilor necesare pentru
realizarea fiecrui obiectiv specific a pus n eviden urmtoarele:
unele activiti sunt definite sub forma unor relaii de colaborare care fie
nu indic aciuni concrete de realizare a acestora, fie indic o aciune comun de
realizare;
altele sunt definite sub forma unor relaii de colaborare, n condiiile n
care sunt exercitate aciuni concrete de realizare i pentru care exist rezultate
ateptate stabilite;
nu sunt identificate toate activitile care contribuie la realizarea
obiectivelor specifice i care asigur conformitatea cu reglementrile legale.
Prin modul de organizare a activitilor structurilor organizatorice ale
direciei nu se asigur evitarea dublrii aciunilor, respectiv exist activiti
identice sau similare, desfurate de mai multe departamente i probleme
semnificative de suprapunere i de coordonare.
De asemenea, pentru realizarea unor activiti, nu se respect principiul
convergenei n definirea i stabilirea coninutului activitilor care sunt necesare
pentru realizarea unui obiectiv.
Cauza Managementul superior nu a acordat o suficient atenie domeniului
organizaional, n vederea reglementrii lui formale n cadrul tuturor
compartimentelor funcionale.
Consecina Nestabilirea clar a activitilor i aciunilor poate conduce la nerealizarea, n
condiii optime, a obiectivelor i nu permite identificarea cauzelor care au stat la
baza nerealizrii. De asemenea, nu se pot identifica problemele cu care se
confrunt personalul i nici nu se pot implementa politici care s asigure eficiena
i eficacitatea n realizarea activitilor.
Recomandarea Organizarea eficient a activitii impune realizarea unei analize riguroase a
sarcinilor i responsabilitilor fiecrui angajat, care s stea la baza oricrei
iniiative de organizare a activitii.
Constituirea unei echipe, pe baza deciziei managementului general, care s
134
analizeze i s redefineasc activitile i aciunile realizate n cadrul
compartimentelor i serviciilor, astfel nct s se asigure c obiectivele vor fi
realizate n totalitate.
La stabilirea obiectivelor se va urmri dac sunt ataate toate activitile necesare
obinerii rezultatelor stabilite, realizate efectiv n cadrul compartimentului,
formulate ca aciuni concrete.

135
ENTITATEA PUBLIC
TEST nr. 2.3

Obiectul testului Organizarea funcional a Departamentului IT

Obiectivele Examinarea dac organigrama reprezint un instrument la ndemna conducerii
testului prin care se permite vizualizarea de ansamblu a organizrii departamentului IT.
Descrierea Analiza modului de elaborare a organigramei se realizeaz n conformitate cu actul
testului normativ de organizare i funcionare a organizaiei i cu modului efectiv de organizare i
funcionare a structurilor funcionale din cadrul organizaiei, punndu-se accent pe urmtoarele:
- stabilirea structurii funcionale a departamentului, pe baza organigramei;
- organigrama permite vizualizarea de ansamblu a organizrii departamentului;
- definirea n termen a relaiilor din cadrul departamentului;
- definirea raporturilor de subordonare n cadrul organigramei;
- definirea numrului de posturi prin intermediul organigramei;
Constatri Organigrama, ca document prin care se relev grafic structura organizaiei i
substructurile acesteia, nu pune n eviden organizarea i funcionarea
departamentului. Compartimentele aflate n subordinea departamentului nu sunt
nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de
subordonare al departamentului n cadrul organizaiei.
Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de evitare a
suprapunerilor de competene. Astfel, cu privire la raporturile de subordonare potrivit
organigramei, Serviciul Programare este organizat sub forma unui compartiment care
se afl n directa subordonare a directorului general adjunct al departamentului, n
realitate acest compartiment este organizat la nivel de serviciu i subordonat directorul
general. Postul de director general adjunct a fost desfiinat n anul 2008 urmare
reorganizrilor efectuate.
Definirea relaiilor ierarhice, aa cum a fost precizat mai sus, nu asigur o integrare
corespunztoare a departamentului n structura organizatoric a organizaiei i nu
asigur operativitatea fluxului de informaii i date ntre structurile implicate n
prelucrarea datelor i obinerea rezultatelor finale.
n structura organizatoric a departamentului, definit n cadrul organigramei, nu se
precizeaz n cadrul serviciilor, numrul de posturi i responsabilii structurilor
funcionale corespunztor fiecrui nivel ierarhic i/sau cine coordoneaz aceste servicii
i compartimente, ceea ce nu permite identificarea nivelurilor i relaiilor ierarhice.
Concluzii Organigrama nu este funcional i nu prezint n totalitate raporturile funcionale,
nivelurile ierarhice i relaiile interne existente ntre compartimente.

136
ENTITATEA PUBLIC

Problema Organigrama nu permite o vizualizare de ansamblu a organizrii departamentului,

a numrului de personal repartizat n cadrul compartimentelor i a relaiilor
existente ntre compartimente.
Constatarea Organigrama ca document prin care se relev grafic structura organizaiei i
substructurile acesteia nu pune n eviden organizarea i funcionarea
departamentului. Compartimentele aflate n subordinea departamentului nu sunt
nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de
Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de
evitare a suprapunerilor de competene. Astfel, cu privire la raporturile de
subordonare, potrivit organigramei, Serviciul Programare este organizat sub
forma unui compartiment care se afl n directa subordonare a directorului
general adjunct al departamentului, dar n realitate acest compartiment este
organizat la nivel de serviciu i subordonat directorul general. Postul de director
general adjunct a fost desfiinat n anul 2008 urmare a reorganizrilor efectuate.
Definirea relaiilor ierarhice aa cum a fost precizat mai sus, nu asigur o
integrare corespunztoare a departamentului n structura organizatoric a
organizaiei i nu se asigur operativitatea fluxului de informaii i date ntre
structurile implicate n fluxul tehnologic al activitilor.
n structura organizatoric a departamentului, definit n cadrul organigramei, nu
se precizeaz n cadrul serviciilor numrul de posturi i responsabilii structurilor
funcionale corespunztor fiecrui nivel ierarhic i/sau cine coordoneaz aceste
servicii i compartimente, ceea ce nu permite identificarea nivelurilor i relaiilor
ierarhice.
Cauza La nivelul organizaiei nu au existat reglementri procedurale s defineasc i s
stabileasc o form cadru de elaborare a organigramei. n ultima perioad n
cadrul organizaiei au fost realizate mai multe modificri structurale, n sensul c
activitile desfurate au fost reorganizate, ceea ce a presupus i modificri ale
structurilor funcionale.
Consecina Nu se asigur o nelegere corespunztoare a modului de organizare i funcionare
a departamentului, a nivelului ierarhic i a relaiilor existente ntre
compartimente.
n forma n care este elaborat organigrama, nu conine o serie de informaii

referitoare la relaiile interne existente ntre compartimente i la nivelurile de
subordonare.
Recomandri Analiza actului normativ de organizare i funcionare a organizaiei.
Urmrirea atribuiilor definite departamentului astfel nct s acopere n totalitate
activitile desfurate.
Stabilirea corect a relaiilor i subordonrilor dintre compartimente.

137
ENTITATEA PUBLIC
TEST nr. 2.4.

Obiectul Organizarea i funcionarea departamentului IT.

testului
Obiectivele Analiza corelaiei dintre numrul de posturi de conducere ocupate i cele deinute cu delegaie.
testului
Descrierea Departamentul IT din cadrul entitii publice are 3 servicii funcionale. Eantionul va fi
testului constituit din posturile de conducere existente i testarea va urmri modul cum sunt realizate
atribuiile acestor posturi.
Analiza organigramei departamentului IT:
- numr total de posturi de conducere
- numr posturi de conducere ocupate cu delegaie
- numr total de posturi de execuie
- numr posturi de execuie neocupate.
Demersurile realizate de departamentul IT pentru ocuparea posturilor de conducere:
- numr de examene organizate pentru ocuparea posturilor;
- numr de solicitri ctre compartimentul de Resurse Umane pentru organizarea
examenelor.
Preocuparea conducerii pentru ocuparea posturilor de execuie;
- numr de examene organizate pentru ocuparea posturilor
- numr de solicitri ctre compartimentul de Resurse Umane pentru organizarea
concursurilor.
Existena unui plan de implementare a msurilor necesare, menit s asigure buna
desfurare a activitii n cazul existenei unui numr mare de posturi vacante.
Constatri Din analiza modului de acoperire a necesarului de resurse umane la nivelul departamentului IT
s-a constatat c dou din cele trei posturi de conducere de ef de serviciu sunt ocupate cu
delegaie de circa 18 luni.
Examinarea fielor posturilor pentru posturile de execuie ocupate de persoanele care au fost
numite cu delegaie n posturi de conducere s-a constatat c acestea nu prevedeau nici o
aptitudine managerial. Totodat analiza ndeplinirii/realizrii activitilor celor dou servicii a
pus n eviden faptul c n unele cazuri acestea nu au fost realizate sau au fost realizate cu
ntrziere.
Din verificarea modului de planificare i realizare zilnic a activitilor a rezultat c persoanele
responsabilizate n posturile de conducere nu au coordonat n nici un fel activitile care erau
realizate zilnic de ctre salariai, nu au ndrumat n nici un fel salariaii cu privire la modul n
care n care s realizeze activitile i nici nu au realizat o monitorizare cu privire la modul de
realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat
activitile n funcie de cunotinele i aptitudinile pe care le deineau.
La nivelul celor dou servicii n aceast perioad nu a fost luat nici o decizie cu privire la
mbuntirea activitilor sau la dezvoltarea acestora.
Concluzii Delegarea pe posturi de conducere de persoane care nu deineau abiliti manageriale.

138
ENTITATEA PUBLIC
Lista control nr. 2.1

privind organizarea i funcionarea departamentului IT
Evaluarea demersurilor Analiza consecinelor

Analiza organigramei departamentului Existena preocuprii pentru Existena unui plan de
realizate de departamentul funcionrii departamentului
IT ocuparea posturilor de implementare a
IT pentru ocuparea IT cu persoane de conducere
execuie msurilor necesare
Elemente posturilor cu delegaie
menit s asigure buna
Nr. testate Nr. Nr. de Nr. de
Nr. de Nr. de desf. a act. n cazul
crt Eantion Nr. posturi total Nr. examene Nr. de sesizri Nr. de examene
Nr. total solicitri ctre solicitri ctre existenei unui numr
de cond. posturi posturi de organizate ale depart. subsisteme IT organizate
posturi de compart. de compart. de mare de posturi de
ocupate cu de execuie pentru beneficiare ale neimpl. la pentru
conducere RU pentru RU pentru conducere i/sau
delegaie execuie neocup. ocuparea serviciilor IT timp ocuparea
org. ex. org. ex. execuie vacante
posturilor posturilor
Serviciul
1. dezvoltare 3 1 12 4 Nu Nu X X X X Nu
aplicaii
Serviciul
2. 1 0 9 5 Nu Nu X X X X Nu
comunicaii
Serviciul
3. exploatare 1 0 10 3 Nu Nu X X X X Nu
aplicaii
Serviciul
4. proiectare i 3 2 14 3 Nu Nu X X X Nu
programare
Serviciul reele
5. 1 0 9 2 Nu Nu X X X X Nu
informatice
139
ENTITATEA PUBLIC

Problema Grad ridicat de neocupare a posturile existente i aprobate departamentului

IT.
Constatarea Dou din cele trei posturi de conducere de ef de serviciu au fost ocupate cu
delegaie de circa 18 luni.
Din verificarea modului de planificare i realizare zilnic a activitilor a
rezultat c persoanele responsabilizate n posturile de conducere nu au coordonat
n nici un fel activitile care erau realizate zilnic de ctre salariai, nu au ndrumat
n nici un fel salariaii cu privire la modul n care n care s realizeze activitile i
nici nu au realizat o monitorizare cu privire la modul de realizare a acestora.
Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat activitile n
funcie de cunotinele i aptitudinile pe care le deineau.
Examinarea fielor posturilor pentru posturile de execuie ocupate de
persoanele care au fost numite cu delegaie n posturi de conducere s-a constatat c
acestea nu prevedeau nici o aptitudine managerial.
La nivelul celor dou servicii n aceast perioad nu a fost luat nici o
decizie cu privire la mbuntirea activitilor sau la dezvoltarea acestora.
Cauza Numirea n posturi de conducere de persoane care nu deineau abiliti
manageriale adecvate pentru posturile respective.
Consecina ntrzieri n realizarea activitilor i/sau nerealizarea acestora, organizarea
i realizarea defectuoas a activitilor de ctre salariai.
Recomandarea Solicitarea desfurrii procesului de selecie i recrutarea n vederea
ocuprii posturilor de conducere existente la nivelul departamentului IT.
Recrutarea va urmri dac persoanele selectate dein abilitile i aptitudinile
manageriale necesare realizrii activitilor specifice celor dou servicii i dac au
pregtirea de baz, de nivel superior, n domeniul IT.

140
ENTITATEA PUBLIC
TEST nr. 2.5

Obiectul testului Examinarea sistemului de gestionare a riscurilor generale la nivelul departamentului IT

Obiectivele Analiza modului n care riscurile sunt identificate i gestionate la nivelul
testului departamentului IT, n vederea asigurrii existentei controalelor interne
corespunztoare
Descrierea Eantionul va fi constituit din riscurile identificate i gestionate de
testului departamentul IT.
Pentru fiecare obiectiv al departamentului vor fi selectate 5% din riscuri i
acestea vor fi evaluate cu privire la modul n care au fost stabilite controalele interne,
cum au fost stabilite i introduse instrumente de control pentru meninerea lor n limite
de accesibilitate i dac toate aceste instrumente de control introduse menin riscurile
la niveluri inferioare. Totodat s-a urmrit dac controalele interne introduse sunt
funcionale.
Constatri Din analiz s-a constatat c nu exist preocupri pentru gestionarea riscurilor
din cadrul entitii i nu a fost inut Registrul riscurilor cuprinznd riscurile poteniale
i istoricul acestora, cu efectele i consecinele lor, precum i activitile de control
intern asociate pentru limitarea acestora.
Concluzii La nivelul departamentului nu este asigurata o gestiune corespunztoare a
riscurilor. Acestea nu sunt identificate i monitorizate n vederea meninerii lor n
limitele de accesibilitate.

Ionescu Adrian Florescu Cristian
141
ENTITATEA PUBLIC
INTERVIU nr. 2.2

privind sistemul de gestionare a riscurilor
adresat
domnului Ionescu Adrian, director general
Nr.
crt.
ntrebri Da Nu Obs.
1. Exist o politic de management al riscului? X

2. Exist preocupri pentru managementul riscurilor n cadrul X
departamentului IT?
3. S-au organizat cursuri cu ntreg personalul pentru activitatea de X
gestionare a riscurilor n conformitate cu metodologia de
organizare a sistemului de control intern conform prevederilor
OMFP nr. 946/2005 privind Codul controlului intern?
4. Au fost identificate riscurile la nivelul departamentului IT? X
5. Exist un sistem de evaluare a riscurilor? X
6. Au fost prevzute msuri de rspuns n cazul apariiei riscurilor? X
7. Exist un sistem de monitorizare i raportare periodic a X
riscurilor asociate activitii Direcia IT?
8. Avei elaborat i actualizat Registrul riscurilor? X
9. Este desemnat un responsabil cu gestionarea riscurilor la nivelul X
departamentului IT?
Data: 15.09.2009
Intervievat,
Ionescu Adrian

Popescu Sorin
142
ENTITATEA PUBLIC

Problema Neimplementarea unui sistem de control managerial potrivit cruia riscurile

aferente domeniului IT s fie identificate i gestionate.
Constatarea Din analiz s-a constatat c riscurile nu sunt identificate i gestionate la nivelul
departamentului i nu este condus Registrul riscurilor cuprinznd riscurile poteniale
i istoricul acestora, precum i instrumentele de control intern implementate pentru
limitarea acestora.
Cauza Lipsa procedurile de lucru, ct i a practicii n cadrul organizaiei privind
modul de identificare i gestionare a riscurilor.
Consecina Stocarea neadecvat a datelor i informaiilor;
Accesul la date i informaii a ntregului personal i nu pe niveluri de
autorizare;
Sistem informaional necorespunztor cerinelor organizaiei;
Posibilitatea sustragerii de date i informaii cu importan pentru entitate.
Recomandarea Elaborarea mecanismelor procedurale i metodologice privind identificarea
riscurilor i gestionarea acestora
Evaluarea riscurilor identificate i diferenierea acestora n riscuri inerente i
riscuri acceptabile.
Implementarea de instrumente de control pentru riscurile inerente, astfel nct
manifestarea acestora s fie limitat i nivelul acestora s devin unul acceptabil.

143
ENTITATEA PUBLIC
TEST nr. 2.6

Obiectul testului Examinarea sistemului de gestionare a riscurilor generale la nivelul Departamentului IT

Obiectivele Analiza i evaluarea riscurilor a urmrit modul n care conducerea departamentului
testului identific riscurile relevante, estimeaz semnificaia acestora, evalueaz probabilitatea
apariiei lor i decide n funcie de acestea instrumentele de control pentru a le menine
sub control.
Descrierea Analiza implementrii controlului intern a urmrit dac acesta este proiectat, implementat
testului i meninut pentru a aborda riscurile care amenin atingerea oricruia dintre obiectivele
departamentului cu privire la:
- credibilitatea raportrii financiare;
- eficiena i eficacitatea operaiilor sale;
- respectarea legilor i reglementrilor aplicabile.
Constatri Din analiza sistemului de control intern instituit la nivelul departamentului IT a rezultat c
unele activiti de control relevante nu au fost cuprinse n politicile i procedurile de
control instituite, astfel:
- revizuiri ale performanei - aceste activiti de control trebuie s includ revizuiri
i analize ale performanei efective n comparaie cu bugetele, previziunile i performana
perioadelor precedente;
- procesarea informaiilor acestea trebuie s includ cele dou grupri de activiti
de control ale sistemelor informaionale, respectiv controalele asupra aplicaiilor
individuale i controalele generale asupra tehnologiei informaiei, care sunt de fapt politici
i proceduri care se refer la mai multe aplicaii i contribuie la asigurarea funcionrii
adecvate i continue a sistemelor informaionale.
Exemple de controale generale ale tehnologiei informaiei sunt controalele asupra
modificrii programului, controalele de restricionare a accesului la programe sau la date,
controalele asupra implementrii de noi aplicaii informatice.
Anumite activiti de control care nu sunt de rutin i care depind de existena unor
politici adecvate stabilite de conducere sau de cei nsrcinai cu guvernana nu au o
aprobare de la aceste niveluri i nici nu au fost delegate n responsabilitatea unor posturi
inferioare.
Din analiza efectuat a rezultat c la nivelul departamentului nu este organizat i nu se

conduce Registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt identificate
i nu sunt monitorizate n vederea stpnirii i meninerii lor la un nivel acceptabil.
Riscurile relevante includ evenimente, tranzacii sau mprejurri externe i interne care pot
aprea i care pot afecta n mod negativ capacitatea departamentului de a iniia, nregistra,
procesa i raporta date corecte i conforme. Riscurile apar i se schimb din urmtoarele
cauze:
- modificri ale mediului n care se desfoar activitatea.
- personal nou, care poate avea o nelegere diferit n ceea ce privete controlul
intern.
- extindere semnificativ i rapid a operaiilor, care constrng controalele i sporesc
apariia riscului.
- introducerea de noi tehnologii n procesele de producie i n sistemele
144
informaionale, care modific riscurile asociate cu controlul intern.
Concluzii Sistemul de control intern nu cuprinde toate activitile de control necesare
minimizrii riscurilor i realizrii obiectivelor.

145
ENTITATEA PUBLIC

Problema Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate

activitile de control ce trebuie alocate n vederea atingerii obiectivelor.
Constatarea Din analiza sistemului de control intern instituit la nivelul departamentului IT a
rezultat c unele activiti de control relevante nu au fost cuprinse n politicile i
procedurile de control instituite, astfel:
- revizuiri ale performanei - aceste activiti de control trebuie s includ
revizuiri i analize ale performanei efective n comparaie cu bugetele, previziunile
i performana perioadelor precedente;
- procesarea informaiilor acestea trebuie s includ cele dou grupri de
activiti de control ale sistemelor informaionale, respectiv controalele asupra
aplicaiilor individuale i controalele generale asupra tehnologiei informaiei, care
sunt de fapt politici i proceduri care se refer la mai multe aplicaii i contribuie la
asigurarea funcionrii adecvate continue a sistemelor informaionale.
Exemple de controale generale ale tehnologiei informaiei sunt controalele asupra
modificrii programului, controalele de restricionare a accesului la programe sau
la date, controalele asupra implementrii de noi aplicaii informatice.
Anumite activiti de control care nu sunt de rutin i care depind de existena unor
politici adecvate stabilite de conducere sau de cei nsrcinai cu guvernana nu au o
aprobare de la aceste niveluri i nici nu au fost delegate n responsabilitatea unor
posturi inferioare.
Din analiza efectuat a rezultat c la nivelul departamentului nu este organizat i nu

se conduce registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt
identificate i nu sunt monitorizate n vederea stpnirii i meninerii lor la un nivel
acceptabil.
Riscurile relevante includ evenimente, tranzacii sau mprejurri externe i interne
care pot aprea i care pot afecta n mod negativ capacitatea departamentului de a
iniia, nregistra, procesa i raporta date corecte i conforme. Riscurile apar i se
schimb din urmtoarele cauze:
- modificri ale mediului n care se desfoar activitatea.
- personal nou, care poate avea o nelegere diferit n ceea ce privete
controlul intern.
- extindere semnificativ i rapid a operaiilor, care constrng controalele i
sporesc apariia riscului.
- introducerea de noi tehnologii n procesele de producie i de sisteme
informaionale care modifica riscurile asociate cu controlul intern.
Cauza Persoana responsabil cu revizuirea controalelor nu nelege care este scopul

acestora i nu ia msurile adecvate care se impun.
Consecina Controlul intern nu ofer o asigurare rezonabil n legtur cu atingerea
146
obiectivelor.
Activitile de control, respectiv autorizarea, revizuirea performanei, procesarea
informaiilor, controalele fizice, separarea responsabilitilor nu ajut i nu dau
asigurri c deciziile conducerii sunt duse la ndeplinire.
Recomandri Stabilirea controalelor interne aferente riscurilor identificate i determinarea
gradului de funcionalitate al acestora.
Pentru riscurile care nu se afl la un nivel acceptabil, s se proiecteze un instrument
sau msur de introducere de controale interne, fie individuale, fie n combinaie cu
alte controale, capabile s previn, detecteze i s corecteze n mod eficient
denaturrile semnificative.
Instituirea i conducerea Registrului riscurilor la nivelul organizaiei.

147
ENTITATEA PUBLIC
TEST nr. 2.7

Obiectul testului Definirea sarcinilor prin fia postului

Obiectivele Examinarea dac cerinele specifice solicitate la ocuparea postului respect
testului caracteristicile postului respectiv
Descrierea Urmrirea dac fia postului elaborat pentru un anumit post, definete corect
testului condiiile specifice pe care trebuie s le ndeplineasc postul, respectiv:
a) condiiile privind studiile de specialitate;
b) condiiile privind specializrile necesare pentru ocuparea postului;
c) condiiile privind cunotinele informatice;
d) definirea sarcinilor n funcie de nivelul postului,
f) alocarea sarcinilor n concordan cu competenele manageriale necesare postului.
Constatri Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se
ine cont de scopul postului i cunotinele de baz necesare pentru realizarea
atribuiilor alocate acestuia. Din analiza fielor posturilor s-a constatat c la concursul
organizat pentru ocuparea postului respectiv poate participa orice persoana care are o
diploma, deoarece nu se specific tipul de studii i nivelul acestora, respectiv n
domeniul IT, studii superioare de lung durat absolvite cu diplom de licen etc..
La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui echilibru
ntre sarcinile i competenele titularului postului. Din analiza eantionului selectat a
rezultat c pentru posturile cu un nivel al studiilor medii sunt alocate aceleai atribuii
i responsabiliti ca i pentru posturile cu un nivel al studiilor superior. Acestea
creeaz probleme n gestionarea aplicaiilor i programelor, deoarece persoanelor
ncadrate n cadrul departamentului pe studii medii le-au fost date n responsabilitate
ntreinerea de aplicaii i programe complexe i chiar realizarea de astfel de aplicaii
pentru organizaie, care necesit cunotine IT de nivel superior i chiar anumite
specializri.
Concluzii Studiile de specialitate nu sunt menionate n fia postului potrivit cerinelor de
ocupare a postului.
Repartizarea sarcinilor n cadrul fielor posturilor nu se realizeaz n conformitate cu
competenele titularilor posturilor.

148
ENTITATEA PUBLIC
INTERVIU nr. 2.3

privind definirea sarcinilor pe grade profesionale
adresat
efului Serviciului Programare Vasilescu Gheorghe

Nr.
crt.
1. Exist un responsabil cu elaborarea fielor posturilor? X
Exist o delimitare a atribuiilor alocate compartimentelor X
2.
pentru fiecare post existent?
3. Sarcinile sunt definite pentru fiecare grad profesional n fia X
postului?
4. Sarcinile sunt definite n baza atribuiilor stabilite la nivelul X
serviciului i le acoper n totalitate?
5. Atribuiile definite asigur realizarea activitilor identificate? X
6. Sarcinile sunt stabilite difereniat n funcie de gradul X Activitile din cadrul
profesional al postului? serviciului se
regsesc la mai multe
posturi
7. Exist definite aceleai tipuri de sarcini pentru funcii X Nu s-a urmrit ca
profesionale diferite? sarcinile s difere n
funcie de gradele
profesionale definite
de post
8. Pentru acelai tip de sarcini stabilite pentru posturi diferite X
sunt stabilite aceleai obiective individuale?
9. Totalitatea sarcinilor definite pentru posturile existente n X
cadrul serviciului este asigurat prin atribuii i contribuie la
realizarea activitilor?
10. Atribuiile definite postului acoper scopul acestuia? X
11. Mai avei ceva de adugat referitor la cele de mai sus? X

Vasilescu Gheorghe
Elaborat n faa noastr: Auditori

Popescu Sorin
Radu George
149
ENTITATEA PUBLIC

privind alocarea sarcinilor n funcie de responsabiliti
adresat doamnei Vasilescu Maria

ntrebarea nr. 1: Postul pe care l ocupai este de execuie?
Rspuns nr. 1: Da.
ntrebarea nr. 2: Cunoatei atribuiile definite n fia postului?
Rspuns nr. 2: Da, dar nu sunt exercitate n totalitate.
ntrebarea nr. 3: Atribuia nr. 3 se refer la planificarea activitilor zilnice n cadrul serviciului. Ce
activiti realizai pentru ndeplinirea acesteia?
Rspuns nr. 3: Zilnic planific pentru fiecare salariat din cadrul serviciului activitile pe care trebuie s le
execute sau s le realizeze pentru ziua respectiv.
ntrebarea nr. 4: La nivelul serviciului exist numit sef de serviciu?
Rspuns nr. 4: Da.
ntrebarea nr. 5: De ce acesta nu realizeaz planificarea zilnic a activitilor salariailor din subordine?
Rspuns nr. 5: Are prea multe sarcini i a fost nevoit s delege o parte din atribuii.
ntrebarea nr. 6: Sarcina de planificare a activitilor serviciului va delegat-o prin fia postului?
Rspuns nr. 6: Nu, mi-a comunicat-o verbal.
ntrebarea nr. 7: Cine face analiza rezultatelor activitilor planificate?
Rspuns nr. 7: Nu este realizat aceast activitate. Eu i comunic cum am repartizat i el informeaz
conducerea.
Rspuns nr. 8: Nu.

Vasilescu Maria
Elaborat n faa noastr: Auditori

Popescu Sorin
Radu George
150
ENTITATEA PUBLIC

Problema Studiile de specialitate nu sunt menionate n fia postului potrivit

cerinelor de ocupare a postului.
Repartizarea sarcinilor n cadrul fielor posturilor nu se realizeaz n
conformitate cu competenele titularilor posturilor.
Constatarea Studiile de specialitate aferente unui post sunt definite n cadrul fiei
postului fr a se ine cont de scopul postului i cunotinele de baz necesare
pentru realizarea atribuiilor alocate acestuia. Din analiza fielor posturilor s-a
constatat c la concursul organizat pentru ocuparea postului respectiv poate
participa orice persoan care are o diplom, deoarece nu se specific tipul de
studii i nivelul acestora, respectiv n domeniul IT, studii superioare de lung
durat absolvite cu diplom de licen etc.
La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui
echilibru ntre sarcinile i competenele titularului postului. Din analiza
eantionului selectat a rezultat c pentru posturile cu un nivel al studiilor medii
sunt alocate aceleai atribuii i responsabiliti ca i pentru posturile cu un nivel
al studiilor superiore. Acestea creeaz probleme n gestionarea aplicaiilor i
programelor, deoarece persoanelor ncadrate n cadrul departamentului pe studii
medii le-au fost date n responsabilitate ntreinerea de aplicaii i programe
complexe i chiar realizarea de astfel de aplicaii pentru organizaie, care
necesit cunotine IT de nivel superior i chiar anumite specializri.
Cauza Tratarea cu superficialitate a procesului de elaborare a fielor posturilor.
Lipsa de responsabilitate n exercitarea sarcinilor i responsabilitilor de
ctre personalul cu atribuii de conducere.
Consecina Fia postului nu asigur n toate cazurile informaii suficiente comisiei de
recrutare i selecie, necesare pentru identificarea celor mai bune persoane pentru
postul respectiv.
Nerealizarea n termen i n condiii de calitate a obiectivelor individuale n
cazul personalului cu funcii de rang inferior i care are repartizat un numr mai
mare de sarcini n comparaie cu personalul cu funcii de rang superior.
Recomandarea Analiza sarcinilor i atribuiilor definite n fiele posturilor i stabilirea
acestora n funcie de caracteristicile postului, respectiv nivelul postului i
urmrirea definirii aceluiai gen de sarcini i atribuii numai dac posturile sunt
de acelai nivel.

151
ENTITATEA PUBLIC
TEST nr. 2.8

Obiectul Definirea sarcinilor prin fia postului

testului
Obiectivele Atribuiile stabilite compartimentelor funcionale vor fi evaluate i se va urmri dac acestea
testului definesc aria de competen necesar realizrii activitilor i aciunilor;
n cazul activitilor realizate prin colaborare cu alte structuri funcionale din cadrul
organizaiei, se va urmri dac relaiile funcionale de colaborare sau cooperare cu structurile
respective sunt corect definite i stabilite.
Descrierea Eantionul a fost constituit prin alegerea aleatorie a unui numr de dou compartimente din
testului cadrul departamentului IT. n cazul acestora au fost evaluate atribuiile i relaiile funcionale
definite cu privire la:
- analiza atribuiilor stabilite compartimentului i stabilirea dac aria de competen a
acestora ajut la realizarea activitilor;
- urmrirea ca aria de competen s asigure realizarea activitilor i aciunilor
stabilite compartimentului funcional.
- analiza relaiilor cu celelalte structuri funcionale din cadrul organizaiei cu care are
sau ar trebui s aib relaii funcionale pentru realizarea atribuiilor i activitilor;
- definirea relaiilor ierarhice.
Constatri Atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme i
nu asigur competena de realizare a activitilor i aciunilor, acestea sunt definite n multe
cazuri la modul general, nu indic, prin modul de formulare, o aciune, nu asigur un coninut
clar, fiind definite sub forma unei relaii funcionale sau avnd caracter de activitate sau de
sarcin.
Nu sunt definite n cadrul ROF-ului, la capitolul privind departamentul IT, relaiile cu
celelalte structuri funcionale cu care are sau ar trebui s aib relaii funcionale, respectiv nu
este definit relaia funcional care reglementeaz asigurarea conformitii informaiilor cu
privire la asistarea utilizatorilor n realizarea activitilor de introducere a datelor i
informaiilor n cadrul aplicaiilor i programelor derulate la nivelul celorlalte departamente
funcionale din cadrul organizaiei, precum i cu privire la asistarea n utilizarea
echipamentelor din dotare.
Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i posturile
de execuie, ci numai relaia ierarhic ntre posturile de conducere situate la niveluri ierarhice
diferite din cadrul departamentului IT.
Concluzii Atribuiile stabilite compartimentelor funcionale nu asigur ntotdeauna aria de
competen necesar pentru realizarea activitilor;

152
ENTITATEA PUBLIC

Problema Formularea atribuiilor n cadrul ROF-ului nu asigur ntotdeauna aria de

competen privind realizarea activitilor i aciunilor repartizate unui
compartiment.
Constatarea Atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna
conforme i nu asigur competena de realizare a activitilor i aciunilor, acestea
fiind definite n multe cazuri la modul general, nu indic, prin modul de formulare,
o aciune, nu asigura un coninut clar, fiind sub forma unei relaii funcionale sau
avnd caracter de activitate sau sarcin.
Nu sunt definite n cadrul ROF-ului la capitolul privind departamentul IT relaiile
cu celelalte structuri funcionale cu care are sau ar trebui s aib relaii funcionale,
respectiv nu este definit relaia funcional care reglementeaz asigurarea
conformitii informaiilor cu privire la asistarea utilizatorilor n realizarea
activitilor de introducere a datelor i informaiilor n cadrul aplicaiilor i
programelor derulate la nivelul celorlalte departamente funcionale din cadrul
organizaiei, precum i cu privire la asistarea n utilizarea echipamentelor din
dotare.
Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i
posturile de execuie, ci numai relaia ierarhic ntre posturile de conducere situate
la niveluri ierarhice diferite din cadrul departamentului IT.
Cauza Definirea atribuiilor specifice s-a realizat de ctre Departamentul IT, iar
cuprinderea lor n cadrul ROF-ului s-a realizat la nivelul Departamentului de
resurse umane, fr a mai fi analizat, de ctre persoanele responsabile, elaborarea
coerent i corect a documentului de organizare i funcionare.
Persoanele din cadrul departamentului IT care au fost responsabilizate cu
elaborarea capitolului aferent din cadrul ROF-ului nu au dispus de cunotinele
necesare astfel nct s poat defini corect o atribuie i n acelai timp s
urmreasc ca acestea s asigure aria de competent a realizrii activitilor din
cadrul compartimentului.
Consecina Nu se asigur o arie de competen necesar i suficient pentru realizarea
activitilor i aciunilor.
Recomandarea Identificarea i definirea corect n cadrul documentului de organizare i
funcionare, a atribuiilor specifice departamentului, a relaiilor funcionale pe care
compartimentul la are cu alte structuri funcionale din cadrul organizaiei.

153
154
ENTITATEA PUBLICA
LISTA DE VERIFICARE NR. 3

Obiectivul III.
OPERAII ALE SISTEMULUI INFORMATIC
Nr.
Activitatea de audit Da Nu Obs.
crt.
A Managementul operaiunilor
1. Performana, capacitatea i disponibilitatea sistemelor informatice este monitorizat de administratori
1.1. Verificai dac identificarea disfuncionalitilor se face conform manualelor de
X
operare
1.2. Verificai dac mesajele sunt analizate i interpretate n timpul rulrii aplicaiei,
X
pentru identificarea cauzelor care au condus la apariia disfuncionalitilor;
1.3. Verificai dac mesajele de eroare se abordeaz n conformitate cu manualul de
X
operare;
1.4. Verificai dac a fost identificat i analizat impactul potenial al producerii unor
X
evenimente necontrolate asupra continuitii activitii;
1.5. Informatizarea organizaiei ia n considerarea toate departamentele din cadrul
acesteia, precum i funciile acestora, nu doar departamentele unde se X
proceseaz datele;
1.6. Verificai dac este estimat timpul maxim de nefuncionare care poate fi
X
acceptat i costurile asociate acestuia;
1.7. Analizai dac sunt stabilite de ctre conducere prioritile pentru procesele
X
necesare a fi informatizate i de integrare a datelor i informaiilor;
1.8. Verificai dac elaborarea planului de continuitate a activitilor se realizeaz
X
prin elaborarea de scenarii de ameninri;
1.9. Analizai dac determinarea nevoilor critice se realizeaz pe baza evalurii
X
funciilor, proceselor i personalului din cadrul fiecrui departament funcional;
1.10. Verificai dac pentru fiecare departament sunt stabilite urmtoarele:
a) ce echipamente specializate sunt necesare i cum se utilizeaz;
b) cum va funciona departamentul dac serverul, accesul la reea (intranet)
i/sau Internet nu sunt disponibile;
X
c) necesarul de personal i de spaiu pentru locul unde se face recuperarea;
d) ce echipamente sunt necesare la locul unde se face recuperarea;
e) ce controale critice operaionale sau de securitate sunt necesare nainte de a
face recuperarea;
1.11. Verificai dac personalul este instruit cu privire la salvarea i stocarea datelor i
X
securitatea informaiei;
1.12. Operaiile sunt analizate avnd n vedere interdependena lor? X
1.13. Se analizeaz impactul produs de funcionarea incorect a unei operaii asupra
X
ntregului sistem?
1.14. Analiza a inut cont de funciile desfurate n cadrul entitii: tehnice sau legate
X
de procese?
1.15. Verificai dac funciile tehnice asigur o utilizare eficient a echipamentelor X Test nr.
a) dac operaiile sunt realizate eficient, n timp util i la intervale bine stabilite 3.1.
b) dac datele obinute, situaiile de ieire, rapoartele generate sunt stocate i FIAP nr.
distribuite n siguran i n timp util 3.1.
155
c) dac procedurile de salvare i restaurare protejeaz n mod real datele i
aplicaiile sistemului informatic
d) dac procedurile de mentenana a echipamentelor sunt realizate corect i la
intervale de timp stabilite n funcie de specificul fiecrei componente
e) dac echipamentele hardware sunt asigurate corespunztor
f) dac toate problemele de ordin tehnic aprute n cadrul proceselor, sunt
raportate i documentate corespunztor, astfel nct s se poat elabora soluiile
corespunztoare de remediere a problemelor
1.16. Operaiile sunt realizate ntr-o manier eficient, n timp util i la intervale bine
X
stabilite?
1.17. Exist aplicaii de programare i executare automat a proceselor? X
1.18. Se urmrete reducerea riscului ca un proces: X
1.19. - s nu fie iniiat corespunztor; X
1.20. - s nu se execute n timpul planificat; X
1.21. - s mreasc intervalele de inactivitate X
1.22. - s nu fie monitorizat din punct de vedere al modului i timpului de execuie? X
1.23. Se asigur obinerea rapoartelor detaliate privind procesele derulate? X
1.24. n cazul apariiei unor erori de funcionare, administratorul responsabil poate
X
localiza ct mai precis defeciunea?
1.25. Se pot elabora soluiile de remediere? X
1.26. Se realizeaz monitorizarea operaiilor din punctul de vedere al resurselor
X
alocate i utilizate efectiv: procesoare, memorii, mod de salvare?
1.27 Se utilizeaz aplicaii n acest scop? X
1.28. Sunt identificate procesele care utilizeaz o cantitate mai mare de resurse dect
X
cele care i sunt alocate?
1.29. n acest caz, se realizeaz redimensionri ale resurselor alocate? X
1.30. Sunt identificate procesele care nu utilizeaz complet resursele disponibile? X
1.31. n acest caz, se are n vedere o reducere a volumului resurselor alocate? X
1.32. Datele obinute, situaiile de ieite, rapoartele sunt stocate i distribuite n
X
siguran i n timp util?
1.33. Procesele genereaz la sfritul execuie diferite tipuri de rapoarte? X
1.34. Aceste rapoarte sunt stocate n liste de ateptare? X
1.35. Aceste fiiere pot fi listate, copiate, mutate n vederea unor analize sau
X
prelucrri ulterioare?
1.36. Mediile sau locaiile de stocare sunt protejate mpotriva deteriorrii sau a
X
accesului neautorizat?
1.37. Procedurile de salvare i restaurare protejeaz n mod real datele i aplicaiile
X
din sistemul informatic?
1.38. Acestea sunt corect planificate? X
1.39. Sunt executate conform politicilor i procedurilor de securitate stabilite? X
1.40. Exist proceduri de creare a copiilor de siguran realizate zilnic sau la intervale
X
de cteva ore, pentru operaiile curente?
1.41. Procedurile de salvare executate la intervale mai mari de timp includ copii
X
complete ale sistemelor informatice: date, operaii, programe?
1.42. Procedurile de mentenan a echipamentelor sunt realizate corect i la intervale
X
de timp stabilite n funcie de specificul fiecrei componente?
1.43. Verificrile tehnice sunt realizate innd cont de recomandrile fabricantului? X
1.44. Sunt realizate de personal autorizat / specializat? X
1.45. Se respect condiiile de acordare a garaniei? X
1.46. Echipamentele hardware sunt asigurate corespunztor? X
1.47. Exist polie da asigurare ncheiate pentru toate tipurile de riscuri? X
1.48. Au fost estimate costurile implicate de eventuale daune? X
1.49. Problemele de ordin tehnic, aprute n cadrul proceselor sunt raportate i
documentate corespunztor, astfel nct s se poat elabora soluiile X
corespunztoare de remediere a problemelor?
1.50. La nivelul entitii este constituit un departament specializat n raportarea i
X
rezolvarea problemelor tehnice (help-desk)?
1.51. Se acord suport tehnic utilizatorilor, prin linii telefonice dedicate, e-mail sau
X
deplasri ale echipelor specializate?
1.52. Problemele aprute sunt definite corect? X
156
1.53. Definirea cuprinde urmtoarele:
- data apariiei
- etapele premergtoare
X
- modul de manifestare a problemei
- departamentul la care a aprut problema
- datele de identificare a persoanei de contact?
1.54. Pentru definirea ct mai precis a problemelor, se utilizeaz rapoartele generate
X
automat de ctre aplicaiile respective?
1.55. Se utilizeaz programe de monitorizare a sistemelor informatice? X
1.56. Verificai dac funciile legate de procese asigur integrarea acestora? Test nr.
a) dac datele de intrare sunt validate 3.1.
b) dac se verific integritatea i completitudinea datelor X FIAP nr.
c) dac se analizeaz eficiena operaiilor 3.1.
d) dac se monitorizeaz i se gestioneaz bazele de date
1.57. Se realizeaz validarea datelor de intrare? X
1.58. Se realizeaz verificarea datelor introduse n sistemul informatic din punct de
X
vedere al tipurilor de date, al lungimii acestora?
1.59. Pentru coduri, se impun reguli de formare i validare a acestora? X
1.60. Se utilizeaz proceduri automate de verificare a intrrilor? X
1.61. Se realizeaz verificarea integritii i completitudinii datelor? X
1.62. Se utilizeaz proceduri de verificare a modului n care datele sunt introduse sau
X
importate dintr-o alt aplicaie?
1.63. Este avut n vedere riscul ca anumite date s fie pierdute, modificate, cu ocazia
X
prelurii dintr-o alt aplicaie?
1.64. Se utilizeaz funcii de verificare prin totaluri, chei i algoritmi? X
1.65. Se analizeaz eficiena operaiilor? X
1.66. Se realizeaz o verificare a modului n care se realizeaz prelucrrile, se
X
implementeaz funciile i programele?
1.67. Se urmrete modul de iniiere a unor proceduri? X
1.68. Se urmrete timpul de execuie? X
1.69. Se utilizeaz programe care s automatizeze aceste prelucrri? X
1.70. Se monitorizeaz i se gestioneaz bazele de date? X
1.71. Se analizeaz modul n care se obin rapoartele i situaiile de ieire necesare
X
diferitelor niveluri de management?
1.72. Se procedeaz la replicarea anumitor date, n vederea obinerii unei mai mari
X
flexibiliti n interaciunea cu acestea?
1.73. Utilizatorii finali pot obine rapoarte diverse fr a afecta tranzaciile curente? X
1.74. Utilizatorii finali pot obine datele necesare fr a dispune de cunotine de
X
specialitate?
1.75. Se acord suport utilizatorilor pentru aplicaiile existente? X
1.76. Utilizatorii finali au cunotine aprofundate privind prelucrarea datelor? X
1.77. Interfaa cu utilizatorul este prietenoas? X
1.78. Aplicaiile pot fi utilizate uor? X
1.79. Exist suport tehnic prin documente, sisteme de instruire, manuale, servicii puse
X
la dispoziie de ctre productorii aplicaiilor?
1.80. Se realizeaz administrarea aplicaiilor? X
1.81. Administrarea aplicaiilor se realizeaz de ctre manageri sau persoane
autorizate, specializate, care au ca atribuii protejarea aplicaiilor mpotriva X
distrugerilor, a accesului neautorizat sau utilizri incorecte?
1.82. Administratorii asigur i suportul tehnic pentru utilizatorii finali? X
1.83. Se realizeaz rapoarte periodice asupra modului n care sunt utilizate aplicaiile,
X
alocarea resurselor, realizarea proceselor din cadrul entitii?
1.84. Se realizeaz o analiz a automatizrii unor proceduri manuale, a modului n
care sunt obinute i analizate datele de ieire, a uurinei n utilizarea X
aplicaiilor?
2. Responsabilitatea pentru supravegherea sarcinilor pe seturi de programe revine administratorilor
2.1. Verificai dac utilizatorii sunt instruii pentru nsuirea modului de lucru cu X
aplicaia;
2.2. Verificai dac noutile aprute n aplicaie sunt comunicate utilizatorilor n X
timp adecvat;
2.3. Verificai dac instruirea se realizeaz n conformitate cu documentaia X
157
aplicaiei;
2.4. Verificai dac utilizatorii primesc asisten n rularea aplicaiilor ori de cte ori X
au nevoie;
2.5. Verificai dac asistena tehnic este acordat n conformitate cu manualele de X
utilizare;
2.6. Verificai dac responsabilitatea funcionarii fiecrui program este n sarcina
X
unui administrator;
2.7. Verificai dac exist o supraveghere permanent n cadrul sistemului asupra
X
derulrii unui program sau aplicaie;
2.8. Verificai dac sistemul integrat permite depistarea automat a nefuncionrii
X
unui program sau aplicaie;
3. Elaborarea planului anual de activitate
3.1. Verificai gradul de acoperire cu activiti care concur la realizarea planului
anual de activitate:
a) activiti identificate;
b) proceduri aferente realizrii activitilor
X
c) aprobarea procedurilor de ctre persoanele competente;
d) actualizarea sistematic a procedurilor;
e) respectarea principiul dublei semnturi;
f) stabilirea responsabilitilor persoanelor implicate n activitatea de
implementare a sistemului IT;
3.2. Examinai dac exist atribuii privind realizarea activitilor cuprinse n planul
X
anual de activitate n domeniul IT;
3.3. Analizai politica entitii publice n domeniul IT i stabilii dac asigur
X
atingerea obiectivelor entitii publice;
3.4. Verificai dac politica entitii publice n domeniul IT se reflect n planul
X
anual de activitate n domeniul IT;
3.5. Examinai dac managerii cu responsabiliti n monitorizarea implementrii
politicii IT, au fost consultai la elaborarea planului anual de activitate n X
domeniul IT;
3.6. Analizai activitatea de actualizare a planului anual de activitate n domeniul IT; X
3.7. Analizai dac la elaborarea planului anual de activitate n domeniul IT s-au
avut n vedere:
a) analiza sistemului de fundamentare a planului;
X
b) analiza corelrii planului anual de activitate cu planul strategic;
c) evaluarea sistemului de prioritizare a activitilor cuprinse n plan;
d) verificarea elaborrii i aprobrii planului anual
3.8. Verificai documentele oficiale prin care au fost desemnate persoanele
X
responsabile cu elaborarea i actualizarea planului;
3.9. Examinai dac responsabilitile sunt clar definite pentru realizarea activitilor
X
IT;
3.10. Analizai dac fiele posturilor pentru persoanele responsabile au fost
X
actualizate;
3.11. Identificai deciziile luate n vederea elaborrii i actualizrii planului i
X
analizai dac acestea sunt n conformitate cu activitile stabilite;
3.12. Examinai instrumentele utilizate pentru estimarea resurselor i termenelor
X
necesare pentru realizarea planului de activitate;
3.13. Verificai dac prin elaborarea planului de activitate au fost stabilite plafoane
bugetare pentru activitile ce trebuie realizate i procedurile ce vor fi aplicate n X
cazul n care acestea sunt depite;
3.14. Verificai dac planul este aprobat de persoanele competente; X
3.15. Analizai dac planul aprobat este n conformitate cu politicile entitii publice
X
n domeniul IT;
3.16. Analizai mpreun cu factorii responsabili de realizarea subsistemelor IT pentru
funciile principale din cadrul entitii publice dac exist departamente X
importante pentru care nu s-au realizat subsisteme IT;
B. Managementul problemelor
1. Programele antivirus asigur protecia aplicaiilor
1.1. Verificai dac exist proceduri pentru protecia mpotriva viruilor, care s
X
specifice modul de configurare al programului antivirus;
1.2. Verificai dac exist proceduri pentru protecia mpotriva viruilor, care s
X
specifice modul de actualizare a programului;
158
1.3. Verificai dac riscurile reprezentate de virui sunt limitate ca urmare a alegerii
X
celor mai potrivite soluii antivirus;
1.4. Verificai dac riscul de virusare al unui program sau aplicaie este redus ca
X
urmare a scanrii antivirus pe servere, staii de lucru sau pota electronic;
1.5. Verificai dac riscul de virusare este limitat urmare actualizrii constante a
X
programelor antivirus;
1.6. Verificai dac programul antivirus scaneaz automat memoria calculatoarelor,
X
fiierele, mediile de stocare;
1.7. Verificai dac programul antivirus scaneaz traficul de date, inclusiv e-mail i
X
internet, n procesul de de-virusare;
1.8. Verificai dac programul antivirus emite alerte atunci cnd detecteaz un virus; X
1.9. Verificai dac sunt efectuate verificri regulate pentru a se asigura c
X
programul antivirus nu a fost dezactivat;
1.10 Verificai dac implementarea programelor anti-virus se realizeaz conform Test nr.
procedurilor 3.2
a) instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor Foaie de
de lucru lucru nr.
b) programul anti-virus verific staia de lucru la pornire 3.1.
X
c) programul anti-virus monitorizeaz toate programele i aplicaiile active, List de
mesajele primite i verific automat actualizrile la intervale regulate control nr.
d) programul anti-virus se actualizeaz n reea, astfel nct s protejeze eficient 3.1.
datele electronice mpotriva viruilor nou-aprui FIAP nr.
3.2.
1.11. Verificai dac sunt efectuate controale regulate pentru a se asigura c
X
configurarea programului de protecie este corect;
1.12. Verificai dac utilizatorii sunt avertizai cu privire la pericolul reprezentat de
X
virui;
1.13. Verificai dac utilizatorii sunt avertizai cu privire la apariia a noi tipuri de
X
virui;
1.14. Verificai dac utilizatorii sunt supravegheai permanent cu privire la utilizarea
X
calculatoarelor i pstrarea programelor sau aplicaiilor curate.
2. Implementarea subsistemelor IT
2.1. Analizai criteriile avute n vedere la elaborarea subsistemelor IT pentru
X
funciile principale;
2.2. Examinai eficiena programului pentru instruirea utilizatorilor n vederea
X
utilizrii programelor i aplicaiilor;
2.3. Examinai dac subsistemele IT acoper n totalitate nevoile pentru funciile
X
principale ale entitii publice;
2.4. Analizai dac nevoile de subsisteme IT pentru funciile nou-create au fost
X
acoperite;
2.5. Verificai dac departamentele nfiinate ca urmare a funciilor principale nou-
create au fost solicitate s-i exprime cerinele specifice privind realizarea unor X
subsisteme IT specifice activitii lor;
2.6. Analizai existena corelrii ntre termenele de realizare a subsistemelor; X
2.7. Analizai procedurile pe baza crora se realizeaz subsistemele IT i stabilii
dac acestea sunt suficiente pentru implementarea acestor subsisteme n condiii X
optime;
2.8. Stabilii dac exist studii de fezabilitate pentru subsistemele IT planificate. X
2.9. Verificai dac au fost stabilite responsabiliti personalului de specialitate, pe
X
linia implementrii sistemului IT;
2.10. Comparai atribuiile cuprinse n fiele posturilor cu cele din procedurile privind
X
implementarea sistemului IT i evaluai completitudinea prelurii acestora;
2.11. Examinai cunoaterea reglementrilor specifice privind implementarea
X
sistemului IT de ctre responsabilii cu realizarea acestei activiti;
2.12. Verificai dac realizarea subsistemelor IT s-a realizat conform planificrilor; X
2.13. Verificai dac subsistemele IT au fost realizate la termenele stabilite; Test nr.
2.14. Examinai modul de alocare a resurselor necesare realizrii subsistemelor IT; 3.3.
Interviu
X
nr. 3.1.
FIAP nr.
3.3
2.15. Identificai evoluiile tehnologice ce au determinat schimbarea programelor i X
159
aplicaiilor planificate a fi implementate;
2.16. Verificai activitatea de monitorizare a implementrii subsistemelor IT; X
2.17. Verificai complementaritatea subsistemelor IT; X
2.18. Verificai dac exist controale de sistem unitare implementate la nivelul
X
subsistemelor IT;
2.19. Verificai dac sunt implementate controale menite s analizeze datele introduse
X
n aplicaii;
2.20. Verificai dac exist controale efectuate pe parcursul procesrii datelor i dac
X
exist rapoarte produse n caz de nerealizare a procesrii;
2.21. Analizai dac nregistrrile privind controlul datelor rezultate n urma
X
procesrii asigur c aceste date sunt complete;
2.22. Analizai dac datele transferate din alte aplicaii sunt supuse unui proces
X
standard de validare;
2.23. Verificai dac sunt implementate controale care verific nregistrrile duble; X
2.24. Verificai modul de autorizare electronic i/sau manual a tranzaciilor; X
2.25. Verificai dac operaiile privind efectuarea tranzaciilor se realizeaz numai de
X
la computere definite n prealabil;
2.26. Examinai dac modul de arhivare a nregistrrilor se face astfel nct s permit
X
urmrirea tranzaciilor efectuate din faza de iniiere pn la finalizarea lor;
2.27. Verificai modul de raportare a schimbrilor operate la nivelul datelor salvate; X
2.28. Examinai dac utilizatorii neleg controalele implementate; X
2.29. Verificai funcionalitatea subsistemelor IT n reea; X
2.30. Verificai respectarea procedurilor privind transmiterea datelor n reea; X
2.31. Analizai dac subsistemele componente programelor asigur integrarea
X
acestora;
2.32. Analizai modul de soluionare a neconcordanelor aprute n integrarea
X
subsistemelor;
2.33. Examinai dac sunt elaborate manualele de utilizare i manualele de operare; X
2.34. Analizai dac manualele de utilizare i de operare sunt comprehensive i
X
corespund nevoilor utilizatorilor;
2.35. Verificai existena programelor de instruire a utilizatorilor subsistemelor IT; X
2.36. Verificai existena controalelor asupra datelor introduse n aplicaii; X
2.37. Verificai existena controalelor pe parcursul procesrii datelor i generarea
X
rapoartelor privind erorile de procesare;
2.38. Verificai existena controalelor asupra datelor rezultate n urma procesrii,
X
astfel nct s se asigure c acestea sunt complete;
2.39. Verificai dac subsistemele IT realizate respect cerinele stabilite prin politica,
X
procedurile i studiile de fezabilitate ntocmite;
2.40. Verificai dac subsistemele IT au fost realizate la termenele stabilite;
X
2.41. Verificai dac resurselor necesare realizrii subsistemelor IT au fost alocate
X
conform planului anual de activitate;
Este analizat modul de rezolvare i prevenire a incidentelor care afecteaz
X
funcionarea normal a serviciilor IT ale entitii publice?
Managementul problemelor asigur corectarea erorilor, prevenind reapariia
X
acestora?
Se folosete ntreinerea preventiv pentru reducerea probabilitii ca aceste
X
erori s mai apar?
Atunci cnd o problem nu poate fi rezolvat de prima linie de asisten, aceasta
X
este direcionat ctre ajutorul din linia a doua?
Se au n vedere urmtoarele cinci faze de baz: X
1. iniierea raportarea problemei X
2. planificarea definirea problemei i conceperea unui plan de atac X
3. execuia desfurarea planului de atac, adunarea de date, urmrirea
X
problemei, cercetarea tehnic, codarea i testarea ulterioar
4. monitorizarea i analiza monitorizarea i confirmare rezultatelor de ctre
X
utilizatorii finali
5. ncheierea documentarea problemei i a aciunilor de corecie. X
C. Funcionalitatea departamentului IT
1. Organizarea funcional a departamentului IT
1.1. Analizai dac departamentul IT este subordonat unui nivel managerial
X
corespunztor;
160
1.2. Comparai atribuiile cuprinse n fiele posturilor cu cele din proceduri i
X
evaluai completitudinea acestora;
1.3. Verificai dac organigrama departamentului IT corespunde organizrii actuale
X
a departamentului;
1.4. Verificai dac organigrama definete nivelurile ierarhice din cadrul
X
departamentului;
1.5. Verificai dac organigrama definete relaiile organizatorice dintre
X
compartimentele funcionale ale departamentului IT;
1.6. Verificai dac organigrama stabilete numrul de posturi pentru fiecare
X
compartiment funcional al departamentului IT;
1.7. Verificai dac numrul de posturi existent n cadrul departamentului IT asigur
X
realizarea activitilor i atribuiilor;
1.8. Analizai dac atribuiile departamentului sunt definite corect i n totalitate n
X
cadrul ROF-ului;
1.9. Verificai dac activitile sunt repartizate corect n cadrul compartimentelor, n
X
funcie de atribuiile alocate;
1.10. Verificai dac sarcinile stabilite prin fiele posturilor asigur realizarea n
X
totalitate a activitilor;
1.11. Verificai dac atribuiile sunt repartizate omogen pe compartimente, asigurnd
X
funcionalitatea acestora;
1.12. Analizai gradul de ocupare a posturilor n cadrul departamentului IT; X
1.13. Analizai modul n care se asigur continuitatea activitilor n funcie de
X
pregtirea salariailor i vechimea n munc;
1.14. Analizai dotarea departamentului cu echipamente hard i soft adecvate pentru
desfurarea activitilor specifice, astfel:
a) numr suficient de calculatoare dotate corespunztor;
1.15. b) numr suficient de servere X
c) numr suficient de echipamente auxiliare (imprimante, xerox-uri, scanere,
conexiuni la intranet/Internet)
d) programe IT adecvate
1.16. Verificai dac fiele posturilor stabilesc responsabiliti pentru toate activitile
X
desfurate;
1.17. Verificai dac actualizarea fielor posturilor se realizeaz periodic n funcie de
X
modificarea activitilor sau sarcinilor posturilor;
1.18. Analizai dac pregtirea i calificarea salariailor departamentului IT asigur
funcionalitatea programelor, aplicaiilor, echipamentelor i dezvoltarea X
informaional a entitii;
1.19. Analizai dac planurile de pregtire profesional continu asigur dezvoltarea
X
cunotinelor i aptitudinilor personalului;
1.20. Verificai dac se realizeaz evaluarea performanelor personalului
X
departamentului IT;
1.21. Verificai dac exist concordan ntre rapoartele de evaluare i programele de
X
instruire la nivel individual;
1.22. Verificai dac evaluarea performanelor asigur corectitudinea aprecierii
X
realizrii obiectivelor individuale;
1.23. Verificai dac criteriile de performan sunt stabilite corect n funcie de gradul
X
de ndeplinire a obiectivelor;
1.24. Verificai dac evaluarea performanelor personalului contribuie la dezvoltarea
X
profesional a acestuia;
1.25. Verificai dac obiectivele individuale sunt stabilite corect n conformitate cu
X
sarcinile atribuite postului;
1.26. Analizai dac aciunile necesare pentru realizarea obiectivelor individuale i
realizate efectiv pentru implementarea acestora corespund n totalitate cu X
aciunile repartizate postului potrivit fiei postului;
1.27. Verificai dac exist o politic unitar privind gestionarea riscurilor; X
1.28. Verificai dac exista un sistem de gestionare a riscurilor; X
1.29. Analizai dac este desemnat un responsabil privind gestionarea riscurilor la
X
nivelul departamentului IT;
1.30. Verificai existena Registrului riscurilor la nivelul Departamentului IT i modul
X
de conducere al acestuia;
1.31. Verificai dac sunt stabilite responsabiliti pentru actualizarea procedurilor de
X
lucru i instruciunilor privind derularea programelor i aplicaiilor;
161
1.32. Verificai condiiile i criteriile privind delegarea sarcinilor i atribuiilor; X
1.33. Analizai sistemul de control managerial exercitat la nivelul departamentului; X
1.34. Examinai dac fiele posturilor stabilesc corect nivelul postului i
X
complexitatea activitilor;
1.35. Verificai dac nivelul de cunotine i deprinderi al ocupantului postului
X
corespunde necesitilor i nivelului postului;
1.36. Verificarea dac se respecta principiul segregrii atribuiilor n realizarea
X
sarcinilor i activitilor.
2. Asigurarea caracterului secret al datelor
2.1. Verificai dac aplicaiile respect schemele privind nivele de secretizare n
X
conformitate cu standardele organizaiei;
2.2. Verificai dac schema de secretizare a datelor este utilizat pentru determinarea
X
nivelelor diferite de importan a sistemelor sau informaiilor;
2.3. Verificai dac schema de secretizare a datelor este utilizat pentru determinarea
X
nivelelor diferite de sensibilitate a informaiilor sau sistemelor;
2.4. Verificai dac secretizarea informaiilor ia n considerare impactul pierderii
X
confidenialitii, integritii sau disponibilitilor informaiei asupra activitii;
2.5. Verificai dac secretizarea se aplic informaiilor, sistemelor sau aplicaiilor i
X
programelor;
2.6. Verificai dac secretizarea informaiei include identitatea persoanelor cu
X
responsabiliti primare;
2.7. Verificai dac secretizarea informaiei este aprobat de emitentul informaiei; X
2.8. Verificai dac performana sistemelor este monitorizat comparativ cu intele
X
stabilite;
2.9. Verificai dac performana sistemelor este monitorizat utiliznd programe de
X
monitorizare automat;
2.10. Verificai dac disponibilitatea sistemelor este apreciat din punctul de vedere al
X
utilizatorilor activitii
2.11. Verificai dac monitorizarea sistemelor se concentreaz pe punctele
X
vulnerabile;
2.12. Verificai dac mecanismele de detectare asigur semnalizarea atacurilor
X
informatice;
2.13. Verificai dac mecanismele de detectare includ un proces de actualizare a
X
programelor utilizate n acest scop;
2.14. Verificai dac mecanismele de detectare emit alerte cnd se nregistreaz
X
activiti suspecte;
2.15. Verificai dac rapoartele obinute n urma procesrilor sunt verificate pentru a
X
descoperi orice utilizare neobinuit a sistemelor;
2.16. Verificai dac sunt nregistrate toate evenimentele cheie n cadrul unui sistem; X
2.17. Verificai dac conducerea IT autorizeaz nregistrarea activitilor i revizuirea
X
proceselor care urmeaz a fi aplicate;
2.18. Verificai dac nregistrrile conin date referitoare la oprirea/pornirea
sistemelor i proceselor cheie, situaiile de eroare sau de excepie, acces sau X
schimbri ale fiierelor sau programelor;
2.19. Verificai dac informaiile nregistrate identific programele speciale i
informaiile accesate, data accesrii, cile de acces, schimbarea parametrilor de X
nregistrare n sistem;
2.20. Verificai dac nregistrrile sunt pstrate suficient timp respectnd cerinele
X
utilizatorilor i pentru a putea fi revizuite;
2.21 Verificai dac revizuirea nregistrrilor este fundamentat pe o evaluare a
impactului unor evenimente asupra activitilor i este realizat cu instrumente X
automate;
D. Mentenana echipamentelor
1. ntreinerea calculatorului i a echipamentelor
1.1. Verificai dac operaiunile de mentenan se efectueaz conform planificrii,
X
folosindu-se procedurile standard de testare;
1.2. Verificai dac disfuncionalitile hardware sunt identificate corect i n timp
X
util;
1.3. Verificai dac disfunciunile identificate sunt analizate i nlturate n
X
conformitate cu instruciunile i manualele de ntreinere;
1.4. Verificai dac produsele software sunt instalate i configurate conform
X
documentaiilor i indicaiilor furnizorilor;
162
1.5. Analizai dac funcionarea sistemului de operare este verificat periodic
X
utiliznd instrumente de testare specializate;
1.6. Analizai dac funcionarea aplicaiilor este verificat periodic, X
1.7. Verificai dac parametrii referitori la starea de funcionare urmare aplicrii
X
procedurilor de testare specializate sunt nregistrai n jurnale;
1.8. Verificai dac neconformitile sunt analizate i readuse la valorile normale; X
1.9. Verificai dac corecia erorilor se realizeaz n limita competenelor X
2. Instalarea i configurarea calculatorului
2.1. Verificai dac sursele de alimentare sunt alese i verificate n conformitate cu
X
cerinele tehnice;
2.2. Verificai dac echipamentele periferice sunt instalate i conectate conform
X
documentaiei;
2.3. Verificai dac instalarea respect condiiile de calitate i eficien din manuale
X
i instruciuni;
2.4. Verificai dac conectarea n reea respect standardele n vigoare, X
2.5. Verificai dac sistemul de operare, componentele software, componentele de
X
acces n reea sunt instalate i configurate corect;
2.6. Verificai dac partajarea resurselor se face verificnd tipul de acces permis
X
utilizatorilor;
2.7. Verificai dac funcionarea aplicaiilor este testat periodic; X
D. Utilizarea echipamentelor
1. Realizarea eficient a operaiilor n cadrul departamentului IT
1.1. Verificai dac este analizat impactul produs de funcionarea incorect a unei
X
operaii asupra ntregului sistem;
1.2. Verificai dac analiza a inut cont de funciile desfurate n cadrul sistemului; X
1.3. Verificai dac operaiile IT sunt realizate ntr-o manier eficient, n timp util i
X
la intervale bine stabilite?
1.4. Verificai dac procesele IT sunt iniiate corespunztor; X
1.5. Verificai dac procesele IT se execut n timpul planificat; X
1.6. Verificai dac procesele IT sunt monitorizate din punct de vedere al modului i
X
timpului de execuie;
1.7. Verificai dac se asigur generarea rapoartelor detaliate privind procesele
X
derulate;
1.8. Verificai dac n cazul apariiei unor erori de funcionare, administratorul
X
responsabil le poate localiza ct mai precis;
1.9. Verificai dac se realizeaz monitorizarea operaiilor din punctul de vedere al
X
resurselor alocate i utilizate: procesoare, memorii, mod de salvare;
1.10. Verificai dac sunt identificate procesele care utilizeaz o cantitate mai mare de
X
resurse i dac acestea sunt redimensionate;
1.11. Verificai dac datele obinute, situaiile de ieire, rapoartele sunt stocate i
X
distribuite n siguran i n timp util;
1.12. Verificai dac procesele genereaz la sfritul execuiei diferite tipuri de
X
rapoarte;
1.13. Verificai dac rapoartele generate sunt stocate n liste de ateptare; X
1.14. Verificai dac mediile sau locaiile de stocare sunt protejate mpotriva
X
deteriorrii sau a accesului neautorizat;
1.15. Verificai dac procedurile de mentenan a echipamentelor sunt realizate corect
X
i la intervale de timp stabilite n funcie de specificul fiecrei componente;
1.16. Examinai dac verificrile tehnice sunt realizate innd cont de recomandrile
X
productorului;
1.17. Examinai dac verificrile tehnice sunt realizate de personal autorizat /
X
specializat;
1.18. Verificai dac echipamentele hardware sunt asigurate corespunztor; X
1.19. Verificai dac problemele de ordin tehnic, aprute n cadrul proceselor sunt
raportate i documentate corespunztor, astfel nct s se poat elabora soluiile X
corespunztoare de remediere;
1.20 Verificai dac se acord suport tehnic utilizatorilor, inclusiv prin deplasri ale
X
echipelor specializate;
1.21. Verificai dac problemele aprute sunt definite prin specificarea datei apariiei
problemei, modul de manifestare al problemei, departamentul unde a aprut X
problema;
1.22 Verificai dac pentru identificarea ct mai precis a problemelor, se utilizeaz X
163
rapoartele generate automat de ctre aplicaiile respective;
2. Administrarea eficient a aplicaiilor i programelor
2.1. Verificai dac se realizeaz validarea datelor de intrare;
2.2. Examinai dac se realizeaz verificarea datelor introduse n sistemul informatic
X
din punct de vedere al tipurilor de date, al dimensiunii acestora;
2.3. Verificai dac pentru coduri, se impun reguli de creare i validare a acestora; X
2.4. Examinai dac se utilizeaz proceduri automate de verificare a datelor de
X
intrare;
2.5. Examinai dac se utilizeaz proceduri de verificare a modului n care datele
X
sunt introduse sau importate dintr-o alt aplicaie;
2.6. Verificai dac este avut n vedere riscul ca anumite date s fie pierdute,
X
modificate, cu ocazia prelurii dintr-o alt aplicaie;
2.7. Verificai dac se utilizeaz funcii de verificare prin totaluri, chei i algoritmi; X
2.8. Examinai dac se realizeaz o verificare a modului n care se efectueaz
X
prelucrrile, se implementeaz funciile i programele;
2.9. Verificai dac se monitorizeaz i se gestioneaz bazele de date; X
2.10. Verificai dac se analizeaz modul n care se obin rapoartele i situaiile de
X
ieire necesare diferitelor niveluri de management;
2.11. Verificai dac utilizatorii finali pot obine rapoarte diverse fr a afecta
X
tranzaciile curente;
2.12. Verificai dac se acord suport tehnic utilizatorilor pentru aplicaiile existente; X
2.13. Verificai dac utilizatorii finali au cunotine aprofundate privind prelucrarea
X
datelor;
2.14. Verificai dac interfaa cu utilizatorul este prietenoas; X
2.15. Verificai dac aplicaiile pot fi utilizate uor; X
2.16. Verificai dac exist suport tehnic prin documente, sisteme de instruire,
X
manuale, servicii puse la dispoziie de ctre productorii aplicaiilor;
2.17. Verificai dac se realizeaz administrarea aplicaiilor; X
2.18. Verificai dac administrarea aplicaiilor se realizeaz de ctre administratori
autorizai, care au ca atribuii protejarea aplicaiilor mpotriva distrugerilor, a X
accesului neautorizat sau utilizrii incorecte;
2.19. Verificai dac administratorii asigur i suportul tehnic pentru utilizatorii finali; X
2.20. Verificai dac se realizeaz rapoarte periodice asupra modului n care sunt
X
utilizate aplicaiile, alocarea resurselor, realizarea proceselor din cadrul entitii;
2.21. Verificai dac se realizeaz o analiz a automatizrii unor proceduri manuale, a
modului n care sunt obinute i analizate datele de ieire, a uurinei n
X
utilizarea aplicaiilor;
3. Evaluarea problemelor i soluionarea acestora

3.1. Verificai dac este analizat modul de rezolvare i prevenire a incidentelor care
X
afecteaz funcionarea normal a serviciilor IT;
3.2. Verificai dac msurile de corectare a erorilor asigur prevenirea reapariiei
X
acestora;
3.3. Verificai dac este utilizat controlul preventiv pentru reducerea probabilitii ca
X
erorile soluionate s mai apar;
3.4. Verificai dac utilizarea unei aplicaii asigur: Test nr.
a) controlul datelor introduse n aplicaii 3.4.
b) controlul pe parcursul procesrii datelor i rapoartelor produse n caz de Foaie de
nerealizare a procesrii lucru nr.
c) controlul datelor rezultate n urma procesrii, astfel nct s se asigure c 3.2.
aceste date sunt complete List de
d) validarea datelor transferate din alte aplicaii X control nr.
e) controalelor verific nregistrrile duble 3.2.
f) autorizarea electronic i/sau manual a tranzaciilor
g) efectuarea tranzaciilor numai de la computere definite n prealabil
h) pstrarea integral a nregistrrilor astfel nct s se poat urmri tranzaciile
efectuate din faza de iniiere pn la finalizarea lor
nelegerea controalelor implementate de ctre utilizatori
3.4. Verificai dac soluionarea unei probleme are n vedere urmtoarele etape: X
. a) raportarea problemei;
b) definirea problemei i conceperea unui plan de atac;
164
c) desfurarea planului de atac, adunarea de date, urmrirea problemei,
cercetarea tehnic, codarea i testarea ulterioar;
d) monitorizarea i confirmare rezultatelor de ctre utilizatorii finali;
e) documentarea problemei i a aciunilor de corecie.
3.5. Verificai dac procedurile de salvare sunt executate la intervale optime i
X
includ copii complete ale sistemelor informatice: date, operaii, programe;
Auditori,
Popescu Sorin
Radu George
165
Procedura - P08: Colectarea dovezilor
ENTITATEA PUBLIC
TEST NR. 3.1

Obiectul Performana, capacitatea i disponibilitatea sistemelor informatice este monitorizat de

testului administratorii de reea
Obiectivele Controlul operaiilor realizate de sistemele informatice.
testului
Descrierea Echipa de auditori a procedat la controlul operaiilor realizate de sistemele informatice,
testului analiznd modul n care sunt procesate datele, realizate tranzaciile i executate funciile
aplicaiilor, pentru a implementa corect procesele desfurate n cadrul entitii.
ntruct aceste operaii sunt interdependente, auditorii nu au analizat separat fiecare funcie,
ci au considerat procesele desfurate n cadrul entitii ca un tot unitar.
Pentru a crete eficiena analizei operaiilor, auditorii le-au mprit n dou categorii: funcii
tehnice i funcii legate de procese.
Testarea a urmrit urmtoarele aspecte, stabilite n Lista de verificare 3:
A. funcii tehnice:
1. - dac operaiile sunt realizate eficient, n timp util i la intervale bine
stabilite;
2. - dac datele obinute, situaiile de ieire, rapoartele generate sunt stocate
i distribuite n siguran i n timp util;
3. - dac procedurile de salvare i restaurare protejeaz n mod real datele i
aplicaiile sistemului informatic
4. - dac procedurile de mentenan a echipamentelor sunt realizate corect i
la intervale de timp stabilite n funcie de specificul fiecrei componente;
5. - dac echipamentele hardware sunt asigurate corespunztor;
6. - dac toate problemele de ordin tehnic aprute n cadrul proceselor, sunt
raportate i documentate corespunztor, astfel nct s se poat elabora
soluiile corespunztoare de remediere a problemelor.
B. funcii legate de procese:
7. - dac datele de intrare sunt validate;
8. - dac se verific integritatea i completitudinea datelor
9. - dac se analizeaz eficiena operaiilor
10. - dac se monitorizeaz i se gestioneaz bazele de date.
Testul s-a materializat n verificarea pe teren a implementrii controlului privind
operaiunile sistemelor informatice.
Constatri n urma analizei modului de implementare a controlului privind operaiunile sistemelor
informatice, echipa de auditori a constatat urmtoarele:
1. - dac operaiile sunt realizate eficient, n timp util i la intervale bine stabilite;
Echipa de auditori a constatat c la nivelul entitii se utilizeaz aplicaii de programare i
executare automat a proceselor. Acestea reduc riscul ca un proces s nu fie iniiat
corespunztor, s nu se execute n timpul planificat, reduce la minim intervalele de
inactivitate, iar fiecare proces poate fi monitorizat din punct de vedere al modului i al
timpului de execuie.
Aplicaiile de planificare automat genereaz rapoarte detaliate despre procesele derulate, iar
n cazul apariiei unor erori de funcionare, permit administratorului responsabil s
localizeze ct mai precis defeciunea i s elaboreze soluii de remediere.
166
n urma analizei modului de alocare i utilizare efectiv a resurselor (procesoare, memorie,
spaiu ocupat pe hard-disk, mod de salvare etc.), echipa de auditori a constatat c nu au fost
realizat o monitorizare corespunztoare a operaiilor desfurate, care s in cont alocarea
resurselor.
n acest sens, a fost constatat faptul c procesoarele i memoriile de lucru ale calculatoarelor
din cadrul departamentului IT, pe care sunt instalate programele antivirus i care asigur o
supraveghere permanent a reelelor, sunt mai lente dect componentele similare aflate n
configuraiile calculatoarelor din cadrul Direciei Generale de Investiii, Achiziii Publice i
Servicii Interne.
De asemenea, s-a constatat c hard-disk-urile din configuraiile acelorai calculatoare, de la
nivelul Direciei Generale de Investiii, Achiziii Publice i Servicii Interne, dispun de
capaciti excedentare, n majoritatea cazurilor fiind ocupate n procent de maxim 10-15%.
2. - dac datele obinute, situaiile de ieire, rapoartele generate sunt stocate i
distribuite n siguran i n timp util;
Echipa de auditori a constatat c majoritatea proceselor genereaz la terminarea execuiei
diferite tipuri de fiiere. De cele mai multe ori, aceste fiiere sunt stocate ntr-o list de
ateptare, putnd fi copiate, mutate n vederea unor analize sau prelucrri ulterioare.
Echipa de auditori a observat c listele generate n urma prelucrrilor pe un anumit computer
puteau fi vizualizate i modificate de pe toate celelalte computere din reea, accesul la ele
nefiind restricionat.
3. - dac procedurile de salvare i restaurare protejeaz n mod real datele i
aplicaiile sistemului informatic.
Echipa de auditori a constatat c procedurile de salvare sunt corect planificate i sunt
executate conform politicilor i procedurilor de securitate stabilite. n plus, s-a constat faptul
c exist proceduri de creare a copiilor de siguran realizate zilnic sau la intervale de cteva
ore, pentru operaiunile curente, i proceduri de salvare executate la intervale mai mari de
timp, care includ copii complete ale sistemelor informatice: date, operaiuni, programe.
4. - dac procedurile de mentenan a echipamentelor sunt realizate corect i la
intervale de timp stabilite n funcie de specificul fiecrei componente;
Echipa de auditori analizat procedurile de mentenan privind sistemele IT.
n acest sens, au fost inventariate interveniile efectuate asupra computerelor i
imprimantelor/copiatoarelor aflate n cadrul Biroului Multiplicare, din cadrul Serviciului
Administrativ i Gospodrirea Patrimoniului.
Astfel, s-a constatat c 3 din cele 7 imprimante care deserveau necesitile biroului foloseau
consumabile compatibile sau care au fost rencrcate, fapt ce a condus la o calitate mai slab
a printrilor, dar i la pierderea garaniei oferit de furnizor.
De asemenea, s-a constatat c dou din cele 6 computere din cadrul aceluiai birou se blocau
n cazul efecturii unor operaiuni mai complexe. Acest fapt se datoreaz faptului c sursele
de alimentare iniiale s-au defectat i au fost nlocuite cu unele asemntoare ca design, dar
care nu ofereau suficient energie pentru prelucrrile mai complexe. ntruct aceste surse nu
respectau specificaiile fabricantului, a fost pierdut garania respectivelor echipamente.
n cazul multiplicatoarelor de mare capacitate, s-a constatat c n 2 din 3 cazuri, a fost
depit termenul la care trebuia efectuat inspecia tehnic periodic, fapt ce a condus la o
uzur mai pronunat a acestora, dar i la ieirea mai rapid din garanie.
Au fost constatate 2 computere care aveau sigiliile furnizorului rupte, fapt ce denot
intervenii ale personalului neautorizat. i aceste aspecte au condus la pierderea garaniei.
5. - dac echipamentele hardware sunt asigurate corespunztor;
Echipa de auditori a constatat c pentru echipamentele hardware nu au fost ncheiate polie
de asigurare, care s acopere diferitele tipuri de riscuri i costurile implicate de eventuale
daune.
6. - dac toate problemele de ordin tehnic aprute n cadrul proceselor, sunt raportate
i documentate corespunztor, astfel nct s se poat elabora soluiile
corespunztoare de remediere a problemelor.
Analiznd modul de soluionare a unui numr de 6 probleme de ordin tehnic aprute
n cadrul proceselor, echipa de auditori a constatat c au fost efectuate intervenii punctuale
din partea personalului specializat din cadrul departamentului IT al entitii, urmrindu-se
strict remedierea respectivelor probleme i fr a se avea n vedere etapele premergtoare
apariiei problemei, cauzele i modul de propagare etc.
167
B. funcii legate de procese:
Echipa de auditori a constatat c la nivelul entitii au fost realizate verificri ale
datelor introduse n sistemul informatic din punct de vedere al tipurilor de date, al lungimii
acestora, iar pentru coduri au fost utilizate reguli speciale de creare i validare a acestora. De
asemenea, se folosesc proceduri automate de verificare a intrrilor.
Echipa de auditori a verificat existena unor proceduri de verificare a modului n
care datele au fost introduse sau importate dintr-o aplicaie n alta. n aceste situaii, anumite
nregistrri se pot pierde sau datele pot fi modificate, ducnd la apariia unor probleme n
prelucrare. Aceste aspecte au fcut obiectul FIAP-ului de la testul nr. 6.
Recomandare:
Utilizarea unor funcii de verificare prin totaluri, chei i algoritmi.
Analiznd modul de efectuare a verificrilor asupra prelucrrilor, implementrii
funciilor i programelor, asupra modului de iniiere a unor proceduri sau a timpului de
execuie, echipa de auditori a constatat c o anumit parte din aceste verificri se realizeaz
manual.
n urma analizei modului de monitorizare i gestionare a bazelor de date, echipa de auditori
a concluzionat c rapoartele i situaiile de ieire ofer suficiente informaii managementului
n vederea lurii deciziilor corecte.
Concluzii n urma deficienelor constatate cu ocazia testrii operaiunilor efectuate de sistemele
informatice, s-a ntocmit FIAP-ul nr. 3.1.

168
Procedura - P08: Colectarea dovezilor
Entitatea Public
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 3.1

PROBLEMA Existena unor controale interne slabe privind managementul operaiunilor IT,
reflectate n disfuncii legate de gestionarea acestora.
CONSTATRI Echipa de auditori a constatat urmtoarele:
1. n urma analizei modului de alocare i utilizare efectiv a resurselor IT
disponibile, echipa de auditori a constatat c unele departamente dispun de resurse
insuficiente (departamentul IT), n timp ce altele dispun de resurse excedentare
(Direcia General de Investiii, Achiziii Publice i Servicii Interne), fiind
utilizate n proporie de max. 10-15%.
2. Echipa de auditori a constatat c listele generate n urma prelucrrilor
pe un anumit computer puteau fi vizualizate i modificate de pe toate celelalte
computere din reea, accesul la ele nefiind restricionat.
4. n urma inventarierii interveniilor efectuate asupra computerelor i
imprimantelor/copiatoarelor aflate n cadrul biroului Multiplicare, s-a constatat c
procedurile privind mentenana nu au fost realizate cu respectarea specificaiilor
productorului, de ctre personal autorizat, fapt ce a condus, n majoritatea
cazurilor, la pierderea garaniei, dar a fost afectat i performana echipamentelor
respective.
6. Analiznd modul de soluionare a unui numr de 6 probleme de ordin
tehnic aprute n cadrul proceselor, echipa de auditori a constatat c au fost
efectuate intervenii punctuale din partea personalului specializat din cadrul
departamentului IT al entitii, urmrindu-se strict remedierea respectivelor
probleme i fr a se avea n vedere etapele premergtoare apariiei problemei,
cauzele i modul de propagare etc.
Analiznd modul de efectuare a verificrilor asupra prelucrrilor,
implementrii funciilor i programelor, asupra modului de iniiere a unor
proceduri sau a timpului de execuie, echipa de auditori a constatat c o anumit
parte din aceste verificri se realizeaz manual.
CAUZE 1. Lipsa unei imagini de ansamblu asupra alocrii i utilizrii efective a
resurselor de IT.
2. Lipsa proteciilor i a restricionrii accesului la rezultatele
prelucrrilor.
4. Alocarea de fonduri insuficiente pentru achiziia de consumabile
originale.
De asemenea, anumite probleme tehnice au trebuit soluionate n regim de urgen,
fapt ce a fost realizat prin utilizarea unor componente luate de pe alte sisteme
nefuncionale, fr a avea n vedere respectarea n totalitate a cerinelor
productorului.
6. Datorit insuficienei personalului de specialitate, anumite intervenii
tehnice s-au limitat doar la remedierea problemelor punctuale, fr a avea n
169
vedere etapele premergtoare, cauzele, i modul de propagare ale acestora.
Neconstituirea la nivelul departamentului IT a unui colectiv nsrcinat cu
raportarea i soluionarea rapid a problemelor de ordin tehnic (Help-desk).
Lipsa utilizrii programelor de monitorizare a sistemelor informatice.
9. Neutilizarea unor programe care s automatizeze ntr-un grad ct mai
mare verificrile efectuate asupra operaiile informatice.
CONSECINE Anumite procese de importan vital dispun de resurse insuficiente, n timp ce
anumite resurse nu sunt complet utilizate.
Vulnerabilitate ridicat a rezultatelor prelucrrilor.
Calitate sczut a rezultatelor prelucrrilor.
Pierderea garaniilor pentru anumite echipamente. Uzura mai rapid a acestora.
nlturarea doar a consecinelor anumitor probleme de ordin tehnic, nu i a
cauzelor.
Verificarea manual a operaiunilor informatice prezint un risc mai mare de
nedetectare a problemelor, dect verificarea automatizat.
RECOMANDRI Implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor
n funcie de gradul de complexitate al operaiilor efectuate. Urmrirea n
permanen a echilibrului ntre necesitile IT i resursele alocate acestor scopuri.
Mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii sau accesului
neautorizat.
Procedurile de mentenan a echipamentelor s fie realizate corect i la intervale
de timp stabilite n funcie de specificul fiecrei componente, numai de ctre
personal autorizat n acest sens.
Constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea
i rezolvarea operativ a problemelor de ordin tehnic (Help Desk), care s asigure
i acordarea suportului tehnic de specialitate ctre utilizatori, fie prin linii
telefonice dedicate, fie prin e-mail sau deplasri ale echipelor specializate.
De asemenea, s se aib n vedere definirea corect a problemelor: data apariiei,
frecvena, etapele premergtoare, modul de manifestare, datele de identificare ale
persoanelor de contact etc.
n acelai scop pot fi utilizate i raportrile generate automat sau se pot utiliza
programe de monitorizare a sistemelor informatice.
Elaborarea i implementarea unor programe care s automatizeze pe ct posibil
verificrile efectuate asupra operaiilor informatice.

170
ENTITATEA PUBLIC
TEST nr. 3.2.

ntocmit: Popescu Sorin / Radu George Data: 16.09.2009
Obiectul Programele antivirus asigur protecia aplicaiilor

testului
Obiectivele Analiza programelor anti-virus
testului
Descrierea Populaia statistic testat a fost constituit din totalul calculatoarelor personale
testului utilizate la nivelul entitii publice, adic 250 de computere.
Eantionul pentru realizarea testrii programelor anti-virus a fost stabilit pe
baza unui procent de 2%, din totalul populaiei de 250 de calculatoare, respectiv 5
calculatoare personale, eantionarea utilizat a fost la ntmplare, conform Foii de
lucru nr.
Testrile au constat n verificarea implementrii programelor anti-virus conform
procedurilor:
- instalarea unui program anti-virus adecvat necesitilor utilizatorilor
staiilor de lucru;
- programul anti-virus s verifice staia de lucru la pornire;
- programul anti-virus s monitorizeze toate programele i aplicaiile active,
mesajele primite i s verifice automat actualizrile la intervale regulate
(zilnic);
- programul anti-virus s se actualizeze n reea, astfel nct s protejeze
eficient datele electronice mpotriva viruilor nou-aprui.
Constatri O politic adecvat de securitate IT trebuie s prevad instalarea unui program
anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s
monitorizeze toate programele de aplicaii active, mesajele primite i s verifice
automat actualizrile la intervale regulate (poate chiar zilnic).
Din analiza echipamentelor de calcul selectate n eantion cu privire la modul n
care programele i aplicaiile coninute de acestea sunt protejate mpotriva atacurilor
din reea i din afara reelei, s-a constatat c:
- n cazul a 2 calculatoare din cadrul entitii publice, configuraia programului anti-
virus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea
e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea
conductorului departamentului, deoarece se considera c programul anti-virus are un
efect negativ asupra performanei sistemului;
Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi
prezena viruilor i am constatat c acestea erau infectate cu virui.
Concluzii Programele anti-virus nu sunt utilizate conform instruciunilor i licenelor.
Auditor, Supervizor,
171
ENTITATEA PUBLIC
FOAIE DE LUCRU NR. 3.1.

Obiectiv: Protejarea anti-virus a sistemelor informatice
Testarea se va realiza pe un eantion care a fost constituit astfel:

- populaia total este de 250 calculatoare personale;
- eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale;
- pasul de selecie va fi 250 : 5 = 50;
- eantionul se va constitui din calculatoarele existente n Lista IP-urilor calculatoarelor ce se
conecteaz la reeaua entitii publice la poziiile:
11, 61, 111, 161, 211,
conform celor prezentate n Lista de control anexat la Testul nr. 4.6.:
- eantionul constituit va fi verificat integral;
- n urma verificrii se va ntocmi un test.
172
ENTITATEA PUBLICA
Lista control nr. 3.1.

privind Programele anti-virus
Elemente Verificarea implementrii programelor anti-virus conform procedurilor
testate Programul anti-virus
Programul anti-virus se Monitorizarea Verificarea
Instalarea unui program monitorizeaz toate
Programul anti-virus s actualizeaz n reea, astfel sistematic a sistemului de
anti-virus adecvat programele i aplicaiile
verific staia de lucru la nct s protejeze eficient funcionalitii actualizare a
necesitilor utilizatorilor active, mesajele primite i
pornire datele electronice programelor anti- programelor anti-
staiilor de lucru verific automat
mpotriva viruilor nou- virus virus
actualizrile la intervale
Eantion aprui
regulate (zilnic)
Computer
aflat la X X X X X X
poziia 11
Computer
aflat la X X X X X X
poziia 61
Computer
aflat la FIAP FIAP FIAP FIAP FIAP FIAP
poziia 111
Computer
aflat la FIAP FIAP FIAP FIAP FIAP FIAP
poziia 161
Computer
aflat la NU X X X X X
poziia 211
173
ENTITATEA PUBLICA

Problema Neaplicarea n mod unitar a politicii de securitate IT a condus la infectarea

cu virui a unor staii de lucru din sistemul IT al entitii publice.
Constatarea O politic adecvat de securitate IT trebuie s prevad instalarea unui
program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la
pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i
s verifice automat actualizrile la intervale regulate (poate chiar zilnic).
Echipa de auditori a verificat 5 de staii de lucru, selectate n mod aleator,
din cadrul tuturor departamentelor i a constatat urmtoarele:
- n 2 departamente din cadrul entitii publice configuraia programului anti-virus
pentru un numr de doua calculatoare a fost modificat pentru a ntrerupe
monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor
anexate. Acest lucru s-a realizat la cererea conductorului departamentului,
deoarece se considera c programul anti-virus are un efect negativ asupra
performanei sistemului;
Urmare acestei constatri, am verificat respectivele staii de lucru pentru a
descoperi prezena viruilor i am descoperit c toate erau infectate cu virui.
Cauza Lipsa monitorizrii permanente a staiilor de lucru cu privire la funcionarea

programelor antivirus, precum i responsabilizarea utilizatorilor n cazul n care
dezactiveaz un program antivirus.
Consecina Prezena viruilor i a altor programe duntoare pe staiile de lucru
afecteaz n mod negativ activitatea staiilor de lucru putnd duce la blocarea
acestora sau chiar a ntregului sistem program, aplicaie sau sistem informatic.
Recomandarea Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor
staiilor de lucru din cadrul entitii publice, configurarea corecta n cazurile n
care aceste programe au fost dezactivate, stabilirea de responsabiliti n cazul n
care acestea sunt dezactivate i produc disfuncii n cadrul organizaiei.
Auditor, Supervizor, Pentru conformitate

Radu George Dumitru Daniel Structura auditat
174
ENTITATEA PUBLIC
TEST nr. 3.3.

Obiectul Implementarea subsistemelor IT

testului
Obiectivele Realizarea subsistemelor IT conform aprobrilor i planificrilor.
testului
Descrierea Populaia este formata din aplicaiile i programele aprobate de conducerea
testului organizaiei pentru a fi implementate n perioada suspus evalurii. Acestea vor fi
evaluare n totalitate.
Analiza va urmri dac un program sau aplicaie aprobat a fost implementat cu
respectarea termenelor. Pentru fiecare aplicaie sau program aprobat se va urmri i
dac au fost stabilite resursele financiare necesare, inclusiv cuprinderea lor n buget.
Constatri Analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i
aprobat, a pus n eviden faptul c termenele stabilite pentru implementarea
programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja noile
aplicaii IT ntmpin dificulti n transmiterea datelor n format electronic celorlalte
departamente care au nevoie de aceste informaii i unde funcioneaz deja de
programe performante.
Concluzii Programele i aplicaiile aprobate i pentru care au fost stabilite i aprobate i resursele
nu sunt implementate n termen.

175
ENTITATEA PUBLIC
INTERVIU nr. 3.1.

privind gradul de realizare a subsistemelor IT stabilite prin planul strategic
adresat
domnului Eleodor Darius, ef Serviciul analiza, proiectare i programare

Nr.
crt.
1. Exist un sistem procedurat de realizare a subsistemelor IT X
2. Sistemele implementate au fost stabilite prin planul strategic i
X
prin planurile anuale?
3. Exist persoane responsabile de implementarea subsistemelor
X
IT?
4. Subsistemele IT au fost realizate la termenele stabilite? X
5. Exist resurse alocate pentru realizarea subsistemelor IT? X
6. Avei o procedur pentru monitorizarea implementrii
X
subsistemelor IT?
7. n toate cazurile n care persoanele responsabile au primit alte
sarcini de serviciu au fost desemnate alte persoane care s X
monitorizeze implementarea subsistemelor IT?
8. Nu mai avei ceva de adugat? X
Data: 16.09.2009
Dat n faa noastr Intervievat

Auditori: Sef serviciu
Popescu Sorin Eleodor Darius
Radu George
176
ENTITATEA PUBLIC
FIS DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 3.3.

Problema Subsistemele IT nu au fost realizate la termenele stabilite.

Constatarea Analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i
aprobat, a pus n evidenta faptul ca termenele stabilite pentru implementarea
programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja
noile aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic
celorlalte departamente care au nevoie de aceste informaii i unde funcioneaz
deja de programe performante.
Cauza Resursele financiare alocate pentru implementarea acestor aplicaii n cadrul
programelor deja existente au fost utilizate pentru finalizarea unor aplicaii i
programe deja ncepute i nefinalizate.
Consecina ntrzieri n realizarea activitilor planificate att n cadrul departamentului
IT ct i n cadrul altor departamente, deoarece datele i informaiile sunt reluate i
introduse manual.
Recomandarea Analiza tuturor aplicaiilor i programelor ncepute i nefinalizate,
identificarea resurselor financiare necesare pentru finalizarea acestora, stabilirea de
termene de finalizare i urmrirea respectrii acestora.
Noile aplicaii i programe vor fi aprobate i achiziionate numai dac sunt
compatibile cu cele deja implementate sau aflate n faza de implementare i numai
dac exista resursele necesare aprobate prin buget.

177
ENTITATEA PUBLIC
TEST nr. 3.4.

Obiectul Evaluarea problemelor i soluionarea acestora

testului
Obiectivele Verificarea existenei unor controale generale implementate la nivelul subsistemelor IT
testului
Descrierea Populaia statistic este reprezentat de 15 subsisteme IT ce reprezint numrul
testului total al subsistemelor IT funcionale la nivelul entitii publice. Eantionarea va fi
reprezentat de 5 elemente din ntreaga populaie, deci 30%, pentru c este un numr
rezonabil de subsisteme.
Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de
verificare nr. 3, poz.., i anume:
- Controlul datelor introduse n aplicaii;
- Controlul pe parcursul procesrii datelor i rapoartele produse n caz de
nerealizarea procesrii (ntreruperi, transfer).
- Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c
aceste date sunt complete
- Validarea datelor transferate din alte aplicaii
- Controalelor care verific nregistrrile duble;
- Autorizarea electronic i/sau manual a tranzaciilor
- Efectuarea tranzaciilor numai de la computere definite n prealabil
- Pstrarea integral a nregistrrilor astfel nct s se poat urmri
tranzaciile efectuate din faza de iniiere pn la finalizarea lor;
- nelegerea controalelor implementate de ctre utilizatori.
Testarea s-a concretizat n elaborarea Listei de control nr... privind existena

controalelor generale la nivelul subsistemelor IT.
Constatri Din analiza modului de implementare i funcionare a controalelor la nivelul
subsistemelor IT, s-a constat inexistena urmtoarelor controale generale:
- Controlul asupra datelor introduse n aplicaii;
- Controlul asupra datelor rezultate n urma procesrii astfel nct s se
asigure c aceste date sunt complete;
- Controlul pe parcursul procesrii datelor i rapoartelor rezultate;
- Controlul privind validarea datelor transferate din alte aplicaii;
- Controlul asupra tranzaciilor efectuate.
Concluzii Controalele generale nu sunt implementate n totalitate la nivelul subsistemelor
informatice.

178
ENTITATEA PUBLICA
FOAIE DE LUCRU nr. 3.2.

Obiect: Existena controalelor generale la nivelul subsistemelor IT
Obiectivul Verificarea existenei unor controale generale

implementate la nivelul subsistemelor IT.
- populaia total este de 15 subsisteme IT;
- eantionul va fi de 30%, respectiv 15 x 30% = 5 subsisteme IT;
- eantionul se va constitui din:
o Subsistemul IT pentru gestiunea resurselor umane
o Subsistemul IT pentru operaiuni financiare
o Subsistemul IT pentru activitatea contabil
o Subsistemul IT pentru activitatea juridic
o Subsistemul IT de coordonare a relaiilor bugetare cu Uniunea European
conform celor prezentate n Lista de control nr. 3.2..:
Data: 16.09.2009

179
ENTITATEA PUBLIC
privind existena controalelor generale la nivelul subsistemelor IT
Nr. Controlul pe Pstrarea integral
Crt. Elemente parcursul Controlul datelor Efectuarea a nregistrrilor
Validarea
testate procesrii rezultate n urma Controale care Autorizarea tranzaciilor astfel nct s se nelegerea
Controlul datelor datelor
datelor i procesrii, astfel verific electronic i/sau numai de la poat urmri controalelor
introduse n transferate
rapoartele nct s se asigure nregistrrile manual a computere tranzaciile implementate de
aplicaii din alte
produse n caz c aceste date sunt duble tranzaciilor definite n efectuate din faza ctre utilizatori
Eantion aplicaii
de nerealizare a complete prealabil de iniiere pn la
procesrii finalizarea lor
Subsistemul IT pentru
1. gestiunea resurselor FIAP FIAP FIAP FIAP X X FIAP X X
umane
2. X X X FIAP X X FIAP X X
operaiuni financiare
3. X X X FIAP X X FIAP X X
activitatea contabil
4. FIAP FIAP FIAP FIAP X X X X X
activitatea juridic
Subsistemul IT de
coordonare a relaiilor
5. X X X FIAP X X X X X
bugetare cu Uniunea
European
Data> 16.09.2009

180
ENTITATEA PUBLICA

Problema Inexistena controalelor generale implementate la nivelul subsistemelor IT

Constatarea Din evaluare, auditorii interni au constatat c nu exist un sistem de
controale generale care s fie avute n vedere n cadrul procesului de proiectare,
realizare, testare i implementare a tuturor subsistemelor IT ce ruleaz pe
echipamentele entitii publice, astfel:
- Controlul pe parcursul procesrii datelor i rapoartele produse n caz de
nerealizarea procesrii (ntreruperi, transfer);
- Controlul datelor rezultate n urma procesrii, astfel nct s se asigure
c aceste date sunt complete;
- Controlul privind tranzaciile efectuate.
Cauza Lipsa unei bune gestiuni a riscului, pe baza creia sa fie identificate controalele
interne i modul n care acestea funcioneaz.
Consecina Inexistena unui set de controale generale, armonizat pentru toate
subsistemele IT, poate s conduc la nedetectarea modificrilor
neautorizate aduse datelor procesate i astfel apare probabilitatea ca date
eronate s fie introduse, prelucrate i stocate n sistemul IT.
Recomandarea Identificarea riscurilor care guverneaz toate subsistemele IT, stabilirea
controalelor interne care ar trebui s existe pentru ca acestea s funcioneze corect,
urmrirea controalelor interne care exist i funcioneaz, identificarea i
implementarea de instrumente de control pentru controalele interne care nu sunt
implementate sau nu funcioneaz.

181
ENTITATEA PUBLICA

Obiectivul I.
SECURITATEA INFORMAIEI
Nr.
Activitatea de audit Da Nu Obs.
crt.
A Organizarea securitii informaiilor
1. Elaborarea politicii privind securitatea informaiei
1.1. Verificai dac exist o politic de securitate a informaiei; X
1.2. Verificai dac politica de securitate a informaiei este aprobat de
X
conducerea organizaiei;
1.3. Verificai dac politica privind securitatea informaiei stabilete
responsabilitile asociate i principiile de securitate care trebuie X
urmate de ctre personal;
1.4. Verificai dac politica de securitate a informaiei supune
informaiile i sistemele importante unei analize de risc n mod X
regulat;
1.5. Verificai dac politica de securitate a informaiei impune ca
sistemele s fie clasificate ntr-un mod care s indice importana X
acestora pentru organizaie;
1.6. Verificai dac politica de securitate a informaiei impune
X
utilizarea numai a programelor liceniate;
1.7. Verificai dac politica de securitate a informaiei asigur
X
condiiile de raportare sau abaterile de la regularitate;
1.8. Verificai dac protejarea informaiei este asigurat n condiii de
X
confidenialitate, integritate i disponibilitate;
1.9. Verificai dac politica de securitate interzice utilizarea
X
informaiilor i sistemelor organizaiei fr autorizare;
1.10. Verificai dac politica de securitate interzice scoaterea informaiei
X
sau echipamentelor din cadrul organizaiei fr autorizare;
1.11. Verificai dac politica de securitate interzice utilizarea
informaiilor, inclusiv a infrastructurii sau echipamentelor IT n X
alte scopuri;
1.12. Verificai dac politica de securitate interzice copierea
X
neautorizat a datelor i informaiilor;
1.13. Verificai dac politica de securitate interzice divulgarea
X
informaiilor ctre persoane neautorizate;
1.14. Verificai dac politica de securitate oblig utilizatorii s nchid
X
programele sau aplicaiile cnd nu sunt utilizate;
1.15. Verificai dac politica de securitate oblig utilizatorii s se
X
deconecteze de la aplicaii, atunci cnd las calculatorul
182
nesupravegheat;
1.16. Verificai dac politica de securitate este comunicat ntregului
X
personal;
1.17. Verificai dac politica de securitate are n vedere prevenirea
X
falsificrii probelor n cazul unui incident;
1.18 Verificai dac politica de securitate stabilete msurile
X
disciplinare ce pot fi luate n cazul nerespectrii ei;
1.19 Verificai dac politica de securitate este revizuit i actualizat
X
periodic.
2. Stabilirea responsabilitilor n cadrul politicii de securitate
2.1. Verificai dac exist o persoan din conducerea de vrf cu
X
responsabilitate general pentru securitatea informaiei;
2.2. Verificai dac exist un comitet nsrcinat cu coordonarea
X
activitii de securitate a informaiei;
2.3. Verificai dac comitetul responsabil de securitatea informaiei
X
coordoneaz aceast activitate la nivelul ntregii organizaii;
2.4. Verificai dac din comitetul nsrcinat cu coordonarea activitii
de securitate a informaiei fac parte persoane din conducerea de X
vrf a organizaiei;
2.5. Verificai dac comitetul nsrcinat cu coordonarea activitii de
securitate a informaiei este responsabil pentru integrarea X
informaiei pentru toate sectoarele organizaiei;
securitate a informaiei asigur tratarea intereselor privind X
securitatea informaiei curent i consecvent;
securitate a informaiei este responsabil pentru aprobarea X
politicilor i standardelor de securitate a informaiei;
securitate a informaiei este responsabil pentru aprobarea X
procedurilor de securitate a informaiei;
securitate a informaiei este responsabil pentru aprobarea i
X
stabilirea prioritilor activitii de mbuntire a securitii
informaiei;
securitate a informaiei asigur coordonarea implementrii X
instrumentelor de control aferente securitii informaiei;
securitate a informaiei accentueaz importana securitii X
informaiei n cadrul organizaiei;
3. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatorii autorizai
3.1. Verificai dac regulile de securitate privind accesul la
X
echipamentele i datele stabilite sunt respectate cu strictee;
3.2. Verificai dac abaterile de la regulile impuse sunt imediat
X
semnalate persoanelor responsabile;
3.3. Verificai dac dispozitivele de stocare sunt pstrate n condiii de
securitate pentru a evita distrugerea fizic, pierderea sau X
modificarea coninutului;
3.4. Verificai dac condiiile de pstrare sunt verificate periodic i
X
mbuntite;
3.5. Verificai dac salvrile de date sunt efectuate cu periodicitatea
X
impus de importana datelor i de regulile prestabilite;
3.6. Verificai dac arhivarea datelor este realizat cu frecvena impus
X
de reglementrile de operare;
3.7. Verificai dac drepturile utilizatorilor sunt verificate periodic, n
X
conformitate cu sarcinile alocate acestora;
3.8. Verificai dac permisiunile curente de acces la resursele partajate
sunt verificate, n vederea conformitii cu regulile de securitate X
impuse;
3.9. Verificai dac accesul la directoarele i fiierele cu caracter secret
X
se realizeaz n conformitate cu reglementrile interne;
183
3.10. Verificai dac arhivarea datelor este realizat adecvat importanei
X
acestora;
3.11. Verificai dac duplicarea datelor se realizeaz conform cu
X
reglementrile interne;
3.12. Verificai asigurarea securitii dispozitivelor de stocare a datelor; X
B. Disponibilitatea datelor
1. Protejarea datelor mpotriva viruilor
1.1. Verificai dac programele sunt protejate fa de virui; X
1.2. Verificai dac viruii detectai sunt nlturai prin utilizarea de
X
produse specializate antivirus;
1.3. Verificai dac actualizarea produselor antivirus se face
X
permanent;
1.4 Verificai dac procedurile de scanare i eliminare a viruilor sunt
X
lansate periodic n execuie;
1.5. Verificai dac programul antivirus intr n funciune ntotdeauna
X
la pornirea computerelor;
1.6. Verificai dac viruii sunt detectai cu operativitate utiliznd
X
metode adecvate;
1.7. Verificai dac exist continuitate n asigurarea licenelor
X
programelor antivirus;
1.8. Verificai dac implementarea programelor anti-virus asigur: X
1.9. a) instalarea unui program anti-virus adecvat necesitilor
X
utilizatorilor staiilor de lucru;
1.10. b) verificarea computerelor la pornire; X
1.11. c) monitorizarea tuturor programelor i aplicaiilor active, a
mesajelor primite i verificarea automat a actualizrilor la X
intervale regulate (zilnic);
1.12. d) actualizarea n reea, astfel nct s protejeze eficient datele
X
mpotriva viruilor nou-aprui;
1.13. Verificai dac este realizat o monitorizarea sistematic a
X
funcionalitii programelor anti-virus;
1.14. Verificai dac sistemul de actualizare a programelor anti-virus
este adecvat necesitilor programelor i aplicaiilor utilizate n X
cadrul entitii;
2. Asigurarea continuitii activitilor
2.1. Verificai dac planul privind asigurarea continuitii activitilor
permite cunoaterea msurilor ce trebuie luate n cazul producerii X
unui eveniment nedorit;
2.2. Verificai dac scopul planului de asigurare a continuitii
X
activitii este de a minimiza efectele produse de un dezastru;
2.3. Verificai dac planul privind continuitatea activitilor are impact
X
major asupra activitilor curente critice;
2.4. Verificai dac resursele umane, precum i cele hardware/software
implicate n procesul de aplicare a planului sunt prestabilite i sunt X
disponibile;
2.5. Verificai dac planul descrie strategia general de asigurare a
X
continuitii activitii;
2.6. Verificai dac planul stabilete rolurile i responsabilitile
X
personalului implicat;
2.7. Verificai dac planul stabilete criteriile i procedurile de
X
recunoatere a unei crize;
2.8. Verificai dac planul definete procedurile tehnice de reluare sau
X
continuare a proceselor critice;
2.9. Verificai dac planul stabilete procedurile de revenire la modul
X
normal de operare;
2.10. Verificai dac planul conine procedurile de ntreinere,
X
actualizare i testare periodic a acestuia;
2.11. Verificai dac echipa de coordonare, n caz de producere a
X
evenimentului nedorit, este condus de managementul de vrf;
2.12. Verificai dac echipa de coordonare n caz de producere a
evenimentului nedorit este responsabil pentru iniierea planului X
privind continuitatea activitilor;
184
2.13. Verificai dac echipa de intervenie n caz de dezastru este
X
implicat n conceperea planului privind continuitatea activitilor;
2.14. Verificai dac elaborarea planurilor privind continuitatea
activitilor a avut n vedere urmtoarele etape:
a) iniierea planului
b) analiza de risc i de impact
X
c) definirea cerinelor i dezvoltarea strategiei
d) implementarea strategiei i reducerea riscului
e) dezvoltarea i implementarea planurilor;
f) testarea i asigurarea mentenanei planurilor.
2.15. Verificai dac planurile privind continuitatea activitilor sunt
conforme cu obiectivele generale i cu strategia de administrare a X
riscurilor;
2.16. Verificai dac funciile critice sunt identificate de administratorii
sistemelor, dndu-se prioritate proceselor din cadrul acestor X
funcii;
2.17. Verificai dac obiectivele avute n vedere pentru asigurarea
continuitii activitii sistemelor au ca scop reluarea i X
recuperarea funciilor critice;
2.18. Verificai dac planurile privind continuitatea activitilor includ
X
cel puin o locaie secundar pentru salvarea datelor;
2.19. Verificai dac sunt stabilite proceduri alternative/de urgen
X
pentru realizarea funciilor critice n cazul cderii reelelor;
2.20. Verificai dac prile implicate n planul de asigurare a
continuitii activitilor, comunic eficient, att n interiorul, ct
X
i n exteriorul organizaiei, utiliznd mijloace de comunicare
sigure i testate;
2.21. Verificai dac elementele planurilor privind asigurarea
X
continuitii activitii sunt testate periodic.
3. Recuperarea datelor n caz de dezastru
3.1. Verificai dac a fost elaborat planul de recuperare a datelor n caz
de dezastru;
3.2. Verificai dac planul de recuperare a datelor n caz de dezastru a
X
fost aprobat;
3.3. Verificai dac este responsabilizat echipa de implementare a
planului i sunt stabilite responsabilitile adecvate membrilor X
echipei;
3.4. Verificai dac planul este comunicat personalului cu
responsabiliti n punerea n aplicare a acestuia n caz de X
dezastru;
3.5. Analizai dac planul de recuperare a datelor a fost testat i
X
modificat periodic n baza rezultatelor obinute n urma testrii;
3.6. Verificai dac sunt definite n cadrul planului domeniile de
X
aciune importante ale entitii publice;
3.7. Verificai dac sunt identificate principalele procese i aplicaii IT
X
ce trebuie recuperate;
3.8. Verificai dac au fost analizate cerinele specifice cu privire la
X
recuperarea datelor n caz de dezastru la nivelul sistemului IT;
3.9. Verificai dac sunt stabilii responsabili cu monitorizarea
respectrii procedurilor privind recuperarea datelor n caz de X
dezastru;
3.10. Verificai dac salvrile de siguran sunt actualizate sistematic; X
3.11. Stabilii dac locaia n care sunt stocate datele pentru a fi
X
recuperate n caz de dezastru este adecvat;
3.12. Analizai sistemul de arhivare a datelor. X
C. Asigurarea funcionrii programelor i aplicaiilor
1. Asigurarea introducerii corecte a datelor
1.1. Verificai dac documentele primare sunt analizate pentru
identificarea tipurilor de date care trebuie introduse sau X
modificate;
1.2. Verificai dac datele sunt pregtite i verificate pentru a fi
X
introduse n sistemul informatic n vederea prelucrrii;
185
1.3. Verificai dac se verific i se testeaz toate procedurile de
X
introducere a datelor;
1.4. Verificai dac se monitorizeaz prelucrarea electronic a datelor; X
1.5. Verificai se urmresc rapoartele de erori nregistrate de sistemul
informatic i dac se efectueaz teste pentru identificarea cauzelor X
apariiei acestora;
1.6. Verificai modul de urmrire a rezultatelor prelucrrilor i modul
X
de distribuire ctre utilizatori;
1.7. Verificai modul de ntocmire a jurnalului interveniilor
operatorilor, jurnalul utilizrii bibliotecii de programe i a X
arhivelor de date i aplicaii
1.8. Verificai dac aplicaiile informatice sunt utilizate n conformitate
X
cu instruciunile de exploatare;
1.9. Verificai dac ablonul de introducere a datelor este identificat
X
corect, conform metodologiei proprii;
1.10. Verificai dac elementele ablonului sunt analizate cu
responsabilitate, n vederea introducerii datelor n condiii de X
eficien;
1.11. Verificai dac introducerea datelor se realizeaz cu respectarea
X
specificaiilor programului utilizat;
1.12. Verificai dac se urmrete permanent conformitatea datelor
X
introduse cu documentele primare;
1.13. Verificai dac datele introduse sunt salvate pe suport de stocare n
X
formatul de fiier adecvat;
1.14. Verificai dac datele introduse sunt salvate corect i complet; X
1.15. Verificai dac datele sunt salvate la intervale de timp prestabilite; X
1.16. Verificai dac datele salvate sunt organizate adecvat, pentru a fi
X
regsite cu uurin;
1.17. Verificai dac salvrile de rezerv se realizeaz automat sau
X
manual, n funcie de opiuni;
1.18. Verificai dac datele neconforme cu documentele primare sunt
X
corectate;
1.19. Analizai dac datele introduse sunt verificate prin modaliti
X
adecvate, n scopul identificrii operative a erorilor;
1.20. Verificai dac datele corectate sunt salvate. X
2. Prelucrarea datelor
2.1. Verificai dac programul de prelucrare a datelor este adecvat;
2.2. Verificai dac programul de prelucrare a datelor este corect
X
identificat, n funcie de necesiti i de rezultatele urmrite;
2.3. Verificai modul de depistare i corectare a erorilor aprute n
X
timpul rulrilor aplicaiilor informatice;
2.4. Verificai dac procesrile aplicate datelor introduse sunt corecte; X
2.5. Verificai modul de funcionare a programelor, folosind ca date de
test fie nregistrri originale, fie nregistrri mostr i corectarea X
eventualelor erori aprute n procesul de introducere a datelor;
2.6. Verificai dac prelucrarea datelor cu ajutorul aplicaiilor
informatice se realizeaz n conformitate cu instruciunile de X
exploatare;
2.7. Verificai dac prelucrrile efectuate sunt vizualizate n scopul
X
verificrii i sunt prezentate pe suportul de redare specificat;
2.8. Verificai dac alegerea suportului de redare se realizeaz innd
X
cont de destinaia datelor;
2.9. Verificai dac prioritile suportului de redare respect cerinele; X
2.10. Verificai dac documentul este pregtit pentru redare prin setarea
X
caracteristicilor specifice;
2.11. Verificai dac echipamentul de ieire este ales adecvat, n scopul
X
ndeplinirii condiiilor optime de furnizare a datelor.
3. Asigurarea securitii datelor i documentelor
3.1. Verificai dac sunt realizate copii de siguran pe suporturi de
stocare adecvate;
3.2. Verificai dac copiile de siguran sunt realizate la intervalele de
X
timp menionate n procedura intern;
186
3.3. Verificai dac copiile de siguran sunt verificate pentru
X
conformitate cu originalele;
3.4. Verificai dac arhivarea sau duplicarea datelor este realizat n
X
funcie de importana acestora i cu frecvena necesar;
3.5. Verificai dac accesul la calculator este realizat prin conturi i
X
parole asociate, cu asigurarea caracterului de confidenialitate;
X
se face corespunztor reglementrilor interne;
3.7. Verificai dac documentele primare i cele rezultate n urma
X
imprimrii sunt pstrate n condiii de securitate;
3.8. Verificai dac suporturile de stocare sunt verificate pentru a le
X
depista pe cele virusate sau defecte;
3.9. Verificai dac dispozitivele de stocare a datelor sunt pstrate n
condiii de securitate pentru a evita distrugerea fizic, pierderea X
sau modificarea coninutului;
3.10. Verificai dac condiiile de pstrare sunt verificate periodic i
X
mbuntite dup caz;
3.11. Verificai dac funcionarea severelor i a sistemelor este
X
permanent i atent monitorizat;
3.12. Verificai dac accesul utilizatorilor la echipamente i la suporturi
de date este realizat numai n limita permisiunilor cerute de X
efectuarea sarcinilor curente;
3.13. Verificai dac regulile de securitate referitoare la accesul la
X
echipamente sunt respectate;
3.14. Verificai dac abaterile de la regulile de securitate sunt semnalate
X
prompt persoanelor responsabile;
D. Implementarea instrumentelor de control
1. Accesul la aplicaie este oferit pe baza necesitilor utilizatorului
1.1. Verificai dac drepturile de acces sunt acordate conform regulilor
X
impuse prin manualele de instalare a aplicaiei;
1.2. Verificai dac drepturile de acces sunt respectate de ctre
X
utilizatori;
1.3. Verificai dac responsabilitatea pentru administrarea i operarea
X
aplicaiei este definit clar;
1.4. Verificai dac utilizatorii sunt instruii cu privire la utilizarea
X
reelei i securitatea acesteia;
1.5. Verificai dac administratorii de reea primesc instruirea adecvat
X
i potrivit cu privire la sigurana i controlul reelei;
1.6. Verificai dac activitatea n reea este monitorizat, asigurndu-se
X
c securitatea acesteia este adecvat;
1.7. Verificai dac doar utilizatorii autorizai pot efectua conexiuni la
reea i exist proceduri pentru verificarea conexiunilor X
neautorizate;
1.8. Verificai dac codificarea utilizat previne accesul neautorizat la
X
datele transmise prin reea;
1.9. Verificai dac instrumentele de control stabilite asigur datele i
programele mpotriva pierderii, deteriorrii, coruperii deliberate X
sau accidentale, i a atacurile informatice;
1.10. Verificai dac reelele sunt proiectate i construite pentru a
X
asigura eficiena traficului de date;
1.11. Verificai dac programele de administrare a reelei i fiierele de
pe server sunt salvate pentru siguran i copii ale acestora sunt X
pstrate n locuri sigure;
1.12. Verificai dac exist metode de recuperare i de continuitate a
activitii n eventualitatea defectrii liniilor sau nodurilor de X
reea;
1.13. Verificai dac accesul fizic la domeniile critice ale reelei este
X
restricionat numai pentru personalul autorizat;
1.14. Verificai dac pentru echipamentele importante i pentru nodurile
X
reelelor s-au alocat resurse suplimentare de securitate.
2. Introducerea instrumentelor de control fizic asupra echipamentelor IT
al aplicaiilor
187
2.1. Verificai dac accesul fizic la sistemele de calculatoare este
restricionat prin:
a) sistem adecvat de ncuietori;
X
b) blocarea accesului atunci cnd mediul este eliberat;
c) instalarea de alarme;
d) asigurarea de personal de paz;
2.2. Verificai dac efectuarea controalelor fizice se realizeaz conform
X
procedurilor;
2.3. Verificai dac accesul la servere este restricionat, avnd n
vedere datele critice procesate, fiind permis numai persoanelor X
autorizate;
2.4. Verificai camerele n care se afl severele i echipamentele, dac Test nr. 4.3.
se respect urmtoarele cerine: List de
a) sunt dotate cu camere de supraveghere, care acoper ntreaga control nr.
zon de acces la server i sunt monitorizate permanent: 4.1.
b) sunt prevzute cu senzori de micare; FIAP nr.
X
c) dispun de sistem de alarm n caz de incendiu; 4.3.
d) dispun de sisteme de stingere a incendiilor;
e) sunt prevzute cu echipamente de aer condiionat;
f) sunt prevzute cu ui neinflamabile echipate cu ncuietori
adecvate.
2.5. Verificai dac echipamentele i documentaia de importan
X
critic sunt asigurate suplimentar;
2.6. Verificai dac sistemele de detectare a accesului neautorizat
X
instalate sunt verificate periodic;
2.7. Verificai dac calculatoarele portabile sunt protejate mpotriva
X
furtului;
2.8. Verificai dac utilizatorii sistemului au acces numai pentru
X
scopuri clare i autorizate;
2.9. Verificai dac utilizatorii sistemului sunt supravegheai
X
permanent;
2.10. Verificai dac echipamentele i facilitile critice sunt protejate
X
prin montarea lor n afara zonei de acces a publicului;
2.11. Verificai dac perimetrul de securitate fizic al camerelor care
X
adpostesc echipamente i faciliti critice este ntrit i protejat;
2.12. Verificai dac se realizeaz supravegherea continu a camerelor
X
n care sunt adpostite echipamente i faciliti critice;
2.13. Verificai dac autorizaiile pentru accesul fizic la echipamente
X
sunt emise n conformitate cu procedurile documentate;
2.14. Verificai dac autorizaiile pentru accesul fizic sunt revizuite
periodic pentru a se asigura accesul la acestea numai a persoanelor X
autorizate;
2.15. Verificai dac sunt luate msuri pentru restricionarea accesului la
X
calculatoare i la informaiile pstrate de acestea;
2.16. Verificai dac msurile de protecie sunt n acord cu politica de
securitate a organizaiei;
2.17. Verificai dac msurile de control in seama de clasificarea
X
nivelurilor de securitate;
2.18. Verificai dac msurile de control in seama de cerinele stabilite
X
de responsabilii sistemelor i ale organelor de reglementare;
2.19. Verificai dac msurile de control in seama de necesitatea de a
X
pune n practic rspunderea personal;
2.20. Verificai dac msurile de control asigur punerea n practic a
X
unor instrumente suplimentare de control;
2.21. Verificai dac msurile de control asigur separarea sarcinilor; X
2.22. Verificai dac accesul este restricionat conform politicii de
X
securitate;
2.23. Verificai dac msurile de control privind accesul restricioneaz
X
capacitile sistemului care pot fi utilizate;
2.24. Verificai dac msurile de control ale accesului identific locaia
X
terminalelor aflate n exploatare;
2.25. Verificai dac msurile de control privind accesul sunt realizate X
188
pe baza unui sistem de parole;
2.26. Verificai dac msurile de control privind accesul sunt revizuite
ca rspuns la noi ameninri, cerine ale activitii sau noi X
capaciti;
E. Securitatea reelei
1. Monitorizarea securitii reelelor
1.1. Verificai dac riscurile ce amenin securitatea i disponibilitatea
X
reelei i a aplicaiilor sunt inventariate;
1.2. Verificai dac securitatea reelei are n vedere vulnerabilitatea
aplicaiilor i sistemelor de operare, greelile de configurare i X
erorile;
1.3. Verificai dac este realizat o hart a reelei; X
1.4. Verificai identificarea elementelor de baz din reea X
1.5. Verificai dac este realizat o hart exact a reelei; X
1.6. Verificai dac sunt identificate toate elementele din reea,
respectiv servere, sisteme desktop, sisteme laptop, routere, puncte X
de acces, imprimante, sau alte dispozitive;
1.7. Verificai dac este implementat un program de management al
X
vulnerabilitilor;
1.8. Verificai dac exist posibilitatea de a actualiza situaia reelei de
X
cte ori este nevoie.
1.9. Verificai clasificarea elementelor din reea X
1.10. Verificai dac se realizeaz o clasificare a sistemelor desktop, a
serverelor i a aplicaiilor, n funcie de valoarea pe care acestea o X
reprezint pentru entitatea public;
1.11. Verificai dac se realizeaz o grupare i clasificare a
dispozitivelor din reea n funcie de prioriti, de la sisteme cu
importan redus, cum sunt cele de test, la sistemele de
X
importan medie, cum sunt sistemele laptop folosite la biroul
aprovizionare i pn la sistemele de importan vital pentru
entitate (tranzacii, operaiuni financiare)
1.12. Verificai modul de clasificare a sistemelor depinde de natura
X
operaiunilor desfurate;
1.13. Verificai modul de identificarea rapid i precis a
X
vulnerabilitilor
1.14. Verificai dac identificarea vulnerabilitilor pleac de la analiza
topologiei reelelor formate din servere, sisteme de operare sau X
platforme web diferite;
1.15. Verificai dac este realizat protecia prin implementarea unui
X
sistem adecvat de management al vulnerabilitilor
1.16. Verificai dac acesta se bazeaz pe informaii precise i
X
configuraii de sistem i reea adecvate;
1.17. Verificai dac se realizeaz protecia n profunzime prin
implementarea unui sistem adecvat de management al X
vulnerabilitilor;
1.18. Verificai dac se realizeaz corelarea gradului de risc cu valoarea
pentru activitile entitii, reprezentat de vulnerabilitile X
sistemelor i a segmentelor de reea;
1.19. Verificai transformarea datelor de securitate brute n informaii X
1.20. Verificai dac n urma prelucrrilor, administratorii obin rapoarte
X
complete care detaliaz nivelul critic al vulnerabilitilor;
1.21. Verificai dac este asigurat accesul instant la soluiile de
X
remediere;
1.22. Verificai dac se folosesc patch-uri de securitate furnizate de
X
dezvolttorul de aplicaii;
1.23. Verificai dac se folosesc strategii ocolitoare sau alte msuri
X
defensive;
1.24. Verificai dac pe lng rapoartele generate pentru administratorii
i responsabilii cu securitatea, informaiile sunt strnse, adaptate i
X
prezentate acelor persoane care necesit detalii despre situaia
securitii n cadrul entitii;
1.25. Verificai dac rapoartele sunt prezentate conducerii. X
189
1.26. Verificai modul de monitorizarea securitii reelelor, n timp X
1.27. Verificai dac expunerea la risc este monitorizat prin
X
reprezentarea strii de ansamblu a reelei;
1.28. Verificai dac se utilizeaz un panou de afiare n timp real,
privind expunerea la risc, prin reprezentarea vizual a strii de X
ansamblu a reelei;
1.29. Verificai dac se realizeaz actualizarea continu a acestuia; X
1.30. Verificai dac panoul de afiare privind expunerea la risc este
X
adaptat nevoilor de securitate ale organizaiei;
1.31. Verificai dac la fiecare evaluare a vulnerabilitilor se creeaz o
nregistrare care consemneaz data i ora scanrii, numrul
X
vulnerabilitilor identificate, gradul de severitate i impactul
asupra activitilor;
1.32. Verificai dac sup aplicarea patch-urilor, o scanare ulterioar
X
valideaz aplicarea corect a soluiilor pentru fiecare sistem;
1.33. Verificai dac se obine reducerea riscurilor asociate; X
1.34. Verificai dac politica de securitate a gestionrii reelelor
informatice este implementat i asigur protejarea datelor i
informaiilor, respectiv:
a) identificarea elementelor de baz din reea Test nr. 4.1.
b) clasificarea elementelor din reea X FIAP nr.
c) identificarea vulnerabilitilor reelei 4.1.
d) transformarea datelor de securitate, n informaii
e) monitorizarea securitii reelelor n timp
f) procesul de remediere a vulnerabilitilor reelelor
1.35. Verificai dac se urmrete mentenana sistemelor. X
1.36. Verificai integrarea procesului de remediere a vulnerabilitilor X
1.37. Verificai dac entitatea este preocupat de aplicarea msurilor
proactive i reactive, pentru remedierea vulnerabilitilor X
descoperite i a erorilor de configurare;
1.38. Verificai dac entitatea este preocupat de remedierea rapid i
X
eficient a vulnerabilitilor.
F. Gestionarea parolelor
1. Utilizatori au parole de acces individuale
1.1. Verificai dac fiecare calculator este parolat; X
1.2. Verificai dac parola alocat este individual; X
1.3. Verificai dac parola este cunoscut doar de utilizator; X
1.4. Verificai dac programele i aplicaiile au nivele de acces n
X
funcie de nivelul postului;
1.5. Verificai dac parolele sunt schimbate periodic, respectnd Test nr. 4.2.
regulile de complexitate impuse; Interviu nr.
1.6. Verificai dac exist un calendar privind parolele de acces X 4.1.
1.7. Verificai dac exist desemnat o persoan responsabil cu FIAP nr.
verificarea periodic a sistemului de parole de acces 4.2.
1.8. Verificai dac accesul la calculator, la folosirea resurselor locale
i a celor din reea este realizat prin conturi i parole asociate X
fiecrui utilizator;
1.9. Verificai dac alocarea conturilor i parolelor respect caracterul
X
de confidenialitate;
2. Schimbarea periodic a parolelor
2.1. Verificai dac parolele de acces sunt asigurate n scopul pstrrii
X
caracterului secret;
2.2. Verificai dac permisiunile sau drepturile utilizatorilor sunt
X
verificate periodic, pentru a corespunde strict sarcinilor acestora;
X
se face corespunztor reglementrilor interne;
2.4. Verificai dac parolele asigur urmtoarele reguli:
2.5. a) numr minim de caractere este opt;
b) conin caractere alfa numerice; X
c) sunt case-sensitive;
d) sunt mascate pe ecran, pentru a nu fi vzute;
2.6. Verificai dac administratorul sistemului creeaz i configureaz X
190
corespunztor conturile fiecrui utilizator;
2.7. Verificai dac parolele generice iniiale sunt schimbate de ctre
X
fiecare utilizator n parte;
2.8. Verificai dac sistemul beneficiaz de urmtoarele caracteristici:
a) suspendarea conturilor i parolelor dup o anumit perioad
de inactivitate;
b) schimbarea parolelor la intervale stabilite de timp;
c) suspendarea conturilor dup ncercri succesive nereuite de
X
acces la sistem;
d) accesul utilizatorilor restricionat la anumite perioade de
timp;
e) deconectarea utilizatorilor dup un anumit timp de
inactivitate;
2.9. Verificai dac configurarea conturilor se face n funcie de tipurile
X
de utilizatori;
2.10. Verificai dac contul de administrare poate fi ters; X
2.11. Verificai dac sistemul permite configurarea i controlul
X
parametrilor de sistem.
3. Protejarea parolelor
Verificai dac parolele respect urmtoarele reguli: X
- numr minim de 8 caractere; X
- s conin caractere alfanumerice; X
- s fie CASE-SENSITIVE; X
- s fie mascate pe ecran pentru a nu fi vzute. X
Verificai dac administratorul sistemului creeaz i configureaz
X
corespunztor conturile fiecrui utilizator;
Verificai dac parolele generice iniiale sunt schimbate de ctre
X
fiecare utilizator n parte;
4. Persoanele autorizate au acces la sistemul de operare
4.1. Verificai dac accesul la sistem se realizeaz numai pe baza
conturilor de utilizatori n funcie de tipurile specifice i de X
atribuiile specifice fiecrui angajat
4.2. Verificai dac conturile de utilizatori respect condiii privind
X
parolele, modul de acces, restriciile specifice;
4.3. Verificai dac utilizatorii sunt instruii s respecte regulile privind
X
securitatea logic;
4.4. Verificai dac exist proceduri legate de accesul neautorizat; X
G. Securitatea logic
1. Asigurarea securitii funcionrii programelor i aplicaiilor
1.1. Verificai dac nainte proiectrii unui plan de control al
securitii, sunt identificate riscurile la care sunt supuse sistemele X
informatice din punct de vedere logic;
1.2. Verificai dac echipa care realizeaz planul de securitate include
specialiti din diverse domenii informatice i auditori interni,
X
pentru a putea identifica toi factorii de risc i a se formula cele
mai bune soluii de nlturare a acestora;
1.3. Verificai dac planul de securitate include metodele de asigurare
a securitii pentru fiecare etap din funcionarea sistemelor,
X
pentru tipuri de operaii, protecia bazelor de date, a sistemelor de
operare;
1.4. Verificai asigurarea securitii n faza de implementare a noilor
sisteme informatice
1.5. Verificai dac la instalarea sistemelor informatice noi, se creeaz
X
conturi de sistem i conturi de acces;
1.6. Verificai dac parolele iniiale ale acestor conturi sunt schimbate
X
dup accesarea sistemului;
1.7. Verificai dac sistemul beneficiaz de urmtoarele caracteristici: X
- numrul minim de caractere pentru parole;
- suspendarea conturilor i parolelor dup o anumit perioad de
inactivitate;
- schimbarea parolelor la intervale stabilite de timp;
- suspendarea conturilor dup ncercri succesive nereuite de
191
acces la sistem;
- accesul la sistem al utilizatorilor s fie restricionat la anumite
perioade de timp, ntre anumite ore;
- deconectarea utilizatorilor dup un anumit timp de inactivitate;
- configurarea conturilor n funcie de tipurile de utilizatori;
- contul de administrare (system user) s nu poat fi ters;
1.8. Verificai dac sistemul permite configurarea i controlul
X
parametrilor cheie;
1.9. Verificai dac salvarea datelor se realizeaz periodic n
X
conformitate cu specificaiile manualului;
1.10. Verificai dac copiile de siguran se realizeaz conform
X
indicatorilor din manualele de operare;
1.11. Verificai dac modulele/programele/datele salvate sunt corecte i
X
complete, conform manualelor de operare;
1.12. Verificai dac identificarea modulelor/programelor/datelor
X
salvate se face cu uurin;
1.13. Verificai dac suporturile/dispozitivele de stocare sunt depozitate
X
n condiii speciale, conform manualelor de operare;
1.14. Verificai dac coninutul fiecrui suport/dispozitiv de stocare este
X
consemnat pe etichet i nregistrat n registru;
1.15. Verificai dac dispozitivele de stocare au asigurat securitatea
X
conform instruciunilor de stocare;
1.16. Verificai dac exist un acces sigur i controlat la echipamentele
X
i dispozitivele de stocare;
1.17. Verificai dac dispozitivele de stocare sunt pstrate n condiii de
X
securitate;
1.18. Verificai dac modulele/programele, datele sunt salvate pe
X
dispozitivele sau suporturile de stocare precizate de manuale;
1.19. Verificai dac echipamentele i componentele hardware sunt
nregistrate corect i cu toate detaliile relevante pentru accesarea
X
operativ a informaiilor privind starea de funcionare i
configuraia lor,
1.20. Verificai dac evidenele dispozitivelor de stocare a datelor sunt
X
conduse, n scopul identificrii prompte a coninutului acestora.
1.21. Verificai dac accesul n cadrul sistemului se realizeaz numai pe
baza conturilor de utilizatori n funcie de tipurile specifice i de X
atribuiunile fiecrui angajat;
1.22 Verificai dac aceste conturi respect anumite condiii privind
parolele, modul de acces, restriciile pe care le are fiecare cont n X
parte;
1.23. Verificai dac utilizatorii sunt instruii s respecte regulile de
X
securitate logic;
1.24. Verificai dac exist proceduri pentru rezolvarea problemelor
X
legate de accesul neautorizat;
1.25 Verificai dac accesul la distan permite accesarea diferitelor
X
tipuri de aplicaii;
1.26. Verificai dac securizarea transferurilor se realizeaz prin linii
X
dedicate;
1.27 Verificai dac securizarea transferurilor utilizeaz protocoale
X
specifice de comunicaie;
1.28 Verificai dac la liniile dedicate au acces numai persoanele
X
autorizate din cadrul organizaiei;
1.29 Verificai dac se folosesc algoritmi de criptare a datelor; X
1.30 Verificai dac algoritmii de criptare in cont de tipul informaiei; X
1.31. Verificai dac datele transferate sunt criptate; X
1.32. Verificai dac este evaluat riscul de interceptare neautorizat a
X
transferurilor;
1.33. Verificai dac utilizatorul aflat la distan se poate conecta la
reeaua entitii, numai printr-un canal prestabilit, alocat special X
comunicrii / traficului la distan;
1.34. Verificai dac terminalul utilizatorului furnizeaz anumite date de
X
identificare astfel nct conexiunea s poat fi realizat;
192
1.35. Verificai dac, n cazul dispozitivelor wireless, se realizeaz o
blocare a accesului posibililor utilizatori, aflai n raza de aciune a X
acestora;
1.36. Verificai dac SSL (este un protocol pentru producerea i
pstrarea de conexiuni codificate ntre browser-ul de web i
X
serverul de web) folosete protocolul TCP/IP n acionarea asupra
protocoalelor de nivel nalt;
1.37. Verificai dac se realizeaz autentificarea clientului ctre server; X
1.38. Verificai dac protocolul ofer ambelor staii posibilitatea de a
X
stabili o conexiune codificat;
1.39. Verificai dac certificatele de server asigur identitatea celeilalte
X
pri;
1.40. Verificai dac este asigurat evidena dispozitivelor token, pentru
cazurile n care accesul utilizatorilor la sistem se realizeaz prin X
validri multiple;
1.41. Verificai dac pentru tranzaciile importante cum ar fi e-banking,
bursa, e-commerce i tranzaciile financiare sunt realizate X
autentificri garantate cu ajutorul acestor dispozitive?
1.42. Verificai dac administrarea securitii sistemelor este realizat de
X
ctre persoane specializate;
1.43. Verificai dac managerii de pe diferitele nivele sunt
responsabilizai cu implementarea corect a procedurilor i X
politicilor de securitate?
1.44. Verificai dac acetia sunt responsabili cu instruirea utilizatorilor
n respectarea regulilor de securitate, de monitorizare permanent
X
a sistemelor, de concepere i modificare a politicilor i regulilor de
securitate;
1.45. Verificai dac administratorii responsabili cu protecia sistemelor
se consult cu auditorii interni pentru implementarea celor mai X
bune soluii;
Auditori,
Popescu Sorin
Radu George
193
ENTITATEA PUBLICA
TEST nr. 4.1.

Obiectul Monitorizarea securitii reelelor.

testului
Obiectivele Asigurarea c datele i informaiile sunt protejate n cadrul sistemului informatic,
testului limitnd accesul n funcie de nivelele de autorizare sau pe baza unui sistem adecvat de
parole.
Descrierea 1. Populaia avut n vedere pentru constituirea eantionului este format din
testului reelele de calculatoare existente n cadrul entitii, n numr de 8.
2. Eantionul a fost reprezentat de 3 reele, respectiv din cadrul direciei generale

resurse umane, direciei generale buget-finane i direciei generale administrativ -
achiziii.
3. Prin testarea ce se va realiza se va urmri, dac politica de securitate a

gestionrii reelelor informatice existente n cadrul organizaiei este implementat i
asigurat protejarea datelor i informaiilor. Testarea s-a axat pe managementul
securitii reelelor i a avut n vedere urmtoarele:
identificarea elementelor de baz din reea
clasificarea elementelor din reea
identificarea vulnerabilitilor reelei
transformarea datelor de securitate, n informaii
monitorizarea securitii reelelor n timp
procesul de remediere a vulnerabilitilor reelelor
Constatri n urma analizei modului de gestionare a securitii reelelor, au rezultat
urmtoarele:
1. La nivelul entitii au fost elaborate hari privind reele informatice existente. n
acest sens, au fost stabilite locaiile serverelor, sistemelor desktop, sistemelor laptop, a
routerelor, a punctelor de acces, a imprimantelor i a celorlalte dispozitive conectate la
reea. Aceste hri au stat la baza elaborrii sistemului de management al securitii
reelelor din cadrul entitii.
Analiza celor 3 reele care a constituit eantionul, a pus n eviden faptul c
pentru dou reele hrile erau corespunztoare, ns referitor la reeaua care deservea
direcia general buget-finane s-a constatat c, au fost achiziionate i conectate 4 noi
computere i o imprimant de reea, toate deservite prin intermediul unui nou router,
care nu au fost consemnate n cadrul hrii.
De asemenea, pe cele 3 computere au fost copiate aplicaiile contabile utilizate la
nivelul direciei, fr a fi luate msuri pentru asigurarea securitii datelor i informaiilor
prin controlarea accesului i implementarea de programe antivirus adecvate.
2. La nivelul departamentului IT exist o clasificare a sistemelor hardware, n

funcie de importana fiecrei categorii pentru buna desfurare a activitii n cadrul
entitii. n acest sens, dispozitivele din reea au fost grupate n funcie de prioriti, de la
sisteme cu importan redus, cum sunt sistemele de test sau care sunt folosite
independent pentru asigurarea funciilor mai puin importante ale entitii i sistemele de
194
importan medie, cum sunt sistemele laptop folosite de unii angajai n cadrul
delegaiilor sau pentru lucrul acas, la sisteme de importan major pentru asigurarea
continuitii activitilor organizaiei, cum ar fi sistemele care gestioneaz bazele de date,
serverele care deservesc compartimentele cheie ale entitii (tranzacii, operaiuni
financiare etc.).
ns, n ceea ce privete aplicaiile informatice la nivelul entitii nu exist o
prioritizare a importanei fiecreia, n vederea implementrii msurilor corespunztoare
de securitate. Ex. - aplicaia informatic utilizat la nivelul serviciului secretariat pentru
urmrirea circuitului documentelor beneficiaz de aceleai msuri de securitate ca i
sistemul integrat privind conducerea organizaiei.
3. Datorit faptului c n cadrul entitii se folosesc servere, sisteme de operare i

platforme web diferite, identificarea vulnerabilitilor sistemului n ansamblu este o
activitate complex i necesar. Analiza rapoartele de activitate a pus n eviden faptul
c s-a procedat la peticirea a vulnerabilitilor, dup care atenia a fost ndreptat ctre
riscurile medii i mici.
Acest mod de abordare are eficien n reducerea riscurilor, ns nu a fost corelat
gradului de risc cu importana fiecrei activiti realizate, ceea ce poate afecta
vulnerabilitatea unor sisteme sau segmente de reea.
Concluzii Nu exist stabilit n mod clar a hart cu toate posturile din cadrul organizaiei dotate cu
computer, iar securitatea datelor i informaiilor nu este asigurat pe baza unui sistem de
autorizare a accesului i unui sistem adecvat de parole.

195
ENTITATEA PUBLIC

Problema Posturile de lucru dotate cu computer nu sunt evideniate la nivelul

Departamentului IT, neasigurndu-se o intervenie prompt i rapid.
Securitatea datelor i informaiilor nu este asigurat pe baza unui sistem de
autorizare a accesului i unui sistem adecvat de parole.
Constatarea 1. La nivelul entitii au fost elaborate hari privind reele informatice existente. n
acest sens, au fost stabilite locaiile serverelor, sistemelor desktop, sistemelor
laptop, a routerelor, a punctelor de acces, a imprimantelor i a celorlalte
dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului de
management al securitii reelelor din cadrul entitii.
Analiza celor 3 reele care a constituit eantionul, a pus n eviden faptul
c pentru dou reele hrile erau corespunztoare, ns referitor la reeaua care
deservea direcia general buget-finane s-a constatat c, au fost achiziionate i
conectate 4 noi computere i o imprimant de reea, toate deservite prin
intermediul unui nou router, care nu au fost consemnate n cadrul hrii.
De asemenea, pe cele 3 computere au fost copiate aplicaiile contabile
utilizate la nivelul direciei, fr a fi luate msuri pentru asigurarea securitii
datelor i informaiilor prin controlarea accesului i implementarea de programe
antivirus adecvate.
2. La nivelul departamentului IT exist o clasificare a sistemelor hardware,

n funcie de importana fiecrei categorii pentru buna desfurare a activitii n
cadrul entitii. n acest sens, dispozitivele din reea au fost grupate n funcie de
prioriti, de la sisteme cu importan redus, cum sunt sistemele de test sau care
sunt folosite independent pentru asigurarea funciilor mai puin importante ale
entitii i sistemele de importan medie, cum sunt sistemele laptop folosite de
unii angajai n cadrul delegaiilor sau pentru lucrul acas, la sisteme de importan
major pentru asigurarea continuitii activitilor organizaiei, cum ar fi sistemele
care gestioneaz bazele de date, serverele care deservesc compartimentele cheie
ale entitii (tranzacii, operaiuni financiare etc.).
Dei exist o clasificare a sistemelor hardware, n funcie de importana
fiecrei categorii n parte, n ceea ce privete aplicaiile informatice, nu a fost avut
n vedere o prioritizare a importanei acestora n vederea alocrii corespunztoare a
resurselor de securitate. Ex. - aplicaia informatic utilizat la nivelul serviciului
secretariat pentru urmrirea circuitului documentelor beneficiaz de aceleai
msuri de securitate ca i sistemul integrat privind conducerea organizaiei.
3. Datorit faptului c n cadrul entitii se folosesc servere, sisteme de operare i

platforme web diferite, identificarea vulnerabilitilor sistemului n ansamblu este
o activitate complex i necesar. Analiza rapoartelor de activitate a pus n
eviden faptul c s-a procedat la peticirea vulnerabilitilor, dup care atenia a
fost ndreptat ctre riscurile medii i mici.
Acest mod de abordare are eficien n reducerea riscurilor, ns nu a fost corelat
gradului de risc cu importana fiecrei activiti realizate, ceea ce poate afecta
196
vulnerabilitatea unor sisteme sau segmente de reea.
Administratorii de reea au procedat la ntocmirea de rapoarte prin care detaliaz
nivelul vulnerabilitilor i furnizeaz soluii de remediere, ns informaiile nu
sunt adaptate i prezentate persoanelor cu responsabiliti decizionale asupra
securitii informaionale.
Cauza Lipsa unei prioritizri a aplicaiilor n funcie de importana lor n
desfurarea activitilor din cadrul entitii.
Lipsa unui sistem de analiz i monitorizare a vulnerabilitilor, care s
identifice i actualizeze vulnerabilitile sistemului i remedieze greelile de
configurare.
Consecina Imposibilitatea protejrii integrale a reelelor IT, a alocrii corespunztoare a
resurselor (spaii de memorie, vitez de procesare, stabilitate) n cadrul reelelor
IT.
Lipsa unei viziuni de ansamblu asupra vulnerabilitilor care afecteaz
funcionalitatea reelelor.
Recomandarea Prioritizarea aplicaiilor informatice, n funcie de importana acestora, n
vederea alocrii corespunztoare a msurilor de securitate i tratarea securitii
reelelor ca pe un proces continuu.
Implementarea unui sistem de management al vulnerabilitilor, care s
identifice vulnerabilitile i greelile de configurare i s dispun msurile
operative de soluionare. Rapoartele ntocmite n urma identificrii i soluionrii
vulnerabilitilor reelelor s fie corelate i aduse la cunotina conducerii
organizaiei.

Popescu Sorin Dumitru Daniel Structura auditat
197
ENTITATEA PUBLICA
TEST nr. 4.2.

Obiectul testului Utilizatorii au parole de acces individuale

Obiectivele Verificarea sistemului de prevenire i detectare a accesrilor i modificrilor
testului sau transmiterilor neautorizate de baze de date.
Descrierea Eantionul cuprinde administratorul i utilizatorii sistemului informatic din
testului cadrul departamentului IT, care au n dotare 5 calculatoare.
Testarea privind securitatea sistemului informatic a avut la baz Lista de
verificare nr. 4, poziia 4.2 astfel:
existena unui sistem de parole care s fie modificate periodic;
realizarea calendarului privind parolele de acces;
desemnarea unei persoane responsabile cu verificarea periodic a
sistemului de parole de acces;
Testul s-a materializat prin verificarea pe teren a existenei sistemului de

parole de acces i a existenei unui responsabil cu verificarea schimbrii periodice a
acestora de ctre utilizatori.
Constatri Din verificarea sistemului de parole existent, pentru cele 5 calculatoare
utilizate, prin observarea direct pe teren, s-a constatat:
inexistena unui sistem de parole de acces;
nedesemnarea unui responsabil cu verificarea schimbrii
sistemului de parole de acces;
inexistena unui sistem de informare sistematic a utilizatorilor.
Concluzii Sistem inadecvat de parole utilizat n cadrul entitii

198
ENTITATEA PUBLICA
INTERVIU nr.4.1.
privind Politica de securitate IT
adresat
domnului Ptrulescu George, Director Direcia IT

Nr.
ntrebri Da Nu Obs.
crt.
1. Exist o politic de securitate IT? X
2. Exist preocupri pentru securitatea IT? X
3. Politica de securitate IT este actualizat? X
4. Este desemnat un responsabil cu monitorizarea X
implementrii politicii de securitate IT?
5. Este desemnat un responsabil cu gestionarea riscurilor la X .
nivelul departamentului IT?
6. Au fost ntocmite i transmise sistematic rapoarte de X
monitorizare?
7. Mai avei ceva de adugat? X
Data: 16.09.2009
Dat n faa noastr

Auditori, Intervievat,
Popescu Sorin Ptrulescu George
Radu George
199
ENTITATEA PUBLICA

Problema Neasigurarea securitii sistemului informatic

Constatarea Inexistena unui sistem de stabilire de ctre fiecare utilizator a parolelor i a
unui responsabil cu verificarea schimbrii periodice a parolelor de acces.
Analiza interviului a scos n eviden, de asemenea, faptul c nu exist un
sistem de securitate a sistemului informatic i un responsabil cu administrarea
acestui sistem.
Cauza Entitatea nu aplic procedura care prevede schimbarea sistematic a parolelor,
precum i verificarea acestora de ctre o persoan responsabil;
Consecina Posibilitatea utilizrii datelor i informaiilor din sistem n mod neadecvat de
ctre persoane neautorizate;
Vulnerabilitatea ridicat a sistemului n faa unor intrri nedorite sau unor
atacuri informaionale.
Recomandarea Schimbarea sistematic a parolelor de acces de ctre utilizatorii sistemului
informatic;
Stabilirea unei persoane care s aib n responsabilitate atribuii i competene
de verificare a schimbrii periodice a parolelor de acces.

200
ENTITATEA PUBLICA
TEST nr. 4.3.

Obiectul Introducerea instrumentelor de control fizic asupra echipamentelor IT al aplicaiilor.

testului
Obiectivele Examinarea modului de efectuare a controalelor fizice conform procedurilor
testului
Descrierea Populaia statistic a fost constituit din structurile funcionale ale organizaiei
testului identificate pe baza analizei organigramei entitii publice.
Eantionul a fost constituit prin selectarea aleatoare a Direciei IT precum i a
Departamentului Financiar Contabil i a Departamentului Resurse Umane unde sunt
localizate servere ce deservesc necesitile lor specifice, respectiv 20% din totalul
populaiei.
verificare, respectiv:
Verificarea dotrii camerelor n care se afl servere-le cu echipamente adecvate,
astfel:
- camere de supraveghere care acoper zona de intrare n camera serverului
monitorizate permanent de serviciul ce asigur paza cldirii;
- senzori de micare;
- sistem de alarm n caz de incendiu;
- sistem de stingere a incendiilor;
- echipamente de aer condiionat;
- ui ignifugate echipate cu ncuietori adecvate.
Testarea s-a concretizat n elaborarea Listei de control nr. 4.4 privind Evaluarea
controalelor fizice n domeniul IT.
Constatri Din examinarea efectuata si observarea la fata locului s-au constatat unele
disfuncii legate de accesul necontrolat la toate cele trei locaii selectate (Centrul IT,
Departamentului Financiar Contabil, Departamentul Resurse Umane) att a persoanelor
din cadrul altor departamente ct i a altor persoane din afara entitii publice;
Totodat, dei au fost instalate camere de supraveghere, acestea nu sunt permanent
monitorizate. Deseori, camerele n care sunt localizate servere-le sunt lsate descuiate i
nesupravegheate, dei sunt echipate cu ncuietori adecvate;
La scoaterea echipamentelor din cadrul organizaiei nu exist obligativitatea

prezentrii unei autorizaii scrise.
Concluzii Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea
echipamentelor

201
ENTITATEA PUBLICA

privind efectuarea controalelor fizice conform procedurilor
Elemente Sistemul de controale fizice

testate implementat la nivelul camerelor n care se afl servere
Camere de supraveghere care acoper Senzori de Sistem de alarm Sistem de Echipamente Ui ignifugate
zona de intrare n camera serverului micare n caz de incendiu stingere a de aer echipate cu ncuietori
Eantion monitorizate permanent de serviciul ce incendiilor condiionat adecvate
asigur paza cldirii
Direcia IT X X X X X NU
Departamentul X X X X X NU
Financiar Contabil
Departamentul NU NU X X X NU
Resurse Umane
Data: 16.09.2009
Auditori,
Popescu Sorin
Radu George
Nota :
Echipa de auditori a constatat c nu au fost instalate nici camere de supraveghere care acoper zona de intrare n camera serverului monitorizate
permanent de serviciul ce asigur paza cldirii nici senzori de micare la nivelul Departamentul Resurse Umane. n prezenta List de control auditorii
au punctat lipsa acestor controale cu meniunea Nu deoarece situaia a fost remediat n timpul misiunii de audit i nu s-a mai ntocmit FIAP, dar
aspectele negative constatate vor fi menionate n Raportul de audit intern.
202
ENTITATEA PUBLICA

Problema Controalele fizice nu sunt implementate in mod eficient pentru a asigura

securitatea echipamentelor
Constatarea Din examinarea efectuata si observarea la fata locului s-a constatat unele
disfuncii legate de accesul necontrolat la toate cele trei locaii selectate (Centrul
IT, Departamentului Financiar Contabil, Departamentul Resurse Umane) att a
persoanelor din cadrul altor departamente ct i a altor persoane din afara entitii
publice;
Totodat, dei au fost instalate camere de supraveghere, acestea nu sunt
permanent monitorizate. Deseori, camerele n care sunt localizate servere-le sunt
lsate descuiate i nesupravegheate, dei sunt echipate cu ncuietori adecvate;
La scoaterea echipamentelor din cadrul organizaiei nu exist obligativitatea

prezentrii unei autorizaii scrise.
Cauza Controalele interne nu sunt implementate in totalitate si nu sunt stabilite
responsabiliti cu privire la asigurarea fizica a echipamentelor.
Consecina Posibilitatea de dispariie a unor echipamente lsate nesupravegheate, cat si
accesul nepermis la date si informaii ale organizaiei si utilizarea acestora in alte
scopuri fata de interesul organizaiei.
Recomandarea Introducerea de instrumente de control adecvate astfel incit orice acces la
echipamentele sau datele si informaiile organizaiei sa fie limitat, sau in cazurile
in care acesta este permis sa fie supravegheat in totalitate.

Popesc Sorin Dumitru Daniel Structur auditat
203
ENTITATEA PUBLIC

Obiectivul V.
PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR
Nr.
crt.
A Proiectarea i elaborarea programelor i aplicaiilor
1. Achiziia programelor informatice
Verificai dac s-a realizat o fundamentare a deciziei privind achiziia
unui program existent pe pia, sau dezvoltarea acestuia n cadrul X
entitii;
Verificai dac s-a realizat un studiu al pieei care s vizeze ofertele
X
furnizorilor de programe necesare a fi achiziionate;
Verificai dac modul de concepere a programelor ine cont de cerinele
activitii utilizatorilor i sunt compatibile cu alte sisteme utilizate de X
entitate;
Verificai dac aplicaia/programul este conceput astfel nct s suporte
X
situaii imprevizibile n utilizarea lui de ctre organizaie;
Verificai dac activitile de testare se realizeaz astfel nct s nu
X
afecteze prelucrrile;
1. Proiectarea programului informatic
1.1. Verificai dac n proiectarea unui program/aplicaii fluxul de date a fost
identificat corect i complet n funcie de specificul activitilor i X
periodicitatea acestora;
1.2. Verificai dac n proiectarea programului/ aplicaiei fluxul de date se au
X
n vedere rezultatele ateptate;
1.3. Verificai dac pentru proiectarea unui program sau aplicaie, procedurile
sunt stabilite corect i complet n funcie de prelucrrile care se vor aplica X
datelor n vederea obinerii rezultatelor ateptate;
1.4. Verificai dac proiectarea unui program aplicaie analizeaz situaia
X
existent pentru a identifica potenialele deficiene n fluxul de date;
1.5. Verificai dac algoritmul programului este elaborat adecvat pentru
X
rezolvarea corect a problemei;
1.6. Verificai dac interfaa programului ine cont de structura i formatul
X
datelor de intrare;
1.7. Verificai dac modelele de organizare, accesare, prelucrare i arhivare a
datelor sunt elaborate riguros prin folosirea celor mai adecvate soluii X
tehnice;
1.8. Verificai dac nivelul de independen fa de platforma suport hardware
X
i software sunt stabilite conform specificaiilor;
1.9. Verificai dac mediile i instrumentele de dezvoltare a
X
programului/aplicaiei sunt stabilite cu respectarea specificaiilor;
204
1.10. Verificai dac structura datelor introduse asigur o minim redundan; X
1.11. Verificai dac sunt definite criterii de performan;
1.12. Verificai dac pentru fiecare aplicaie n parte sunt stabilite urmtoarele:
numrul de utilizatori, rolurile acestora, privilegiile i restriciile X
aplicabile fiecrui rol in parte, accesul restricionat;
1.13. Verificai dac aplicaia funcioneaz cu respectarea filtrelor, proteciilor,
X
verificrilor implicite;
1.14. Verificai dac au fost definite criterii pentru acceptarea aplicaiilor; X
1.15. Verificai dac proiectarea aplicaiei este monitorizat; X
1.16. Verificai dac erorile de funcionare sunt transmise programatorilor; X
1.17. Verificai dac aplicaia este instalat conform instruciunilor; X
1.18. Verificai dac versiunile aplicaiilor instalate ulterior sunt compatibile i
X
utilizeaz toate resursele versiunilor anterioare;
1.19. Verificai dac, n cazul n care noile versiuni nu sunt funcionale, se mai
X
pot restaura versiunile anterioare;
1.20. Verificai dac cerinele de dezvoltare a aplicaiei sunt identificate de
X
ctre utilizatori;
1.21. Verificai dac comunicarea cu echipa de specialiti este permanent pe
X
timpul proiectrii i utilizrii aplicaiei;
1.22 Verificai dac schemele logice ale fiecrui program/aplicaie sunt
X
realizate corect i complet;
1.23. Verificai dac aplicaiile permit reconfigurarea anumitor algoritmi,
indicatori sau modele de calcul (de exemplu programele contabile s
X
permit modificarea cotei TVA, etc.) n funcie de schimbrile legislative
sau de alt natur.
1.24. Verificai dac este implementat un sistem de raportare a erorilor ctre
X
departamentul de suport tehnic.
2. Elaborarea programului informatic
2.1. Verificai dac algoritmul programului/aplicaiei este conform cu logica
X
operaiilor pentru obinerea rezultatelor dorite;
2.2. Verificai dac algoritmul respect cerinele de integrare ale aplicaiei; X
2.3. Verificai dac interfaa programului cu utilizatorul corespunde cerinelor
X
de comunicare om-calculator;
2.4. Verificai dac limbajul de programare ales corespunde cerinelor de
X
proiectare;
2.5. Verificai dac soluiile de programare sunt utilizate n mod performant; X
2.6. Verificai dac graficul de realizare a programului i bugetul sunt
X
respectate;
2.7. Verificai dac disfuncionalitile sau neconformitile aprute n rularea
X
programului sunt identificate pe baza mesajelor generate;
2.8. Verificai dac identificarea erorilor este completat cu anumite coduri de
X
eroare care nsoesc mesajele furnizate de aplicaie;
2.9. Verificai dac mesajele sunt analizate i interpretate pentru identificarea
X
cauzelor care au condus la apariia lor;
2.10. Verificai dac integrarea prilor componente ale unui program se face
X
respectnd cerinele utilizatorilor;
2.11. Verificai dac documentaia programului este conform cu funciile
X
realizate de acesta;
2.12. Verificai dac documentaia realizat prezint n detaliu necesitile
X
tehnice hardware i software;
B. Testarea i implementarea programelor i aplicaiilor
1. Testarea programului i aplicaiei
1.1. Verificai dac modul de testare al programului este stabilit n
X
concordan cu precizrile din documentaie;
1.2. Verificai dac datele de test sunt definite corespunztor prelucrrilor
X
programului pe toate ramurile acestuia;
1.3. Verificai dac datele de test evideniaz riguros condiiile de validare
X
definite de program;
1.4. Verificai dac programul / aplicaia este executat cu date de test
X
specifice pentru a constata modul de funcionare a acestuia;
1.5. Verificai dac neconformitile i erorile constatate n cursul testrii sunt
X
analizate cu atenie;
205
1.6. Verificai dac exist un sistem automat de testare unitar a
X
funcionalitilor de baz ale aplicaiei.
1.7. Verificai dac componentele testate sunt integrate n sistemul informatic
X
dup un plan bine stabilit, cu minimizarea consecinelor negative;
1.8. Verificai dac componentele nou integrate sunt testate cu rigurozitate; X
1.9. Rezultatele testrii sunt evaluate n concordan cu precizrile din
X
documentaia programului/aplicaiei;
1.10. Verificai dac neconformitile i erorile semnalate n cursul testrii sunt
X
analizate i soluionate;
1.11. Verificai dac coreciile ce trebuie operate n program sunt stabilite i
X
conduc la o mbuntire;
1.12. Verificai dac programul/aplicaia este instalat la utilizator conform
X
procedurii specifice;
1.13. Verificai dac datele de testare sunt generate n conformitate cu
X
manualele de operare i utilizare;
1.14. Verificai dac simulrile se realizeaz conform manualului de utilizare; X
1.15. Verificai dac rezultatele testrilor sunt analizate centralizat; X
1.16. Verificai dac rezultatele testrii sunt interpretate conform manualelor
X
de utilizare i operare;
1.17. Verificai dac aplicaia corespunde cerinelor reale; X
1.18. Verificai dac aplicaia cu date reale ruleaz conform manualului de
X
utilizare;
1.19 Verificai dac rezultatele sunt interpretate conform documentaiei
X
aplicaiei;
1.20. Verificai dac erorile constatate sunt comunicate programatorilor; X
1.21. Verificai dac corectitudinea rezultatelor este asigurat prin algoritmii
X
de calcul utilizai de program/aplicaie
1.22. Verificai dac corectitudinea datelor este verificat prin modaliti
X
specifice;
1.23. Verificai dac sunt puse la dispoziia utilizatorului up-date-uri ale
X
aplicaiilor;
1.24. Verificai dac filtrele, proteciile i verificrile asigurate de
X
program/aplicaie sunt semnalate beneficiarului;
1.25. Verificai dac erorile cauzate de algoritmii de calcul sunt ndeprtate
X
prin corectarea acestora;
1.26. Verificai dac etapele de testare sunt reluate corect i n totalitate pentru
a verifica ndeprtarea erorilor i pentru a se asigura c nu au aprut X
altele noi.
1.27 Verificai dac dup implementarea unui nou modul al aplicaiei,
X
documentaia aferent este actualizat.
2. Asigurarea corectitudinii rezultatelor
2.1 Verificai dac opiunile i parametrii de lucru ai programului/aplicaiei
X
sunt stabilii conform specificaiilor din documentaii;
2.2. Verificai dac cerinele hardware /software necesare rulrii
X
programului/aplicaiei sunt adecvat specificate;
2.3. Verificai dac condiiile de funcionare a programului/aplicaiei sunt
stabilite n concordan cu solicitrile beneficiarului i n funcie de X
cerinele aplicaiei;
2.4. Verificai dac condiiile de funcionare a programului/aplicaiei sunt
X
stabilite n concordan cu solicitrile utilizatorului.
2.5. Verificai dac procedura de instalare este elaborat cu respectarea
X
condiiilor de funcionare a programului;
2.6. Verificai dac programul/aplicaia este instalat la beneficiar conform
X
procedurii specifice i urmare a solicitrii acestuia;
2.7. Verificai dac stocarea datelor asigur urmtoarele:
a) dac o dat sau informaie este stocat ntr-un singur fiier
b) dac accesul se realizeaz uor la o dat stocat i n funcie de nivelul
de autorizare Test nr. 5.1.
X
c) dac datele se pot accesa n mod global n cazul realizrii de noi FIAP nr. 5.1.
programe sau de utilizare a celor existente
d) dac o dat sau informaie este prezentat sau transmis n aceeai
form de la un fiier la altul
206
2.8. Verificai dac opiunile i parametrii de operare ai
programului/aplicaiei sunt setai conform specificaiilor din X
documentaii;
2.9. Verificai dac condiiile de funcionare a programului/ aplicaiei sunt
X
refcute dup incidente hardware sau software;
2.10. Verificai dac implementarea programului/aplicaiei este monitorizat; X
2.11. Verificai dac istoricul aplicaiilor menioneaz operaiile de ntreinere
X
sau up-date-urile realizate;
2.12. Verificai dac istoricul programului/ aplicaiei este pstrat n siguran; X
2.13. Verificai dac utilizatori sunt instruii pentru nsuirea modului de
X
operare cu programul/aplicaia n conformitate cu documentaia aferent;
2.14. Verificai dac eventualele dezvoltrii ale aplicaiei sunt aduse la
X
cunotina utilizatorilor;
2.15. Verificai dac utilizatorii sunt asistai n lucrul efectiv cu
X
programul/aplicaia;
2.16. Verificai dac reinstalarea aplicaiei se realizeaz respectnd procedurile
X
standardizate;
2.17. Verificai dac jurnalul privind interveniile de service este adus la
X
cunotina persoanelor responsabile;
2.18. Verificai dac opiunile i parametrii de lucru ai aplicaiei sunt setai
X
conform documentaiei aplicaiei;
Auditori,
Popescu Sorin
Radu George
207
ENTITATEA PUBLICA
TEST nr. 5.1.

Obiectul testului Asigurarea corectitudini datelor n cadrul programelor informatice

Obiectivele Organizarea datelor n sistemele informatice
testului
Descrierea Populaia statistic a fost constituit din fiierele da date constituite n vederea
testului organizrii i pstrrii datelor.
Eantionul pentru realizarea testrii modului de organizare a datelor n sistemele
informatice a fost constituit prin selectarea unui eantion reprezentativ care cuprinde
date din cadrul tuturor domeniilor de activitate din cadrul entitii.
- dac o dat sau informaie este stocat ntr-un singur fiier
- dac accesul se realizeaz uor la o dat stocat i n funcie de nivelul de
autorizare
- dat datele se pot accesa n mod global n cazul realizrii de noi programe sau
de utilizare a acelor existente
- dac o dat sau informaie este prezentat sau transmis n aceeai form de la
un fiier la altul
Testarea s-a concretizat n elaborarea unei Liste de control privind organizarea

i pstrarea datelor n cadrul sistemelor informatice.
Constatri Datele sunt stocate n memoria intern i memoria extern a oricrui sistem de calcul.
Organizarea datelor trebuie s asigure:
- timp de acces minim la date;
- apariia n sistem a datelor o singur dat;
- spaiu de memorie intern i extern pentru date ct mai mic;
- reflectarea prin organizare a tuturor legturilor dintre procesele economice
pe care aceste date le reprezint;
- posibilitatea modificrii structurii datelor i a relaiilor dintre date fr a
produce schimbri n programele care le gestioneaz.
Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor
fiierului n secvena n care au fost stocate sau pe baz unui cod de identificare care s
permit regsirea rapid a nregistrrii.
Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de
indeci care pentru fiecare valoare atributului care permite identificarea n mod unic a
unei nregistrri din fiier.
Organizarea datelor n fiierele de date prezint urmtoarele disfuncii:
- redundan mare stocarea datelor n mai multe fiiere
- acces dificil la date exploatarea multiutilizator a datelor necesit operaii
suplimentare de sortare, fuziune, ventilare
- izolarea datelor imposibilitatea realizrii de programe pe calculator care s
208
acceseze datele ntr-o manier global
- actualizarea datelor prin adugare, modificare, tergere genereaz erori
atunci cnd mai muli utilizatori doresc s modifice simultan aceleai date
- dependena programelor fa de date modificrile din structura datelor
oblig la efectuarea de corecturi n programele de calculator
- fiecare dat este descris independent n toate fiierele n care apar dac
ntr-un fiier se modific formatul i valoarea unei date, acea modificare nu
se transmite automat, pentru aceeai dat, n toate fiierele de date.
Concluzii Organizarea datelor n fiierele de date nu asigur o stocare i utilizare eficient a
acestora.

209
ENTITATEA PUBLICA

Problema Organizarea datelor i stocarea acestora nu asigur o utilizare i exploatare eficient a

acestora.
Constatarea Datele sunt stocate n memoria intern i memoria extern a oricrui sistem de calcul.
Organizarea datelor trebuie s asigure:
- timp de acces minim la date;
- apariia n sistem a datelor o singur dat;
- spaiu de memorie intern i extern pentru date ct mai mic;
- reflectarea prin organizare a tuturor legturilor dintre procesele economice
pe care aceste date le reprezint;
- posibilitatea modificrii structurii datelor i a relaiilor dintre date fr a
produce schimbri n programele care le gestioneaz.
Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor
fiierului n secvena n care au fost stocate sau pe baz unui cod de identificare care s
permit regsirea rapid a nregistrrii.
Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de
indeci care pentru fiecare valoare atributului care permite identificarea n mod unic a
unei nregistrri din fiier.
- redundan mare stocarea datelor n mai multe fiiere
- acces dificil la date exploatarea multiutilizator a datelor necesit operaii
suplimentare de sortare, fuziune, ventilare
- izolarea datelor imposibilitatea realizrii de programe pe calculator care s
acceseze datele ntr-o manier global
- actualizarea datelor prin adugare, modificare, tergere genereaz erori
atunci cnd mai muli utilizatori doresc s modifice simultan aceleai date
- dependena programelor fa de date modificrile din structura datelor
oblig la efectuarea de corecturi n programele de calculator
fiecare dat este descris independent n toate fiierele n care apar dac ntr-un fiier
se modific formatul i valoarea unei date, acea modificare nu se transmite automat,
pentru aceeai dat, n toate fiierele de date.
Cauza Lipsa specialitilor, precum i a participrii personalului la diversele cursuri de
specialitate organizate n afara entitii, n vederea dobndirii cunotinelor necesare
pentru organizarea eficient a datelor.
Consecina Exploatarea cu dificultate a datelor, apariia erorilor n cadrul sistemelor de date
existente urmare utilizrii i stocrii incorecte a datelor, posibilitatea de modificare n
mod necontrolat a unui sistem de date.
Recomandarea Urmare creterii necesarului de date i informaii i a progreselor tehnologiilor
informaiei este necesar organizarea datelor n baze de date, respectiv un fiier format
din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare.
Pentru aceasta este necesar realizarea urmtoarelor:
- definirea, structurarea, ordonarea i gruparea datelor n colecii de date
omogene;
210
- stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre
coleciile de date, dup o ierarhie bine precizat;
- memorarea datelor pe un suport informaional prelucrabil ntr-un sistem de
calcul.

211
ENTITATEA PUBLIC

Obiectivul VI.
ELABORAREA I IMPLEMENTAREA PROIECTELOR IT
Nr.
crt.
A Dezvoltarea proiectelor IT
1. Iniierea i elaborarea proiectelor IT
1.1. Analizai dac situaia pentru care trebuie implementat un proiect IT
X
este bine izolat i evaluat folosind mijloace specifice;
1.2. Analizai dac lansarea proiectului pentru implementarea unor noi
soluii IT este stabilit dup analiza detaliat a cauzelor i efectelor X
pe termen lung ale perpeturii deficienelor actuale;
1.3. Verificai dac soluiile propuse pentru implementarea unui proiect
X
IT corespund cerinelor identificate;
1.4. Verificai dac obiectivele generale ale proiectului sunt stabilite cu
X
respectarea strategiei generale a organizaiei;
1.5. Analizai dac componentele proiectului reflect soluiile ce trebuie
X
implementate i care vor conduce la realizarea obiectivelor stabilite;
1.6. Verificai dac componentele proiectului sunt compatibile direct sau
X
prin interfee cu proiectele aflate n derulare;
1.7. Verificai dac rezultatele intermediare i finale ale proiectului sunt
X
evaluate folosind criterii adecvate;
1.8. Verificai dac bugetul alocat proiectului permite obinerea
X
configuraiilor hard/soft propuse;
1.9. Verificai dac cheltuielile cu mentenana acoper durata optim de
X
exploatare;
1.10. Verificai dac implementarea proiectului propus beneficiaz de
X
asisten tehnic;
1.11. Verificai dac cerinele utilizatorilor proiectului sunt identificate
X
corect i complet;
1.12. Verificai dac proiectele IT se pliaz pe cerinele utilizatorilor
X
crora le sunt destinate;
1.13. Verificai dac proiectul propus a fi elaborat este comparat cu cele
din portofoliul organizaiei, pentru a identifica asemnri i deosebiri X
de care s se in cont;
1.14. Verificai dac proiectele propuse sunt competitive pentru
X
organizaie;
1.15. Verificai dac monitorizarea riscurilor asigur viabilitatea planului
X
de continuitate a activitilor;
1.16. Verificai dac frecvena i complexitatea testrilor proiectelor
X
implementate se bazeaz pe riscurile necontrolate.
2. Monitorizarea performanelor soluiilor IT implementate
212
2.1. Verificai dac parametrii de referin i valorile etalon ale
programelor elaborate respect specificaiile i se ncadreaz n X
standarde;
2.2. Verificai dac regulile i procedurile stabilite pentru supravegherea
i colectarea valorilor parametrilor de referin nu afecteaz lucrul X
utilizatorilor i nici funcionarea aplicaiilor;
2.3. Verificai dac regulile i procedurile utilizate pentru evaluarea
programelor nu conduc la ambiguiti i identific posibilitatea X
apariiei unei erori de funcionare;
2.4. Verificai dac jurnalele cu valorile de referin monitorizate sunt
X
pstrate i analizate periodic, pentru a se stabili coreciile necesare;
2.5. Verificai dac disfuncionalitile hard i soft sesizate de ctre
X
utilizatori sunt recepionate i sunt detectate cauzele;
2.6. Verificai dac analizele i rapoartele privind implementarea
proiectelor IT propuse sunt ntocmite riguros i dac evenimentele X
sau disfunciunile sunt evaluate i se elaboreaz soluii de remediere.
B. Implementarea i funcionarea programelor i aplicaiilor
1. Reproiectarea soluiilor IT pentru programe i aplicaii
1.1. Verificai dac punctele slabe, critice i limitrile unui
X
program/aplicaie sunt identificate;
1.2. Verificai dac documentaia cu fluxul de date i prelucrrile
X
necesare este elaborat adecvat situaiei reale;
1.3. Verificai dac documentaia ntocmit constituie baza procesului de
X
proiectare;
1.4. Verificai dac soluiile IT sunt proiectate pornind de la punctele
slabe, critice detectate, de la evoluiile tehnologice existente i cele X
prefigurate de dezvoltarea entitii;
1.5. Verificai dac soluiile noi propuse sunt axate pe atingerea
X
obiectivelor strategiei de dezvoltare a organizaiei;
1.6. Verificai dac soluiile noi au la baz o analiz cauz-efect, o
X
analiz tehnic, precum i o analiz a eficienei investiiei;
1.7. Verificai dac soluiile acceptate conduc la mbuntirea
X
performanelor intelor propuse;
1.8. Verificai dac soluiile noi in cont de constrngerile existente n
X
cadrul entitii;
1.9. Verificai dac soluiile noi se ncadreaz n strategia de funcionare
X
i dezvoltare a organizaiei;
1.10. Verificai dac studiile i analizele elaborate evideniaz clar
X
impactul tehnologiilor propuse;
1.11. Verificai dac riscurile legate de securitatea datelor sunt identificate
X
i evaluate corect i complet;
1.12. Verificai dac msurile pentru prevenirea i contracararea riscurilor
X
sunt gndite adecvat situaiei;
1.13. Verificai dac procedurile pentru minimizarea unui atac la
X
securitatea sistemului sunt elaborate i sunt adecvate;
2. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametrii optimi
2.1. Verificai dac utilizarea computerelor/echipamentelor periferice sau
a componentelor de conectare n reea se realizeaz potrivit X
procedurilor specifice;
2.2. Verificai dac se monitorizeaz mesajele de eroare n funcionarea
X
echipamentelor/aplicaiilor;
2.3. Verificai dac erorile sunt corectate direct sau prin intervenii ale
X
personalului de specialitate;
2.4. Verificai dac informaiile despre modul de funcionare a
calculatorului sau a echipamentelor sunt transmise n timp util X
utilizatorului;
2.5. Verificai dac supravegherea proceselor aflate n execuie i a
performanelor aplicaiilor, sistemelor sau programelor se realizeaz X
prin aplicarea procedurilor i respectarea lor;
2.6. Verificai dac evenimentele care indic performanele i starea
X
sistemelor sunt nscrise i pstrate n jurnale;
2.7. Verificai dac imprimantele i alte echipamente de reea sunt corect X
213
instalate i sunt configurate corespunztor accesului partajat;
2.8. Verificai dac funcionarea echipamentelor de tiprire i accesul
X
utilizatorilor la acestea sunt verificate periodic;
2.9. Verificai dac utilizatorii beneficiaz permanent de asisten
tehnic;
Verificai situaia licenelor deinute pentru sistemul de operare
Windows
Verificai situaia licenelor deinute pentru pachetul de programe
Microsoft Office
Verificai dac entitatea public a achiziionat licene pentru
programele utilizate Test nr. 6.1.
Analizai dac au fost identificate limitrile bugetare n privina Foaie de lucru nr. 6.1.
X
achiziiilor licenelor i dac au fost gsite soluii alternative List de control 6.1.
Analizai eventualele disfuncionaliti aprute n procesul de FIAP nr. 6.1.
achiziionare a licenelor
Verificai existena soft-urilor neliceniate instalate de utilizatori
Verificai desemnarea responsabilitilor privind achiziionarea
licenelor pentru programele de calculator
Verificai existena controalelor de sistem ce alerteaz
administratorul n cazul utilizrii de soft-uri pentru care nu s-au
achiziionat licene
2.10. Verificai dac conectarea i comunicarea calculatoarelor n reea
X
sunt permanent supravegheate i meninute;
2.11. Verificai dac funcionarea serviciilor din reea i accesul
X
utilizatorilor la servicii sunt atent monitorizate;
2.12. Verificai dac interconectarea reelelor, inclusiv conectarea la
X
reeaua Internet este supravegheat cu responsabilitate;
2.13. Verificai dac apariia situaiilor deosebite sunt aduse la cunotina
X
administratorului de reea;
2.14. Verificai dac dispozitivele de stocare a datelor sunt utilizate
X
conform instruciunilor specifice de lucru;
2.15. Verificai dac salvrile de siguran sunt pstrate n condiii
X
adecvate;
2.16. Verificai dac datele salvate anterior se pot restaura la nevoie i
X
utilizatorii sunt asistai pentru recuperarea integral a acestora;
2.17. Verificai dac procedurile de salvare sunt corespunztoare strategiei
X
de securitate;
2.18. Verificai dac sistemele de operare i aplicaiile sunt instalate,
X
modernizate sau configurate folosind proceduri standardizate;
2.19. Verificai dac modul de funcionare a echipamentelor, a sistemelor
de operare i a aplicaiilor folosite de utilizatori este verificat X
periodic;
2.20. Verificai dac erorile i incidentele aprute sunt remediate operativ; X
Auditori,
Popescu Sorin
Radu George
214
ENTITATEA PUBLICA
TEST nr. 6.1.

Obiectul testului Situaia licenelor pentru programele de calculator
Obiectivele Verificarea achiziionrii de licene pentru programele utilizate de ctre entitatea

testului public;
Identificarea eventualelor limitri bugetare n privina achiziionrii licenelor i
a aciunilor ntreprinse de departamentul IT n aceste condiii;
Analiza eventualelor disfuncionaliti aprute n procesul de achiziionare a
licenelor i a modului de soluionare a lor.
Descrierea Eantionul pentru realizarea testrii situaiei licenelor pentru programele de

testului calculator utilizate a fost stabilit pe baza unui procent de 5%, din totalul populaiei de
580 de calculatoare, respectiv 29 calculatoare personale, conform foii de lucru anexate.
Pentru fiecare post de lucru dotat cu calculator a fost verificat situaia licenelor
deinute att pentru sistemul de operare Windows, ct i pentru pachetul de programe
Microsoft Office.
Testarea a constat n examinarea elementelor stabilite potrivit listei de verificare,
i anume:
- verificarea situaiei licenelor deinute pentru sistemul de operare Windows;
- verificarea situaiei licenelor deinute pentru pachetul de programe
Microsoft Office;
- verificarea dac entitatea public a achiziionat licene pentru programele
utilizate;
- identificarea eventualelor limitri bugetare n privina achiziionrii
licenelor;
- analiza eventualelor disfuncionaliti aprute n procesul de achiziionare a
licenelor;
- verificarea existenei soft-urilor neliceniate instalate de utilizatori;
- verificarea desemnrii responsabilitilor privind achiziionarea licenelor
pentru programele de calculator;
- verificarea existenei controalelor de sistem ce alerteaz administratorul n
cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene.
Testarea s-a concretizat n elaborarea Listei de control nr. 3.5. privind situaia
licenelor pentru programele de calculator.
Constatri Din analiza Listei de control nr. 3.5, s-au constatat ca angajaii unor
departamente folosesc programe aferente pachetului Microsoft Office fr ca pentru
acestea entitatea public s fi achiziionat licene. Aceste programe au fost instalate
folosind coduri piratate.
De asemenea, sistemul IT al entitii publice nu a fost prevzut cu controale
care s-i permit alertarea administratorului de sistem n cazul utilizrii unor astfel de
programe, fr licen.
Concluzii Utilizarea n cadrul entitii publice a unor programe software fr licen

215
ENTITATEA PUBLICA

Obiectul nr. 3: Situaia licenelor pentru programele de calculator
Obiectivul : Verificarea achiziionrii de licene pentru programele utilizate de ctre entitatea public

- eantionul se va constitui din calculatoarele existente n Lista de inventariere a calculatoarelor
personale din entitatea public ncepnd de la poziia 0 i va cuprinde computerele cu numerele de
inventar: 50, 100, 150, 200, 250
Data: 18.04.2009

216
ENTITATEA PUBLICA

privind Situaia licenelor pentru programele de calculator

Elemente Verificarea Verificarea Verificarea existenei

Verificarea
testate situaiei situaiei controalelor de sistem
existenei soft-
licenelor licenelor ce alerteaz
urilor
deinute att deinute att administratorul n cazul
neliceniate
pentru sistemul pentru pachetul utilizrii de soft-uri
instalate de
Eantion de operare de programe pentru care nu s-au
utilizatori
Windows Microsoft Office achiziionat licene
Computer nregistrat cu
numr de inventar 50 X X X FIAP
numr de inventar 100 X FIAP X FIAP
numr de inventar 150 X FIAP X FIAP
Data: 18.09.2009

217
ENTITATEA PUBLICA

Problema Utilizarea n cadrul entitii publice a unor programe software fr licen.

Constatarea Cu toate c entitatea public a achiziionat licene pentru pachetul de programe
Lotus, s-au constatat c n cadrul unor departamente se folosesc programe aferente
pachetului Microsoft Office fr ca pentru acestea entitatea public s fi achiziionat
licene. Practic salariaii au instalat programe utiliznd CD-uri piratate.
La nivelul sistemului IT al entitii publice s-a constatat inexistena controalelor de
sistem ce alerteaz administratorul n cazul utilizrii de soft-uri pentru care nu s-au
achiziionat licene.
Cauza Salariaii entitii publice au observat c dei programele existente permit realizarea
sarcinilor de serviciu, totui programele din pachetul Microsoft Office sunt mai
fiabile, mai flexibile i permit realizarea unui numr mai mare de operaiuni, cu care
sunt deja familiarizai.
De asemenea aceast situaie a fost generat i de primirea de la alte entiti publice
a unor fiiere electronice create cu programele din pachetul Microsoft Office, i
care nu au putut fi prelucrate n continuare folosind programele Lotus.
Consecina Entitatea public este pasibil de sanciuni din partea Oficiului Romn
pentru Drepturi de Autor, pentru utilizarea unor programe fr licen;
Soft-urile neliceniate instalate de utilizatori pot conine virui, troieni sau
alte programe ce ar putea afecta n mod grav subsistemele IT la care au acces aceti
utilizatori, sau chiar sistemul IT n ansamblul su;
Recomandarea Inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind
utilizarea programelor fr licen;
Dezinstalarea tuturor programelor neliceniate din pachetul Microsoft Office;
Realizarea unei analize complexe n urma creia managementul entitii
publice s decid asupra oportunitii schimbrii programelor existente i
achiziionarea unui numr adecvat de licene Microsoft Office.

218
ENTITATEA PUBLIC

Obiectivul 7.
PROIECTAREA, IMPLEMENTAREA I MENINEREA N FUNCIUNE A UNEI
REELE
Nr.
crt.
A Proiectarea, instalarea i administrarea reelei de calculatoare
1. Asigurarea bunei funcionri a sistemelor bazate pe existena i funcionarea reelei de calculatoare
1.1. Verificai dac resursele materiale necesare pentru urmrirea
performanelor i meninerea n funciune a reelei de calculatoare
X
sunt stabilite corect pe componente, respectiv server, client,
echipament de conectare la reea;
1.2. Verificai dac resursele umane sunt identificate i stabilite ca
X
dimensiune att numeric, ct i n raport de competenele necesare;
1.3. Verificai dac echipamentele din reea sunt administrate centralizat; X
1.4. Verificai dac pentru fiecare echipament din reea i sunt asociate
X
proceduri, operaii i termene de efectuare;
1.5. Verificai dac subsistemele existente pot fi configurate i
X
supravegheate individual;
1.6. Verificai dac configurarea reelei, conectarea componentelor n
reea, distribuirea serviciilor conduc la creterea productivitii X
muncii n organizaie;
1.7. Verificai dac numrul componentelor de tip server i al celor de tip
client se stabilete n conformitate cu activitile desfurate n X
organizaie;
1.8. Verificai dac serverele i staiile client sunt amplasate n reea i
X
configurate conform regulilor impuse prin strategia de securitate;
1.9. Verificai dac riscul apariiei erorilor previzibile este corect evaluat; X
1.10. Verificai dac la apariia incidentelor neprevzute, sunt puse n
X
practic proceduri de rspuns special prevzute;
1.11. Verificai dac regulile stabilite i implementate asigur accesul
controlat i sigur al utilizatorilor numai la acele resurse de care au
X
nevoie pentru ndeplinirea sarcinilor de serviciu conform fiei
postului;
1.12. Verificai dac datele disponibile i folosite n reea sunt corecte,
X
sigure i obinute la timp;
1.13. Verificai dac regulile stabilite i implementate pentru urmrirea
traficului de informaii n reea, a ncrcrii reelei, a performanelor
X
serverelor i serviciilor sunt folosite numai pentru evaluarea corect
a strii de funcionare a reelei i a componentelor ei;
1.14. Verificai dac dezvoltarea, adaptarea sau reconfigurarea reelei se
realizeaz pe baza evalurii modului de funcionare i au drept scop
X
creterea performanelor serviciilor i diminuarea ncrcrii reelei n
anumite puncte;
1.15. Verificai dac lista parametrilor de referin i valorile etalon
folosite pentru evaluarea performanelor echipamentelor hardware i
X
ale componentelor software respect specificaiile productorilor i
se ncadreaz n standarde;
219
1.16. Verificai dac pentru fiecare echipament este stabilit un set propriu
de parametri i valori acceptate, conform standardelor de X
funcionare;
1.17. Verificai dac regulile, procedurile i criteriile folosite pentru
evaluarea performanelor nu conduc la ambiguiti i identific din X
timp posibilitatea apariiei unor erori de funcionare.
1.18. Verificai dac jurnalele cu valorile msurate ale parametrilor de
referin sunt pstrate i analizate periodic, n vederea stabilirii
X
coreciilor suplimentare pentru prentmpinarea apariiei erorilor de
funcionare;
1.19. Verificai dac erorile, nefuncionalitile sunt evaluate i sunt
X
elaborate soluii de remediere;
1.20. Verificai dac vulnerabilitile sunt identificate i corectate; X
1.21. Verificai dac fiecare component a reelei este evaluat conform
X
unui etalon standard.
2. Administrarea serverelor
2.1. Verificai dac resursele hardware instalate respect indicaiile
X
productorului;
2.2. Verificai dac resursele hardware instalate i configurate respect
X
cerinele IT implementate n organizaie;
2.3. Verificai dac accesul i utilizarea resurselor serverului respect
X
strategia de securitate a reelei;
2.4. Verificai dac programele sunt instalate i configurate conform
X
specificaiei productorilor;
2.5. Verificai dac permisiunea de administrare a unui program este
acordat numai personalului calificat i cu respectarea strategiei de X
securitate a reelei;
2.6. Verificai dac administrarea programelor se face de la distan
X
folosind instrumente specifice;
2.7. Verificai dac activitile de ntreinere hardware sau software sunt
X
planificate conform cerinelor din instruciunile de utilizare;
2.8. Verificai dac soluiile de salvare ale unui program sunt corecte i
X
eficiente;
2.9. Verificai dac jurnalele obinute prin monitorizarea programelor
X
sunt pstrate pentru a fi periodic consultate;
2.10. Verificai dac jurnalele identific utilizatorii care au avut acces la
X
program, n limita permisiunilor ce le-au fost acordate;
2.11. Verificai dac jurnalele identific tentativele nereuite ale
X
utilizatorilor de a avea acces la programe;
2.12 Verificai dac intruii din interior sau exterior pot fi identificai prin
X
informaiile pstrate n jurnale.
B. Interconectarea i securitatea reelei
1. Interconectarea reelelor
1.1. Verificai dac conexiunile dintre reele sunt conforme cu arhitectura
X
general i respect standardele de interconectare;
1.2. Verificai dac componentele hardware i software ale
echipamentelor de legtur sunt configurate respectnd regulile de
X
securitate a transmisiilor de date din strategia de securitate a
organizaiei;
1.3. Verificai dac tabelele de rutare sunt corect configurate i indic
X
adresele reelelor accesibile;
1.4. Verificai dac instalarea i configurarea echipamentelor de legtur
X
ntre reele respect instruciunile din documentaia tehnic;
1.5. Verificai dac instalarea i configurarea componentelor software
respect indicaiile productorilor i sunt conforme strategiei de X
securitate;
1.6. Verificai dac cerinele de conectare la Internet sunt identificate n
conformitate cu fia postului pentru fiecare categorie de personal i X
respect strategia de securitate;
1.7. Verificai dac accesul permis din reeaua Internet la programele i
aplicaiile organizaiei respect strategia de securitate privitoare la X
accesul la informaiile organizaiei;
220
1.8. Verificai dac conectarea la Internet se realizeaz n conformitate cu
X
standardele de securitate n vigoare;
1.9. Verificai dac sunt implementate reguli de securitate pentru accesul
la i din reeaua Internet n conformitate cu strategia de securitate a X
organizaiei;
1.10. Verificai dac accesul prin intermediul Internet-ului la programe
este strict monitorizat pentru detectarea tentativelor de acces X
neautorizat;
1.11. Verificai dac tentativele de acces neautorizat sunt urmate de
X
declanarea procedurilor de securitate.
2. Proiectarea i asigurarea securitii reelei
2.1. Verificai dac cerinele de asigurare a securitii reelei sunt
X
identificate n funcie de activitile desfurate;
2.2. Verificai dac cerinele de asigurare a securitii transmisiilor de
X
date sunt stabilite n funcie de activitile desfurate;
2.3. Verificai dac vulnerabilitile i ameninrile sunt corect
X
identificate i prioritizate;
2.4. Verificai dac obiectivele activitii de management al riscurilor
X
sunt eliminarea, atenuarea sau transferul riscurilor;
2.5. Verificai dac fiecrui risc identificat i corespunde un set de
proceduri a cror aplicare conduce la atenuarea sau eliminarea X
pagubelor;
2.6. Verificai dac procedurile de securitate respect principiul aprrii /
X
imunizrii procesului vizat de eventuale atacuri informatice;
2.7. Verificai dac procedurile de securitate elaborate pentru protecia
datelor, aplicaiilor, sistemelor de operare i echipamentelor sunt X
eficiente;
2.8. Verificai dac procedurile de securitate ce trebuie implementate
X
sunt aduse operativ la cunotina personalului;
2.9. Verificai dac sistemele de operare i aplicaiile sunt configurate
X
astfel nct s aplice automat procedurile de securitate;
2.10. Verificai dac transmisiile de date i comunicaiile n reea sunt
X
configurate astfel nct s aplice automat procedurile de securitate;
2.11. Verificai dac jurnalele de evenimente sunt analizate periodic
X
pentru identificarea potenialelor lipsuri de securitate;
2.12. Verificai dac reaciile managerilor i ale personalului fa de
X
securitatea reelei sunt periodic i atent evaluate;
2.13. Verificai dac aplicarea procedurilor de securitate mpiedic buna
X
desfurare a activitilor organizaiei;
2.14. Verificai dac detectarea unui incident neprevzut determin o
X
reacie prestabilit.
2.15. Verificai modul de implementare a msurilor privind sigurana
X
accesului utilizatorilor n reea conform procedurilor;
2.16. Verificai modul de alocare a numelui de utilizator i parolei aferente Test nr. 7.1.
pentru accesul la reea; Foaie de lucru nr. 7.1.
X List de control 7.1.
2.17. Verificarea monitorizrii siguranei accesului utilizatorilor n reea
FIAP nr. 7.1.
2.18. Analizai dac a fost elaborat documentaia tehnic adecvat
X
privind conectarea la Internet.
2.19. Verificai dac aceast documentaie este adecvat i actualizat X
2.20. Determinai dac manualele privind utilizarea reelei au n vedere
X
asigurarea securitii comunicrii datelor n reea.
2.21. Analizai aciunile ntreprinse n cazurile n care a fost ameninat
X
integritatea i eficacitatea transmiterii datelor n reea.
2.22. Verificai existena procedurilor i desemnarea responsabilitilor
X
pentru monitorizarea controalelor fizice;
2.23. Verificai efectuarea controalelor fizice conform procedurilor; X
2.24. Analiza siguranei accesului la reea i a comunicrii datelor n reea X
2.25 Monitorizarea conectrii la reea conform listei de logare; X
2.26. Analizai rapoartele de monitorizare a traficului datelor n reea. X
2.27. Verificai existena procedurilor i desemnarea responsabilitilor
X
pentru monitorizarea accesului utilizatorilor n reea;
221
ENTITATEA PUBLICA
TEST nr. 7.1.

Obiectul testului Proiectarea i asigurarea securitii reelei

Obiectivele Sigurana accesului la reea i a comunicrii datelor n reea
testului
Descrierea Populaia statistic a fost constituit din cele 250 de calculatoare existente la
testului nivelul entitii publice, conform Listei de inventariere a calculatoarelor personale.
Eantionul pentru realizarea testrii siguranei accesului la reea a fost stabilit pe
baza unui procent de 2%, din totalul populaiei statistice, respectiv 5 calculatoare
personale, conform Foii de lucru nr. 4.5.
verificare nr. 4, poz. 4.5, i anume:
- Verificai modul de alocare a numelui de utilizator i parolei aferente pentru
accesul la reea ;
- Monitorizarea conectrii la reea conform listei de log-are.
Testarea s-a concretizat n elaborarea Listei de control nr. .. privind accesul i

comunicarea datelor n reea.
Constatri Din analiza Listei de control rezultate, s-au constatat urmtoarele:
a. majoritatea salariailor din cadrul entitii publice, prin natura sarcinilor de
serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator
i parole diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare
subsistem IT trebuie folosite nume de utilizator i parol diferite, n loc s se
foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se
conecteaz angajatul.
b. datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori
acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele
colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-le datele de
identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele
subsisteme IT.
c. practic, sistemul de parole nu mai are funcii principale de restricionare a
accesului persoanelor nepotrivite, ci ngreuneaz funcionarea sistemului.
d. n situaia apariiei unor incidente nu se pot stabili responsabilitile
aferente.
Concluzii Sistemul de parole este stabilit si utiliza in mod neadecvat
222
ENTITATEA PUBLICA

Obiectiv: Sigurana accesului la reea i a comunicrii datelor n reea

- eantionul se va constitui din calculatoarele existente n Lista IP-urilor
calculatoarelor ce se conecteaz la reeaua entitii publice la poziiile:
35, 85, 135, 185, 235
Data: 19.09.2009
223
ENTITATEA PUBLICA

Privind accesul i comunicarea datelor n reea
Elemente Verificai modul de alocare a numelui de

Testate utilizator i parolei aferente pentru accesul la Monitorizarea conectrii la reea conform
Eantion reea listei de log-are
Computer aflat la poziia 35 FIAP X
Computer aflat la poziia 85 X X

Computer aflat la poziia 235 X X
Data: 19.09.2009
224
ENTITATEA PUBLICA

Problema Neutilizarea unui singur nume de utilizator i unei singure parole pentru
accesul la sistemul IT.
Constatarea Din evaluare s-a constatat c majoritatea salariailor din cadrul entitii
publice, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe
subsisteme IT care folosesc nume de utilizator i parole diferite.
Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT
trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc
acelai nume de utilizator i parol indiferent de subsistemul IT la care se
Cauza Inexistena unor proceduri de lucru adecvate potrivit crora sa fie reglementat
modul de conectare a echipamentelor la reea sau programe si aplicaii.
Consecina Datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori acetia
noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele
colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-le datele de
identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele
subsisteme IT.
n situaia apariiei unor incidente nu se pot stabili responsabilitile adecvate.
Recomandarea Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul
entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au
nevoie utiliznd un singur nume de utilizator i o singur parol;
Auditor, Supervizor, Pentru conformitate

Radu George Dumitru Daniel Structura auditat
225
226
Procedura P10: REVIZUIREA DOCUMENTELOR DE LUCRU
Entitatea Public
CONSTITUIREA DOSARELOR DE AUDIT INTERN

Dup finalizarea interveniei la faa locului, se constituie Dosarele de audit intern n vederea
asigurrii unei legturi ntre obiectivele stabilite prin programul de audit, intervenia la faa locului i
raportul de audit public intern. Documentele culese i/sau ntocmite pe timpul misiunii de audit se
constituie n urmtoarele dosare:
A. Dosarul permanent, care cuprinde:
a) Seciunea A Raportul de audit intern i anexele acestuia:
- Ordinul de serviciu;
- Declaraia de independen;
- Rapoartele de audit intern (intermediar, final, sinteza Raportului de audit intern);
- teste;
- Fiele de identificare i analiz a problemelor;
- Formularele de constatare a iregularitilor;
- Programul interveniei la faa locului.
b) Seciunea B administrativ:
- Notificarea privind declanarea misiunii de audit;
- Minuta edinei de deschidere;
- Minuta reuniunii de conciliere;
- Minuta edinei de nchidere;
- Corespondena cu entitatea structurii auditate;
c) Seciunea C - documentaia misiunii de audit public intern:
- strategii interne;
- reguli, regulamente i legi aplicabile;
- proceduri de lucru;
- materiale despre entitatea/structura auditat;
- rapoarte de audit public intern anterioare;
- informaii privind fluxul de informaii;
- documentaia analizei riscului;
- documentaia privind sistemul de control (aprobri, autorizri, separarea
sarcinilor, supervizarea, reconcilierea, rapoarte etc.);
d) Seciunea D - supervizarea i revizuirea desfurrii misiunii i a rezultatelor
acesteia i cuprinde Lista de supervizare a documentelor;
B. Dosarul documentelor de lucru cuprinde copii xerox a documentelor justificative, care confirm i
sprijin concluziile. Dosarul se indexeaz prin atribuirea de litere i cifre pentru fiecare seciune/obiectiv din
cadrul programului.
Dosarele de audit public intern sunt proprietatea entitii publice i sunt confideniale i se pstreaz
pn la ndeplinirea recomandrilor din raportul de audit intern, dup care se arhiveaz potrivit
reglementarilor legale privind arhivarea.
227
Not:
Constituirea dosarelor de audit intern se realizeaz n finalul interveniei la faa locului i are ca
scop de a asigura o legtur ntre obiectivele misiunii de audit stabilite prin programul de audit,
constatrile efectuate n etapa de intervenie la faa locului i raportul de audit public intern.
Documentele de lucru trebuie organizate astfel nct s faciliteze trecerea n revist a dosarului i
s permit o comparaie rapid ntre constatrile i probele de audit.
Este necesar clasificarea tuturor documentelor de lucru, n funcie de etapa de activitate creia i
corespund.
Sursa de informaie trebuie indicat clar i precis, pentru a pstra i a verifica ulterior fiabilitatea
ei.
228
Procedura P10: REVIZUIREA DOCUMENTELOR DE LUCRU
Entitatea public
NOTA CENTRALIZATOARE A DOCUMENTELOR DE LUCRU

ntocmit: Popescu Sorin/ Radu George Data: 10.10..2009
Exist Auditori
Constatarea Document justificativ
Da Nu
Seciunea E Strategia i planificarea sistemelor informatice
Analiza proceselor-verbale Proces verbal 3242/23.01.2009 X Popescu Sorin
ale Comisiei numite la nivelul Proces verbal 4321/22.02.2009 Radu George
entitii cu responsabiliti n .
dezvoltarea IT, a direciilor Proces verbal 5434/22.07.2011
de aciune strategice i a
deciziilor luate n vederea
implementrii strategiei a pus
n eviden unele
disfuncionaliti, legate de
faptul c anumite proiecte de
dezvoltare IT derulate n
cadrul entitii nu au fost
supuse analizei i evalurii
comisiei.
Obiectivele specifice ale List obiective specifice X Popescu Sorin
structurii funcionale, definite List obiective generale Radu George
n cadrul strategiei, nu au fost
corelate cu posibilitile
efective ale organizaiei, cu
factorii interni i factori
externi.
..
Seciunea F- Organizarea i funcionarea departamentului IT
Atribuiile definite in sarcina Fiele posturilor pentru eantionul constituit X Popescu Sorin
salariailor nu sunt Radu George
ntotdeauna conforme i nu
asigur competena de
realizare a activitilor i
aciunilor, acestea fiind
definite n multe cazuri la
modul general, nu indic, prin
modul de formulare o aciune,
nu asigur un coninut clar,
fiind definite sub forma unei
relaii funcionale sau avnd
caracter de activitate.
Organigrama ca document Organigrama departamentului X Popescu Sorin
prin care se relev grafic Radu George
structura organizaiei i
substructurile acesteia nu
pune n eviden organizarea
i funcionarea
departamentului.
Compartimentele aflate n
subordinea departamentului
nu sunt nominalizate n
229
totalitate n cadrul
organigramei i nu este
precizat nici nivelul de
subordonare al
departamentului n cadrul
organizaiei.
Seciunea G - Operaii ale sistemului informatic

Analiza implementrii Planul anual de dezvoltare a sistemului IT X Popescu Sorin
subsistemelor IT, potrivit Procesele verbale privind punerea n funciune Radu George
planului anual ntocmit i a aplicaiilor
aprobat, a pus n evidenta
faptul ca termenele stabilite
pentru implementarea
programelor nu sunt
respectate, iar
departamentele ce ar trebui s
utilizeze deja noile aplicaii
IT ntmpin deficiene n
transmiterea datelor n format
electronic celorlalte
departamente care au nevoie
de aceste informaii i unde
funcioneaz deja de
programe performante.
.
Seciunea H- Securitatea informaiilor
Inexistena unui sistem de Procedura privind schimbarea parolelor X Popescu Sorin
stabilire de ctre fiecare Radu George
utilizator a parolelor i a unui
responsabil cu verificarea
schimbrii periodice a
parolelor de acces.
Seciunea H Achiziionarea i testarea aplicaiilor

Organizarea datelor n Procedura privind organizarea datelor n fiiere X Popescu Sorin
fiierele de date prezint Fiele de intervenie la fiecare aplicaie Radu George
urmtoarele disfuncii:
redundan mare, acces dificil
la date, izolarea datelor,
actualizarea datelor prin
adugare, modificare,
tergerea genereaz erori
atunci cnd mai muli
utilizatori doresc s modifice
simultan aceleai date,
dependena programelor,
descrierea independent a
datelor n toate fiierele n
care apar.
.
Seciunea I Elaborarea i implementarea proiectelor IT
Cu toate c entitatea public Lista staiilor de lucru pe care erau instalate X Popescu Sorin
a achiziionat licene pentru programe aferente Microsoft Office, fr licen Radu George
pachetul de programe Lotus,
s-au constatat c n cadrul
unor departamente se
folosesc programe aferente
pachetului Microsoft Office
fr ca pentru acestea
entitatea public s fi
achiziionat licene.
230
.
Seciunea K Proiectarea i meninerea n funciune a unei reele
Sistemul IT este conceput Lista staiilor de lucru la care accesul se X Popescu Sorin
astfel nct pentru accesul la realizeaz cu aceleai nume de utilizator i Radu George
fiecare subsistem IT trebuiesc parol
folosite: nume de utilizator i
parol diferite, n loc s se
foloseasc acelai nume de
utilizator i parol indiferent
de subsistemul IT la care se
.
Auditori,
Popescu Sorin
Radu George
Not:
Revizuirea documentelor asigur c documentele de lucru sunt pregtite n mod corespunztor i c
acestea furnizeaz un sprijin adecvat pentru munca efectuat i pentru dovezile adunate n timpul misiunii de
audit intern.
Auditorii revd documentele procedurale i documentele de lucru din punct de vedere al formei i al
coninutului, se asigur c dovezile de audit prezentate n susinerea constatrilor sunt justificative, respectiv
sunt suficiente, concludente i relevante.
231
232
Procedura P11: EDINA DE NCHIDERE
Entitatea Public
MINUTA EDINEI DE NCHIDERE

Lista participanilor:
Direcia/ Nr.
Serviciul telefon
Dumitru Daniel Sef serviciu SAI
Popescu Sorin Auditor intern SAI
Radu George Auditor intern SAI
Minc Cristian Director Direcia IT
Negru Adrian Sef serviciu Serviciul 1 IT
Ciobanu Vasile ef serviciu Serviciul 2 IT
Butnaru Lenua ef serviciu Serviciul 3 IT
Vasilescu George ef serviciu Serviciul 4 IT
Toma Eugen Consilier Serviciul 2 IT
Stnescu Ioana Consilier Serviciul 3 IT
Istrate Viorica Consilier Serviciul 4 IT
B. Concluzii:
n cadrul edinei au fost prezentate obiectivele auditate i constatrile pentru fiecare obiect auditat. De asemenea, au
fost discutate constatrile, au fost analizate cauzele care au contribuit la realizarea disfuncionalitilor i au fost
comentate recomandrile care urmeaz a fi implementate pentru eliminarea deficienelor constatate.
In cadrul edinei de nchidere, structura auditat si-a nsuit n totalitate constatrile i recomandrile formulate de
echipa de auditori si, n acest sens, au prezentat Planul de aciune i Calendarul de implementare al
recomandrilor, cu termenele de realizare i persoanele responsabile, vor fi urmrite de echipa de auditori, pana la
implementarea acestora.
n consecin, proiectul Raportului de audit intern devine Raport de audit intern final care va fi pregtit pentru
aprobare i transmitere structurii auditate. Raportul de audit intern va fi nsoit de o SINTEZA care va conine
concluziile echipei de auditori interni cu prezentarea principalelor recomandri i opinia generala a acesteia.
Structura auditat se angajeaz sa completeze Planul de aciune i calendarul implementrii recomandrilor, cu
termenele de realizare i persoanele responsabile cu implementare acestora, pe care l vor discuta cu echipa de
auditori.
233
Not:
edina de nchidere a interveniei la faa locului are ca scop prezentarea opiniei auditorilor interni, a
constatrilor i recomandrilor finale, precum i discutarea unui plan de aciune nsoit de un calendar de implementare
a recomandrilor.
n cadrul acestei edine se urmrete ca att constatrile, ct i recomandrile, s fie uor de neles, s nu
permit interpretri i s nu fie prtinitoare. Constatrile trebuie s aib la baz documente doveditoare, iar
recomandrile trebuie s ajute managementul entitii auditate n luarea deciziilor manageriale n vederea eliminrii
deficienelor constatate.
234
Procedura P16: SUPERVIZAREA MISIUNII DE AUDIT INTERN
Entitatea Public
LISTA DE SUPERVIZARE A DOCUMENTELOR

Propunerea efului Revizuirea

structurii de audit/ rspunsurilor
Nr. Rspunsul
Lucrarea supervizorului misiunii, auditorilor de ctre
crt. auditorilor
ca urmare a revizuirii eful structurii de
documentului audit/supervizor
1. Declaraia de
Nu exist incompatibilitate De acord
independen
2 Se va ntocmi i
Nu exista un centralizator al elabora documentul
Colectarea
documentelor colectate i procedura de lucru De acord
informaiilor
prelucrate privind documentele
colectate i prelucrate
3. Programul de In programul de audit nu Programul de audit a
audit intern apare obiectivul cu privire la fost refcut, obiectivul
definirea structurilor privind definirea
De acord
organizatorice structurilor
organizatorice a fost
cuprins n program
4 Constatarea i Nu s-a ntocmit i elaborat Se va ntocmi i
raportarea fisa de constatare i elabora FCRI n acest
iregularitilor raportare a iregularitilor caz
pentru constatarea cu privire De acord
la necalcularea taxei pentru
eliberarea autorizaiilor de
construire
5 Nota Nu s-a ntocmit i elaborat Se va elabora i
centralizatoare a nota centralizatoare a ntocmi i elabora
De acord
documentelor de documentelor de lucru nota centralizatoare a
lucru documentelor de lucru
.
. .. . ..
.
n Raportul de audit Raportul de audit nu Raportul de audit va fi
prezint cauzele i completat cu
consecinele constatrilor precizarea cauzelor i De acord
efectuate consecinelor aferente
constatrilor efectuate
Supervizor,
Georgescu Cristian
235
Not:
Supervizarea reprezint activitatea de ndrumare, consiliere, supraveghere i verificare efectuat de
ctre supervizor asupra activitii echipei de audit, se realizat pe tot parcursul derulrii misiunii de audit
intern prin semnarea documentelor ntocmite.
Scopul activitii de supervizare este asigurarea c obiectivele misiunii de audit intern au fost atinse
n condiii de calitate.
Documentele de audit elaborate (procedurale sau ntocmite de auditor cu privire la constatri
efectuate) trebuie supervizate pentru a se asigura c acestea vin n sprijinul raportului de audit i c toate
procedurile de audit necesare au fost efectuate.
236
Procedura ELABORARE RAPORT DE AUDIT INTERN
Entitatea Public
PROIECT
DE RAPORT DE AUDIT INTERN
ACTIVITATEA IT
BUCURETI
2009
237
CAPITOLUL I
DATE DE IDENTIFICARE A MISIUNII DE AUDIT INTERN
Echipa de auditare - a fost format din:

Ordinul de efectuare a misiunii de audit - auditarea activitilor cuprinse n Planul de audit intern pe anul
2010, s-a fcut n baza Ordinului de serviciu nr. 11/12.08.2009.
Baza legal a aciunii de auditare:

Planul de audit intern pentru anul 2009, aprobat de conducerea entitii publice;
Legea nr. 672/2002 privind auditul public intern;
OMFP nr. 38/15.01.2003 pentru aprobarea Normelor generale de privind exercitarea activitii
de audit public intern.
Normele proprii de audit public intern ale entitii, avizate i aprobate de conducere, privind
exercitarea activitii de audit intern n cadrul entitii.
Durata misiunii de audit: 01.09.2009 20.10.2009.
Scopul aciunii de auditare const n:

- asigurarea conducerii asupra funcionrii echipamentelor, aplicaiilor i programelor n
concordan cu cerinele stabilite;
- asigurarea aplicrii corecte a msurilor de testarea i implementarea noilor aplicaii, de a
soluiona problemele aprute n funcionarea aplicaiilor.
Obiectivele aciunii de auditare au urmrit:

Tipul de auditare - audit de conformitate/regularitate.

Tehnici de audit intern utilizate:
- verificarea se realizeaz n vederea asigurrii validitii, realitii i acurateei nregistrrilor n
contabilitate a documentelor i a concordanei cu legile i regulamentele n vigoare, precum i a eficacitii
controlului intern prin cu ajutorul urmtoarele tehnici de verificare:
a) comparaia: pentru confirmarea identitii unor informaii, dup obinerea lor din dou sau
mai multe surse diferite;
b) examinarea: pentru detectarea erorilor i/sau iregularitilor;
c) recalcularea: verificarea algoritmilor de calcul i a calculelor matematice;
d) punerea de acord: pentru realizarea procesului de potrivire a doua categorii diferite de
nregistrri;
238
e) confirmarea: pentru solicitarea informaiilor din mai multe surse independente cu scopul
validrii acestora;
f) garantarea: pentru verificarea realitii tranzaciilor nregistrate pornind de la examinarea
nregistrrilor spre documentele justificative;
g) urmrirea: pentru verificarea modului n care au fost elaborate procedurile, pentru
verificarea documentelor justificative spre articolul contabil n vederea verificrii dac toate operaiunile au
fost nregistrate.
- observarea fizic: const n urmrirea unui proces sau a unei proceduri, prin care auditorul i
formeaz o imagine de ansamblu asupra structurii auditate;
- interviul, notele de relaii: se realizeaz de ctre auditorii interni prin intervievarea persoanelor
auditate, implicate i interesate i informaiile primite, care trebuie s fie susinute de documente. Pentru
eventualele explicaii suplimentare se solicit note de relaii;
- analiza: const n descompunerea unei entiti n elemente, care pot fi izolate, identificate,
cuantificate i msurate distinct.
Instrumentele de audit intern utilizate:

- Chestionarul de luare la cunotin - CLC: pentru obinerea unor informaii referitoare la
contextul socio-economic, organizare intern, funcionarea entitii/structurii auditate;
- Chestionarul de control intern - CCI: orienteaz auditorii interni n activitatea de
identificare obiectiv a disfunciunilor i cauzelor reale ale acestora. Acesta a fost utilizat pentru evaluarea
instrumentelor de control existente, mpreun cu alte informaii relevante pentru audit, pe parcursul
desfurrii misiunii de audit intern;
- List de verificare - LV: pentru stabilirea condiiilor de regularitate pe care trebuie s le
ndeplineasc fiecare domeniu auditabil. Cuprinde un set de operaii ce trebuie parcurse de auditor pentru a
analiza activitile de control intern ncorporate n proceduri, existena responsabilitilor pentru efectuarea
acestora i permite stabilirea testelor de conformitate atunci cnd sunt semnalate diferite disfuncionaliti;
- Fia de identificare i analiz a problemelor FIAP: ntocmit pentru fiecare
disfuncionalitate constatat;
- Formularul de constatare i raportare a iregularitilor FCRI: ntocmit cu scopul de a
informa conducerea direciei cu privire la iregularitatea constat.
Documente i materiale examinate n cadrul Direciei IT - verificarea la faa locului a vizat

documentaia aferent perioadei auditate, respectiv 01.01.2008 30.06.2009, care a cuprins urmtoarele:
- legi i regulamente aplicabile structurii auditate;
- strategia n domeniul IT;
- organigrama Direciei IT;
- Regulamentul de Organizare i Funcionare;
- Fiele posturilor;
- Proceduri operaionale de lucru;
- Rapoarte de evaluare;
- Liste de achiziii n domeniul IT;
- aplicaii informatic;
- programe informatice achiziionate;
- Planul privind continuitatea activitilor, etc.
Documente i materiale ntocmite pe timpul auditrii:

- documentaia aferent analizei riscurilor;
- tabelul puncte tari i puncte slabe;
- tematica n detaliu a misiunii de audit intern;
- programul de audit intern;
- liste de verificare structurate pe obiective;
- foi de lucru pentru stabilirea eantioanelor;
- chestionare de control intern;
- teste;
- liste de control;
- fie de identificare i analiz a problemelor constatate - FIAP-uri;
239
- formulare de constatare i raportare a iregularitilor - FCRI-uri;
- proiectul raportul de audit intern;
- minutele edinelor de deschidere, de nchidere i de conciliere;
- Raportul de audit intern;
- planul de aciune i calendarul de implementare a recomandrilor;
- fia de urmrire a implementrilor recomandrilor.
- foi de lucru privind descrierea activitilor auditate;
- documente de lucru;
- note de relaii;
- interviuri.
Organizarea Direciei IT
Direcia IT a funcionat n perioada supus auditrii cu un numr de 32 salariai, din care un 4
posturi de conducere un director, i 4 efi de serviciu. Organizarea i funcionarea direciei se desfoar
conform organigramei i Regulamentului de organizare i funcionare.
Pentru toi salariaii au fost ntocmite fie ale posturilor prin care s-au stabilit relaiile ierarhice de
subordonare i de colaborare, precum i sarcinile de serviciu.
II. CONSTATRI
II. CONSTATRI I RECOMANDRI
Prezentam principalele constatri, consecinele care s-au produs sau care ar putea sa apar n
perioada imediat urmtoare, precum i recomandrile formulate n vederea corectrii disfuncionalitilor
semnalate sau ale celor care pot s survin, diminurii riscurilor existente i mbuntirii sistemelor de
management i control intern al activitilor auditate cu scopul facilitrii atingerii obiectivelor prestabilite.
Obiectivul I.
1. STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE
1.1. Strategia IT este concordan cu scopurile organizaiei
1.1.1. Strategia IT definete necesitile i prioritile
Nerealizarea n termen a procedurilor de achiziie i implementare a programelor i aplicaiilor

informatice.
Cu privire la armonizarea strategiei n domeniul IT cu strategia entitii, s-a constatat c aceasta deriv
i este elaborat n conformitate cu direciile i principiile de dezvoltare ale entitii, contribuie la
dezvoltarea i eficientizarea activitilor entitii i prin implementare se urmrete realizarea unui sistem
informatic integrat, care s asigure integrarea tuturor informaiilor i datelor la nivelul entitii, respectiv
juridice, economice, comerciale, tehnice, financiar-contabile, de personal, sociale i patrimoniale.
Din analiza atribuiilor stabilite Comisiei numit la nivelul entitii cu responsabiliti n domeniul
dezvoltrii IT, s-a constatat c acestea sunt, n general, de natur metodologic, respectiv planificarea i
elaborarea strategiei n domeniul IT i armonizarea acesteia cu strategia i mandatul entitii. Totui, aceast
comisie are i atribuii cu privire la monitorizarea activitilor privind implementarea strategiei, ns analiza
realizrii acestor activiti este rezumat doar la raportrile periodice realizate de departamentul IT, cu
privire la stadiul implementrii proiectelor IT. Limitarea exercitrii acestor atribuii, doar la analiza
raportrilor efectuate de departamentul IT, fr o evaluare fizic, din partea comisiei, a modului de
implementare a programelor informatice, conduce la formularea unor constatri i concluzii insuficiente,
care au influen n decizia managerial i dezvoltarea strategic.
Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu responsabiliti n dezvoltarea
IT, a direciilor de aciune strategice i a deciziilor luate n vederea implementrii strategiei a pus n eviden
240
unele disfuncionaliti, legate de faptul c anumite proiecte de dezvoltare IT derulate n cadrul entitii nu
au fost supuse analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei au
privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul entitii, ns potrivit
proceselor verbale ntocmite n urma edinelor, a rezultat c discuiile s-au derulat doar cu privire la
proiectele pentru care au fost naintate de ctre departamentul IT, rapoarte privind stadiul implementrii,
astfel c propunerile formulate de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea
n urma examinrii i analizelor efectuate s-a constatat c anumite proiecte nu au fost implementate sau sunt
ntrzieri n implementarea acestora, respectiv:
a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei, inclusiv stadiul
soluionrii lor, a fost aprobat a fi implementat, inclusiv au fost asigurate resursele financiare nc din
cursul anului anterior, dar pn n prezent nu s-a realizat nici o procedur legat de stabilire a condiiilor
tehnice ale aplicaiei, demararea aciunilor de realizare a caietului de sarcini, sau a procedurilor de realizare
a achiziiei, cu toate c prin buget au fost alocate fondurile necesare.
Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii entitii, a rezultat c acest
program informatic nu a fost demarat, deoarece la nivelul departamentului IT nu existau specialiti n
testarea i implementarea programului, iar fondurile aprobate permiteau doar achiziia aplicaiei.
n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de implementare a
proiectelor, greutile ntmpinate se puteau cunoate i se puteau gsi soluiile necesare, respectiv, n acest
caz a condiiilor de pregtire a personalului n vederea utilizrii programului informatic.
b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea datelor la nivelul
organizaiei, a fost raportat stadiul de implementare la comisie, ns nu i termenele de realizare. n urma
evalurii s-a constatat c au fost demarate procedurile pentru achiziia acestuia, ns pn n prezent acestea
s-au limitat la studiul pieei i alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va
putea fi realizat n timp util. Aceasta va avea consecine negative n implementarea altor aplicaii, care au
legtur cu acesta, n acest sens va trebui decalat termenul de ncepere a procedurilor privind implementarea
proiectului Crearea unei structuri IT care s permit urmrirea circuitului unui document, stadiul de
realizare i persoanele care au intervenit asupra acestuia, autorizarea pe niveluri ierarhice prestabilite.
ntrzierea implementrii acestui program a determinat decalarea termenul planificat a obiectivului strategic
Pentru deficienele constatate s-a recomanda reanalizarea atribuiilor Comisiei de planificare
strategic n domeniul IT i redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii
Referitor la nerespectarea procedurii de elaborare i fundamentare a strategiei i a politicilor de

dezvoltare s-a constat, din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat
urmtoarele etape:
e) stabilirea rolului IT n cadrul organizaiei, fiind identificat i definit importana acesteia;
f) definirea misiunii structurii funcionale n concordan cu obiectivele strategice i direciile de
aciune stabilite la nivelul organizaiei;
g) identificarea i proveniena resurselor financiare, materiale i umane necesare aplicrii i
implementrii strategiei;
h) implementarea strategiei, fiind fixate termenele necesare atingerii obiectivelor n raport cu care
se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n
vedere urmtoarelor etape:
d) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv orientarea activitii pentru o
anumit perioad, prin strategie, presupune ca, n prealabil, s fie cunoscut situaia actual, pe baza unei
analize diagnostic, pentru a avea o imagine ct mai complet asupra domeniului de activitate al organizaiei.
Analiza diagnostic trebuia elaborat n baza unor studii privind potenialului intern, folosind metode
statistice, matematice, analiza pe baz de bilan etc. care s surprind evoluia proceselor i fenomenelor
specifice domeniului de activitate. Informaiile de intrare nu fac referire la aspecte cum sunt: dimensiunea
structurii funcionale, resursele umane, nzestrarea tehnic, managementul utilizat;
e) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea determinrii
ameninrilor i oportunitilor cu care se confrunt entitatea;
f) Fundamentarea variantelor strategice obiectivele strategice stabilite pentru IT nu au fost
corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi. Realizarea strategiei
241
implic fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc
asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Totodat, trebuie
avuta n vedere compatibilitatea variantei strategice elaborata teoretic cu realitatea i modul n care s-a
reuit surprinderea aciunii factorilor de influenta.
Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize diagnostic, astfel nct s
putem avea o imagine ct mai completa asupra organizaiei, asupra rezultatelor pe care i-a propus s le
obin, a potenialului su financiar, ct i a importanei n cadrul realizrii programului de guvernare.
Totodat nu au fost identificate nici punctele tari i punctele slabe n vederea determinrii
ameninrilor i oportunitilor cu care se confrunt entitatea.
De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul strategiei, nu au fost
implica fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc
asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Pentru deficienele constatate s-a recomandat pregtirea profesional anticipat a personalului implicat
n elaborarea strategiei, de ctre managementul responsabil cu aceasta. Reanalizarea strategiei definite la
nivelul structurii funcionale n conformitate cu procedura operaional aprobat i actualizarea acesteia
astfel nct implementarea sa s contribuie la realizarea unui management modern in domeniul de activitate
i la atingerea obiectivelor strategice ale organizaiei.
n acelai timp s-a mai recomandat mbuntirea procedurilor operaionale de lucru privind sistemul
de fundamentare a necesarului de resurse pentru elaborarea strategiei.
Referitor la faptul c obiectivelor strategice nu asigur acoperirea domeniului de activitate al structurii

funcionale i nu contribuie la asigurarea realizrii mandatului organizaiei s-a constat c acestea reprezint
exprimrile cantitative i calitative ale scopului pentru care exist i funcioneaz organizaia.
n acelai timp din analiza modului de definire i stabilire a obiectivelor strategice s-a constatat c
acestea nu ntrunesc urmtoarele caracteristici definitorii:
- nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile efective de realizare de care
dispune organizaia n condiiile actuale;
- nu sunt mobilizatoare i nu implic eforturi de autodepire din partea salariailor;
- nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier care s permit nelegerea
coninutului lor de ctre salariai;
- nu sunt antrenante i nu asigur o abordare sistemic a intereselor organizaiei i componentelor sale
organizatorice ntr-o viziune optimizant pe termen mediu i lung.
Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de natura sa (economic,
tehnic), deoarece aceste obiective reprezint punctul de plecare n conturarea unui sistem unitar de
obiective ce vizeaz toate componentele procesuale i structurale ale organizaiei.
Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect modaliti i opiuni de
realizare care condiioneaz decisiv coninutul i funcionalitatea strategiei, ceea ce impune ca la
implementarea lor s se ia n considerare principalele variabile exogene ce influeneaz comportamentul
economic i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare.
La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu s-a realizat o
dimensionare corect a fondurilor de investiii i a mijloacelor circulante pe baza unor indicatori specifici,
cantitativi i calitativi.
De asemenea, nu n toate situaiile, personalului i-au fost asigurate condiiile de instruire pentru
dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor individuale pentru a contribui astfel, n
condiii de performan, la obinerea impactului definit de obiectivele strategice.
Pentru deficienele constatate s-a recomandat evaluarea performanelor actuale ale sistemului de
organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont de influena
factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea
managementului pentru ca obiectivele strategice redefinite s ntruneasc caracteristicile de a fi realiste,
mobilizatoare, stimulative i s poat fi nelese de salariai, stabilite de metodologie.
Totodat, la redefinirea acestora se va urmri asigurarea resurselor necesare implementrii lor.
1.2. Planurile IT se adreseaz ntregii organizaii
1.2.1. Planurile IT ajut la ndeplinirea misiunii organizaiei

242
Resursele nu sunt fundamentate corect n vederea implementrii planului anual de activitate.
Din analiz s-a constatat c eforturile pentru elaborarea planului anual de activitate implic alocarea
de fonduri i resurse ridicate din partea organizaiei care, n cele mai multe din cazuri, nu au ca referin
atingerea scopului fundamental al acesteia.
n acelai timp, activitile considerate prioritare ale planului anual nu au fost realizate sau
implementate n totalitate, n mod corespunztor, deoarece nu au fost reanalizate i repartizate atribuiile n
cadrul compartimentelor n corelaie cu noile obiective i activiti stabilite n cadrul planului. Aceasta a
nsemnat c, n unele cazuri, obiectivele i activitile dei erau cunoscute de personal, acesta nu avea
competena necesar, n special a celor care erau realizate n colaborare cu alte structuri funcionale, ceea ce
a necesitat solicitarea unor competene pentru realizarea acestora, proces care a ngreunat implementarea
n alte cazuri, activitile nu au fost comunicate salariailor, respectiv obiectivele individuale au rmas
aceleai, n condiiile n care obiectivele cuprinse n planul compartimentului au fost cu totul altele. Aceasta
a nsemnat stabilirea msurilor n cursul anului, instruirea, sub diferite forme, a personalului pentru
nelegerea acestora i stabilirea prioritilor de implementare, ceea ce a condus la ntrzieri n atingerea unor
Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i
organizatorice, pentru creterea eficienei i reducerea costurilor, a presupus definirea n cadrul planului
anual a unor asemenea obiective i activiti, ns pentru implementarea acestora nu a fost corelat necesarul
de mijloace i echipamente cu necesitile pentru atingerea obiectivelor planului.
n cadrul planului reducerea costurilor a fost definit i prin reducerea personalului, prin care s-au
pierdut o serie de competene care, din motive financiare, nu au fost nlocuite, prin dezvoltarea altor
angajai, ceea ce a condus la realizarea activitilor, dar nu au fost atinse condiiile de performan stabilite.
Monitorizarea resursele financiare utilizate n derulare obiectivelor planului anual a fost de multe ori
deficitar, ceea ce a contribuit la realizarea de costuri suplimentare fa de cele planificate pentru
implementarea obiectivelor stabilite.
n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de cunoatere a
normelor, legislaiei i metodologiei n domeniile de activitate, a diferitelor culturi din cadrul organizaiei,
importana obiectivelor stabilite spre ndeplinire i modul cum acestea contribuie la atingerea obiectivelor
generale i a obiectivelor strategice, i nelegerea comportamentului competitiv ca un sistem n care oamenii
i resursele interacioneaz continuu.
Activitile considerate prioritare ale planului anual nu au fost realizate sau implementate
corespunztor deoarece nu s-au reanalizat i repartizat atribuiile compartimentelor pentru a asigura
competena necesar realizrii obiectivelor i activitilor stabilite n cadrul planului.
De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale care deriv din
noile obiective stabilite n cadrul planului de activitate i care se aflau n competena compartimentului
funcional.
Definirea n cadrul planului anual a obiectivelor i activitilor s-a realizat fr s se asigure: nevoia de
mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i
organizatorice;creterea eficienei i reducerea costurilor; corelarea necesarul de echipamente cu necesitile
de atingere a obiectivelor planului.
Pentru deficientele constatate s-a recomandat dezvoltarea unui sistem de instruire i pregtire a
salariailor astfel nct metodologia specific domeniului de activitate, normativ i procedural, s fie
aplicat corespunztor pentru dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate
s se identifice toate atribuiile necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate
corespunztor n cadrul compartimentelor.
Totodat, s-a mai recomandat promovarea dezvoltrii resurselor umane pentru a obine competenele
necesare creterii economice n condiiile n care au loc reduceri de personal, precum i evaluarea
cuprinztoare a resurselor (financiare, instituionale, programe, personal) necesare implementrii
planurilor anuale de activitate i monitorizarea eficient pentru a se asigura ncadrarea n
limitele stabilite.
1.2.2. Planurile IT ofer asigurare cu privire la faptul c resursele IT

sunt alocate n concordan cu necesitile
Unele departamente din cadrul entitii nu dispun de subsisteme IT specifice activitilor care se
desfoar n cadrul acestora.
243
Din analiz s-a constatat c n cadrul entitii publice exist structuri nou-nfiinate ca urmare a
recomandrilor Comisiei Europene i a schimbrilor legislative, care nu au notificat departamentul IT n
privina nevoilor lor de aplicaii informatice specifice. n acelai timp, s-au constatat i departamente nou
nfiinate care i-au exprimat nevoile pentru realizarea subsistemelor IT specifice activitii lor, dar care nu
au beneficiat de implementarea acestora, conform planificrii, datorit ntrzierilor n realizarea achiziiilor.
Pentru deficienele constatate s-a recomandat coroborarea atribuiilor prezentate prin proceduri cu
cele stabilite prin fiele posturilor i inventarierea stadiului implementrii subsistemelor IT la nivelul
departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT.
1.3. Obiectivele IT ndeplinesc obiectivele organizaiei
1.3.1. Strategia IT este concordant cu scopurile organizaiei

1.4. Comitetul IT determin strategia IT
1.4.1. Comitetul IT transpune strategia n planuri pe termen scurt i pe

termen mediu
.
1.4.2. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea

sistemelor i activitilor realizate
.
1.5. Organizarea IT corespunde necesitilor organizaiei
1.5.1. Organizarea adecvat a funciei IT

1.5.2. Adecvarea practicilor i procedurilor IT la procesele existente

..
1.6. Elaborarea strategiei IT corespunde strategiei entitii
1.6.1. Dotarea actual cu tehnic de calcul a stat la baza strategiei IT

..
2. ORGANIYAREA I FUNCIONAREA DEPARTAMENTULUI IT
2.1. Definirea atribuiilor i activitilor
2.1.1. Definirea atribuiilor i responsabilitilor n cadrul Departamentului IT

Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur ntotdeauna aria de
competen privind realizarea activitilor i aciunilor repartizate.
Atribuiile definite in sarcina salariailor nu sunt ntotdeauna conforme i nu asigur competena de
realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul general, nu indic, prin
modul de formulare o aciune, nu asigur un coninut clar, fiind definite sub forma unei relaii funcionale
sau avnd caracter de activitate.
n acest sens s-a recomandat contientizarea managementului responsabil cu procesul de stabilire
i definire a atribuiilor prin informri i consilieri pentru clarificarea modalitilor practice de definire a
244
unei atribuii sau unui set de atribuii pentru asigurarea ariei de competen necesar pentru realizarea
activitilor.

Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea complexitii
acestora nu se realizeaz n funcie de nivelurile de calificare ale posturilor existente.
La definirea activitilor se are n vedere complexitatea acestora, respectiv gradul de difereniere a
muncii pe orizontal i pe vertical. Diferenierea pe orizontal const n numrul de activiti (specializri)
i de subuniti funcionale (birouri, servicii). Diferenierea pe vertical se refer la numrul de niveluri
Analiza coninutului i modului de definire a activitilor necesare pentru realizarea fiecrui obiectiv
specific a pus n eviden urmtoarele:
unele activiti sunt definite sub forma unor relaii de colaborare care fie nu indic aciuni
concrete de realizare a acestora, fie indic o aciune comun de realizare;
altele sunt definite sub forma unor relaii de colaborare, n condiiile n care sunt exercitate
aciuni concrete de realizare i pentru care exist rezultate ateptate stabilite;
nu sunt identificate toate activitile care contribuie la realizarea obiectivelor specifice i care
asigur conformitatea cu reglementrile legale.
Prin modul de organizare a activitilor structurilor organizatorice ale direciei nu se asigur evitarea
dublrii aciunilor, respectiv exist activiti identice sau similare, desfurate de mai multe departamente i
probleme semnificative de suprapunere i de coordonare.
De asemenea, pentru realizarea unor activiti, nu se respect principiul convergenei n definirea i
stabilirea coninutului activitilor care sunt necesare pentru realizarea unui obiectiv.
Pentru reglementarea deficienelor constatate s-a recomandat realizarea unei analize riguroase a
sarcinilor i responsabilitilor fiecrui angajat, care s stea la baza oricrei iniiative de organizare a
activitii. Constituirea unei echipe, pe baza deciziei managementului general, care s analizeze i s
redefineasc activitile i aciunile realizate n cadrul compartimentelor i serviciilor, astfel nct s se
asigure c obiectivele vor fi realizate n totalitate.
La stabilirea obiectivelor se va urmri dac sunt ataate toate activitile necesare obinerii
rezultatelor stabilite, realizate efectiv n cadrul compartimentului, formulate ca aciuni concrete.
2.2. Stabilirea structurii organizatorice
2.2.1. Organizarea funcional a Departamentului IT

Organigrama ca document prin care se relev grafic structura organizaiei i substructurile acesteia
nu pune n eviden organizarea i funcionarea departamentului. Compartimentele aflate n subordinea
departamentului nu sunt nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de
Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de evitare a suprapunerilor
de competene. Astfel, cu privire la raporturile de subordonare, potrivit organigramei, Serviciul Programare
este organizat sub forma unui compartiment care se afl n directa subordonare a directorului general adjunct
al departamentului, dar n realitate acest compartiment este organizat la nivel de serviciu i subordonat
directorul general. Postul de director general adjunct a fost desfiinat n anul 2008 urmare a reorganizrilor
efectuate.
Definirea relaiilor ierarhice aa cum a fost precizat mai sus, nu asigur o integrare corespunztoare
a departamentului n structura organizatoric a organizaiei i nu se asigur operativitatea fluxului de
informaii i date ntre structurile implicate n fluxul tehnologic al activitilor.
n structura organizatoric a departamentului, definit n cadrul organigramei, nu se precizeaz n
cadrul serviciilor numrul de posturi i responsabilii structurilor funcionale corespunztor fiecrui nivel
ierarhic i/sau cine coordoneaz aceste servicii i compartimente, ceea ce nu permite identificarea nivelurilor
i relaiilor ierarhice.
Pentru remedierea deficienelor constatate s-a recomandat analiza actului normativ de organizare
i funcionare a organizaiei i urmrirea atribuiilor definite departamentului astfel nct s acopere n
totalitate activitile desfurate.
245
Totodat, din evaluare s-a mai constat c persoanele responsabilizate n posturile de conducere nu au
coordonat n nici un fel activitile care erau realizate zilnic de ctre salariai, nu au ndrumat n nici un fel
salariaii cu privire la modul n care n care s realizeze activitile i nici nu au realizat o monitorizare cu
privire la modul de realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat
Examinarea fielor posturilor pentru posturile de execuie ocupate de persoanele care au fost numite
cu delegaie n posturi de conducere s-a constatat c acestea nu prevedeau nici o aptitudine managerial.
Pentru aceste nereguli s-a recomandat desfurarea procesului de selecie i recrutarea n vederea
ocuprii posturilor de conducere existente la nivelul departamentului IT. n acelai timp se va urmri dac
persoanele selectate dein abilitile i aptitudinile manageriale necesare realizrii activitilor specifice
celor dou servicii i dac au pregtirea de baz, de nivel superior, n domeniul IT.

Departamentului IT
Din analiz s-a constatat c riscurile nu sunt identificate i gestionate la nivelul departamentului i nu
este condus Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, precum i instrumentele
de control intern implementate pentru limitarea acestora.
Pentru aceast deficien s-a recomandat elaborarea mecanismelor procedurale i metodologice
privind identificarea riscurilor i gestionarea acestora, evaluarea riscurilor identificate i diferenierea
acestora n riscuri inerente i riscuri acceptabile, precum i implementarea de instrumente de control
pentru riscurile inerente, astfel nct manifestarea acestora s fie limitat i nivelul acestora s devin unul
acceptabil.
Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate activitile de control ce
trebuie alocate n vederea atingerii obiectivelor.
Din analiza sistemului de control intern instituit la nivelul departamentului IT a rezultat c unele
activiti de control relevante nu au fost cuprinse n politicile i procedurile de control instituite, astfel:
- revizuiri ale performanei - aceste activiti de control trebuie s includ revizuiri i analize ale
performanei efective n comparaie cu bugetele, previziunile i performana perioadelor precedente;
- procesarea informaiilor acestea trebuie s includ cele dou grupri de activiti de control ale
sistemelor informaionale, respectiv controalele asupra aplicaiilor individuale i controalele generale asupra
tehnologiei informaiei, care sunt de fapt politici i proceduri care se refer la mai multe aplicaii i
contribuie la asigurarea funcionrii adecvate continue a sistemelor informaionale.
Anumite activiti de control care nu sunt de rutin i care depind de existena unor politici adecvate
stabilite de conducere sau de cei nsrcinai cu guvernana nu au o aprobare de la aceste niveluri i nici nu au
fost delegate n responsabilitatea unor posturi inferioare.
Pentru remedierea acestor deficiene s-a constatat stabilirea controalelor interne aferente riscurilor
identificate i determinarea gradului de funcionalitate al acestora i proiectarea de instrumente sau msuri
de introducere de controale interne, fie individuale, fie n combinaie cu alte controale, capabile s previn,
detecteze i s corecteze n mod eficient denaturrile semnificative.
n acelai timp din analiza efectuat a mai rezultat c la nivelul departamentului nu este organizat i
nu se conduce registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt identificate i nu sunt
monitorizate n vederea stpnirii i meninerii lor la un nivel acceptabil.
Pentru soluionarea acestei deficiene s-a recomandat instituirea i conducerea Registrului
riscurilor la nivelul organizaiei.
2.3. Stabilirea responsabilitilor

Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se ine cont de
scopul postului i cunotinele de baz necesare pentru realizarea atribuiilor alocate acestuia. Din analiza
fielor posturilor s-a constatat c la concursul organizat pentru ocuparea postului respectiv poate participa
orice persoan care are o diplom, deoarece nu se specific tipul de studii i nivelul acestora, respectiv n
246
domeniul IT, studii superioare de lung durat absolvite cu diplom de licen etc.
La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui echilibru ntre sarcinile i
competenele titularului postului. Din analiza eantionului selectat a rezultat c pentru posturile cu un nivel
al studiilor medii sunt alocate aceleai atribuii i responsabiliti ca i pentru posturile cu un nivel al
studiilor superiore. Acestea creeaz probleme n gestionarea aplicaiilor i programelor, deoarece
persoanelor ncadrate n cadrul departamentului pe studii medii le-au fost date n responsabilitate ntreinerea
de aplicaii i programe complexe i chiar realizarea de astfel de aplicaii pentru organizaie, care necesit
cunotine IT de nivel superior i chiar anumite specializri.
Pentru aceasta s-a recomandat analiza sarcinilor i atribuiilor definite n fiele posturilor i
stabilirea acestora n funcie de caracteristicile postului, respectiv nivelul postului i urmrirea definirii
aceluiai gen de sarcini i atribuii numai dac posturile sunt de acelai nivel.
Totodat, atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme

i nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la
modul general, nu indic, prin modul de formulare, o aciune, nu asigura un coninut clar, fiind sub forma
unei relaii funcionale sau avnd caracter de activitate sau sarcin.
Nu sunt definite n cadrul ROF-ului la capitolul privind departamentul IT relaiile cu celelalte
structuri funcionale cu care are sau ar trebui s aib relaii funcionale, respectiv nu este definit relaia
funcional care reglementeaz asigurarea conformitii informaiilor cu privire la asistarea utilizatorilor n
realizarea activitilor de introducere a datelor i informaiilor n cadrul aplicaiilor i programelor derulate
la nivelul celorlalte departamente funcionale din cadrul organizaiei, precum i cu privire la asistarea n
utilizarea echipamentelor din dotare.
Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i posturile de execuie,
ci numai relaia ierarhic ntre posturile de conducere situate la niveluri ierarhice diferite din cadrul
departamentului IT.
n vederea remedierii acestor deficiene s-a recomandat identificarea i definirea corect n cadrul
documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor funcionale
pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei.
3. OPERAII ALE SISTEMULUI INFORMATIC
3.1. Managementul operaiunilor
3.1.1. Performana, capacitatea i disponibilitatea sistemelor informatice este

monitorizat de administratori
Existena unor controale interne slabe privind managementul operaiunilor IT, reflectate n disfuncii
legate de gestionarea acestora, astfel:
- n urma analizei modului de alocare i utilizare efectiv a resurselor IT disponibile, echipa de
auditori a constatat c unele departamente dispun de resurse insuficiente (departamentul IT), n timp ce
altele dispun de resurse excedentare (Direcia General de Investiii, Achiziii Publice i Servicii Interne),
fiind utilizate n proporie de max. 10-15%.
- echipa de auditori a constatat c listele generate n urma prelucrrilor pe un anumit computer
puteau fi vizualizate i modificate de pe toate celelalte computere din reea, accesul la ele nefiind
restricionat.
- n urma inventarierii interveniilor efectuate asupra computerelor, imprimantelor i
copiatoarelor aflate n cadrul biroului Multiplicare, s-a constatat c procedurile privind mentenana nu au
fost realizate cu respectarea specificaiilor productorului, de ctre personal autorizat, fapt ce a condus, n
majoritatea cazurilor, la pierderea garaniei, dar a fost afectat i performana echipamentelor respective.
- analiznd modul de soluionare a unui numr de 6 probleme de ordin tehnic aprute n cadrul
proceselor, echipa de auditori a constatat c au fost efectuate intervenii punctuale din partea personalului
specializat din cadrul departamentului IT al entitii, urmrindu-se strict remedierea respectivelor probleme
i fr a se avea n vedere etapele premergtoare apariiei problemei, cauzele i modul de propagare etc.
- Analiznd modul de efectuare a verificrilor asupra prelucrrilor, implementrii funciilor i
programelor, asupra modului de iniiere a unor proceduri sau a timpului de execuie, echipa de auditori a
constatat c o anumit parte din aceste verificri se realizeaz manual.
247
Pentru deficienele constatate s-a recomandat urmtoarele:
- implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor n funcie de
gradul de complexitate al operaiilor efectuate. Urmrirea n permanen a echilibrului ntre necesitile IT
i resursele alocate acestor scopuri.
- mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii sau accesului neautorizat.
- procedurile de mentenan a echipamentelor s fie realizate corect i la intervale de timp
stabilite n funcie de specificul fiecrei componente, numai de ctre personal autorizat n acest sens.
- constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea i rezolvarea
operativ a problemelor de ordin tehnic (Help Desk), care s asigure i acordarea suportului tehnic de
specialitate ctre utilizatori, fie prin linii telefonice dedicate, fie prin e-mail sau deplasri ale echipelor
specializate.
- elaborarea i implementarea unor programe care s automatizeze pe ct posibil verificrile
efectuate asupra operaiilor informatice.

administratorilor

3.1.3. Elaborarea planului anual de activitate
..
3.2. Managementul problemelor

Din analiz s-a constatat neaplicarea n mod unitar a politicii de securitate IT, care a condus la
infectarea cu virui a unor staii de lucru din sistemul IT al entitii publice. Astfel, echipa de auditori a
verificat 5 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat c n 2
departamente din cadrul entitii publice configuraia programului anti-virus pentru un numr de doua
calculatoare a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i,
n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece
se considera c programul anti-virus are un efect negativ asupra performanei sistemului. Urmare acestei
constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c
toate erau infectate cu virui.
Pentru deficienele constatate s-a recomandat constituirea unor echipe pentru efectuarea de
verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii publice, configurarea corecta n
cazurile n care aceste programe au fost dezactivate, stabilirea de responsabiliti n cazul n care acestea
sunt dezactivate i produc disfuncii n cadrul organizaiei.
Din analiza efectuat a rezultat c, subsistemele IT nu au fost realizate la termenele stabilite. Astfel,
analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i aprobat, a pus n evidenta faptul
ca termenele stabilite pentru implementarea programelor nu sunt respectate, iar departamentele ce ar trebui
s utilizeze deja noile aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte
departamente care au nevoie de aceste informaii i unde funcioneaz deja de programe performante.
Resursele financiare alocate pentru implementarea acestor aplicaii n cadrul programelor deja
existente au fost utilizate pentru finalizarea unor aplicaii i programe deja ncepute i nefinalizate.
ntrzieri n realizarea activitilor planificate att n cadrul departamentului IT ct i n cadrul altor
departamente, deoarece datele i informaiile sunt reluate i introduse manual.
Pentru deficienele constatate s-a recomandat analiza tuturor aplicaiilor i programelor ncepute i
nefinalizate, identificarea resurselor financiare necesare pentru finalizarea acestora, stabilirea de termene
de finalizare i urmrirea respectrii acestora. Noile aplicaii i programe vor fi aprobate i achiziionate
numai dac sunt compatibile cu cele deja implementate sau aflate n faza de implementare i numai dac
exista resursele necesare aprobate prin buget.
248
3.3. Funcionalitatea Departamentului IT
.

.
3.4. Mentenana echipamentelor
3.4.1. ntreinerea calculatorului i a echipamentelor

.
3.5. Utilizarea echipamentelor
3.5.1. Realizarea eficient a operaiilor n cadrul Departamentului IT

.

.

Din evaluare, auditorii interni au mai constatat c nu exist un sistem de controale generale care s fie
avute n vedere n cadrul procesului de proiectare, realizare, testare i implementare a tuturor subsistemelor
IT ce ruleaz pe echipamentele entitii publice, astfel:
- Controlul pe parcursul procesrii datelor i rapoartele produse n caz de nerealizarea procesrii
(ntreruperi, transfer);
- Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c aceste date sunt
complete;
Pentru deficienele constatate s-a recomandat identificarea riscurilor care guverneaz toate
subsistemele IT, stabilirea controalelor interne care ar trebui s existe pentru ca acestea s funcioneze
corect, urmrirea controalelor interne care exist i funcioneaz, identificarea i implementarea de
instrumente de control pentru controalele interne care nu sunt implementate sau nu funcioneaz.
4. SECURITATEA INFORMAIEI
4.1. Organizarea securitii informaiilor


.
4.1.3. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatorii

autorizai
.
249
4.2. Disponibilitatea datelor

.


4.3. Asigurarea funcionrii programelor i aplicaiilor
4.3.1. Asigurarea introducerii corecte a datelor

..

4.3.3. Asigurarea securitii datelor i documentelor

PROBLEMA
Din analiza efectuat s-a constatat c la nivelul Departamentului IT nu se respect procedurile
specifice privind asigurarea securitii reelelor, astfel:
- la nivelul departamentului IT au fost ntocmite hri privind infrastructura reelelor IT, ns una
din cele 3 hri cuprinse n eantion nu fusese actualizat, astfel nct aplicaiile copiate pe un numr de 4
sisteme nu au fost protejate prin intermediul programelor antivirus. De asemenea, aplicaiile contabile au
fost copiate de pe unul din calculatoarele existente, fr a se proceda la instalarea acestora de ctre
personalul specializat din cadrul departamentului IT, ocazie cu care nu au putut fi asigurata integritatea
tuturor modulelor.
- dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n
parte, n ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei
acestora n vederea alocrii corespunztoare a resurselor de securitate.
- la nivelul entitii s-a procedat la identificarea i nlturarea celor mai critice vulnerabiliti ale
reelelor, ns nu a fost avut n vedere un sistem de management al vulnerabilitilor, la cel mai profund
nivel, actualizat, care s permit identificarea precis i cuprinztoare a ultimilor vulnerabiliti ale
sistemului sau a greelilor de configurare, bazndu-se pe informaii precise i configuraii de sistem i de
reea adecvate.
- administratorii de sistem au procedat la ntocmirea de rapoarte care detaliaz nivelul critic al
vulnerabilitilor i au furnizat soluii de remediere ns informaiile nu au fost strnse, adaptate i prezentate
acelor persoane care decid asupra situaiei securitii n cadrul entitii publice. Astfel, conducerea entitii
nu a avut la dispoziie informaiile necesare cuantificrii efortului necesar pentru asigurarea securitii
reelelor.
Pentru remedierea deficienelor constatate au fost formulate urmtoarele recomandri:
1. Implementarea procedurilor operaionale de lucru cu elemente care s asigure actualizarea n
timp util a situaiilor privind reelele IT; Tratarea securitii reelelor ca pe un proces continuu, astfel nct
schimbrile n cadrul utilizatorilor, echipamentelor sau aplicaiilor s se realizeze evitnd expunerile la
riscuri;
2. Prioritizare i a aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii
corespunztoare a msurilor de securitate, avnd n vedere c acestea necesit de cele mai multe ori resurse
considerabile, care trebuie s fie direct proporionale cu valoarea datelor sau echipamentelor de protejat;
3. Implementarea unui sistem de management al vulnerabilitilor, care s identifice precis,
cuprinztor i actualizat la zi, ultimele vulnerabiliti ale sistemului sau a greelilor de configurare.
4. Toate rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie
corelate i aduse la cunotina conducerii entitii publice.
250
4.4. Implementarea instrumentelor de control
4.4.1. Accesul la aplicaie este oferit pe baza necesitilor utilizatorului

Posturile de lucru dotate cu computer nu sunt evideniate la nivelul Departamentului IT,
neasigurndu-se o intervenie prompt i rapid, iar securitatea datelor i informaiilor nu este asigurat pe
baza unui sistem de autorizare a accesului i unui sistem adecvat de parole.
La nivelul entitii au fost elaborate hari privind reele informatice existente. n acest sens, au fost
stabilite locaiile serverelor, sistemelor desktop, sistemelor laptop, a routerelor, a punctelor de acces, a
imprimantelor i a celorlalte dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului
de management al securitii reelelor din cadrul entitii.
Analiza celor 3 reele care a constituit eantionul, a pus n eviden faptul c pentru dou reele
hrile erau corespunztoare, ns referitor la reeaua care deservea direcia general buget-finane s-a
constatat c, au fost achiziionate i conectate 4 noi computere i o imprimant de reea, toate deservite prin
De asemenea, pe cele 3 computere au fost copiate aplicaiile contabile utilizate la nivelul direciei,
fr a fi luate msuri pentru asigurarea securitii datelor i informaiilor prin controlarea accesului i
implementarea de programe antivirus adecvate.
La nivelul departamentului IT exist o clasificare a sistemelor hardware, n funcie de importana
fiecrei categorii pentru buna desfurare a activitii n cadrul entitii. n acest sens, dispozitivele din reea
au fost grupate n funcie de prioriti, de la sisteme cu importan redus, cum sunt sistemele de test sau
care sunt folosite independent pentru asigurarea funciilor mai puin importante ale entitii i sistemele de
importan medie, cum sunt sistemele laptop folosite de unii angajai n cadrul delegaiilor sau pentru lucrul
acas, la sisteme de importan major pentru asigurarea continuitii activitilor organizaiei, cum ar fi
sistemele care gestioneaz bazele de date, serverele care deservesc compartimentele cheie ale entitii
(tranzacii, operaiuni financiare etc.).
Dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n parte, n
ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei acestora n
vederea alocrii corespunztoare a resurselor de securitate. Ex. - aplicaia informatic utilizat la nivelul
serviciului secretariat pentru urmrirea circuitului documentelor beneficiaz de aceleai msuri de securitate
ca i sistemul integrat privind conducerea organizaiei.
Administratorii de reea au procedat la ntocmirea de rapoarte prin care detaliaz nivelul
vulnerabilitilor i furnizeaz soluii de remediere, ns informaiile nu sunt adaptate i prezentate
persoanelor cu responsabiliti decizionale asupra securitii informaionale.
Recomandrile formulate au fcut referire la prioritizarea aplicaiilor informatice, n funcie de
importana acestora, n vederea alocrii corespunztoare a msurilor de securitate i tratarea securitii
reelelor ca pe un proces continuu. Implementarea unui sistem de management al vulnerabilitilor, care s
identifice vulnerabilitile i greelile de configurare i s dispun msurile operative de soluionare.
Rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse
la cunotina conducerii organizaiei.
4.4.2. Introducerea instrumentelor de control fizic asupra echipamentelor IT al

aplicaiilor
Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea echipamentelor.
Din examinarea efectuata si observarea la fata locului s-a constatat unele disfuncii legate de accesul
necontrolat la cele trei locaii selectate att a persoanelor din cadrul altor departamente ct i a altor persoane
din afara entitii publice;
Totodat, dei au fost instalate camere de supraveghere, acestea nu sunt permanent monitorizate.
Deseori, camerele n care sunt localizate servere-le sunt lsate descuiate i nesupravegheate, dei sunt
echipate cu ncuietori adecvate;
La scoaterea echipamentelor din cadrul organizaiei nu exist obligativitatea prezentrii unei
autorizaii scrise.
Pentru deficienele constatate s-a recomandat introducerea de instrumente de control adecvate
astfel incit orice acces la echipamentele sau datele si informaiile organizaiei sa fie limitat, sau in cazurile
251
4.5. Securitatea reelei

4.6. Gestionarea parolelor
4.6.1. Utilizatori au parole de acces individuale

Inexistena unui sistem de stabilire de ctre fiecare utilizator a parolelor i a unui responsabil cu
verificarea schimbrii periodice a parolelor de acces.
Analiza interviului a scos n eviden, de asemenea, faptul c nu exist un sistem de securitate a
sistemului informatic i un responsabil cu administrarea acestui sistem.
Recomandarea s-a referit la schimbarea sistematic a parolelor de acces de ctre utilizatorii
sistemului informatic, precum i stabilirea unei persoane care s aib n responsabilitate atribuii i
competene de verificare a schimbrii periodice a parolelor de acces.

..


4.7. Securitatea logic
4.7.1. Asigurarea securitii funcionrii programelor i aplicaiilor

5. PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR
5.1. Proiectarea i elaborarea programelor i aplicaiilor
5.1.1. Achiziia programelor informatice

.
5.1.2. Proiectarea programului informatic

.
5.1.3. Elaborarea programului informatic

.
5.2. Testarea i implementarea programelor i aplicaiilor

5.2.2. Asigurarea corectitudini rezultatelor
Organizarea datelor i stocarea acestora nu asigur o utilizare i exploatare eficient a acestora.
Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor fiierului n secvena n
care au fost stocate sau pe baz unui cod de identificare care s permit regsirea rapid a nregistrrii.
252
Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de indeci care
pentru fiecare valoare atributului care permite identificarea n mod unic a unei nregistrri din fiier.
- redundan mare stocarea datelor n mai multe fiiere;
- acces dificil la date exploatarea multiutilizator a datelor necesit operaii suplimentare de
sortare, fuziune, ventilare;
- izolarea datelor imposibilitatea realizrii de programe pe calculator care s acceseze datele
ntr-o manier global;
- actualizarea datelor prin adugare, modificare, tergere genereaz erori atunci cnd mai muli
utilizatori doresc s modifice simultan aceleai date;
- dependena programelor fa de date modificrile din structura datelor oblig la efectuarea de
corecturi n programele de calculator;
- fiecare dat este descris independent n toate fiierele n care apar dac ntr-un fiier se
modific formatul i valoarea unei date, acea modificare nu se transmite automat, pentru aceeai dat, n
toate fiierele de date.
Pentru remedierea acestor deficiente s-a recomandat organizarea datelor n baze de date, respectiv
un fiier format din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare.
Pentru aceasta este necesar realizarea urmtoarelor: definirea, structurarea, ordonarea i gruparea datelor
n colecii de date omogene; stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre
coleciile de date, dup o ierarhie bine precizat, precum i memorarea datelor pe un suport informaional
prelucrabil ntr-un sistem de calcul.
6. ELABORAREA I IMPLEMENTAREA PROIECTELOR IT
6.1. Dezvoltarea proiectelor IT
6.1.1. Iniierea i elaborarea proiectelor IT

6.2. Implementarea i funcionarea programelor i aplicaiilor
6.2.1. Reproiectarea soluiilor IT pentru programe i aplicaii

.
6.2.2. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametri optimi
Din evaluarea realizat s-a constatat utilizarea n cadrul entitii publice a unor programe software fr
licen. Astfel, cu toate c entitatea public a achiziionat licene pentru pachetul de programe Lotus, s-au
constatat c n cadrul unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca
pentru acestea entitatea public s fi achiziionat licene. Practic salariaii au instalat programe utiliznd
CD-uri piratate.
La nivelul sistemului IT al entitii publice s-a constatat inexistena controalelor de sistem ce alerteaz
administratorul n cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene.
Pentru remedierea deficienelor constatate s-a recomandat inventarierea tuturor staiilor de lucru
pentru a stabili situaia real privind utilizarea programelor fr licen i dezinstalarea tuturor
programelor neliceniate din pachetul Microsoft Office. Totodat, s-a recomandat i realizarea unei analize
complexe n urma creia managementul entitii publice s decid asupra oportunitii schimbrii
programelor existente i achiziionarea unui numr adecvat de licene Microsoft Office.
7. PROIECTAREA, IMPLEMENTAREA I MENINEREA N FUNCIE A UNEI

REELE
7.1. Proiectarea, instalarea i administrarea reelei de calculatoare

253
7.1.1. Asigurarea bunei funcionri a sistemelor bazate pe existena i funcionarea
reelei de calculatoare
..

.
7.2. Interconectarea i securitatea reelei
7.2.1. Interconectarea reelelor

7.2.2. Proiectarea i asigurarea securitii reelei

Din evaluare s-a constatat neutilizarea unui singur nume de utilizator i unei singure parole pentru
accesul la sistemul IT, n condiiile n care majoritatea salariailor din cadrul entitii publice, prin natura
sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole
diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite:
nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de
subsistemul IT la care se conecteaz angajatul.
Pentru aceasta s-a recomandat realizarea unui proces de reenginering la nivelul sistemului IT din
cadrul entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un
singur nume de utilizator i o singur parol;
* *
*
Precizm faptul c, constatrile prezentate au la baz probe de audit, obinute pe baza testelor
efectuate, consemnate n documentele de lucru ntocmite de ctre echipa de auditori i nsuite de ctre
factorii de management ai entitii. Aceste evaluri au fost discutate i recomandrile auditorilor au fost
acceptate n edina de nchidere a misiunii i au fost apreciate de ctre participani ca fiind realiste i
fezabile.
Considerm c rezultatele evalurii auditorilor interni privind Activitatea IT se nscriu n parametri
normali pentru aceast perioad de consolidare a implementrii activitii de audit intern n cadrul entitilor.
De asemenea, prin implementarea recomandrilor echipei de auditori activitatea Direciei IT va cunoate o
ameliorare semnificativ.
Structura auditat are obligaia s respecte Programul de aciune i Calendarul implementrii
recomandrilor i s raporteze periodic echipei de auditori interni stadiul implementrii acestora.
Prezentul proiect de Raport de audit intern a fost ntocmit n baza tematicii n detaliu a obiectelor
auditabile selectate, a Programului de audit i a Programului de intervenie la faa locului, a constatrilor
efectuate n procedurile de colectare a dovezilor, din timpul interveniei pe teren, i s-au materializat n
elaborarea de FIAP-uri i FCRI-uri care au fost preluate n Raportul de audit intern.
Data: 18.10.2009
Auditori interni, Supervizor, Pentru conformitate,
Popescu Sorin Dumitru Daniel Director , Direcia IT

Radu George ..
254
Not:
Proiectul de raport de audit intern concretizeaz activitatea auditorilor interni prin prezentarea cadrului
general de desfurare a activitii entitii, obiectivelor, constatrilor, concluziilor i recomandrilor obinute n
urma misiunii realizate, ct i aria i metodologia de audit, tehnicile de colectare i de analiz a dovezilor de audit
utilizate.
La elaborarea Proiectului de raportul de audit intern, auditorul folosete dovezile de audit raportate n Fiele
de Identificare i Analiza a Problemelor i n Formularul de Constatare i Raportare a Iregularitilor i n celelalte
documente de lucru.
255
Procedura P14: REUNIUNEA DE CONCILIERE
Entitatea Public
Serviciul de audit public intern
MINUTA EDINEI DE CONCILIERE

A. Lista participanilor:
Direcia/ Nr.
Serviciul telefon
Dumitru Daniel Coordonator CAPI
Popescu Sorin Auditor SAPI
Radu George Auditor SAPI
Ptrulescu George Director DIT
Voiculescu Alin Sef STDAM
Boerescu Ilie Sef SCD
Teodorescu Rodica Sef SEE
Eleodor Darius Sef SAPP
Iordache Camelia Sef SRC
Pun Elena Sef SSD
Badea tefan Sef SAT
B. Stenograma edinei
n cadrul edinei de conciliere s-a discutat asupra constatrilor i recomandrilor cuprinse n proiectul
Raportului de audit, iar reprezentanii structurii auditate au reiterat o parte din problemele cu care se
confrunt i anume:
- lipsa fondurilor necesare privind achiziia de echipamente performante;
- programe i aplicaii vechi care se adapteaz foarte greu nevoilor actuale de lucru i necesitilor
utilizatorilor;
- personal insuficient;
- participarea foarte slab i restrns la instruiri, datorit lipsei resurselor financiare.
Cu privire la constatrile i recomandrile formulate, conducerea entitii a formulat un singur punct de
vedere, respectiv existena sistemului potrivit cruia fiecare utilizator poate stabili i introduce propria
parol, n vederea protejrii echipamentului i a aplicaiilor pe care le utilizeaz. n acelai timp exist
responsabilizat persoan care verific dac parolele de acces au fost schimbate periodic i au prezentat n
acest sens documente justificative.
Auditori interni au reinut acest aspect, au evaluat documentele prezentate i au concluzionat c
raportul de audit va fi revizuit n mod corespunztor referitor la aceast informaie, iar recomandarea i
termenele de implementare vor ine seama aciunile planificate de entitate pentru implementarea acestui
program.
Pentru implementarea recomandrilor i remedierea problemelor constatate structura auditat a ntocmit
256
i ne-a prezentat planul de aciune i calendarul de implementare al recomandrilor, prin care s-au stabilit
persoanele responsabile pentru implementare, etapele i termenele de realizare.
Pentru toate celelalte constatri, structura auditat nu a formulat obiecii fiind de acord cu acestea,
recunoscnd deficienele din activitatea specific.
Not:
Scopul edinei de conciliere este de a analiza constatrile i concluziile i de a valida definitiv recomandrile i planul
de aciune elaborat pentru implementarea acestora, modalitile de punere n practic, responsabilii i calendarul de
implementare.
Participani vor fi persoanele prezente la edina de nchidere, conductorul structurii auditate i persoanele
responsabile cu punerea n practic a aciunilor stabilite.
edina de conciliere trebuie organizat n termen de 10 zile de la data primirii punctului de vedere al auditatului.
257
258
Procedura ELABORARE RAPORT DE AUDIT INTERN
Entitatea Public
RAPORT DE AUDIT INTERN
ACTIVITATEA IT
BUCURETI
2009
259
CAPITOLUL I
DATE DE IDENTIFICARE A MISIUNII DE AUDIT INTERN
Echipa de auditare - a fost format din:

Ordinul de efectuare a misiunii de audit - auditarea activitilor cuprinse n Planul de audit intern pe anul
2010, s-a fcut n baza Ordinului de serviciu nr. 11/12.08.2009.
Baza legal a aciunii de auditare:

Planul de audit intern pentru anul 2009, aprobat de conducerea entitii publice;
Legea nr. 672/2002 privind auditul public intern;
OMFP nr. 38/15.01.2003 pentru aprobarea Normelor generale de privind exercitarea activitii
de audit public intern.
Normele proprii de audit public intern ale entitii, avizate i aprobate de conducere, privind
exercitarea activitii de audit intern n cadrul entitii.
Durata misiunii de audit: 01.09.2009 20.10.2009.
Scopul aciunii de auditare const n:

- asigurarea conducerii asupra funcionrii echipamentelor, aplicaiilor i programelor n
concordan cu cerinele stabilite;
- asigurarea aplicrii corecte a msurilor de testarea i implementarea noilor aplicaii, de a soluiona
problemele aprute n funcionarea aplicaiilor.
Obiectivele aciunii de auditare au urmrit:

Tipul de auditare - audit de conformitate/regularitate.

Tehnici de audit intern utilizate:
- verificarea se realizeaz n vederea asigurrii validitii, realitii i acurateei nregistrrilor n
contabilitate a documentelor i a concordanei cu legile i regulamentele n vigoare, precum i a eficacitii
controlului intern prin cu ajutorul urmtoarele tehnici de verificare:
a) comparaia: pentru confirmarea identitii unor informaii, dup obinerea lor din dou sau
mai multe surse diferite;
b) examinarea: pentru detectarea erorilor i/sau iregularitilor;
c) recalcularea: verificarea algoritmilor de calcul i a calculelor matematice;
d) punerea de acord: pentru realizarea procesului de potrivire a doua categorii diferite de
nregistrri;
e) confirmarea: pentru solicitarea informaiilor din mai multe surse independente cu scopul
validrii acestora;
f) garantarea: pentru verificarea realitii tranzaciilor nregistrate pornind de la examinarea
260
nregistrrilor spre documentele justificative;
g) urmrirea: pentru verificarea modului n care au fost elaborate procedurile, pentru
verificarea documentelor justificative spre articolul contabil n vederea verificrii dac toate operaiunile au
fost nregistrate.
- observarea fizic: const n urmrirea unui proces sau a unei proceduri, prin care auditorul i
formeaz o imagine de ansamblu asupra structurii auditate;
- interviul, notele de relaii: se realizeaz de ctre auditorii interni prin intervievarea persoanelor
auditate, implicate i interesate i informaiile primite, care trebuie s fie susinute de documente. Pentru
eventualele explicaii suplimentare se solicit note de relaii;
- analiza: const n descompunerea unei entiti n elemente, care pot fi izolate, identificate,
cuantificate i msurate distinct.
Instrumentele de audit intern utilizate:

- Chestionarul de luare la cunotin - CLC: pentru obinerea unor informaii referitoare la
contextul socio-economic, organizare intern, funcionarea entitii/structurii auditate;
- Chestionarul de control intern - CCI: orienteaz auditorii interni n activitatea de
identificare obiectiv a disfunciunilor i cauzelor reale ale acestora. Acesta a fost utilizat pentru evaluarea
instrumentelor de control existente, mpreun cu alte informaii relevante pentru audit, pe parcursul
desfurrii misiunii de audit intern;
- List de verificare - LV: pentru stabilirea condiiilor de regularitate pe care trebuie s le
ndeplineasc fiecare domeniu auditabil. Cuprinde un set de operaii ce trebuie parcurse de auditor pentru a
analiza activitile de control intern ncorporate n proceduri, existena responsabilitilor pentru efectuarea
acestora i permite stabilirea testelor de conformitate atunci cnd sunt semnalate diferite disfuncionaliti;
- Fia de identificare i analiz a problemelor FIAP: ntocmit pentru fiecare
disfuncionalitate constatat;
- Formularul de constatare i raportare a iregularitilor FCRI: ntocmit cu scopul de a
informa conducerea direciei cu privire la iregularitatea constat.
Documente i materiale examinate n cadrul Direciei IT - verificarea la faa locului a vizat

documentaia aferent perioadei auditate, respectiv 01.01.2008 30.06.2009, care a cuprins urmtoarele:
- legi i regulamente aplicabile structurii auditate;
- strategia n domeniul IT;
- organigrama Direciei IT;
- Regulamentul de Organizare i Funcionare;
- Fiele posturilor;
- Proceduri operaionale de lucru;
- Rapoarte de evaluare;
- Liste de achiziii n domeniul IT;
- aplicaii informatic;
- programe informatice achiziionate;
- Planul privind continuitatea activitilor, etc.
Documente i materiale ntocmite pe timpul auditrii:

- documentaia aferent analizei riscurilor;
- tabelul puncte tari i puncte slabe;
- tematica n detaliu a misiunii de audit intern;
- programul de audit intern;
- liste de verificare structurate pe obiective;
- foi de lucru pentru stabilirea eantioanelor;
- chestionare de control intern;
- teste;
- liste de control;
- fie de identificare i analiz a problemelor constatate - FIAP-uri;
- formulare de constatare i raportare a iregularitilor - FCRI-uri;
- proiectul raportul de audit intern;
261
- minutele edinelor de deschidere, de nchidere i de conciliere;
- Raportul de audit intern;
- planul de aciune i calendarul de implementare a recomandrilor;
- fia de urmrire a implementrilor recomandrilor.
- foi de lucru privind descrierea activitilor auditate;
- documente de lucru;
- note de relaii;
- interviuri.
Organizarea Direciei IT
Direcia IT a funcionat n perioada supus auditrii cu un numr de 32 salariai, din care un 4
posturi de conducere un director, i 4 efi de serviciu. Organizarea i funcionarea direciei se desfoar
conform organigramei i Regulamentului de organizare i funcionare.
Pentru toi salariaii au fost ntocmite fie ale posturilor prin care s-au stabilit relaiile ierarhice de
subordonare i de colaborare, precum i sarcinile de serviciu.
II. CONSTATRI
II. CONSTATRI I RECOMANDRI
Prezentam principalele constatri, consecinele care s-au produs sau care ar putea sa apar n
perioada imediat urmtoare, precum i recomandrile formulate n vederea corectrii disfuncionalitilor
semnalate sau ale celor care pot s survin, diminurii riscurilor existente i mbuntirii sistemelor de
management i control intern al activitilor auditate cu scopul facilitrii atingerii obiectivelor prestabilite.
Obiectivul I.
1. STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE
1.1. Strategia IT este concordan cu scopurile organizaiei
1.1.1. Strategia IT definete necesitile i prioritile
Nerealizarea n termen a procedurilor de achiziie i implementare a programelor i aplicaiilor

informatice.
Cu privire la armonizarea strategiei n domeniul IT cu strategia entitii, s-a constatat c aceasta deriv
i este elaborat n conformitate cu direciile i principiile de dezvoltare ale entitii, contribuie la
dezvoltarea i eficientizarea activitilor entitii i prin implementare se urmrete realizarea unui sistem
informatic integrat, care s asigure integrarea tuturor informaiilor i datelor la nivelul entitii, respectiv
juridice, economice, comerciale, tehnice, financiar-contabile, de personal, sociale i patrimoniale.
Din analiza atribuiilor stabilite Comisiei numit la nivelul entitii cu responsabiliti n domeniul
dezvoltrii IT, s-a constatat c acestea sunt, n general, de natur metodologic, respectiv planificarea i
elaborarea strategiei n domeniul IT i armonizarea acesteia cu strategia i mandatul entitii. Totui, aceast
comisie are i atribuii cu privire la monitorizarea activitilor privind implementarea strategiei, ns analiza
realizrii acestor activiti este rezumat doar la raportrile periodice realizate de departamentul IT, cu
privire la stadiul implementrii proiectelor IT. Limitarea exercitrii acestor atribuii, doar la analiza
raportrilor efectuate de departamentul IT, fr o evaluare fizic, din partea comisiei, a modului de
implementare a programelor informatice, conduce la formularea unor constatri i concluzii insuficiente,
care au influen n decizia managerial i dezvoltarea strategic.
Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu responsabiliti n dezvoltarea
IT, a direciilor de aciune strategice i a deciziilor luate n vederea implementrii strategiei a pus n eviden
unele disfuncionaliti, legate de faptul c anumite proiecte de dezvoltare IT derulate n cadrul entitii nu
au fost supuse analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei au
262
privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul entitii, ns potrivit
proceselor verbale ntocmite n urma edinelor, a rezultat c discuiile s-au derulat doar cu privire la
proiectele pentru care au fost naintate de ctre departamentul IT, rapoarte privind stadiul implementrii,
astfel c propunerile formulate de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea
n urma examinrii i analizelor efectuate s-a constatat c anumite proiecte nu au fost implementate sau sunt
ntrzieri n implementarea acestora, respectiv:
a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei, inclusiv stadiul
soluionrii lor, a fost aprobat a fi implementat, inclusiv au fost asigurate resursele financiare nc din
cursul anului anterior, dar pn n prezent nu s-a realizat nici o procedur legat de stabilire a condiiilor
tehnice ale aplicaiei, demararea aciunilor de realizare a caietului de sarcini, sau a procedurilor de realizare
a achiziiei, cu toate c prin buget au fost alocate fondurile necesare.
Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii entitii, a rezultat c acest
program informatic nu a fost demarat, deoarece la nivelul departamentului IT nu existau specialiti n
testarea i implementarea programului, iar fondurile aprobate permiteau doar achiziia aplicaiei.
n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de implementare a
proiectelor, greutile ntmpinate se puteau cunoate i se puteau gsi soluiile necesare, respectiv, n acest
caz a condiiilor de pregtire a personalului n vederea utilizrii programului informatic.
b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea datelor la nivelul
organizaiei, a fost raportat stadiul de implementare la comisie, ns nu i termenele de realizare. n urma
evalurii s-a constatat c au fost demarate procedurile pentru achiziia acestuia, ns pn n prezent acestea
s-au limitat la studiul pieei i alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va
putea fi realizat n timp util. Aceasta va avea consecine negative n implementarea altor aplicaii, care au
legtur cu acesta, n acest sens va trebui decalat termenul de ncepere a procedurilor privind implementarea
proiectului Crearea unei structuri IT care s permit urmrirea circuitului unui document, stadiul de
realizare i persoanele care au intervenit asupra acestuia, autorizarea pe niveluri ierarhice prestabilite.
ntrzierea implementrii acestui program a determinat decalarea termenul planificat a obiectivului strategic
Pentru deficienele constatate s-a recomanda reanalizarea atribuiilor Comisiei de planificare
strategic n domeniul IT i redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii
Referitor la nerespectarea procedurii de elaborare i fundamentare a strategiei i a politicilor de

dezvoltare s-a constat, din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat
urmtoarele etape:
i) stabilirea rolului IT n cadrul organizaiei, fiind identificat i definit importana acesteia;
j) definirea misiunii structurii funcionale n concordan cu obiectivele strategice i direciile de
aciune stabilite la nivelul organizaiei;
k) identificarea i proveniena resurselor financiare, materiale i umane necesare aplicrii i
implementrii strategiei;
l) implementarea strategiei, fiind fixate termenele necesare atingerii obiectivelor n raport cu care
se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n
vedere urmtoarelor etape:
g) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv orientarea activitii pentru o
anumit perioad, prin strategie, presupune ca, n prealabil, s fie cunoscut situaia actual, pe baza unei
analize diagnostic, pentru a avea o imagine ct mai complet asupra domeniului de activitate al organizaiei.
Analiza diagnostic trebuia elaborat n baza unor studii privind potenialului intern, folosind metode
statistice, matematice, analiza pe baz de bilan etc. care s surprind evoluia proceselor i fenomenelor
specifice domeniului de activitate. Informaiile de intrare nu fac referire la aspecte cum sunt: dimensiunea
structurii funcionale, resursele umane, nzestrarea tehnic, managementul utilizat;
h) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea determinrii
ameninrilor i oportunitilor cu care se confrunt entitatea;
i) Fundamentarea variantelor strategice obiectivele strategice stabilite pentru IT nu au fost
implic fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc
asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Totodat, trebuie
263
avuta n vedere compatibilitatea variantei strategice elaborata teoretic cu realitatea i modul n care s-a
reuit surprinderea aciunii factorilor de influenta.
Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize diagnostic, astfel nct s
putem avea o imagine ct mai completa asupra organizaiei, asupra rezultatelor pe care i-a propus s le
obin, a potenialului su financiar, ct i a importanei n cadrul realizrii programului de guvernare.
Totodat nu au fost identificate nici punctele tari i punctele slabe n vederea determinrii
ameninrilor i oportunitilor cu care se confrunt entitatea.
De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul strategiei, nu au fost
implica fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc
asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Pentru deficienele constatate s-a recomandat pregtirea profesional anticipat a personalului implicat
n elaborarea strategiei, de ctre managementul responsabil cu aceasta. Reanalizarea strategiei definite la
nivelul structurii funcionale n conformitate cu procedura operaional aprobat i actualizarea acesteia
astfel nct implementarea sa s contribuie la realizarea unui management modern in domeniul de activitate
i la atingerea obiectivelor strategice ale organizaiei.
n acelai timp s-a mai recomandat mbuntirea procedurilor operaionale de lucru privind sistemul
de fundamentare a necesarului de resurse pentru elaborarea strategiei.
Referitor la faptul c obiectivelor strategice nu asigur acoperirea domeniului de activitate al structurii

funcionale i nu contribuie la asigurarea realizrii mandatului organizaiei s-a constat c acestea reprezint
exprimrile cantitative i calitative ale scopului pentru care exist i funcioneaz organizaia.
n acelai timp din analiza modului de definire i stabilire a obiectivelor strategice s-a constatat c
acestea nu ntrunesc urmtoarele caracteristici definitorii:
- nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile efective de realizare de care
dispune organizaia n condiiile actuale;
- nu sunt mobilizatoare i nu implic eforturi de autodepire din partea salariailor;
- nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier care s permit nelegerea
coninutului lor de ctre salariai;
- nu sunt antrenante i nu asigur o abordare sistemic a intereselor organizaiei i componentelor sale
organizatorice ntr-o viziune optimizant pe termen mediu i lung.
Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de natura sa (economic,
tehnic), deoarece aceste obiective reprezint punctul de plecare n conturarea unui sistem unitar de
obiective ce vizeaz toate componentele procesuale i structurale ale organizaiei.
Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect modaliti i opiuni de
realizare care condiioneaz decisiv coninutul i funcionalitatea strategiei, ceea ce impune ca la
implementarea lor s se ia n considerare principalele variabile exogene ce influeneaz comportamentul
economic i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare.
La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu s-a realizat o
dimensionare corect a fondurilor de investiii i a mijloacelor circulante pe baza unor indicatori specifici,
cantitativi i calitativi.
De asemenea, nu n toate situaiile, personalului i-au fost asigurate condiiile de instruire pentru
dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor individuale pentru a contribui astfel, n
condiii de performan, la obinerea impactului definit de obiectivele strategice.
Pentru deficienele constatate s-a recomandat evaluarea performanelor actuale ale sistemului de
organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont de influena
factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea
Totodat, la redefinirea acestora se va urmri asigurarea resurselor necesare implementrii lor.
1.2. Planurile IT se adreseaz ntregii organizaii
1.2.1. Planurile IT ajut la ndeplinirea misiunii organizaiei

Resursele nu sunt fundamentate corect n vederea implementrii planului anual de activitate.
Din analiz s-a constatat c eforturile pentru elaborarea planului anual de activitate implic alocarea
264
de fonduri i resurse ridicate din partea organizaiei care, n cele mai multe din cazuri, nu au ca referin
atingerea scopului fundamental al acesteia.
n acelai timp, activitile considerate prioritare ale planului anual nu au fost realizate sau
implementate n totalitate, n mod corespunztor, deoarece nu au fost reanalizate i repartizate atribuiile n
cadrul compartimentelor n corelaie cu noile obiective i activiti stabilite n cadrul planului. Aceasta a
nsemnat c, n unele cazuri, obiectivele i activitile dei erau cunoscute de personal, acesta nu avea
competena necesar, n special a celor care erau realizate n colaborare cu alte structuri funcionale, ceea ce
a necesitat solicitarea unor competene pentru realizarea acestora, proces care a ngreunat implementarea
n alte cazuri, activitile nu au fost comunicate salariailor, respectiv obiectivele individuale au rmas
Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i
organizatorice, pentru creterea eficienei i reducerea costurilor, a presupus definirea n cadrul planului
anual a unor asemenea obiective i activiti, ns pentru implementarea acestora nu a fost corelat necesarul
de mijloace i echipamente cu necesitile pentru atingerea obiectivelor planului.
n cadrul planului reducerea costurilor a fost definit i prin reducerea personalului, prin care s-au
pierdut o serie de competene care, din motive financiare, nu au fost nlocuite, prin dezvoltarea altor
angajai, ceea ce a condus la realizarea activitilor, dar nu au fost atinse condiiile de performan stabilite.
Monitorizarea resursele financiare utilizate n derulare obiectivelor planului anual a fost de multe ori
deficitar, ceea ce a contribuit la realizarea de costuri suplimentare fa de cele planificate pentru
implementarea obiectivelor stabilite.
n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de cunoatere a
normelor, legislaiei i metodologiei n domeniile de activitate, a diferitelor culturi din cadrul organizaiei,
importana obiectivelor stabilite spre ndeplinire i modul cum acestea contribuie la atingerea obiectivelor
generale i a obiectivelor strategice, i nelegerea comportamentului competitiv ca un sistem n care oamenii
i resursele interacioneaz continuu.
Activitile considerate prioritare ale planului anual nu au fost realizate sau implementate
corespunztor deoarece nu s-au reanalizat i repartizat atribuiile compartimentelor pentru a asigura
competena necesar realizrii obiectivelor i activitilor stabilite n cadrul planului.
De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale care deriv din
noile obiective stabilite n cadrul planului de activitate i care se aflau n competena compartimentului
funcional.
Definirea n cadrul planului anual a obiectivelor i activitilor s-a realizat fr s se asigure: nevoia de
mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i
organizatorice;creterea eficienei i reducerea costurilor; corelarea necesarul de echipamente cu necesitile
de atingere a obiectivelor planului.
Pentru deficientele constatate s-a recomandat dezvoltarea unui sistem de instruire i pregtire a
salariailor astfel nct metodologia specific domeniului de activitate, normativ i procedural, s fie
aplicat corespunztor pentru dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate
s se identifice toate atribuiile necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate
corespunztor n cadrul compartimentelor.
Totodat, s-a mai recomandat promovarea dezvoltrii resurselor umane pentru a obine competenele
necesare creterii economice n condiiile n care au loc reduceri de personal, precum i evaluarea
cuprinztoare a resurselor (financiare, instituionale, programe, personal) necesare implementrii
planurilor anuale de activitate i monitorizarea eficient pentru a se asigura ncadrarea n limitele stabilite.
1.2.2. Planurile IT ofer asigurare cu privire la faptul c resursele IT sunt

alocate n concordan cu necesitile
Unele departamente din cadrul entitii nu dispun de subsisteme IT specifice activitilor care se
Din analiz s-a constatat c n cadrul entitii publice exist structuri nou-nfiinate ca urmare a
recomandrilor Comisiei Europene i a schimbrilor legislative, care nu au notificat departamentul IT n
privina nevoilor lor de aplicaii informatice specifice. n acelai timp, s-au constatat i departamente nou
nfiinate care i-au exprimat nevoile pentru realizarea subsistemelor IT specifice activitii lor, dar care nu
265
au beneficiat de implementarea acestora, conform planificrii, datorit ntrzierilor n realizarea achiziiilor.
Pentru deficienele constatate s-a recomandat coroborarea atribuiilor prezentate prin proceduri cu
cele stabilite prin fiele posturilor i inventarierea stadiului implementrii subsistemelor IT la nivelul
departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT.
1.3. Obiectivele IT ndeplinesc obiectivele organizaiei
1.3.1. Strategia IT este concordant cu scopurile organizaiei

1.4. Comitetul IT determin strategia IT
1.4.1. Comitetul IT transpune strategia n planuri pe termen scurt i pe

termen mediu
.
1.4.2. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea

sistemelor i activitilor realizate
.
1.5. Organizarea IT corespunde necesitilor organizaiei
1.5.1. Organizarea adecvat a funciei IT

1.5.2. Adecvarea practicilor i procedurilor IT la procesele existente

..
1.6. Elaborarea strategiei IT corespunde strategiei entitii
1.6.1. Dotarea actual cu tehnic de calcul a stat la baza strategiei IT

..
2. ORGANIYAREA I FUNCIONAREA DEPARTAMENTULUI IT
2.1. Definirea atribuiilor i activitilor
2.1.1. Definirea atribuiilor i responsabilitilor n cadrul Departamentului IT

Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur ntotdeauna aria de
competen privind realizarea activitilor i aciunilor repartizate.
Atribuiile definite in sarcina salariailor nu sunt ntotdeauna conforme i nu asigur competena de
realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul general, nu indic, prin
modul de formulare o aciune, nu asigur un coninut clar, fiind definite sub forma unei relaii funcionale
sau avnd caracter de activitate.
n acest sens s-a recomandat contientizarea managementului responsabil cu procesul de stabilire
i definire a atribuiilor prin informri i consilieri pentru clarificarea modalitilor practice de definire a
unei atribuii sau unui set de atribuii pentru asigurarea ariei de competen necesar pentru realizarea
activitilor.

266
Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea complexitii
acestora nu se realizeaz n funcie de nivelurile de calificare ale posturilor existente.
La definirea activitilor se are n vedere complexitatea acestora, respectiv gradul de difereniere a
muncii pe orizontal i pe vertical. Diferenierea pe orizontal const n numrul de activiti (specializri)
i de subuniti funcionale (birouri, servicii). Diferenierea pe vertical se refer la numrul de niveluri
Analiza coninutului i modului de definire a activitilor necesare pentru realizarea fiecrui obiectiv
specific a pus n eviden urmtoarele:
unele activiti sunt definite sub forma unor relaii de colaborare care fie nu indic aciuni
concrete de realizare a acestora, fie indic o aciune comun de realizare;
altele sunt definite sub forma unor relaii de colaborare, n condiiile n care sunt exercitate
aciuni concrete de realizare i pentru care exist rezultate ateptate stabilite;
nu sunt identificate toate activitile care contribuie la realizarea obiectivelor specifice i care
asigur conformitatea cu reglementrile legale.
Prin modul de organizare a activitilor structurilor organizatorice ale direciei nu se asigur evitarea
dublrii aciunilor, respectiv exist activiti identice sau similare, desfurate de mai multe departamente i
probleme semnificative de suprapunere i de coordonare.
De asemenea, pentru realizarea unor activiti, nu se respect principiul convergenei n definirea i
stabilirea coninutului activitilor care sunt necesare pentru realizarea unui obiectiv.
Pentru reglementarea deficienelor constatate s-a recomandat realizarea unei analize riguroase a
sarcinilor i responsabilitilor fiecrui angajat, care s stea la baza oricrei iniiative de organizare a
activitii. Constituirea unei echipe, pe baza deciziei managementului general, care s analizeze i s
redefineasc activitile i aciunile realizate n cadrul compartimentelor i serviciilor, astfel nct s se
asigure c obiectivele vor fi realizate n totalitate.
La stabilirea obiectivelor se va urmri dac sunt ataate toate activitile necesare obinerii
rezultatelor stabilite, realizate efectiv n cadrul compartimentului, formulate ca aciuni concrete.
2.2. Stabilirea structurii organizatorice

Organigrama ca document prin care se relev grafic structura organizaiei i substructurile acesteia
nu pune n eviden organizarea i funcionarea departamentului. Compartimentele aflate n subordinea
departamentului nu sunt nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de
Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de evitare a suprapunerilor
de competene. Astfel, cu privire la raporturile de subordonare, potrivit organigramei, Serviciul Programare
este organizat sub forma unui compartiment care se afl n directa subordonare a directorului general adjunct
al departamentului, dar n realitate acest compartiment este organizat la nivel de serviciu i subordonat
directorul general. Postul de director general adjunct a fost desfiinat n anul 2008 urmare a reorganizrilor
efectuate.
Definirea relaiilor ierarhice aa cum a fost precizat mai sus, nu asigur o integrare corespunztoare
a departamentului n structura organizatoric a organizaiei i nu se asigur operativitatea fluxului de
informaii i date ntre structurile implicate n fluxul tehnologic al activitilor.
n structura organizatoric a departamentului, definit n cadrul organigramei, nu se precizeaz n
cadrul serviciilor numrul de posturi i responsabilii structurilor funcionale corespunztor fiecrui nivel
ierarhic i/sau cine coordoneaz aceste servicii i compartimente, ceea ce nu permite identificarea nivelurilor
i relaiilor ierarhice.
Pentru remedierea deficienelor constatate s-a recomandat analiza actului normativ de organizare
i funcionare a organizaiei i urmrirea atribuiilor definite departamentului astfel nct s acopere n
totalitate activitile desfurate.
Totodat, din evaluare s-a mai constat c persoanele responsabilizate n posturile de conducere nu au
coordonat n nici un fel activitile care erau realizate zilnic de ctre salariai, nu au ndrumat n nici un fel
salariaii cu privire la modul n care n care s realizeze activitile i nici nu au realizat o monitorizare cu
privire la modul de realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat
267
Examinarea fielor posturilor pentru posturile de execuie ocupate de persoanele care au fost numite
cu delegaie n posturi de conducere s-a constatat c acestea nu prevedeau nici o aptitudine managerial.
Pentru aceste nereguli s-a recomandat desfurarea procesului de selecie i recrutarea n vederea
ocuprii posturilor de conducere existente la nivelul departamentului IT. n acelai timp se va urmri dac
persoanele selectate dein abilitile i aptitudinile manageriale necesare realizrii activitilor specifice
celor dou servicii i dac au pregtirea de baz, de nivel superior, n domeniul IT.

Departamentului IT
Din analiz s-a constatat c riscurile nu sunt identificate i gestionate la nivelul departamentului i nu
este condus Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, precum i instrumentele
de control intern implementate pentru limitarea acestora.
Pentru aceast deficien s-a recomandat elaborarea mecanismelor procedurale i metodologice
privind identificarea riscurilor i gestionarea acestora, evaluarea riscurilor identificate i diferenierea
acestora n riscuri inerente i riscuri acceptabile, precum i implementarea de instrumente de control
pentru riscurile inerente, astfel nct manifestarea acestora s fie limitat i nivelul acestora s devin unul
acceptabil.
Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate activitile de control ce
trebuie alocate n vederea atingerii obiectivelor.
Din analiza sistemului de control intern instituit la nivelul departamentului IT a rezultat c unele
activiti de control relevante nu au fost cuprinse n politicile i procedurile de control instituite, astfel:
- revizuiri ale performanei - aceste activiti de control trebuie s includ revizuiri i analize ale
performanei efective n comparaie cu bugetele, previziunile i performana perioadelor precedente;
- procesarea informaiilor acestea trebuie s includ cele dou grupri de activiti de control ale
sistemelor informaionale, respectiv controalele asupra aplicaiilor individuale i controalele generale asupra
tehnologiei informaiei, care sunt de fapt politici i proceduri care se refer la mai multe aplicaii i
contribuie la asigurarea funcionrii adecvate continue a sistemelor informaionale.
Anumite activiti de control care nu sunt de rutin i care depind de existena unor politici adecvate
stabilite de conducere sau de cei nsrcinai cu guvernana nu au o aprobare de la aceste niveluri i nici nu au
fost delegate n responsabilitatea unor posturi inferioare.
Pentru remedierea acestor deficiene s-a constatat stabilirea controalelor interne aferente riscurilor
identificate i determinarea gradului de funcionalitate al acestora i proiectarea de instrumente sau msuri
de introducere de controale interne, fie individuale, fie n combinaie cu alte controale, capabile s previn,
detecteze i s corecteze n mod eficient denaturrile semnificative.
n acelai timp din analiza efectuat a mai rezultat c la nivelul departamentului nu este organizat i
nu se conduce registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt identificate i nu sunt
monitorizate n vederea stpnirii i meninerii lor la un nivel acceptabil.
Pentru soluionarea acestei deficiene s-a recomandat instituirea i conducerea Registrului
2.3. Stabilirea responsabilitilor

Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se ine cont de
scopul postului i cunotinele de baz necesare pentru realizarea atribuiilor alocate acestuia. Din analiza
fielor posturilor s-a constatat c la concursul organizat pentru ocuparea postului respectiv poate participa
orice persoan care are o diplom, deoarece nu se specific tipul de studii i nivelul acestora, respectiv n
domeniul IT, studii superioare de lung durat absolvite cu diplom de licen etc.
La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui echilibru ntre sarcinile i
competenele titularului postului. Din analiza eantionului selectat a rezultat c pentru posturile cu un nivel
al studiilor medii sunt alocate aceleai atribuii i responsabiliti ca i pentru posturile cu un nivel al
268
studiilor superiore. Acestea creeaz probleme n gestionarea aplicaiilor i programelor, deoarece
persoanelor ncadrate n cadrul departamentului pe studii medii le-au fost date n responsabilitate ntreinerea
de aplicaii i programe complexe i chiar realizarea de astfel de aplicaii pentru organizaie, care necesit
cunotine IT de nivel superior i chiar anumite specializri.
Pentru aceasta s-a recomandat analiza sarcinilor i atribuiilor definite n fiele posturilor i
Totodat, atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme

i nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la
modul general, nu indic, prin modul de formulare, o aciune, nu asigura un coninut clar, fiind sub forma
unei relaii funcionale sau avnd caracter de activitate sau sarcin.
Nu sunt definite n cadrul ROF-ului la capitolul privind departamentul IT relaiile cu celelalte
structuri funcionale cu care are sau ar trebui s aib relaii funcionale, respectiv nu este definit relaia
funcional care reglementeaz asigurarea conformitii informaiilor cu privire la asistarea utilizatorilor n
realizarea activitilor de introducere a datelor i informaiilor n cadrul aplicaiilor i programelor derulate
la nivelul celorlalte departamente funcionale din cadrul organizaiei, precum i cu privire la asistarea n
utilizarea echipamentelor din dotare.
Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i posturile de execuie,
ci numai relaia ierarhic ntre posturile de conducere situate la niveluri ierarhice diferite din cadrul
departamentului IT.
n vederea remedierii acestor deficiene s-a recomandat identificarea i definirea corect n cadrul
documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor funcionale
pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei.
3. OPERAII ALE SISTEMULUI INFORMATIC
3.1. Managementul operaiunilor
3.1.1. Performana, capacitatea i disponibilitatea sistemelor informatice este

monitorizat de administratori
Existena unor controale interne slabe privind managementul operaiunilor IT, reflectate n disfuncii
legate de gestionarea acestora, astfel:
- n urma analizei modului de alocare i utilizare efectiv a resurselor IT disponibile, echipa de
auditori a constatat c unele departamente dispun de resurse insuficiente (departamentul IT), n timp ce
altele dispun de resurse excedentare (Direcia General de Investiii, Achiziii Publice i Servicii Interne),
fiind utilizate n proporie de max. 10-15%.
- echipa de auditori a constatat c listele generate n urma prelucrrilor pe un anumit computer
puteau fi vizualizate i modificate de pe toate celelalte computere din reea, accesul la ele nefiind
restricionat.
- n urma inventarierii interveniilor efectuate asupra computerelor, imprimantelor i
copiatoarelor aflate n cadrul biroului Multiplicare, s-a constatat c procedurile privind mentenana nu au
fost realizate cu respectarea specificaiilor productorului, de ctre personal autorizat, fapt ce a condus, n
majoritatea cazurilor, la pierderea garaniei, dar a fost afectat i performana echipamentelor respective.
- analiznd modul de soluionare a unui numr de 6 probleme de ordin tehnic aprute n cadrul
proceselor, echipa de auditori a constatat c au fost efectuate intervenii punctuale din partea personalului
specializat din cadrul departamentului IT al entitii, urmrindu-se strict remedierea respectivelor probleme
i fr a se avea n vedere etapele premergtoare apariiei problemei, cauzele i modul de propagare etc.
- Analiznd modul de efectuare a verificrilor asupra prelucrrilor, implementrii funciilor i
programelor, asupra modului de iniiere a unor proceduri sau a timpului de execuie, echipa de auditori a
constatat c o anumit parte din aceste verificri se realizeaz manual.
Pentru deficienele constatate s-a recomandat urmtoarele:
- implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor n funcie de
gradul de complexitate al operaiilor efectuate. Urmrirea n permanen a echilibrului ntre necesitile IT
i resursele alocate acestor scopuri.
269
- mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii sau accesului neautorizat.
- procedurile de mentenan a echipamentelor s fie realizate corect i la intervale de timp
stabilite n funcie de specificul fiecrei componente, numai de ctre personal autorizat n acest sens.
- constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea i rezolvarea
operativ a problemelor de ordin tehnic (Help Desk), care s asigure i acordarea suportului tehnic de
specializate.
- elaborarea i implementarea unor programe care s automatizeze pe ct posibil verificrile
efectuate asupra operaiilor informatice.

administratorilor

3.1.3. Elaborarea planului anual de activitate
..
3.2. Managementul problemelor

Din analiz s-a constatat neaplicarea n mod unitar a politicii de securitate IT, care a condus la
infectarea cu virui a unor staii de lucru din sistemul IT al entitii publice. Astfel, echipa de auditori a
verificat 5 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat c n 2
departamente din cadrul entitii publice configuraia programului anti-virus pentru un numr de doua
calculatoare a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i,
n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece
se considera c programul anti-virus are un efect negativ asupra performanei sistemului. Urmare acestei
constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c
toate erau infectate cu virui.
Pentru deficienele constatate s-a recomandat constituirea unor echipe pentru efectuarea de
Din analiza efectuat a rezultat c, subsistemele IT nu au fost realizate la termenele stabilite. Astfel,
analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i aprobat, a pus n evidenta faptul
ca termenele stabilite pentru implementarea programelor nu sunt respectate, iar departamentele ce ar trebui
s utilizeze deja noile aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte
departamente care au nevoie de aceste informaii i unde funcioneaz deja de programe performante.
Resursele financiare alocate pentru implementarea acestor aplicaii n cadrul programelor deja
existente au fost utilizate pentru finalizarea unor aplicaii i programe deja ncepute i nefinalizate.
ntrzieri n realizarea activitilor planificate att n cadrul departamentului IT ct i n cadrul altor
departamente, deoarece datele i informaiile sunt reluate i introduse manual.
Pentru deficienele constatate s-a recomandat analiza tuturor aplicaiilor i programelor ncepute i
nefinalizate, identificarea resurselor financiare necesare pentru finalizarea acestora, stabilirea de termene
de finalizare i urmrirea respectrii acestora. Noile aplicaii i programe vor fi aprobate i achiziionate
numai dac sunt compatibile cu cele deja implementate sau aflate n faza de implementare i numai dac
exista resursele necesare aprobate prin buget.
3.3. Funcionalitatea Departamentului IT

270
.

.
3.4. Mentenana echipamentelor

3.4.1. ntreinerea calculatorului i a echipamentelor

.
3.5. Utilizarea echipamentelor
3.5.1. Realizarea eficient a operaiilor n cadrul Departamentului IT

.

.

Din evaluare, auditorii interni au mai constatat c nu exist un sistem de controale generale care s fie
avute n vedere n cadrul procesului de proiectare, realizare, testare i implementare a tuturor subsistemelor
IT ce ruleaz pe echipamentele entitii publice, astfel:
- Controlul pe parcursul procesrii datelor i rapoartele produse n caz de nerealizarea procesrii
(ntreruperi, transfer);
- Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c aceste date sunt
complete;
Pentru deficienele constatate s-a recomandat identificarea riscurilor care guverneaz toate
4. SECURITATEA INFORMAIEI
4.1. Organizarea securitii informaiilor


.
4.1.3. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatorii

autorizai
.
4.2. Disponibilitatea datelor
271
.


4.3. Asigurarea funcionrii programelor i aplicaiilor
4.3.1. Asigurarea introducerii corecte a datelor

..

4.3.3. Asigurarea securitii datelor i documentelor

Din analiza efectuat s-a constatat c la nivelul Departamentului IT nu se respect procedurile
specifice privind asigurarea securitii reelelor, astfel:
- la nivelul departamentului IT au fost ntocmite hri privind infrastructura reelelor IT, ns una
din cele 3 hri cuprinse n eantion nu fusese actualizat, astfel nct aplicaiile copiate pe un numr de 4
sisteme nu au fost protejate prin intermediul programelor antivirus. De asemenea, aplicaiile contabile au
fost copiate de pe unul din calculatoarele existente, fr a se proceda la instalarea acestora de ctre
personalul specializat din cadrul departamentului IT, ocazie cu care nu au putut fi asigurata integritatea
tuturor modulelor.
- dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n
parte, n ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei
acestora n vederea alocrii corespunztoare a resurselor de securitate.
- la nivelul entitii s-a procedat la identificarea i nlturarea celor mai critice vulnerabiliti ale
reelelor, ns nu a fost avut n vedere un sistem de management al vulnerabilitilor, la cel mai profund
nivel, actualizat, care s permit identificarea precis i cuprinztoare a ultimilor vulnerabiliti ale
sistemului sau a greelilor de configurare, bazndu-se pe informaii precise i configuraii de sistem i de
reea adecvate.
- administratorii de sistem au procedat la ntocmirea de rapoarte care detaliaz nivelul critic al
vulnerabilitilor i au furnizat soluii de remediere ns informaiile nu au fost strnse, adaptate i prezentate
acelor persoane care decid asupra situaiei securitii n cadrul entitii publice. Astfel, conducerea entitii
nu a avut la dispoziie informaiile necesare cuantificrii efortului necesar pentru asigurarea securitii
reelelor.
Pentru remedierea deficienelor constatate au fost formulate urmtoarele recomandri:
1. Implementarea procedurilor operaionale de lucru cu elemente care s asigure actualizarea n
timp util a situaiilor privind reelele IT; Tratarea securitii reelelor ca pe un proces continuu, astfel nct
riscuri;
2. Prioritizare i a aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii
corespunztoare a msurilor de securitate, avnd n vedere c acestea necesit de cele mai multe ori resurse
considerabile, care trebuie s fie direct proporionale cu valoarea datelor sau echipamentelor de protejat;
3. Implementarea unui sistem de management al vulnerabilitilor, care s identifice precis,
cuprinztor i actualizat la zi, ultimele vulnerabiliti ale sistemului sau a greelilor de configurare.
4. Toate rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie
corelate i aduse la cunotina conducerii entitii publice.
4.4. Implementarea instrumentelor de control
4.4.1. Accesul la aplicaie este oferit pe baza necesitilor utilizatorului

272
Posturile de lucru dotate cu computer nu sunt evideniate la nivelul Departamentului IT,
baza unui sistem de autorizare a accesului i unui sistem adecvat de parole.
La nivelul entitii au fost elaborate hari privind reele informatice existente. n acest sens, au fost
stabilite locaiile serverelor, sistemelor desktop, sistemelor laptop, a routerelor, a punctelor de acces, a
imprimantelor i a celorlalte dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului
de management al securitii reelelor din cadrul entitii.
Analiza celor 3 reele care a constituit eantionul, a pus n eviden faptul c pentru dou reele
hrile erau corespunztoare, ns referitor la reeaua care deservea direcia general buget-finane s-a
constatat c, au fost achiziionate i conectate 4 noi computere i o imprimant de reea, toate deservite prin
De asemenea, pe cele 3 computere au fost copiate aplicaiile contabile utilizate la nivelul direciei,
fr a fi luate msuri pentru asigurarea securitii datelor i informaiilor prin controlarea accesului i
implementarea de programe antivirus adecvate.
La nivelul departamentului IT exist o clasificare a sistemelor hardware, n funcie de importana
fiecrei categorii pentru buna desfurare a activitii n cadrul entitii. n acest sens, dispozitivele din reea
au fost grupate n funcie de prioriti, de la sisteme cu importan redus, cum sunt sistemele de test sau
care sunt folosite independent pentru asigurarea funciilor mai puin importante ale entitii i sistemele de
importan medie, cum sunt sistemele laptop folosite de unii angajai n cadrul delegaiilor sau pentru lucrul
acas, la sisteme de importan major pentru asigurarea continuitii activitilor organizaiei, cum ar fi
sistemele care gestioneaz bazele de date, serverele care deservesc compartimentele cheie ale entitii
(tranzacii, operaiuni financiare etc.).
Dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n parte, n
ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei acestora n
vederea alocrii corespunztoare a resurselor de securitate. Ex. - aplicaia informatic utilizat la nivelul
serviciului secretariat pentru urmrirea circuitului documentelor beneficiaz de aceleai msuri de securitate
ca i sistemul integrat privind conducerea organizaiei.
Administratorii de reea au procedat la ntocmirea de rapoarte prin care detaliaz nivelul
vulnerabilitilor i furnizeaz soluii de remediere, ns informaiile nu sunt adaptate i prezentate
persoanelor cu responsabiliti decizionale asupra securitii informaionale.
Recomandrile formulate au fcut referire la prioritizarea aplicaiilor informatice, n funcie de
importana acestora, n vederea alocrii corespunztoare a msurilor de securitate i tratarea securitii
reelelor ca pe un proces continuu. Implementarea unui sistem de management al vulnerabilitilor, care s
identifice vulnerabilitile i greelile de configurare i s dispun msurile operative de soluionare.
Rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse
4.4.2. Introducerea instrumentelor de control fizic asupra echipamentelor IT al

aplicaiilor
Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea echipamentelor.
Din examinarea efectuata si observarea la fata locului s-a constatat unele disfuncii legate de accesul
necontrolat la cele trei locaii selectate att a persoanelor din cadrul altor departamente ct i a altor persoane
din afara entitii publice;
Totodat, dei au fost instalate camere de supraveghere, acestea nu sunt permanent monitorizate.
Deseori, camerele n care sunt localizate servere-le sunt lsate descuiate i nesupravegheate, dei sunt
echipate cu ncuietori adecvate;
La scoaterea echipamentelor din cadrul organizaiei nu exist obligativitatea prezentrii unei
autorizaii scrise.
Pentru deficienele constatate s-a recomandat introducerea de instrumente de control adecvate
astfel incit orice acces la echipamentele sau datele si informaiile organizaiei sa fie limitat, sau in cazurile
4.5. Securitatea reelei

273
4.6. Gestionarea parolelor
4.6.1. Utilizatori au parole de acces individuale

Din verificarea efectuata a rezultat c nu exist o securitate a sistemului informatic i un responsabil
cu administrarea acestui sistem.
Recomandarea s-a referit la stabilirea unei persoane care s aib n responsabilitate atribuii i
competene de verificare a schimbrii periodice a parolelor de acces.

..


4.7. Securitatea logic
4.7.1. Asigurarea securitii funcionrii programelor i aplicaiilor

5. PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR
5.1. Proiectarea i elaborarea programelor i aplicaiilor
5.1.1. Achiziia programelor informatice

.
5.1.2. Proiectarea programului informatic

.
5.1.3. Elaborarea programului informatic

.
5.2. Testarea i implementarea programelor i aplicaiilor

5.2.2. Asigurarea corectitudini rezultatelor
Organizarea datelor i stocarea acestora nu asigur o utilizare i exploatare eficient a acestora.
Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor fiierului n secvena n
care au fost stocate sau pe baz unui cod de identificare care s permit regsirea rapid a nregistrrii.
Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de indeci care
pentru fiecare valoare atributului care permite identificarea n mod unic a unei nregistrri din fiier.
- redundan mare stocarea datelor n mai multe fiiere;
- acces dificil la date exploatarea multiutilizator a datelor necesit operaii suplimentare de
sortare, fuziune, ventilare;
- izolarea datelor imposibilitatea realizrii de programe pe calculator care s acceseze datele
ntr-o manier global;
274
- actualizarea datelor prin adugare, modificare, tergere genereaz erori atunci cnd mai muli
utilizatori doresc s modifice simultan aceleai date;
- dependena programelor fa de date modificrile din structura datelor oblig la efectuarea de
corecturi n programele de calculator;
- fiecare dat este descris independent n toate fiierele n care apar dac ntr-un fiier se
modific formatul i valoarea unei date, acea modificare nu se transmite automat, pentru aceeai dat, n
toate fiierele de date.
Pentru remedierea acestor deficiente s-a recomandat organizarea datelor n baze de date, respectiv
un fiier format din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare.
Pentru aceasta este necesar realizarea urmtoarelor: definirea, structurarea, ordonarea i gruparea datelor
n colecii de date omogene; stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre
coleciile de date, dup o ierarhie bine precizat, precum i memorarea datelor pe un suport informaional
prelucrabil ntr-un sistem de calcul.
6. ELABORAREA I IMPLEMENTAREA PROIECTELOR IT
6.1. Dezvoltarea proiectelor IT
6.1.1. Iniierea i elaborarea proiectelor IT

6.2. Implementarea i funcionarea programelor i aplicaiilor
6.2.1. Reproiectarea soluiilor IT pentru programe i aplicaii

.
6.2.2. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametri optimi
Din evaluarea realizat s-a constatat utilizarea n cadrul entitii publice a unor programe software fr
licen. Astfel, cu toate c entitatea public a achiziionat licene pentru pachetul de programe Lotus, s-au
constatat c n cadrul unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca
pentru acestea entitatea public s fi achiziionat licene. Practic salariaii au instalat programe utiliznd
CD-uri piratate.
La nivelul sistemului IT al entitii publice s-a constatat inexistena controalelor de sistem ce alerteaz
administratorul n cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene.
Pentru remedierea deficienelor constatate s-a recomandat inventarierea tuturor staiilor de lucru
pentru a stabili situaia real privind utilizarea programelor fr licen i dezinstalarea tuturor
programelor neliceniate din pachetul Microsoft Office. Totodat, s-a recomandat i realizarea unei analize
complexe n urma creia managementul entitii publice s decid asupra oportunitii schimbrii
programelor existente i achiziionarea unui numr adecvat de licene Microsoft Office.
7. PROIECTAREA, IMPLEMENTAREA I MENINEREA N FUNCIE A UNEI

REELE
7.1. Proiectarea, instalarea i administrarea reelei de calculatoare
7.1.1. Asigurarea bunei funcionri a sistemelor bazate pe existena i funcionarea

reelei de calculatoare
..

.
275
7.2. Interconectarea i securitatea reelei
7.2.1. Interconectarea reelelor

7.2.2. Proiectarea i asigurarea securitii reelei

Din evaluare s-a constatat neutilizarea unui singur nume de utilizator i unei singure parole pentru
accesul la sistemul IT, n condiiile n care majoritatea salariailor din cadrul entitii publice, prin natura
sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole
diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite:
nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de
subsistemul IT la care se conecteaz angajatul.
Pentru aceasta s-a recomandat realizarea unui proces de reenginering la nivelul sistemului IT din
cadrul entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un
singur nume de utilizator i o singur parol;
III. CONCLUZII
Echipa de auditori pe baza testrilor i analizelor efectuate evalueaz Activitatea de stabilire i

colectare a impozitelor i taxelor locale din entitatea auditat conform grilei:
APRECIERE
Nr..
OBIECTIVUL DE
Crt. FUNCIONAL CRITIC
MBUNTIT
1. Strategia i planificarea sistemelor X
informatice;
2. Organizarea i funcionarea X
departamentului IT;
3. Operaii ale sistemului informatic; X
4. Securitatea informaiilor; X
5. Testarea programelor i aplicaiilor; X
6. Elaborarea i implementarea proiectelor X
IT;
7. Proiectarea i meninerea n funciune a X
unei reele.
Precizm, faptul c constatrile prezentate au la baz probe de audit obinute pe baza testelor
efectuate consemnate n documentele de lucru ntocmite de ctre echipa de auditori i nsuite de ctre factorii
de management ai entitii. Aceste evaluri au la baz discuiile care au avut loc cu privire la recomandrile
auditorilor n edinele de nchidere i conciliere ale misiunii, apreciate de ctre participanii la aceste edine,
ca fiind realiste i fezabile, i materializate n minutele edinelor de nchidere i conciliere.
Considerm c rezultatele evalurii auditorilor interni privind Activitatea privind tehnologia
informaiei se nscrie n parametri normali pentru aceast perioad de introducere a auditului intern n
entiti. De asemenea, prin implementarea recomandrilor echipei de auditori activitatea de stabilire i
colectare a impozitelor i taxelor locale va cunoate o ameliorare semnificativ.
Structura auditat are obligaia s ntocmeasc Programul de aciune i Calendarul implementrii
recomandrilor i s raporteze periodic echipei de auditori stadiul implementrii acestora.
Prezentul Raport de audit intern a fost ntocmit n baza Tematicii n detaliu a obiectelor auditabile
selectate, a Programului de audit i a Programului de intervenie la faa locului, a constatrilor efectuate n
timpul etapei de colectrii i prelucrrii informaiilor i n timpul Intervenie la fata locului. Toate
constatrile efectuate au la baz probe de audit realizate prin teste, interviuri, liste de control, note de relaii
i n urma analizei i interpretrii acestora s-au elaborat FIAP-uri i FCRI-uri care au condus la concluziile
cuprinse n Raportul de audit intern.
276
Data: 28.10.2009
Auditori interni, Supervizor,

Radu George
Not:
Proiectul de raport de audit intern concretizeaz activitatea auditorilor interni prin prezentarea cadrului
general de desfurare a activitii entitii, obiectivelor, constatrilor, concluziilor i recomandrilor obinute n
urma misiunii realizate, ct i aria i metodologia de audit, tehnicile de colectare i de analiz a dovezilor de audit
utilizate.
La elaborarea Proiectului de raportul de audit intern, auditorul folosete dovezile de audit raportate n Fiele
de Identificare i Analiza a Problemelor i n Formularul de Constatare i Raportare a Iregularitilor i n celelalte
documente de lucru.
277
Procedura P15: ELABORAREA RAPORTULUI DE AUDIT INTERN
SINTEZA
RAPORTULUI DE AUDIT INTERN
I. INTRODUCERE
Misiunea de audit intern privind Activitatea de tehnologia informaiei din cadrul entitii publice s-a desfurat
conform prevederilor Legii nr. 672/2002 privind auditul public intern, cu modificrile i completrile ulterioare,
OMFP nr. 38/2003 de aprobare a Normelor generale privind exercitarea activitii de audit intern, a Normelor specifice
proprii de audit intern aprobate de conducere i a Planului de audit intern pe anul 2009, i a fost realizata de:
Popescu Sorin - auditor superior, coordonator echip
Radu George - auditor superior
Dumitru Daniel - supervizor.
II. CONCLUZII
APRECIERE
Nr..
OBIECTIVUL DE
Crt. FUNCIONAL CRITIC
MBUNTIT
1. Strategia i planificarea sistemelor X
informatice;
2. Organizarea i funcionarea X
departamentului IT;
3. Operaii ale sistemului informatic; X
4. Securitatea informaiilor; X
5. Testarea programelor i aplicaiilor; X
6. Elaborarea i implementarea proiectelor X
IT;
7. Proiectarea i meninerea n funciune a X
unei reele.
III. CONSTATRI i RECOMANDRI
Principalele constatri i recomandri rezultate n urma evalurii:
1. Constatri: Nerealizarea n termen a procedurilor de achiziie i implementare a programelor i

aplicaiilor informatice.
Recomandare: Reanalizarea atribuiilor Comisiei de planificare strategic n domeniul IT i redefinirea
acestora astfel nct s poat realiza i monitorizarea implementrii proiectelor informatice i informarea
periodic a conducerii asupra realizrii acestora.
278
2. Constatri: La elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n vedere evaluarea
situaiei actuale pe baza analizei diagnostic, identificarea punctelor tari i a punctelor slabe ale entitii i
fundamentarea variantelor strategice
Recomandri: Pregtirea profesional anticipat a personalului implicat n elaborarea strategiei, de ctre
managementul responsabil cu aceasta. Reanalizarea strategiei definite la nivelul structurii funcionale n
conformitate cu procedura operaional aprobat i actualizarea acesteia astfel nct implementarea sa s
contribuie la realizarea unui management modern in domeniul de activitate i la atingerea obiectivelor
strategice ale organizaiei. n acelai timp s-a mai recomandat mbuntirea procedurilor operaionale de
lucru privind sistemul de fundamentare a necesarului de resurse pentru elaborarea strategiei.
3. Constatri: Obiectivelor strategice nu asigur acoperirea domeniului de activitate al structurii funcionale
i nu contribuie la asigurarea realizrii mandatului organizaiei. Acestea reprezint exprimrile cantitative i
calitative ale scopului pentru care exist i funcioneaz organizaia.
Recomandri: Pentru deficienele constatate s-a recomandat evaluarea performanelor actuale ale
sistemului de organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont
de influena factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea
4. Constatri: Resursele nu sunt fundamentate corect n vederea implementrii planului anual de activitate.
Activitile considerate prioritare ale planului anual nu au fost realizate sau implementate n totalitate, n
mod corespunztor, deoarece nu au fost reanalizate i repartizate atribuiile n cadrul compartimentelor n
corelaie cu noile obiective i activiti stabilite n cadrul planului. Aceasta a nsemnat c, n unele cazuri,
obiectivele i activitile dei erau cunoscute de personal, acesta nu avea competena necesar, n special a
celor care erau realizate n colaborare cu alte structuri funcionale, ceea ce a necesitat solicitarea unor
competene pentru realizarea acestora, proces care a ngreunat implementarea obiectivelor i realizarea
activitilor. Activitile nu au fost comunicate salariailor, respectiv obiectivele individuale au rmas
Recomandri: Dezvoltarea unui sistem de instruire i pregtire a salariailor astfel nct metodologia
specific domeniului de activitate, normativ i procedural, s fie aplicat corespunztor pentru
dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate s se identifice toate atribuiile
necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate corespunztor n cadrul
compartimentelor. Promovarea dezvoltrii resurselor umane pentru a obine competenele necesare creterii
economice n condiiile n care au loc reduceri de personal, precum i evaluarea cuprinztoare a resurselor
necesare implementrii planurilor anuale de activitate i monitorizarea eficient pentru a se asigura
ncadrarea n limitele stabilite.
5. Constatri: Departamente din cadrul entitii nu dispun de subsisteme IT specifice activitilor care se
Recomandare: Pentru deficienele constatate s-a recomandat coroborarea atribuiilor prezentate prin
proceduri cu cele stabilite prin fiele posturilor i inventarierea stadiului implementrii subsistemelor IT la
nivelul departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT.
6. Constatri: Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur ntotdeauna
aria de competen privind realizarea activitilor i aciunilor repartizate.
Recomandare: Contientizarea managementului responsabil cu procesul de stabilire i definire a atribuiilor
prin informri i consilieri pentru clarificarea modalitilor practice de definire a unei atribuii sau unui set
de atribuii pentru asigurarea ariei de competen necesar pentru realizarea activitilor.
7. Constatri: Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea
complexitii acestora nu se realizeaz n funcie de nivelurile de calificare ale posturilor existente.
Recomandri: Realizarea unei analize riguroase a sarcinilor i responsabilitilor fiecrui angajat, care s
stea la baza oricrei iniiative de organizare a activitii. Constituirea unei echipe, pe baza deciziei
managementului general, care s analizeze i s redefineasc activitile i aciunile realizate n cadrul
compartimentelor i serviciilor, astfel nct s se asigure c obiectivele vor fi realizate n totalitate.
279
8. Constatri: Organigrama ca document prin care se relev grafic structura organizaiei i substructurile
acesteia nu pune n eviden organizarea i funcionarea departamentului. Compartimentele aflate n
subordinea departamentului nu sunt nominalizate n totalitate n cadrul organigramei i nu este precizat nici
nivelul de subordonare al departamentului n cadrul organizaiei. Organigrama nu furnizeaz o nelegere a
raporturilor de subordonare i de evitare a suprapunerilor de competene. Astfel, cu privire la raporturile de
subordonare, potrivit organigramei, Recomandare: Pentru remedierea deficienelor constatate s-a
recomandat analiza actului normativ de organizare i funcionare a organizaiei i urmrirea atribuiilor
definite departamentului astfel nct s acopere n totalitate activitile desfurate.
9. Constatri: Persoanele responsabilizate n posturile de conducere nu au coordonat n nici un fel
activitile care erau realizate zilnic de ctre salariai, nu au ndrumat n nici un fel salariaii cu privire la
modul n care n care s realizeze activitile i nici nu au realizat o monitorizare cu privire la modul de
realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat activitile n funcie
de cunotinele i aptitudinile pe care le deineau.
Recomandare: Desfurarea procesului de selecie i recrutarea n vederea ocuprii posturilor de conducere
existente la nivelul departamentului IT. n acelai timp se va urmri dac persoanele selectate dein
abilitile i aptitudinile manageriale necesare realizrii activitilor specifice celor dou servicii i dac au
pregtirea de baz, de nivel superior, n domeniul IT.
10. Constatare: Riscurile nu sunt identificate i gestionate la nivelul departamentului i nu este condus
Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, precum i instrumentele de control
intern implementate pentru limitarea acestora.
Recomandare: Elaborarea mecanismelor procedurale i metodologice privind identificarea riscurilor i
gestionarea acestora, evaluarea riscurilor identificate i diferenierea acestora n riscuri inerente i riscuri
acceptabile, precum i implementarea de instrumente de control pentru riscurile inerente, astfel nct
manifestarea acestora s fie limitat i nivelul acestora s devin unul acceptabil.
11. Constatare: Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate activitile de
control ce trebuie alocate n vederea atingerii obiectivelor.
Recomandare: Pentru remedierea acestor deficiene s-a constatat stabilirea controalelor interne aferente
riscurilor identificate i determinarea gradului de funcionalitate al acestora i proiectarea de instrumente sau
msuri de introducere de controale interne, fie individuale, fie n combinaie cu alte controale, capabile s
previn, detecteze i s corecteze n mod eficient denaturrile semnificative.
12. Constatare: La nivelul departamentului nu este organizat i nu se conduce registrul riscurilor. Riscurile
cu care se confrunt organizaia nu sunt identificate i nu sunt monitorizate n vederea stpnirii i
meninerii lor la un nivel acceptabil.
Recomandare: Pentru soluionarea acestei deficiene s-a recomandat instituirea i conducerea Registrului
13. Constatare: Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se ine
cont de scopul postului i cunotinele de baz necesare pentru realizarea atribuiilor alocate acestuia.
Recomandare: Pentru aceasta s-a recomandat analiza sarcinilor i atribuiilor definite n fiele posturilor i
13. Constatare: Atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme i
nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul
general, nu indic, prin modul de formulare, o aciune, nu asigura un coninut clar, fiind sub forma unei
relaii funcionale sau avnd caracter de activitate sau sarcin. Nu sunt definite n cadrul ROF-ului la
capitolul privind departamentul IT relaiile cu celelalte structuri funcionale cu care are sau ar trebui s aib
relaii funcionale, respectiv nu este definit relaia funcional care reglementeaz asigurarea conformitii
informaiilor cu privire la asistarea utilizatorilor n realizarea activitilor de introducere a datelor i
informaiilor n cadrul aplicaiilor i programelor derulate la nivelul celorlalte departamente funcionale din
cadrul organizaiei, precum i cu privire la asistarea n utilizarea echipamentelor din dotare.
Recomandare: n vederea remedierii acestor deficiene s-a recomandat identificarea i definirea corect n
cadrul documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor
funcionale pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei.
280
14. Constatare: Existena unor controale interne slabe privind managementul operaiunilor IT, reflectate n
disfuncii legate de gestionarea acestora.
Recomandare: Implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor n funcie
de gradul de complexitate al operaiilor efectuate. Urmrirea n permanen a echilibrului ntre necesitile
IT i resursele alocate acestor scopuri. Mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii
sau accesului neautorizat. Constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea
i rezolvarea operativ a problemelor de ordin tehnic, care s asigure i acordarea suportului tehnic de
specializate.
15. Constatare: Neaplicarea n mod unitar a politicii de securitate IT, care a condus la infectarea cu virui a
unor staii de lucru din sistemul IT al entitii publice. Astfel, echipa de auditori a verificat 5 de staii de
lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat c n 2 departamente din
cadrul entitii publice configuraia programului anti-virus pentru un numr de doua calculatoare a fost
modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a
fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera
c programul anti-virus are un efect negativ asupra performanei sistemului.
Recomandare: Pentru deficienele constatate s-a recomandat constituirea unor echipe pentru efectuarea de
16. Constatare: Subsistemele IT nu au fost realizate la termenele stabilite. Astfel, analiza implementrii
subsistemelor IT, potrivit planului anual ntocmit i aprobat, a pus n evidenta faptul ca termenele stabilite
pentru implementarea programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja noile
aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte departamente care au
nevoie de aceste informaii i unde funcioneaz deja de programe performante.
Recomandare: Analiza tuturor aplicaiilor i programelor ncepute i nefinalizate, identificarea resurselor
financiare necesare pentru finalizarea acestora, stabilirea de termene de finalizare i urmrirea respectrii
acestora. Noile aplicaii i programe vor fi aprobate i achiziionate numai dac sunt compatibile cu cele deja
implementate sau aflate n faza de implementare i numai dac exista resursele necesare aprobate prin buget.
17. Constatare: Nu exist un sistem de controale generale care s fie avute n vedere n cadrul procesului
de proiectare, realizare, testare i implementare a tuturor subsistemelor IT ce ruleaz pe echipamentele
entitii publice.
Recomandare: Pentru deficienele constatate s-a recomandat identificarea riscurilor care guverneaz toate
18. Constatare: Din analiza efectuat s-a constatat c la nivelul Departamentului IT nu se respect
procedurile specifice privind asigurarea securitii reelelor.
Recomandare: Implementarea procedurilor operaionale de lucru cu elemente care s asigure actualizarea
n timp util a situaiilor privind reelele IT. Tratarea securitii reelelor ca pe un proces continuu, astfel nct
riscuri. Implementarea unui sistem de management al vulnerabilitilor, care s identifice precis, cuprinztor
i actualizat la zi, ultimele vulnerabiliti ale sistemului sau a greelilor de configurare.
19. Constatare: Posturile de lucru dotate cu computer nu sunt evideniate la nivelul Departamentului IT,
baza unui sistem de autorizare a accesului i unui sistem adecvat de parole. La nivelul entitii au fost
elaborate hari privind reele informatice existente. n acest sens, au fost stabilite locaiile serverelor,
sistemelor desktop, sistemelor laptop, a routerelor, a punctelor de acces, a imprimantelor i a celorlalte
dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului de management al securitii
reelelor din cadrul entitii.
Recomandare: Prioritizarea aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii
corespunztoare a msurilor de securitate i tratarea securitii reelelor ca pe un proces continuu.
Implementarea unui sistem de management al vulnerabilitilor, care s identifice vulnerabilitile i
281
greelile de configurare i s dispun msurile operative de soluionare. Rapoartele ntocmite n urma
identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse la cunotina conducerii
organizaiei.
20. Constatri: Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea
echipamentelor.
Recomandare: Introducerea de instrumente de control adecvate astfel incit orice acces la echipamentele
sau datele si informaiile organizaiei sa fie limitat, sau in cazurile in care acesta este permis sa fie
supravegheat in totalitate.
21. Constatri: Inexistena unui sistem de stabilire de ctre fiecare utilizator a parolelor i a unui
responsabil cu verificarea schimbrii periodice a parolelor de acces.
Recomandare: Schimbarea sistematic a parolelor de acces de ctre utilizatorii sistemului informatic,
precum i stabilirea unei persoane care s aib n responsabilitate atribuii i competene de verificare a
schimbrii periodice a parolelor de acces.
22. Constatare: Organizarea datelor i stocarea acestora nu asigur o utilizare i exploatare eficient a
acestora. Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor fiierului n
secvena n care au fost stocate sau pe baz unui cod de identificare care s permit regsirea rapid a
nregistrrii.
Recomandare: Organizarea datelor n baze de date, respectiv un fiier format din nregistrri, care conin
cmpuri i operaii de cutare, sortare sau recombinare. Pentru aceasta este necesar realizarea urmtoarelor:
definirea, structurarea, ordonarea i gruparea datelor n colecii de date omogene; stabilirea legturilor ntre
date, ntre elementele unei colecii de date i ntre coleciile de date, dup o ierarhie bine precizat, precum i
memorarea datelor pe un suport informaional prelucrabil ntr-un sistem de calcul.
23. Constatri: Utilizarea n cadrul entitii publice a unor programe software fr licen. Astfel, cu toate
c entitatea public a achiziionat licene pentru pachetul de programe Lotus, s-au constatat c n cadrul
unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca pentru acestea entitatea
public s fi achiziionat licene. Practic salariaii au instalat programe utiliznd CD-uri piratate.
Recomandare: Inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind utilizarea
programelor fr licen i dezinstalarea tuturor programelor neliceniate din pachetul Microsoft Office.
Totodat, s-a recomandat i realizarea unei analize complexe n urma creia managementul entitii publice
s decid asupra oportunitii schimbrii programelor existente i achiziionarea unui numr adecvat de
licene Microsoft Office.
24. Constatare: Neutilizarea unui singur nume de utilizator i unei singure parole pentru accesul la sistemul
IT, n condiiile n care majoritatea salariailor din cadrul entitii publice, prin natura sarcinilor de serviciu,
trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole diferite. Sistemul IT
este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite: nume de utilizator i
parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care
se conecteaz angajatul.
Recomandare: Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii publice,
astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator
i o singur parol;
In ncheiere, consideram necesara implicarea colectivului n analiza i implementarea

recomandrilor propuse i a aciunilor discutate i informarea sistematica asupra evoluiei
acestora, att a managementului general, cat i a echipei de auditori interni.

Radu George
282
Procedura P18: URMRIREA RECOMANDRILOR
Entitatea Public
FIA DE URMRIRE A RECOMANDRILOR

Serviciul de Audit Intern Sfrit de lun

RECOMANDAREA
Misiunea de audit intern: Raport de audit
Stabilirea i colectarea intern nr.
impozitelor i taxelor locale 234532/
14.07.2010
Data planificat/
Implement
implement
Neimplem
Nr. Data implementrii
Parial
Recomandarea
crt.
entat
at
at
1 Reanalizarea atribuiilor Comisiei de planificare strategic n
domeniul IT i redefinirea acestora astfel nct s poat realiza
i monitorizarea implementrii proiectelor informatice i
X 31.12.2009
informarea periodic a conducerii asupra realizrii acestora.
2 Pregtirea profesional anticipat a personalului implicat n
elaborarea strategiei, de ctre managementul responsabil cu
aceasta. Reanalizarea strategiei definite la nivelul structurii
funcionale n conformitate cu procedura operaional
aprobat i actualizarea acesteia astfel nct implementarea sa
s contribuie la realizarea unui management modern in X 31.03.2010
domeniul de activitate i la atingerea obiectivelor strategice
ale organizaiei.
mbuntirea procedurilor operaionale de lucru privind
sistemul de fundamentare a necesarului de resurse pentru
elaborarea strategiei.
3 Evaluarea performanelor actuale ale sistemului de organizare
i conducere a activitilor desfurate n cadrul structurii
funcionale, innd cont de influena factorilor de mediu,
interni i externi, n vederea redefinirii obiectivelor strategice.
Implicarea managementului pentru ca obiectivele strategice X 31.12.2009
redefinite s ntruneasc caracteristicile de a fi realiste,
mobilizatoare, stimulative i s poat fi nelese de salariai,
stabilite de metodologie. Totodat, la redefinirea acestora se
va urmri asigurarea resurselor necesare implementrii lor.
4 Dezvoltarea unui sistem de instruire i pregtire a salariailor
astfel nct metodologia specific domeniului de activitate,
normativ i procedural, s fie aplicat corespunztor pentru
dezvoltarea i implementarea planurilor anuale. n baza
planurilor elaborate s se identifice toate atribuiile necesare
pentru atingerea obiectivelor stabilite, iar acestea s fie X 31.12.2009
repartizate corespunztor n cadrul compartimentelor.
Totodat, s-a mai recomandat promovarea dezvoltrii
resurselor umane pentru a obine competenele necesare
creterii economice n condiiile n care au loc reduceri de
personal, precum i evaluarea cuprinztoare a resurselor
283
(financiare, instituionale, programe, personal) necesare
implementrii planurilor anuale de activitate i monitorizarea
eficient pentru a se asigura ncadrarea n limitele stabilite.
5 Coroborarea atribuiilor prezentate prin proceduri cu cele
stabilite prin fiele posturilor i inventarierea stadiului
implementrii subsistemelor IT la nivelul departamentelor X 31.12.2009
entitii publice i stabilirea necesitilor IT care trebuie
incluse n strategia IT.
6 Contientizarea managementului responsabil cu procesul de
stabilire i definire a atribuiilor prin informri i consilieri
pentru clarificarea modalitilor practice de definire a unei X 31.12.2009
atribuii sau unui set de atribuii pentru asigurarea ariei de
competen necesar pentru realizarea activitilor.
7 Realizarea unei analize riguroase a sarcinilor i
responsabilitilor fiecrui angajat, care s stea la baza oricrei
iniiative de organizare a activitii. Constituirea unei echipe,
pe baza deciziei managementului general, care s analizeze i
s redefineasc activitile i aciunile realizate n cadrul
compartimentelor i serviciilor, astfel nct s se asigure c
X 31.03.2010
obiectivele vor fi realizate n totalitate. La stabilirea
obiectivelor se va urmri dac sunt ataate toate activitile
necesare obinerii rezultatelor stabilite, realizate efectiv n
cadrul compartimentului, formulate ca aciuni concrete.
8 Analiza actului normativ de organizare i funcionare a
organizaiei i urmrirea atribuiilor definite departamentului X 31.12.2009
astfel nct s acopere n totalitate activitile desfurate.
9 Desfurarea procesului de selecie i recrutarea n vederea
ocuprii posturilor de conducere existente la nivelul
departamentului IT. n acelai timp se va urmri dac
persoanele selectate dein abilitile i aptitudinile manageriale
X 31.03.2010
necesare realizrii activitilor specifice celor dou servicii i
dac au pregtirea de baz, de nivel superior, n domeniul IT.
10 Elaborarea mecanismelor procedurale i metodologice privind
identificarea riscurilor i gestionarea acestora, evaluarea
riscurilor identificate i diferenierea acestora n riscuri
inerente i riscuri acceptabile, precum i implementarea de X 31.03.2010
instrumente de control pentru riscurile inerente, astfel nct
manifestarea acestora s fie limitat i nivelul acestora s
devin unul acceptabil.
11 Stabilirea controalelor interne aferente riscurilor identificate i
determinarea gradului de funcionalitate al acestora i
proiectarea de instrumente sau msuri de introducere de
controale interne, fie individuale, fie n combinaie cu alte
X 31.12.2009
controale, capabile s previn, detecteze i s corecteze n
mod eficient denaturrile semnificative.
12 Analiza sarcinilor i atribuiilor definite n fiele posturilor i
stabilirea acestora n funcie de caracteristicile postului,
respectiv nivelul postului i urmrirea definirii aceluiai gen X 31.12.2009
de sarcini i atribuii numai dac posturile sunt de acelai
nivel.
13 Identificarea i definirea corect n cadrul documentului de
organizare i funcionare, a atribuiilor specifice
departamentului, a relaiilor funcionale pe care X 31.12.2009
compartimentul la are cu alte structuri funcionale din cadrul
organizaiei.
14 Implementarea unei aplicaii care s monitorizeze alocarea i
utilizarea resurselor n funcie de gradul de complexitate al
operaiilor efectuate. Urmrirea n permanen a echilibrului
ntre necesitile IT i resursele alocate acestor scopuri. X 31.03.2010
Protejarea mediile sau locaiile de stocare mpotriva
deteriorrii sau accesului neautorizat.
Realizarea corect i la intervale de timp stabilite n funcie de
284
specificul fiecrei componente, numai de ctre personal
autorizat n acest sens, a procedurilor de mentenan a
echipamentelor s fie
Constituirea n cadrul departamentului IT a unui colectiv
specializat n raportarea i rezolvarea operativ a problemelor
de ordin tehnic (Help Desk), care s asigure i acordarea
suportului tehnic de specialitate ctre utilizatori, fie prin linii
telefonice dedicate, fie prin e-mail sau deplasri ale echipelor
specializate.
Elaborarea i implementarea unor programe care s
automatizeze pe ct posibil verificrile efectuate asupra
operaiilor informatice.
15 Constituirea unor echipe pentru efectuarea de verificri anti-
virus la nivelul tuturor staiilor de lucru din cadrul entitii
publice, configurarea corecta n cazurile n care aceste
programe au fost dezactivate, stabilirea de responsabiliti n
X 31.12.2009
cazul n care acestea sunt dezactivate i produc disfuncii n
cadrul organizaiei.
16 Analiza tuturor aplicaiilor i programelor ncepute i
nefinalizate, identificarea resurselor financiare necesare pentru
finalizarea acestora, stabilirea de termene de finalizare i
urmrirea respectrii acestora. Noile aplicaii i programe vor X 31.-03.2010
fi aprobate i achiziionate numai dac sunt compatibile cu
cele deja implementate sau aflate n faza de implementare i
numai dac exista resursele necesare aprobate prin buget.
17 Identificarea riscurilor care guverneaz toate subsistemele IT,
stabilirea controalelor interne care ar trebui s existe pentru ca
acestea s funcioneze corect, urmrirea controalelor interne
care exist i funcioneaz, identificarea i implementarea de
X 31.12.2009
instrumente de control pentru controalele interne care nu sunt
implementate sau nu funcioneaz.
18 Implementarea procedurilor operaionale de lucru cu elemente
care s asigure actualizarea n timp util a situaiilor privind
reelele IT; Tratarea securitii reelelor ca pe un proces
continuu, astfel nct schimbrile n cadrul utilizatorilor,
echipamentelor sau aplicaiilor s se realizeze evitnd
expunerile la riscuri;
Prioritizarea aplicaiilor informatice, n funcie de importana
acestora, n vederea alocrii corespunztoare a msurilor de
securitate, avnd n vedere c acestea necesit de cele mai
multe ori resurse considerabile, care trebuie s fie direct X 31.03.2010
proporionale cu valoarea datelor sau echipamentelor de
protejat;
Implementarea unui sistem de management al
vulnerabilitilor, care s identifice precis, cuprinztor i
actualizat la zi, ultimele vulnerabiliti ale sistemului sau a
greelilor de configurare.
Corelarea rapoartelor ntocmite n urma identificrii i
soluionrii vulnerabilitilor reelelor i aducerea lor la
cunotina conducerii entitii publice.
19 Prioritizarea aplicaiilor informatice, n funcie de importana
acestora, n vederea alocrii corespunztoare a msurilor de
securitate i tratarea securitii reelelor ca pe un proces
continuu. Implementarea unui sistem de management al
vulnerabilitilor, care s identifice vulnerabilitile i X 31.12.2009
greelile de configurare i s dispun msurile operative de
soluionare. Rapoartele ntocmite n urma identificrii i
soluionrii vulnerabilitilor reelelor s fie corelate i aduse
20 Introducerea de instrumente de control adecvate astfel incit
orice acces la echipamentele sau datele si informaiile
organizaiei sa fie limitat, sau in cazurile in care acesta este
X 31.12.2009
permis sa fie supravegheat in totalitate.
285
21 Schimbarea sistematic a parolelor de acces de ctre
utilizatorii sistemului informatic, precum i stabilirea unei
persoane care s aib n responsabilitate atribuii i X 31.12.2009
competene de verificare a schimbrii periodice a parolelor de
acces.
22 Organizarea datelor n baze de date, respectiv un fiier format
din nregistrri, care conin cmpuri i operaii de cutare,
sortare sau recombinare. Pentru aceasta este necesar realizarea
urmtoarelor: definirea, structurarea, ordonarea i gruparea
datelor n colecii de date omogene; stabilirea legturilor ntre X 31.03.2010
date, ntre elementele unei colecii de date i ntre coleciile de
date, dup o ierarhie bine precizat, precum i memorarea
datelor pe un suport informaional prelucrabil ntr-un sistem
de calcul.
23 Inventarierea tuturor staiilor de lucru pentru a stabili situaia
real privind utilizarea programelor fr licen i
dezinstalarea tuturor programelor neliceniate din pachetul
Microsoft Office. Totodat, s-a recomandat i realizarea unei
analize complexe n urma creia managementul entitii
X 31.12.2009
publice s decid asupra oportunitii schimbrii programelor
existente i achiziionarea unui numr adecvat de licene
Microsoft Office.
24 Realizarea unui proces de reenginering la nivelul sistemului
IT din cadrul entitii publice, astfel nct salariaii s poat
accesa subsistemele IT de care au nevoie utiliznd un singur
X 31.03.2010
nume de utilizator i o singur parol;
Instruciuni
1. Introducei recomandrile de audit dup cum Structura auditat: Departamentul Tehnologia
sunt prezentate n Raportul de audit intern. Informaiei
2. Verificai coloana corespunztoare: Data: 28.10.2009
implementat, parial implementat, neimplementat Semntura conductorului .
3. Introducei data planificat pentru implementare
n Raportul de audit intern i data implementrii Auditori: Popescu Sorin/ Radu George
Data i semntura

Radu George
Not:
Aceast etap a misiunii de audit presupune asigurarea c recomandrile din raportul de audit intern
sunt implementate ntocmai la termenele stabilite i n mod eficace, iar conducerea a evaluat riscul de
neaplicare a acestor recomandri.
Structura de audit intern va evalua eficacitatea i oportunitatea aciunilor stabilite i ntreprinse n
vederea implementrii recomandrilor, respectarea termenelor i va determina progresele nregistrate de
structura auditat i modul de mbuntire a activitilor stabilind valoarea nou creat de auditul intern.
Responsabilul entitii auditate asigur monitorizarea implementrii planului de aciune i l
informeaz periodic pe auditor.
Responsabilul din cadrul structurii de audit intern cu urmrirea recomandrilor trebuie s
implementeze i s actualizeze un proces de urmrire a implementrii recomandrilor care s permit
supravegherea i s garanteze c msurile au fost efectiv implementate de ctre management
286
Procedura P18: URMRIREA RECOMANDRILOR
Entitatea public
Serviciul audit intern
PLANUL DE ACIUNE I CALENDARUL

IMPLEMENTRII RECOMANDRILOR
Responsabil
Calendar
Nr. cu
Recomandarea Plan de aciune implementa
crt. implementar
re
ea
1. Reanalizarea atribuiilor Comisiei de Identificarea atribuiilor Comisiei
planificare strategic n domeniul IT i de planificare strategic
redefinirea acestora astfel nct s poat Revizuirea atribuiilor i includerea
realiza i monitorizarea implementrii de atribuii i cu privire la
proiectelor informatice i informarea monitorizarea implementrii eful Depart.
periodic a conducerii asupra realizrii proiectelor informatice, precum i
31.12.2009
IT
acestora. cu privire la raportarea stadiilor de
realizare.
Cuprinderea acestor atribuii n
cadrul procedurilor de lucru.
2. Pregtirea profesional anticipat a Stabilirea temei de curs
personalului implicat n elaborarea Elaborarea cursului
strategiei, de ctre managementul Stabilirea grupului int
responsabil cu aceasta. Reanalizarea Organizarea i desfurarea
strategiei definite la nivelul structurii cursului
funcionale n conformitate cu procedura Revizuirea strategiei
operaional aprobat i actualizarea Actualizarea strategiei
acesteia astfel nct implementarea sa s Revizuirea procedurilor de lucru eful Depart.
contribuie la realizarea unui management privind fundamentarea i
31.03.2010
IT
modern in domeniul de activitate i la elaborarea strategiei IT
atingerea obiectivelor strategice ale
organizaiei.
mbuntirea procedurilor operaionale de
lucru privind sistemul de fundamentare a
necesarului de resurse pentru elaborarea
strategiei.
3. Evaluarea performanelor actuale ale Realizarea analizei diagnostic la
sistemului de organizare i conducere a nivelul entitii
activitilor desfurate n cadrul structurii Identificarea punctelor forte
funcionale, innd cont de influena Identificarea punctelor slabe
factorilor de mediu, interni i externi, n Identificarea oportunitilor
vederea redefinirii obiectivelor strategice. Identificarea ameninrilor
Implicarea managementului pentru ca Identificarea factorilor de influen
obiectivele strategice redefinite s interni i externi n realizarea
ntruneasc caracteristicile de a fi realiste, strategiei
mobilizatoare, stimulative i s poat fi Redefinirea obiectivelor strategice
eful Depart.
nelese de salariai, stabilite de Urmrirea ca obiectivele strategice 31.12.2009
metodologie. Totodat, la redefinirea s fie realiste, mobilizatoare, IT
acestora se va urmri asigurarea resurselor stimulative i s fie nelese de
necesare implementrii lor. salariaii care particip la
implementarea lor.
Identificarea i aprobarea resurselor
necesare realizrii obiectivelor
strategice.
Responsabilizarea managementului
cu privire la urmrirea i
coordonarea activitilor n vederea
287
realizrii obiectivelor strategice
4. Dezvoltarea unui sistem de instruire i Identificarea temelor de curs
pregtire a salariailor astfel nct necesare pentru ca personalul din
metodologia specific domeniului de cadrul departamentului IT s
activitate, normativ i procedural, s fie deprind cunotinele necesare
aplicat corespunztor pentru dezvoltarea realizrii sarcinilor stabilite
i implementarea planurilor anuale. n baza posturilor.
planurilor elaborate s se identifice toate Organizarea i cuprinderea n
atribuiile necesare pentru atingerea cadrul seminarilor a ntregului
obiectivelor stabilite, iar acestea s fie personal din cadrul departamentului
repartizate corespunztor n cadrul IT n funcie de nevoile identificate
compartimentelor. Asigurarea c temele de curs
Totodat, s-a mai recomandat promovarea cuprind n mod adecvat
dezvoltrii resurselor umane pentru a metodologia domeniului de
obine competenele necesare creterii activitate
economice n condiiile n care au loc Analiza comparativ a atribuiilor
reduceri de personal, precum i evaluarea stabilite posturilor i a celor
cuprinztoare a resurselor (financiare, necesare realizrii obiectivelor i
instituionale, programe, personal) urmrirea dac acestea sunt
eful Depart.
necesare implementrii planurilor anuale suficiente sau este necesar 31.12.2009
de activitate i monitorizarea eficient completarea lor. IT
pentru a se asigura ncadrarea n limitele Redefinirea atribuiilor acolo unde
stabilite. este necesar.
Urmrirea repartizrii n mod
omogen a atribuiilor n cadrul
posturilor
Pregtirea i instruirea personalului
n vederea dezvoltrii
competenelor necesare astfel nct
s contribuie la dezvoltarea
entitii.
Reevaluarea resurselor i urmrirea
ca acestea s fie suficiente pentru
implementarea planurilor de
activitate.
Monitorizarea resurselor astfel nct
s se asigure ncadrarea n limitele
stabilite
5. Coroborarea atribuiilor prezentate prin Compararea atribuiilor stabilite n
proceduri cu cele stabilite prin fiele fiele posturilor cu activitile i
posturilor i inventarierea stadiului responsabilitile definite n cadrul
implementrii subsistemelor IT la nivelul procedurilor i urmrirea ca acestea
departamentelor entitii publice i s asigure aria necesar realizrii
stabilirea necesitilor IT care trebuie lor. eful Depart.
incluse n strategia IT. Inventarierea stadiului
31.12.2009
IT
implementrii programelor i
aplicailor IT, analiza nerealizrilor
conform programelor i stabilirea
de msuri necesare a fi cuprinse n
cadrul strategiei.
6. Contientizarea managementului Organizarea de grupuri de lucru n
responsabil cu procesul de stabilire i vederea contientizrii
definire a atribuiilor prin informri i managementului cu privire la
consilieri pentru clarificarea modalitilor definirea i stabilirea atribuiilor eful
practice de definire a unei atribuii sau
31.12.2009
Depart.IT
unui set de atribuii pentru asigurarea ariei
de competen necesar pentru realizarea
activitilor.
7. Realizarea unei analize riguroase a Evaluarea sarcinilor i
sarcinilor i responsabilitilor fiecrui responsabilitilor stabilite
eful Depart.
angajat, care s stea la baza oricrei posturilor 31.03.2010
iniiative de organizare a activitii. Urmrirea dac sarcinile i IT
Constituirea unei echipe, pe baza deciziei responsabilitile stabilite postului
288
managementului general, care s analizeze individualizeaz n mod adecvat
i s redefineasc activitile i aciunile postul respectiv.
realizate n cadrul compartimentelor i Numirea comisiei cu atribuii de
serviciilor, astfel nct s se asigure c evaluare a activitilor stabilite
obiectivele vor fi realizate n totalitate. La fiecrui compartimente
stabilirea obiectivelor se va urmri dac Examinarea dac atribuiile stabilite
sunt ataate toate activitile necesare comisiei sunt suficiente i adecvate
obinerii rezultatelor stabilite, realizate pentru a evalua dac posturile
efectiv n cadrul compartimentului, existente contribuie n mod adecvat
formulate ca aciuni concrete. la realizarea obiectivelor
8. Analiza actului normativ de organizare i Examinarea ROF-ului entitii i
funcionare a organizaiei i urmrirea urmrirea dac atribuiile
atribuiilor definite departamentului astfel menionate pentru departamentul IT eful Depart.
nct s acopere n totalitate activitile asigur aria de competen necesar
31.12.2009
IT
desfurate. realizrii activitilor desfurate n
cadrul acestuia.
9. Desfurarea procesului de selecie i Stabilirea unei proceduri de lucru
recrutarea n vederea ocuprii posturilor de cu privire la selecia i recrutarea
conducere existente la nivelul personalului n cadrul
departamentului IT. n acelai timp se va departamentului IT.
urmri dac persoanele selectate dein Examinarea dac persoanele eful Depart.
abilitile i aptitudinile manageriale selectate n posturile de conducere
31.03.2010
IT
necesare realizrii activitilor specifice dein abiliti i aptitudini
celor dou servicii i dac au pregtirea de manageriale i dac specialitatea
baz, de nivel superior, n domeniul IT. studiilor corespunde necesitilor
postului.
10. Elaborarea mecanismelor procedurale i Responsabilizarea persoanelor cu
metodologice privind identificarea privire la gestiunea riscurilor
riscurilor i gestionarea acestora, evaluarea Identificarea riscurilor n cadrul
riscurilor identificate i diferenierea departamentului
acestora n riscuri inerente i riscuri Evaluarea i analiza riscurilor eful Depart.
acceptabile, precum i implementarea de Tratarea riscurilor
31.03.2010
IT
instrumente de control pentru riscurile Controlul riscurilor
inerente, astfel nct manifestarea acestora
s fie limitat i nivelul acestora s devin
unul acceptabil.
11. Stabilirea controalelor interne aferente Identificarea tuturor riscurilor
riscurilor identificate i determinarea inerente n cadrul departamentului
gradului de funcionalitate al acestora i Stabilirea instrumentelor de control
proiectarea de instrumente sau msuri de necesare limitrii riscurilor
introducere de controale interne, fie Implementarea instrumentelor de
eful Depart.
individuale, fie n combinaie cu alte control 31.12.2009
controale, capabile s previn, detecteze i Urmrirea eficienei i IT
s corecteze n mod eficient denaturrile funcionalitii instrumentelor de
semnificative. control i dac acestea au limitat
riscul i-l menin n limite
acceptabile.
12. Analiza sarcinilor i atribuiilor definite n Reevaluarea sarcinilor stabilite
fiele posturilor i stabilirea acestora n fiecrui post din cadrul
funcie de caracteristicile postului, departamentului
respectiv nivelul postului i urmrirea Redefinirea acestora pe posturi n
eful Depart.
definirii aceluiai gen de sarcini i atribuii funcie de caracteristicile i 31.12.2009
numai dac posturile sunt de acelai nivel. cerinele acestora IT
Stabilirea de sarcini fiecrui post n
funcie de nivelul postului i natura
acestuia
13. Identificarea i definirea corect n cadrul Revizuirea atribuiilor din cadrul
documentului de organizare i funcionare, ROF-ului i redefinirea n mod
a atribuiilor specifice departamentului, a adecvat a acestora eful Depart.
relaiilor funcionale pe care Revizuirea relaiilor funcionale n
31.12.2009
IT
compartimentul la are cu alte structuri cadrul i n afara departamentului i
funcionale din cadrul organizaiei. redefinirea adecvat a acestora
289
14. Implementarea unei aplicaii care s Conceperea i implementarea unei
monitorizeze alocarea i utilizarea aplicaii care va monitoriza alocarea
resurselor n funcie de gradul de resurselor financiare pentru fiecare
complexitate al operaiilor efectuate. activitate desfurat i care va
Urmrirea n permanen a echilibrului genera rapoarte cu privire la
ntre necesitile IT i resursele alocate utilizarea acestora.
acestor scopuri. Analiza comparativ a resurselor
Protejarea mediile sau locaiile de stocare consumate pentru realizarea
mpotriva deteriorrii sau accesului activitilor, n raport cu cele
neautorizat. aprobate
Realizarea corect i la intervale de timp Examinarea locaiilor de stocare a
stabilite n funcie de specificul fiecrei informaiilor i urmrirea dac
componente, numai de ctre personal exist condiii adecvate de stocare.
autorizat n acest sens, a procedurilor de Crearea de aplicaii care s
eful Depart.
mentenan a echipamentelor. prentmpine accesul neautorizat la 31.03.2010
Constituirea n cadrul departamentului IT a programe i aplicaii. IT
unui colectiv specializat n raportarea i Realizarea procedurilor de
rezolvarea operativ a problemelor de mentenan la intervalele de timp
ordin tehnic (Help Desk), care s asigure i planificate
acordarea suportului tehnic de specialitate Numirea comisiei cu atribuii n
ctre utilizatori, fie prin linii telefonice raportarea operativ a problemelor
dedicate, fie prin e-mail sau deplasri ale tehnice
echipelor specializate. Stabilirea atribuiilor comisiei
Elaborarea i implementarea unor numite.
programe care s automatizeze pe ct Conceperea i implementarea unei
posibil verificrile efectuate asupra aplicaii care s monitorizeze
operaiilor informatice. operaiile efectuate n cadrul
programelor i aplicaiilor derulate
n cadrul entitii.
15. Constituirea unor echipe pentru efectuarea Numirea unui responsabil cu
de verificri anti-virus la nivelul tuturor examinarea staiilor de lucru
staiilor de lucru din cadrul entitii virusate.
publice, configurarea corecta n cazurile n Examinarea fiecrei staii de lucru
care aceste programe au fost dezactivate, i devirusarea acestora
stabilirea de responsabiliti n cazul n Configurarea programelor anti-
care acestea sunt dezactivate i produc virus pe fiecare staie de lucru pe eful Depart.
disfuncii n cadrul organizaiei. baz de licen.
31.12.2009
IT
Stabilirea rspunderilor n sarcina
utilizatorilor n cazul n care
programele antivirus sunt
dezactivate, iar aplicaiile sau
informaiile coninute de acestea
sufer denaturri.
16. Analiza tuturor aplicaiilor i programelor Identificarea tuturor aplicaiilor i
ncepute i nefinalizate, identificarea programelor din cadrul entitii
resurselor financiare necesare pentru ncepute i neimplementate.
finalizarea acestora, stabilirea de termene Identificarea resurselor financiare
de finalizare i urmrirea respectrii pentru implementarea lor i
acestora. Noile aplicaii i programe vor fi aprobarea acestora.
aprobate i achiziionate numai dac sunt Stabilirea de grafice de
eful Depart.
compatibile cu cele deja implementate sau implementare i urmrirea 31.-03.2010
aflate n faza de implementare i numai implementrii acestora. IT
dac exista resursele necesare aprobate Examinarea noilor programe i
prin buget. aplicaii de achiziionat.
Achiziionarea acestora numai dac
sunt compatibile cu cele existente
i contribuie la integrarea
informaiilor
17. Identificarea riscurilor care guverneaz Identificarea riscurilor aferente
toate subsistemele IT, stabilirea subsistemelor IT
eful Depart.
controalelor interne care ar trebui s existe Evaluarea instrumentelor de control 31.12.2009
pentru ca acestea s funcioneze corect, existente i urmrirea dac acestea IT
urmrirea controalelor interne care exist asigur un nivel acceptat al
290
i funcioneaz, identificarea i riscurilor
implementarea de instrumente de control Stabilirea instrumentelor de control
pentru controalele interne care nu sunt de implementat astfel nct s
implementate sau nu funcioneaz. asigure funcionalitatea acestora
18. Implementarea procedurilor operaionale Revizuirea procedurilor de lucru
de lucru cu elemente care s asigure Elaborarea unei proceduri de lucru
actualizarea n timp util a situaiilor cu privire la tratarea securitii
privind reelele IT; Tratarea securitii reelelor.
eful Depart.
reelelor ca pe un proces continuu, astfel Securizarea tuturor aplicaiilor i 31.03.2010
nct schimbrile n cadrul utilizatorilor, programelor cu privire la accesul la IT
echipamentelor sau aplicaiilor s se acestea, inclusiv la informaiile
realizeze evitnd expunerile la riscuri; coninute.
19 Prioritizarea aplicaiilor informatice, n Elaborarea unei proceduri de lucru

funcie de importana acestora, n vederea cu privire la tratarea
alocrii corespunztoare a msurilor de vulnerabilitilor.
securitate i tratarea securitii reelelor ca Responsabilizarea unei persoane cu
pe un proces continuu. Implementarea unui privire la tratarea vulnerabilitilor.
sistem de management al vulnerabilitilor, Analiza periodic a
eful Depart.
care s identifice vulnerabilitile i vulnerabilitilor i elaborarea de 31.12.2009
greelile de configurare i s dispun rapoarte IT
msurile operative de soluionare. Informarea conducerii cu privire la
Rapoartele ntocmite n urma identificrii vulnerabilitile identificate i
i soluionrii vulnerabilitilor reelelor s propunerea de soluii de remediere
fie corelate i aduse la cunotina
conducerii organizaiei.
20 Introducerea de instrumente de control Examinarea tuturor echipamentelor
adecvate astfel incit orice acces la i aplicaiilor
echipamentele sau datele si informaiile Identificarea celor care nu prezint
organizaiei sa fie limitat, sau in cazurile in un sistem adecvat de accesare
eful Depart.
care acesta este permis sa fie supravegheat Stabilirea unui sistem de parole n 31.12.2009
in totalitate. vederea limitrii accesului IT
Stabilirea accesului la informaii pe
nivele de autorizare, n funcie de
nivelul i cerinele posturilor.
21 Schimbarea sistematic a parolelor de Responsabilizarea unei persoane
acces de ctre utilizatorii sistemului care s urmreasc schimbarea
informatic, precum i stabilirea unei periodic a parolelor. eful Depart.
persoane care s aib n responsabilitate Urmrirea schimbrii periodice a
31.12.2009
IT
atribuii i competene de verificare a parolelor.
schimbrii periodice a parolelor de acces.
22 Organizarea datelor n baze de date, Revizuirea bazelor de date
respectiv un fiier format din nregistrri, constituite
care conin cmpuri i operaii de cutare, Organizarea informaiilor n cadrul
sortare sau recombinare. Pentru aceasta acestora n mod adecvat, respectiv:
este necesar realizarea urmtoarelor: - definirea datelor coninute;
definirea, structurarea, ordonarea i - structurarea datelor n funcie de
gruparea datelor n colecii de date importan;
eful Depart.
omogene; stabilirea legturilor ntre date, - ordonarea i gruparea datelor 31.03.2010
ntre elementele unei colecii de date i - stabilirea legturilor ntre date i IT
ntre coleciile de date, dup o ierarhie bine informaii;
precizat, precum i memorarea datelor pe - stabilirea nivelurilor de acces la
un suport informaional prelucrabil ntr-un date i informaii
sistem de calcul. - organizarea sistemului de
securitate, protecie i acces la
datele i informaiile stocate.
23 Inventarierea tuturor staiilor de lucru Identificarea staiilor de lucru
pentru a stabili situaia real privind Examinarea aplicaiilor i
utilizarea programelor fr licen i programelor utilizate de fiecare
eful Depart.
dezinstalarea tuturor programelor staie de lucru i stabilirea celor 31.12.2009
neliceniate din pachetul Microsoft Office. care sunt utilizate fr a exista IT
Totodat, s-a recomandat i realizarea unei licene.
analize complexe n urma creia Dezinstalarea tuturor programelor
291
managementul entitii publice s decid utilizate fr licene.
asupra oportunitii schimbrii Instalarea de programe i aplicaii
programelor existente i achiziionarea adecvate pentru care exist licene.
unui numr adecvat de licene Microsoft Analiza eficienei i eficacitii
Office. aplicaiilor utilizate i a
oportunitii schimbrii acestora cu
unele cu caliti i performane
ridicate.
24 Realizarea unui proces de reenginering la Realizarea procesului de
nivelul sistemului IT din cadrul entitii reenginering la nivelul
publice, astfel nct salariaii s poat departamentului IT i asigurarea c eful Depart.
accesa subsistemele IT de care au nevoie salariaii pot accesa subsistemele IT
31.03.2010
IT
utiliznd un singur nume de utilizator i o utiliznd un singur nume i o
singur parol; singur parol de acces.
292
PROGRAMUL DE ASIGURARE I MBUNTIRE A CALITII
eful structurii de audit intern trebuie s elaboreze un Program de asigurare i mbuntire

a calitii activitii de audit, adic respectarea normelor metodologice, a Codului privind conduita
etica a auditorului intern, a Standardelor i a bunei practici internaionale de ctre toi auditorii
interni.
Prin Programul de asigurare i mbuntire a calitii se realizeaz o evaluare prin adoptarea
unui proces permanent de supraveghere a eficacitii globale a programului de calitate.
Evaluarea const n supervizarea realizrii misiunii de audit intern, prin efectuarea de
controale permanente de ctre eful structurii de audit intern, prin care acesta examineaz
eficacitatea normelor de audit intern i dac procedurile de asigurare a calitii misiunii de audit
sunt aplicate n mod corespunztor garantnd calitatea Raportului de audit intern.
Supervizarea va permite depistarea deficienelor n anumite etape din derularea misiunii i va
permite iniierea de activiti de mbuntire a viitoarelor misiuni de audit intern i asigurarea
perfecionrii profesionale a auditorilor.
Evaluarea se realizeaz dup fiecare misiune de audit intern. Este formalizat prin ntocmirea
Fiei de evaluare a misiunii de audit intern.
EVALUAREA INTERN
Procedura P19: PROGRAMUL DE ASIGURARE A CALITII
Entitatea Public
FIA DE EVALUARE A MISIUNII DE AUDIT INTERN

Bugetul de timp planificat: 260

Bugetul de timp efectiv: 264 ore
1 2 3 4 5 Observaii
n etapa de pregtire a misiunii, auditorul a identificat
riscurile i controalele prevzute pentru procesele legate de X
obiectivele de audit i a estimat corespunztor riscurile
activitii
Programele de audit au fost elaborate n vederea ndeplinirii A fost necesar s se
X lucreze peste orele
obiectivelor misiunii n cadrul bugetului de timp alocat de program
Obiectivul auditului, scopul, procedurile i bugetul au fost
reanalizate n mod constant pentru a asigura o eficient X
folosire a resurselor de audit
A existat o bun comunicare ntre auditor i auditat i ntre X
293
Bugetul de timp planificat: 260
Bugetul de timp efectiv: 264 ore
1 2 3 4 5 Observaii
auditor i conducerea structurii de audit intern;
A existat o bun comunicare ntre auditor i conducerea X
structurii de audit intern
Au fost luate n considerare perspectivele i nevoile audiailor X
n procesul de audit
Au fost atinse obiectivele de audit ntr-o manier eficient i X
la timp
Auditaii au avut posibilitatea s revad constatrile i X
recomandrile cnd au fost identificate problemele
Normele de audit intern, au fost respectate X
Constatrile de audit demonstreaz analize profunde i
concluzii, respectiv sunt formulate recomandri practice X
pentru probleme identificate
Comunicrile scrise au fost clare, concise, obiective i corecte X
Exist probe de audit care s susin concluziile auditorului X
Procedurile de audit utilizate au avut ca rezultat dovezi X
suficiente, competente, relevante i folositoare
Documentele au fost completate n mod corespunztor i n X
conformitate cu normele de audit intern
Bugetul de timp a fost respectat X
Nivel de productivitate personal al auditorului intern. X
EVALUAREA EXTERN
Evaluarea misiunii de audit intern mai poate fi realizat i de conducerea structurii auditate creia i
se nainteaz un chestionar de evaluare prin care i se solicit s prezinte o apreciere asupra desfurrii
misiunii de audit i a modului de implicare al auditorilor interni pe parcursul misiunii.
Evaluarea misiunii de audit intern de ctre structura auditat este formalizat prin Fia de evaluare a
misiunii de audit intern ntocmit de ctre structura auditat.
294
Procedura P19: PROGRAMUL DE ASIGURARE A CALITII
Entitatea public
FIA DE EVALUARE A MISIUNII DE AUDIT INTERN

DE CTRE STRUCTURA AUDITAT

Nr. Note
Obiectiv auditat Obs.
crt. 1 2 3 4 5
1. Obiectivele de audit au fost comunicate clar la X
nceputul misiunii
2. Au fost furnizate suficiente informaii privind X
misiunea de efectuat
3. Misiunea a contribuit la obinerea de rezultate sau la X
mbuntirea unora deja existente
4. Misiunea a beneficiat de direcii clare i precise X
privind modul de desfurare
5. Obiectivele de audit stabilite au fost n concordanta X
cu activitile desfurate
6. Constatrile au fost prezentate ntr-o maniera logic, X
structurat, dinamic i interesant
7. S-a rspuns n toate cazurile la ntrebrile legate de
misiunea de audit, iar rspunsurile au condus la X
obinerea de concluzii relevante
8. Misiunea a fost desfurat adecvat, intervenia la
fata locului a privit doar obiectivele stabilite i X
comunicate
9. A existat un feed-back pe tot parcursul misiunii, iar
acesta a fost util n gsirea de soluii la probleme X
10. Cum evaluai n general misiunea de audit X
11. Considerai ca obiectivele de audit stabilite au privit X
activitile cu riscuri majore
12. In desfurarea misiunii de audit au fost prezentate
constatrile i recomandrile cnd au fost identificate X
probleme
13. A existat o buna comunicare intre auditor i auditat X
14. Auditorii au avut un comportament adecvat i X
profesional
15. Ce v-a plcut cel mai mult pe timpul misiunii de audit descriei cel puin 3 aspecte care v-
au plcut cel mai mult
claritatea recomandrilor
conduita auditorilor interni
calitatea discuiilor
295
16. Ce v-a plcut cel mai puin pe timpul misiunii de audit descriei cel puin 3 aspecte care v-
au plcut cel mai puin
ntlnirile pe parcursul misiunii au fost limitate, nu ntotdeauna din vina auditatului.
17. Ce obiective de audit considerai c nu au fost atinse n totalitate din cele comunicate
Nu sunt comentarii.
18. Ce obiective de audit considerai c ar fi necesar a fi cuprinse n programul viitor de audit

Calitatea procedurilor privind achiziiile publice elaborate n urma recomandrilor.
19. Alte comentarii
Tabelele de mai sus vor fi completate innd cont de urmtorul sistem de punctaj:
1 pentru nesatisfctor;
2 pentru slab;
3 pentru satisfctor;
4 pentru bine;
5 pentru foarte bine.
Not: n practic se va urmri ca pentru orice notare sub 3 s se solicite explicaii scrise.
Evaluarea extern a funcionalitii activitii de audit intern se realizeaz i de U.C.A.A.P.I. i

organul ierarhic superior pentru structurile din subordine prin verificarea respectrii normelor metodologice
generale i specifice, a Standardelor de audit intern, a bunei practici recunoscute n domeniu i a Codului
etic al profesiei.
Activitatea de evaluare extern a activitii de audit intern, n Romnia, conform cadrului normativ
general, se realizeaz o dat la 5 ani, ocazie cu care, n funcie de necesiti, se iniiaz msuri corective n
colaborare cu conductorul entitii evaluate n cauz.
Documentele de evaluare intern i extern se arhiveaz n Dosarul permanent, Seciunea -

Supervizarea.
n sperana c prezentul ghid practic va constitui pentru cei interesai un

suport pentru realizarea misiunilor de audit intern la un nivel corespunztor bunei
practici recunoscut n domeniu, ateptm aprecierile i eventual sugestiile
dumneavoastr, de care vom ncerca s inem cont cu ocazia elaborrii viitoarelor
lucrri.
296

Ghid IT Ed II

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ghid IT Ed II

Uploaded by

Copyright:

Available Formats

MINISTERUL FINANELOR PUBLICE

UNITATEA CENTRAL DE ARMONIZARE PENTRU AUDITUL PUBLIC INTERN

Ateptm sugestiile dumneavoastr pe adresa UCAAPI sau pe e-mail:

Ghidul de audit intern privind auditarea activitii IT reprezint un model practic de

n conformitate cu prevederile punctului 4, Partea I din Normele generale de exercitare a

Actualizarea ghidului practic a presupus respectarea procedurilor i documentelor

n continuare, prezentm desfurarea misiunii de audit intern pentru Activitatea IT,

Scopul misiunii de audit este de a da asigurri asupra modului de organizare i desfurare a

Menionm c se va efectua un audit de conformitate privind modul de organizare i desfurare

Echipa de auditori interni este format din urmtorii auditori:

ef Serviciu Audit Intern,

Nume i prenume: Popescu Sorin

Incompatibiliti n legtur cu entitatea/structura auditat DA NU

Data: 14.08.2009 Semntura: Dumitru Daniel

Nume i prenume: Radu George Data: 14.08.2009

Incompatibiliti n legtur cu entitatea/structura auditat DA NU

NOTIFICAREA PRIVIND DECLANAREA MISIUNII DE AUDIT INTERN

Ctre: Departamentul Tehnologia Informaiei

Referitor la misiunea de audit intern Activitatea IT

Stimate domnule director Ptrulescu George

n conformitate cu Planul de audit intern pe anul 2009, urmeaz ca n perioada 01.09.2009 -

Perioada supus evalurii este 01.01.2008 30.06.2009;

Obiectivele misiuni de audit intern vor fi reprezentate de:

Pentru o mai bun nelegere a activitii dumneavoastr, v rugm sa ne punei la dispoziie

ef Serviciu Audit Intern,

Misiunea de audit: Activitatea IT

CHESTIONAR DE LUARE LA CUNOTIN

Misiunea de audit: Activitatea IT

Misiunea de audit: Activitatea IT

Misiunea de audit: Activitatea IT

CHESTIONAR DE CONTROL INTERN

Misiunea de audit: Activitatea IT

A. INTREBRI ADRESATE MANAGEMENTULUI

Implementarea i gestionarea bazelor de date

Achiziia unui program de baze de date este aprobat de conducere? X

STABILIREA FACTORILOR DE RISC, A PONDERILOR ACESTORA

Misiunea de audit: Activitatea IT

Ponderea Nivelul de apreciere al riscului (Ni)

Aprecierea cantitativ Impact financiar Impact financiar Impact financiar

Aprecierea calitativ Vulnerabilitate Vulnerabilitate Vulnerabilitate

STABILIREA NIVELULUI RISCULUI I A PUNCTAJULUI TOTAL AL RISCURILOR

Misiunea de audit: Activitatea IT

T= Pi x Ni unde: Pi = ponderea riscului pentru fiecare criteriu

CLASAREA OPERAIILOR N FUNCIE DE ANALIZA RISCURILOR

Misiunea de audit: Activitatea IT

TABELUL PUNCTE TARI I PUNCTE SLABE

Misiunea de audit: Activitatea IT

4.6. Gestionarea 4.61. Utilizatorii au parole de Accesul la aplicaii se

Misiunea de audit: Activitatea IT

Mentenana ntreinerea calculatorului i a echipamentelor II 3.4.21

OBIECTIVELE DURATA PERSOANELE LOCUL

PROGRAMUL INTERVENIEI LA FAA LOCULUI

Durata Nr. lista de Nr.

1 1.3.1. Strategia IT este Observarea modului de cunoatere i implementare a Structura 4 I T4 Popescu

1 1.4.2. Comitetul IT transpune Examinarea constituirii Comitetului de dezvoltare IT Structura 4 I T5 Popescu

OBIECTIVUL NR. 2 ORGANIZAREA I FUNCIONAREA DEPARTAMENTULUI IT

A 6.1. Dezvoltarea proiectelor IT (programe i aplicaii)

Data: 09.09.2009 Auditori,

MINUTA EDINEI DE DESCHIDERE

Misiunea de audit: Tehnologia informaiei

n cadrul edinei de deschidere s-a procedat la:

De asemenea, s-au stabilit:

LISTA DE VERIFICARE nr. 1