You are on page 1of 180

eg

2012

GHIDUL DE AUDIT
AL
SISTEMELOR INFORMATICE

BUCURETI
2012
Pag. 1 din 180

Pag. 2 din 180

CUPRINS
Introducere............................................................................................................................................ 6
Capitolul 1.

Problematica general.................................................................................... 8

1.1 Auditul sistemelor informatice ......................................................................................... 8


1.1.1 Domeniul de aplicare ................................................................................................................. 8
1.1.2 Documente de referin (reglementri) aplicabile n domeniul auditului IS / IT
9
1.1.3 Etapele auditului sistemelor informatice ....................................................................... 10
1.1.4 Obiective generale i obiective specifice ale auditului IT / IS ................................ 10
1.1.5 Criterii de evaluare generice ............................................................................................... 11
1.1.6 Determinarea naturii i volumului procedurilor de audit ....................................... 11
1.1.7 Revizuirea controalelor IT n cadrul misiunilor de audit financiar ...................... 12
1.1.8 Evaluarea riscurilor ................................................................................................................ 13
1.1.9 Tehnici i metode de audit ................................................................................................... 15
1.1.10 Colectarea, inventarierea i documentarea probelor de audit............................... 15
1.1.11 Formularea constatrilor i recomandrilor ................................................................ 16
1.1.12 Elaborarea raportului de audit ........................................................................................... 16
1.2 Probleme de audit asociate cu utilizarea sistemelor IT / IS ................................ 17
1.3 Evaluarea sistemelor informatice financiar-contabile .......................................... 19
1.3.1 Informaii de fond privind sistemele IT / IS ale entitii auditate ........................ 22
1.3.2 Controale IT generale ............................................................................................................. 23
1.3.3 Evaluarea aplicaiei i evaluarea riscurilor zonei contabile.................................... 25
1.3.4 Sisteme n curs de dezvoltare.............................................................................................. 31
1.3.5 Anomalii frecvente n operarea sistemului................................................................... 31
1.3.6 Documente i informaii solicitate entitii auditate ................................................. 32
Capitolul 2.

Proceduri de audit IT ................................................................................... 34

2.1 Informaii de fond privind sistemele IT ale entitii auditate ............................ 35


PROCEDURA A1 - Privire general asupra entitii auditate ................................................ 35
PROCEDURA A2 - Principalele probleme IT rezultate din activitile anterioare de
audit 36
PROCEDURA A3 - Dezvoltri informatice planificate .............................................................. 36
PROCEDURA A4 - Configuraia hardware (echipamente), software (programe
informatice) i personalul IT ............................................................................................................. 36
PROCEDURA A5 - Cerine pentru specialitii n auditul sistemului informatic ............. 37
PROCEDURA A6 - Activitatea necesar pentru evaluarea sistemelor ............................... 37
PROCEDURA A7 - Contacte cheie ..................................................................................................... 37
2.2 Evaluarea mediului de control IT Controale generale IT................................... 38
PROCEDURA B1 - Managementul sistemului informatic ........................................................ 39
PROCEDURA B2 - Separarea atribuiilor ...................................................................................... 50
PROCEDURA B3 - Securitatea fizic i controalele de mediu ................................................ 53
PROCEDURA B4 - Securitatea informaiei i a sistemelor...................................................... 55
PROCEDURA B5 - Continuitatea sistemelor................................................................................. 66
PROCEDURA B6 - Externalizarea serviciilor IT .......................................................................... 75
Pag. 3 din 180

PROCEDURA B7 - Managementul schimbrii i al dezvoltrii de sistem ......................... 76


PROCEDURA B8 - Auditul intern IT ................................................................................................ 82
2.3 Revizuirea controalelor aplicaiei i evaluarea riscurilor asociate .................. 83
PROCEDURA CA1 - nelegerea sistemului informatic financiar - contabil ..................... 84
PROCEDURA CA2 - Posibilitatea de efectuare a auditului ...................................................... 86
PROCEDURA CA3 - Utilizarea tehnicilor de audit asistat de calculator (CAAT) ............ 86
PROCEDURA CA4 Determinarea rspunderii .......................................................................... 88
PROCEDURA CA5 Evaluarea documentaiei aplicaiei ......................................................... 89
PROCEDURA CA6 Evaluarea securitii aplicaiei ................................................................. 90
PROCEDURA CA7 Evaluarea controalelor privind introducerea datelor ..................... 91
PROCEDURA CA8 Evaluarea controalelor privind transmisia de date .......................... 93
PROCEDURA CA9 Evaluarea controalelor prelucrrii .......................................................... 94
PROCEDURA CA10 Evaluarea controalelor privind datele de ieire .............................. 95
PROCEDURA CA11 Evaluarea controalelor privind fiierele de date permanente ... 97
PROCEDURA CA12 - Evaluarea conformitii aplicaiilor cu legislaia n vigoare ........ 98
PROCEDURA CA13 - Efectuarea testelor de audit ..................................................................... 99
2.3.1 Norme metodologice ale Ministerului Finanelor Publice privind criterii i
cerine minimale pentru sistemele informatice financiar- contabilitate........................101
2.3.2 Volumul de teste de control ...............................................................................................102
Capitolul 3.

Riscuri IT ........................................................................................................ 104

3.1 Probleme cu impact semnificativ asupra riscului de audit ................................ 104


3.2 Riscurile generate de existena mediului informatizat ....................................... 106
3.2.1 Dependena de IT ...................................................................................................................106
3.2.2 Resurse i cunotine IT ......................................................................................................107
3.2.3 ncrederea n IT ......................................................................................................................108
3.2.4 Schimbri n domeniul sistemelor IT / IS .....................................................................110
3.2.5 Externalizarea serviciilor IT ..............................................................................................111
3.2.6 Focalizarea pe afacere ..........................................................................................................112
3.2.7 Securitatea informaiei ........................................................................................................113
3.2.8 Protecia fizic a sistemelor IT .........................................................................................114
3.2.9 Operarea sistemelor IT ........................................................................................................115
3.2.10 Dezvoltri efectuate de utilizatorii finali ......................................................................117
Capitolul 4.

Evaluarea mediului informatizat n entitile mici ......................... 119

4.1 Evaluarea mediului informatizat cu calculatoare PC individuale ................... 119


4.1.1 Particularitile auditului n medii cu calculatoare individuale ..........................119
4.1.2 Efectul utilizrii calculatoarelor individuale asupra sistemului financiar
contabil .....................................................................................................................................................122
4.1.3 Efectul unui mediu cu calculatoare individuale asupra procedurilor de audit
123
4.2 Efectul implementrii i utilizrii sistemelor de gestiune a bazelor de date
(SGBD) asupra sistemului financiar contabil ................................................................... 123
4.2.1 Particularitile controlului intern aferent mediului cu baze de date ...............124
4.2.2 Efectul utilizrii bazelor de date asupra sistemului financiar contabil ............126
4.2.3 Efectul utilizrii bazelor de date asupra procedurilor de audit ...........................127
4.3 Utilizarea tehnicilor de audit asistat de calculator n mediile IT ale entitilor
mici129
Pag. 4 din 180

Capitolul 5.

Documente de lucru.................................................................................... 131

Referine bibliografice.................................................................................................................. 134


Anexa 1 - Glosar de termeni........................................................................................................ 135
Anexa 2 - Lista documentelor..................................................................................................... 143
Macheta 1 .......................................................................................................................................... 145
Macheta 2 .......................................................................................................................................... 146
Macheta 3 .......................................................................................................................................... 147
Macheta 4 .......................................................................................................................................... 149
Anexa 3 Lista de verificare pentru evaluarea controalelor generale .......................... 151
Anexa 4 Lista de verificare pentru evaluarea riscurilor .................................................. 169
Anexa 5 Lista de verificare pentru evaluarea controalelor de aplicaie .................... 174

Pag. 5 din 180

Introducere
Ghidul de audit al sistemelor informatice constituie o extensie a Manualului de audit al
sistemelor informatice elaborat n cadrul Curii de Conturi a Romniei (CCR) i detaliaz
implementarea practic a procedurilor de audit n medii informatizate, transpunnd la
nivel operaional elementele cu caracter metodologic prezentate n manual.
Manualul se axeaz preponderent, pe descrierea celor mai noi concepte, metode, tehnici i
proceduri aferente contextului general al auditului sistemelor informatice, precum i pe
problematica auditului sistemelor informatice financiar-contabile.
In timp ce manualul se concentreaz pe aspectele strict necesare nelegerii conceptelor,
standardelor, metodologiilor i procedurilor asociate auditului IT/IS 1 fr de care un
auditor nu poate aborda corect acest domeniu, ghidul prezint n mod concret, activitile,
procesele, tehnicile, procedurile i documentele specifice acestui tip de audit i furnizeaz
auditorilor publici externi informaii practice privind evaluarea mediului informatizat,
facilitnd integrarea procedurilor proprii ale auditului IT/IS n contextul misiunilor de
audit n care auditorii publici externi sunt implicai.
n ceea ce privete tipul i coninutul aciunilor de verificare desfurate de CCR (aciuni
de control, misiuni de audit financiar i misiuni de audit al performanei), n condiiile
extinderii pe scar larg a informatizrii instituiilor publice, auditul IT/IS constituie o
component a misiunilor de audit ale CCR, avnd la baz cerinele Regulamentului privind
organizarea i desfurarea activitilor specifice Curii de Conturi, precum i valorificarea
actelor rezultate din aceste activiti. n acest context, ghidul prezint n detaliu
procedurile de audit specifice mediului informatizat pe care auditorii trebuie s le aplice
atunci cnd evalueaz disponibilitatea, integritatea i confidenialitatea informaiilor care
provin din sistemul informatic financiar-contabil n scopul formulrii unei opinii n
legtur cu ncrederea n acestea.

Structura documentului
Documentul este structurat dup cum urmeaz: un capitol introductiv, cinci capitole
dedicate problemelor de fond, o list de referine bibliografice i un numr de anexe
(glosar de termeni; lista documentelor specifice auditului IT/IS solicitate entitii,
machete i liste de verificare)
Capitolul 1 cuprinde o sintez a problematicii generale specifice auditului sistemelor
informatice, sunt prezentate probleme de audit asociate cu utilizarea sistemelor
informatice i aspectele specifice evalurii sistemelor informatice financiar-contabile.
Capitolul 2 prezint n detaliu procedurile de audit IT pentru evaluarea mediului
informatizat: obinerea informaiilor de fond privind sistemele IT ale entitii auditate
(Procedurile A1 A7), evaluarea controalelor generale IT (Procedurile B1 B8),
evaluarea controalelor de aplicaie (Procedurile CA1 CA13). Aceste proceduri au fost

Information Technology / Information Systems


Pag. 6 din 180

prezentate la nivel teoretic n Manualul auditului sistemelor informatice2. Pentru aspectele


tehnice teoretice, n ghid se fac trimiteri la prezentrile din manual.
Referitor la cazul particular al sistemelor informatice financiar-contabile, n Capitolul 2,
este prezentat o list a criteriilor i cerinelor minimale formulate de Ministerul
Finanelor Publice, pentru sistemele informatice financiar-contabile.
n Capitolul 3 este prezentat metodologia de evaluare a riscurilor generate de existena
mediului informatizat, precum i impactul semnificativ al acestor sisteme att asupra
activitii entitilor, ct i asupra riscului de audit.
Capitolul 4 prezint metodologia de evaluare a sistemelor informatice pentru entiti mici
(de exemplu, primrii), care au n dotare, n multe cazuri, un singur calculator.
n Capitolul 5 se face o prezentare a documentelor de lucru specifice auditului IT/IS. Sunt
ataate modele relevante pentru machete i liste de verificare.

Ediia 2012
Pag. 7 din 180

Capitolul 1. Problematica general


Prezentul capitol descrie ntr-o manier sintetic problematica general asociat
domeniului auditului sistemelor informatice, referitoare la utilizarea unui cadru
metodologic i procedural orientat pe fluxul activitilor care se desfoar n cadrul unei
misiuni de audit IT, misiune care are ca scop investigarea i evaluarea conformitii
proceselor care au loc n cadrul unei entiti cu cerinele unui cadru de reglementare,
respectiv un set de standarde, bune practici, legislaie, metodologii. Rezultatele evalurilor
se materializeaz n constatri i concluzii care reflect opiniile auditorului prin prisma
obiectivelor misiunii de audit. n cazul constatrii unor neconformiti, auditorul
formuleaz recomandri pentru remedierea acestora i perfecionarea activitii entitii.
Subiectele abordate sunt urmtoarele:
a) problematica general specific auditului IT (domeniul de aplicare, documente de
referin (reglementri) aplicabile n domeniul auditului IT/IS, obiective generale i
obiective specifice ale auditului IT/IS, criterii de evaluare generice, determinarea
naturii i volumului procedurilor de audit, revizuirea controalelor IT n cadrul
misiunilor de audit n medii informatizate),
b) evaluarea riscurilor generate de implementarea i utilizarea sistemelor
informatice,
c) tehnici i metode de audit,
d) colectarea, inventarierea i documentarea probelor de audit,
e) elaborarea raportului de audit.

1.1

Auditul sistemelor informatice

n concordan cu cadrul de lucru INTOSAI i cu standardele asociate, n ceea ce privete


tipul i coninutul aciunilor de verificare desfurate de Curtea de Conturi a Romniei
(aciuni de control, misiuni de audit financiar i misiuni de audit al performanei), n
condiiile extinderii accentuate a informatizrii instituiilor publice, auditul sistemelor
informatice poate constitui o component a acestor aciuni sau se poate desfura de sine
stttor, de regul prin misiuni de audit al performanei implementrii i utilizrii de
sisteme, soluii informatice sau servicii electronice care fac obiectul unor programe
naionale sau proiecte complexe de impact pentru societate, avnd efecte n planul
modernizrii unor domenii sau activiti.

1.1.1 Domeniul de aplicare


Datorit extinderii misiunilor de audit i a aciunilor de control care se desfoar n
medii informatizate, se accentueaz necesitatea asigurrii convergenei metodelor i
standardelor de audit financiar cu metodele i standardele de audit IT. Pentru a verifica
satisfacerea cerinelor pentru informaie (eficacitate, eficien, confidenialitate,
integritate, disponibilitate, conformitate i ncredere), se are n vedere, auditarea
sistemului informatic care furnizeaz informaia financiar-contabil.
Pag. 8 din 180

Avnd n vedere contextul actual, n Regulamentul privind organizarea i desfurarea


activitilor specifice Curii de Conturi, precum i valorificarea actelor rezultate din aceste
activiti, a fost inclus evaluarea sistemelor informatice financiar-contabile ca fiind o
component obligatorie pentru toate aciunile de control i audit desfurate n medii
informatizate. n acest cadru, este obligatorie colectarea informaiilor privind controalele
IT implementate n sistemul de control intern al entitii auditate, prin intermediul
Chestionarului pentru evaluarea sistemului IT.
In cadrul aciunilor de control i audit financiar desfurate de ctre structurile Curii de
Conturi, auditorii publici externi vor efectua evaluri ale sistemelor informatice existente
la entitile auditate, pentru a determina dac sistemele i aplicaiile furnizeaz informaii
de ncredere pentru aciunile respective.
Constatrile vor evidenia punctele tari i punctele slabe ale sistemului informatic i vor
meniona aspectele care trebuie remediate. Pe baza acestora se vor formula recomandri
privind perfecionarea structurii de procese, controale i proceduri IT existente.
Principalele constatri, concluzii i recomandri formulate pe parcursul misiunii de audit
vor fi sintetizate i vor fi naintate conducerii entitii auditate, constituind obiectul
valorificrii raportului de audit. Modul de implementare a recomandrilor i stadiul
implementrii acestora vor fi revizuite periodic, la termene comunicate entitii auditate.
n cadrul Curii de Conturi, auditul sistemelor informatice este un audit de tip
multidisciplinar cu caracter transversal, interdepartamental. Curtea de Conturi va
desfura orice misiuni de audit IT menite s creeze condiiile optime pentru derularea
eficient a celorlalte forme de control i audit i s ofere suportul tehnic pentru aceste
misiuni.
Extinderea utilizrii tehnologiei informaiei n toate domeniile, inclusiv n cel al sistemelor
financiar-contabile, care presupune att extinderea controalelor IT n cadrul sistemului de
control intern al entitilor auditate/controlate, ct i existena unor programe i proiecte
de mare anvergur finanate din fonduri publice, materializate n investiii IT cu valori
foarte mari, genereaz necesitatea perfecionrii modelelor tradiionale de auditare i
extinderea auditului sistemelor informatice n activitatea Curii de Conturi.
Scopul generic al misiunilor de audit al sistemelor informatice este obinerea unei
asigurri rezonabile asupra implementrii i funcionrii sistemului, n conformitate cu
prevederile legislaiei n vigoare, cu reglementrile n domeniu, cu standardele
internaionale i ghidurile de bune practici, precum i evaluarea sistemului din punctul de
vedere al furnizrii unor servicii informatice de calitate sau prin prisma performanei
privind modernizarea administraiei i asigurarea ncrederii n utilizarea mijloacelor
electronice.

1.1.2 Documente de referin (reglementri) aplicabile n domeniul


auditului IS/IT
Constituia Romniei;
Legea nr. 94/1992 privind organizarea i funcionarea Curii de Conturi, cu
modificrile i completrile ulterioare;
Regulamentul privind organizarea i desfurarea activitilor specifice Curii de
Conturi, precum i valorificarea actelor rezultate din aceste activiti;

Pag. 9 din 180

Manualul de audit al sistemelor informatice, elaborat de Curtea de Conturi a


Romniei, ediia 2012
Manualul de auditul performanei, elaborat de Curtea de Conturi a Romniei, ediia
2012.

1.1.3 Etapele auditului sistemelor informatice


Etapele auditului sistemelor informatice sunt: planificarea auditului, efectuarea auditului,
raportarea i revizuirea auditului.
Acestea sunt detaliate n Manualul de audit al sistemelor informatice, elaborat de Curtea de
Conturi a Romniei, ediia 2012.

1.1.4 Obiective generale i obiective specifice ale auditului IT / IS


Obiectivele misiunii de audit au un rol determinant n abordarea auditului, din acestea
decurgnd cerine i restricii privind desfurarea activitilor n toate etapele misiunii
de audit: planificarea auditului, efectuarea auditului, raportare i revizuire.
Abordarea general a auditului IT/IS se bazeaz pe evaluarea riscurilor. Pentru auditul
performanei implementrii i utilizrii sistemelor informatice se asociaz i abordarea pe
rezultate. Auditul se poate efectua pentru ntreg ciclul de via al sistemelor i aplicaiilor
informatice sau se poate raporta numai la anumite componente specificate sau la anumite
etape de dezvoltare a sistemului.
Pentru misiunile de audit IT/IS desfurate de Curtea de Conturi, formularea obiectivelor
generale se face n funcie de scopul evalurii: audit n medii informatizate (formularea
unei opinii referitoare la ncrederea n informaiile furnizate de sistemul informatic
pentru o aciune de control/misiune de audit financiar sau audit al performanei) sau
evaluarea performanei unei activiti bazate pe tehnologia informaiei.
n funcie de tematica auditului, auditorul public extern are sarcina de a clarifica
obiectivele auditului, de a identifica referenialul pentru efectuarea auditrii (standarde,
bune practici, reglementri, reguli, proceduri, dispoziii contractuale, etc.) i de a examina
gradul n care cerinele care decurg sunt aplicate i contribuie la realizarea obiectivelor
entiti.
n principiu, exist dou categorii de probleme care pot constitui obiective generale ale
auditului:
stabilirea conformitii rezultatelor entitii cu un document de referin,
conformitate asupra creia trebuie s se pronune auditorul;
evaluarea eficacitii cadrului procedural i de reglementare i a focalizrii acestuia
pe obiectivele entitii.
Pornind de la obiectivul general, se formuleaz obiective specifice care determin direciile
de audit, cerinele concrete i criteriile care vor sta la baza evalurilor. Ca obiective
specifice generice, se vor avea n vedere:
Evaluarea soluiilor arhitecturale i de implementare a sistemului informatic;
Evaluarea infrastructurii hardware i software: echipamente, sisteme, aplicaii;
Evaluarea implicrii managementului de la cel mai nalt nivel n perfecionarea
guvernanei IT;
Evaluarea calitii personalului utilizator al sistemelor i aplicaiilor informatice;
Pag. 10 din 180

Evaluarea securitii sistemului informatic;


Evaluarea disponibilitii i accesibilitii informaiilor;
Evaluarea continuitii sistemului;
Evaluarea managementului schimbrilor i al dezvoltrii sistemului;
Evaluarea sistemului de management al documentelor;
Evaluarea utilizrii serviciilor electronice disponibile;
Evaluarea schimbului de informaii i a comunicrii cu alte instituii;
Conformitatea cu legislaia n vigoare;
Identificarea i analiza riscurilor decurgnd din utilizarea sistemului informatic,
precum i a impactului acestora;
Evaluarea efectelor implementrii i utilizrii infrastructurii IT n modernizarea
activitii entitii auditate.

1.1.5 Criterii de evaluare generice


Misiunea de audit al sistemelor informatice are n vedere urmtoarele criterii de evaluare
generice:
Dac sistemul informatic asigur un cadru adecvat, bazat pe integrarea
tehnologiilor informatice pentru desfurarea continu a activitii;
Dac activitile desfurate pe parcursul derulrii proiectelor IT/IS sunt conforme
cu obiectivele i termenele de realizare, aprobate la nivel instituional, la
fundamentarea acestora;
Dac pe parcursul proiectelor s-au nregistrat dificulti tehnice, de implementare
sau de alt natur;
Dac implementarea proiectelor conduce la modernizarea activitii entitii,
contribuind la integrarea unor noi metode de lucru, adecvate i conforme cu noile
abordri pe plan european i internaional;
Dac este asigurat continuitatea sistemului;
Dac sistemul informatic funcioneaz n conformitate cu cerinele programelor i
proiectelor informatice privind integralitatea, acurateea i veridicitatea, precum i
cu standardele specifice de securitate;
Dac soluia tehnic este fiabil i susine funcionalitatea cerut n vederea
creterii calitii activitii;
Dac pregtirea utilizatorilor atinge nivelul performanei cerute de aceast nou
abordare, analizat prin prisma impactului cu noile tehnologii;
Dac exist i au fost respectate standarde privind calitatea suportului tehnic i
metodologic.
Criteriile de audit pot fi diferite de la un audit la altul, n funcie de obiectivele specifice ale
misiunii de audit.

1.1.6 Determinarea naturii i volumului procedurilor de audit


Natura i volumul procedurilor de audit necesare pentru evaluarea controalelor aferente
mediului informatizat variaz n funcie de obiectivele auditului i de ali factori care
trebuie luai n considerare: natura i complexitatea sistemului informatic al entitii,
mediul de control al entitii, precum i conturile i aplicaiile semnificative pentru
obinerea situaiilor financiare.
Auditorul public extern cu atribuii de evaluare a sistemului IT i auditorul public extern
cu atribuii de auditare a situaiilor financiar contabile trebuie s coopereze pentru a
Pag. 11 din 180

determina care sunt activitile care vor fi incluse n procesul de revizuire. Cnd auditul
sistemului informatic este o parte din misiunea de audit financiar, evaluarea controalelor
IT face parte dintr-un efort consistent att de evaluare a controalelor, ct i de evaluare a
fiabilitii datelor financiare raportate.

1.1.7 Revizuirea controalelor IT n cadrul misiunilor de audit financiar


Misiunile de audit financiar au un rol central n furnizarea unor informaii financiare mai
fiabile i mai utile factorilor de decizie i n perfecionarea sistemului de control intern
pentru a fi adecvat cu sistemele de management financiar.
Controalele IT aferente mediului informatizat (controale IT generale) reprezint un
factor semnificativ n atingerea acestor scopuri i n nelegerea de ctre auditor a
structurii controlului intern al entitii. Aceste obiective de control trebuie luate n
considerare pentru ntregul ciclu de via al sistemului. De asemenea, se va analiza modul
n care aceste controale afecteaz eficacitatea sistemului de control intern al entitii.
Structurarea obiectivelor de control pe criteriul domenii-procese-activiti
Cadrul de lucru COBIT reprezint un referenial att pentru management, ct i pentru
auditori, oferind un set extins de 210 obiective de control pentru evaluarea controalelor
generale IT, care se refer la toate activitile legate de ciclul de via al uni sistem
informatic agregate n 34 de procese coninute de cele patru domenii
(Planificare&Organizare,
Achiziie&Implementare,
Furnizare&Suport
i
Monitorizare&Evaluare).
Structurarea obiectivelor de control pe criterii funcionale
Obiectivele de control coninute de cadrul COBIT pot fi structurate pe criterii funcionale
n urmtoarele categorii de controale generale:
1. Managementul funciei IT;
2. Securitatea fizic i controalele de mediu;
3. Securitatea informaiei i a sistemelor;
4. Continuitatea sistemelor;
5. Managementul schimbrii i al dezvoltrii sistemului;
6. Auditul intern.
n efectuarea evalurii mediului informatizat, structurarea obiectivelor de control pe criterii
funcionale este mai accesibil pentru auditori, ntruct conine similitudini conceptuale cu
abordrile aferente altor tipuri de audit. Din acest considerent, o recomandm pentru a fi
adoptat n auditurile n medii informatizate desfurate de Curtea de Conturi.
Prezentul ghid se raporteaz la aceast abordare, procedurile i listele de verificare fiind
proiectate i prezentate pentru cele 6 seciuni menionate mai sus: Managementul funciei
IT; Securitatea fizic i controalele de mediu; Securitatea informaiei i a sistemelor;
Continuitatea sistemelor; Managementul schimbrii i al dezvoltrii sistemului; Auditul
intern.
De o importan deosebit este revizuirea controalelor de aplicaie care ofer
informaii importante despre funcionarea i securitatea aplicaiei financiar-contabile i
ajut la formularea opiniei n legtur cu ncrederea n datele i rezultatele furnizate de
sistemul informatic financiar-contabil, pentru misiunea de audit care se desfoar n
mediul informatizat.
n cazul n care din evaluarea controalelor generale IT i a controalelor de aplicaie rezult
c sistemul nu pare a fi suficient de robust, auditorul trebuie s evalueze riscul
Pag. 12 din 180

funcionrii necorespunztoare a sistemului asupra obiectivelor misiunii de audit


financiar.
n cadrul entitilor auditate, o categorie special de controale IT se refer la
conformitatea sistemului informatic cu cerinele impuse de cadrul legislativ i de
reglementare. Cerinele legislative i de reglementare includ:
Legislaia din domeniul finanelor i contabilitii;
Legislaia privind protecia datelor private i legislaia privind protecia datelor
personale;
Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii
informatice;
Reglementri financiare i bancare;
Legile cu privire la proprietatea intelectual.

1.1.8 Evaluarea riscurilor


Pentru aciunile de control i misiunile de audit, de o deosebit importan este
identificarea riscurilor care rezult din utilizarea unui sistem contabil bazat pe tehnologii
informatice. Aceste riscuri mresc probabilitatea apariiei unor prezentri semnificativ
eronate n situaiile financiare, fapt ce ar trebui luat n considerare de management i de
auditori.
Riscurile cheie specifice mediilor bazate pe tehnologii informatice sunt: dependena de
funcionarea echipamentelor i programelor informatice, vizibilitatea pistei de audit,
reducerea implicrii factorului uman, erori sistematice versus erori incidentale, accesul
neautorizat, pierderea datelor, externalizarea serviciilor IT/IS, lipsa separrii sarcinilor,
absena autorizrii tradiionale, lipsa de experien n domeniul IT. Aceste riscuri au la
baz o serie de vulnerabiliti tipice:
slaba implicarea a managementului;
obiective neatinse sau ndeplinite parial;
iniiative nefundamentate corespunztor;
sisteme interne de control organizate sau conduse necorespunztor;
controale fizice i de mediu slabe care genereaz pierderi importante cauzate de
calamiti naturale, furturi, etc.;
lipsa ncrederii n tehnologia informaiei;
lipsa de interes fa de planificarea continuitii sistemului (proceduri de salvare a
datelor, securitatea sistemului informatic, recuperarea n caz de dezastru);
calitatea necorespunztoare a serviciilor furnizate utilizatorilor sistemului;
cheltuieli nejustificate: intranet, Internet, resurse umane;
costuri i depiri semnificative ale termenelor;
existena unor reclamaii, observaii, contestaii.
Descrierea riscurilor identificate de auditorii publici externi trebuie s includ informaii
privind cauzele i impactul posibil al acestora, precum i nivelul de risc (mic, mediu sau
mare) evaluat de auditorul public extern pe baza raionamentului profesional. Ca
instrument de lucru se poate utiliza matricea prezentat n Tabelul 1. Coninutul ariilor de
risc este detaliat n Anexa 4.

Pag. 13 din 180

Tabelul 1
Descrierea riscurilor

Arii de Risc

Dependena
informatic

de

Ameninri

Vulnerabiliti

Evenimente
nedorite

Slbiciuni ale
controalelor IT

Probabilitate
de apariie
%

Impact
Major (Mare)
Mediu
Sczut (Mic)

sistemul

_
_
...

Resurse i cunotine IT
_
_
...

ncrederea n sistemul
informatic
_
_
...

Schimbrile n sistemul
informatic
_
_
...

Externalizarea serviciilor
de tehnologia informaiei
_
_
...

Focalizarea pe activitate
_
_
...

Securitatea informaiei i a
sistemului
_
_
...

Managementul tehnologiei
informaiei
_
_
...

Pag. 14 din 180

1.1.9 Tehnici i metode de audit


Metodele i tehnicile utilizate pentru colectarea informaiilor pe parcursul misiunii de
audit sunt:
o Prezentri n cadrul unor discuii cu reprezentanii managementului entitii
auditate;
o Realizarea de interviuri cu persoane cheie implicate n coordonarea,
monitorizarea, administrarea, ntreinerea i utilizarea sistemului informatic;
o Utilizarea chestionarelor i machetelor i listelor de verificare;
o Examinarea unor documentaii tehnice, economice, de monitorizare i de
raportare: grafice de implementare, coresponden, rapoarte interne, situaii de
raportare, rapoarte de stadiu al proiectului, registre de eviden, documentaii de
monitorizare a utilizrii, contracte, sinteze statistice, metodologii, standarde;
o Participarea la demonstraii privind utilizarea sistemului ;
o Utilizarea tehnicilor i instrumentelor de audit asistat de calculator (IDEA sau alte
aplicaii realizate n acest scop);
o Inspecii n spaiile alocate serverelor i staiilor de lucru;
o Inspecii n spaiile alocate depozitelor de date sau locaiilor de depozitare a
copiilor de back-up;
o Consultarea legislaiei aferente tematicii;
o Documentarea pe Internet n scopul informrii asupra unor evenimente,
comunicri, evoluii legate de sistemul IT sau pentru consultarea unor
documentaii tehnice.

1.1.10
audit

Colectarea, inventarierea i documentarea probelor de

Colectarea i inventarierea probelor de audit se refer la constituirea fondului de date n


format electronic i/sau n format tiprit, pe baza machetelor, chestionarelor i a listelor
de verificare completate, precum i la organizarea i stocarea acestora.
Natura probelor de audit este dependent de scopul auditului i de modelul de auditare
utilizat. Dei modelele de auditare pot diferi n ceea ce privete detaliile, ele reflect i
acoper cerina comun de a furniza o asigurare rezonabil c obiectivele i criteriile
impuse n cadrul unei misiuni de audit (de exemplu, audit financiar) sunt satisfcute.
Procedurile de obinere a probelor de audit sunt: interogarea, observarea, inspecia,
confirmarea, reconstituirea traseului tranzaciei i a prelucrrilor (parcurgerea fluxului
informaional i de prelucrare) i monitorizarea.
Obinerea probelor de audit i nscrierea acestora n documentele de lucru reprezint
activiti eseniale ale procesului de audit. Documentele de lucru se ntocmesc pe msura
desfurrii activitilor din toate etapele auditului. Documentele de lucru trebuie s fie
ntocmite i completate cu acuratee, s fie clare i inteligibile, s fie lizibile i aranjate n
ordine, s se refere strict la aspectele semnificative, relevante i utile din punctul de
vedere al auditului.
Aceleai cerine se aplic i pentru documentele de lucru utilizate n format electronic.
Documentarea corespunztoare a activitii de audit are n vedere urmtoarele
considerente:
Confirm i susine opiniile auditorilor exprimate n raportul de audit;
Pag. 15 din 180

mbuntete performana activitii de audit;


Constituie o surs de informaii pentru pregtirea raportului de audit sau pentru a
rspunde oricror ntrebri ale entitii auditate sau ale altor pri interesate;
Constituie dovada respectrii de ctre auditor a standardelor i a manualului de
audit;
Faciliteaz monitorizarea auditului;
Furnizeaz informaii privind expertiza n audit.
Documentele de lucru, elaborate n format tiprit, vor fi organizate n dosare, iar
documentele elaborate n format electronic vor fi organizate n colecii de fiiere i/sau
baze de date.
Documentele trebuie s fie prezentate ntr-o manier inteligibil, coerent, consistent cu
obiectivele auditului.
Pentru descrierea sistemelor entitii auditate se utilizeaz urmtoarele tipuri de
documente: diagrame de tip flowchart, prezentri narative, machete, chestionare i liste de
verificare. Alegerea acestor tehnici variaz n funcie de practicile locale de audit, de
preferina personal a auditorului i de complexitatea sistemelor auditate.

1.1.11

Formularea constatrilor i recomandrilor

Evaluarea i revizuirea sistemului informatic se fac prin analiza constatrilor rezultate i


interpretarea acestora. n funcie de impactul pe care l au neconformitile constatate, se
formuleaz recomandri pentru remedierea acestora i reducerea nivelului riscurilor.
Aceste recomandri reflect opiniile auditorului asupra entitii auditate prin prisma
obiectivelor misiunii de audit. Sintetic, constatrile se vor referi la urmtoarele aspecte:
evaluarea complexitii sistemelor informatice, evaluarea general a riscurilor entitii n
cadrul mediului IT, evaluarea riscurilor n cadrul fiecrei aplicaii, precum i un punct de
vedere al auditorului privind fezabilitatea unui demers de audit bazat pe controale.

1.1.12

Elaborarea raportului de audit

Raportarea are ca scop punerea n eviden a punctelor slabe ale controalelor, identificate
de auditor i aducerea lor la cunotina entitii auditate prin intermediul raportului de
audit i al unei scrisori care conine sinteza principalelor constatri i recomandri.
Raportul de audit identific aria de cuprindere, obiectivele, perioada, planificarea n timp
i aria de acoperire ale activitii de auditare efectuate.
Raportul de audit este elaborat de auditorii publici externi pentru fiecare misiune de audit
i va include cele mai semnificative constatri, recomandri i concluzii care au rezultat n
cadrul misiunii de audit cu privire la stadiul i evoluia implementrii i utilizrii
sistemelor informatice existente n entitatea auditat. Raportul va include, de asemenea,
opinia auditorilor cu privire la natura i extinderea punctelor slabe ale controlului intern
n cadrul entitii auditate i impactul posibil al acestora asupra activitii entitii.
Raportul de audit al sistemelor informatice trebuie s fie obiectiv i corect, s cuprind
toate constatrile relevante, inclusiv cele pozitive, s fie constructiv i s prezinte
concluziile i recomandrile formulate de echipa de audit.
n situaia n care pe parcursul misiunii de audit se constat: erori / abateri grave de la
legalitate i regularitate, fapte pentru care exist indicii c au fost svrite cu nclcarea
Pag. 16 din 180

legii penale sau nerealizarea obiectivelor propuse de entitate n legtur cu programul /


procesul/activitatea auditat() datorit nerespectrii principiilor economicitii, eficienei
i eficacitii n utilizarea fondurilor publice i n administrarea patrimoniului public i
privat al statului/unitilor administrativ-teritoriale, se ntocmesc proces verbal de
constatare, precum i celelalte tipuri de acte prevzute la pct. 354 din Regulamentul
privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i
valorificarea actelor rezultate din aceste activiti, aceste acte constituind anexe la
raportul de audit al sistemelor informatice.
Detaliile referitoare la aspectele metodologice privind raportul de audit se regsesc n
Manualul de audit al sistemelor informatice (CCR, 2012)

1.2

Probleme de audit asociate cu utilizarea sistemelor IT / IS

Auditul sistemelor/serviciilor informatice3 reprezint o activitate de evaluare a


sistemelor informatice prin prisma optimizrii gestiunii resurselor informatice
disponibile (date, aplicaii, tehnologii, faciliti, resurse umane, etc.), n scopul atingerii
obiectivelor entitii, prin asigurarea unor criterii specifice: eficien, confidenialitate,
integritate, disponibilitate, siguran n funcionare i conformitate cu un cadru de
referin (standarde, bune practici, cadru legislativ, etc.).
Prin utilizarea sistemelor informatice, se modific abordarea auditului (care se desfoar
n medii informatizate) datorit noilor modaliti de prelucrare, stocare i prezentare a
informaiilor, furnizate de aplicaiile informatice, fr a schimba ns obiectivul general i
scopul auditului.
Procedurile tradiionale de colectare a datelor i de interpretare a rezultatelor utilizate de
auditorii financiari sunt nlocuite, total sau parial, cu proceduri informatizate. Existena
sistemului informatic poate afecta sistemele interne de control utilizate de entitate,
modalitatea de evaluare a riscurilor, performana testelor de control i a procedurilor de
fond utilizate n atingerea obiectivului auditului.
Cu toate c prezena tehnologiei informaiei nu modific obiectivele fundamentale ale
auditului, prin specificul lor, sistemele informatice pot influena opinia auditorului cu
privire la risc sau pot impune ca auditorul s adopte o abordare diferit a misiunii de
audit.
Principalele aspecte implicate de auditarea n mediul informatizat, care pot induce
ambiguiti sau erori pe parcursul auditului, sunt:
(a) se poate permite anonimatul prin depersonalizarea utilizatorului i, implicit, se
pot induce confuzii cu privire la rspundere;
(b) se pot permite modificri neautorizate sau neautentificate ale datelor contabile;
(c) se poate permite duplicarea intrrilor sau a prelucrrilor;
(d) sistemele informatice sunt vulnerabile la accesul de la distan i neautorizat;
(e) se pot ascunde sau se pot face invizibile unele procese;
3

n funcie de problematica referit, n cadrul prezentului document se folosesc i variantele distincte audit
IT/audit IS, cu semnificaia corespunztoare, respectiv auditul arhitecturilor i infrastructurilor IT
(hardware, software, comunicaii i alte faciliti utilizate pentru introducerea, memorarea, prelucrarea,
transmiterea i ieirea datelor, n orice form), precum i auditul sistemelor, aplicaiilor i serviciilor
informatice.

Pag. 17 din 180

(f) se poate terge sau ascunde pista de audit (traseul tranzaciilor);


(g) se pot difuza date, n mod neautorizat, n sistemele distribuite;
(h) aplicaiile pot fi operate de contractani externi, care utilizeaz standarde i
controale proprii sau pot altera informaiile n mod neautorizat.
n cazul auditului unui sistem informatic care furnizeaz informaii relevante pentru o
misiune de audit financiar, evaluarea sistemului informatic se efectueaz n scopul furnizrii
unei asigurri rezonabile privind funcionarea sistemului, necesare auditului financiar la
care este supus entitatea.
n cazul n care informaiile necesare auditului sunt furnizate de aplicaii sau sisteme
complexe, este necesar consultarea sau participarea n cadrul echipei de audit a unui
specialist care posed cunotine i aptitudini specializate n domeniul auditului
sistemelor informatice, pentru a evalua sistemul. De asemenea, va colabora cu auditorii n
scopul nelegerii semnificaiei i complexitii procedurilor informatice, a prelucrrii
datelor furnizate de sistemul informatic, precum i pentru nelegerea sistemului de
control intern, n scopul planificrii i abordrii auditului, adecvate la noile tehnologii i va
formula recomandri privind punctele slabe ale sistemului informatic, n vederea
remedierii anomaliilor constatate.
Evaluarea va avea ca rezultat formularea unei opinii privind ncrederea pe care o asigur
sistemul informatic, n condiiile utilizrii sale ca surs de informaii sau ca suport pentru
audit (programe de audit asistat de calculator), n cadrul misiunii de audit.
Complexitatea sistemului informatic este conferit de o serie de caracteristici relative la:
volumul tranzaciilor, procedurile de validare a datelor sau a transferurilor de date ntre
aplicaii, generarea automat a tranzaciilor, comunicaia cu alte aplicaii sau sisteme
informatice, complexitatea algoritmilor de calcul, utilizarea unor informaii provenite din
surse de date externe (existente la alte entiti) fr validarea acestora.
Un mediu informatizat poate oferi auditorilor posibilitatea unor prelucrri adiionale, prin
furnizarea informaiilor solicitate n formate cerute de auditor, n scopul interpretrii sau
al utilizrii ca date de intrare pentru programe specializate de audit asistat de calculator.
Acest mod de lucru contribuie la creterea performanei n efectuarea testelor de fond,
prin aplicarea unor proceduri analitice automatizate, precum i a performanei
procedurilor de audit, prin utilizarea tehnicilor de audit asistat de calculator.
Sistemele informatice au unele caracteristici inerente care pot afecta att abordarea
auditului, ct i evaluarea efectuat de auditor cu privire la riscul de audit. Unele
caracteristici ale sistemului informatic sporesc acest risc i reclam o atenie special din
partea auditorului. Dintre acestea, cele mai importante sunt4:
stabilirea rspunderii,
vulnerabilitatea la modificri,
uurina copierii,
riscurile accesului de la distan,
procesare invizibil,
existena unui parcurs al auditului,
distribuirea datelor,
ncrederea n prestatorii de servicii IT,
utilizarea nregistrrilor furnizate de calculator ca prob de audit.

Detalii n Manualul de audit al sistemelor informatice (CCR, 2012)


Pag. 18 din 180

1.3

Evaluarea sistemelor informatice financiar-contabile

n conformitate cu standardul ISA 400, Evaluarea Riscului i Controlului Intern,


auditorul va analiza dac mediul de control i procedurile de control aplicate de entitate
activitilor proprii desfurate n mediul informatizat, n msura n care acestea sunt
relevante pentru aseriunile situaiilor financiare, este un mediu sigur. n cazul sistemelor
informatice, atunci cnd procedurile sunt automatizate, cnd volumul tranzaciilor este
mare sau cnd probele electronice nu pot fi urmrite pe tot parcursul fluxului de
prelucrare, auditorul poate decide c nu este posibil s reduc riscul de audit la un nivel
acceptabil dect prin utilizarea testelor detaliate de audit. n astfel de cazuri sunt frecvent
utilizate tehnici de audit asistat de calculator.
De asemenea, pentru sistemele informatice financiar-contabile sunt deosebit de
importante urmtoarele aspecte ale controlului intern: (a) meninerea integritii
procedurilor de control n mediul informatizat i (b) asigurarea accesului la nregistrri
relevante pentru a satisface necesitile entitii, precum i n scopul auditului.
Auditorul va analiza exhaustivitatea, acurateea i autorizarea informaiilor furnizate
pentru nregistrarea i procesarea nregistrrilor financiare ale entitii (integritatea
tranzaciei). Natura i complexitatea aplicaiilor influeneaz natura i amploarea
riscurilor referitoare la nregistrarea i procesarea tranzaciilor electronice.
Procedurile de audit referitoare la integritatea informaiei, aferente tranzaciilor
electronice, se axeaz n mare parte pe evaluarea credibilitii sistemelor utilizate pentru
prelucrarea tranzaciilor. Utilizarea serviciilor informatice iniiaz, n mod automat, alte
secvene de prelucrare a tranzaciei fa de sistemele tradiionale. Procedurile de audit
pentru sistemele informatice trebuie s se concentreze asupra controalelor automate
referitoare la integritatea tranzaciilor, pe msur ce acestea sunt nregistrate i apoi
procesate imediat.
ntr-un mediu informatic, controalele referitoare la integritatea tranzaciei sunt n
majoritatea cazurilor proiectate pentru a asigura, printre altele: validarea intrrilor i
prevenirea duplicrii sau a omiterii tranzaciilor.
n general, tranzaciile electronice nu au asociate nregistrri scrise i pot fi mult mai uor
de distrus sau de alterat dect cele scrise, fr a lsa nici o urm a distrugerii sau alterrii.
Auditorul trebuie s stabileasc dac politicile de securitate a informaiei i controalele de
securitate ale entitii sunt implementate adecvat pentru prevenirea modificrilor
neautorizate ale nregistrrilor contabile, ale sistemului contabil sau ale sistemelor care
furnizeaz date sistemului contabil. Aceasta se poate realiza prin testarea controalelor
automate, cum ar fi verificrile de integritate a datelor, tampile de dat electronic,
semnturi digitale i controale de versiune n vederea stabilirii autenticitii i integritii
probelor electronice. n funcie de estimrile cu privire la aceste controale, auditorul
poate considera necesar efectuarea unor proceduri suplimentare, cum ar fi confirmarea
detaliilor tranzaciilor sau a soldurilor conturilor cu tere pri5.
Utilizatorii sistemului informatic sunt, implicit, anonimi. Sistemele care nu pot identifica i
nregistra aciunile utilizatorilor individuali nu pot s-i fac ulterior rspunztori de
aciunile lor. Utilizatorii sunt mult mai nclinai s efectueze activiti informatice
neautorizate daca nu pot fi identificai i fcui rspunztori.
5

ISA 505 - Confirmri Externe


Pag. 19 din 180

Riscul procesrii de tranzacii neautorizate poate fi redus prin prezena unor controale
care identific utilizatorii individuali i ntreprind aciuni de contracarare a eventualelor
aciuni ostile ale acestora. Riscul poate fi redus prin obligativitatea autentificrii la
accesarea sistemului i prin introducerea unor controale suplimentare, sub form de
semnturi electronice.
Avnd n vedere faptul c datele tranzaciilor electronice se regsesc ntr-o form
intangibil pe diverse medii de stocare, acestea pot fi modificate fr a lsa nici o urm.
Auditorii trebuie s evalueze existena i eficacitatea controalelor care previn efectuarea de
modificri neautorizate. Controale neadecvate pot conduce la situaia n care auditorul s
nu poat acorda ncredere nregistrrilor din calculatoare sau integritii pistei de audit
(traseului tranzaciilor).
Programul de aplicaie i datele tranzaciei trebuie s fie protejate fa de modificri
neautorizate prin utilizarea de controale adecvate ale accesului fizic i logic.
Plile prin calculator, ca i transferurile electronice de fonduri, sunt mult mai uor de
modificat dect instrumentele de plat pe hrtie i de aceea trebuie sa aib o protecie
adecvat. Integritatea tranzaciilor electronice poate fi protejat prin tehnici precum
criptarea datelor, semnturi electronice sau prin utilizarea unui algoritm de dispersare a
datelor.
Dac datele au valoare financiar, prevenirea dublrii tranzaciilor prin copiere este n
mod deosebit important. Sistemele utilizatorului trebuie s ncorporeze controale care s
detecteze i s previn procesarea de tranzacii duble.
Controalele pot include atribuirea de numere secveniale tranzaciilor i verificarea de
rutin a totalurilor de control.
Fiierele pe hrtie pot fi uor protejate fa de accesul neautorizat prin implementarea
unor controale ale accesului fizic. Mijloace similare de protecie pot fi utilizate pentru
protecia dispozitivelor de stocare a datelor (CD-ROM, benzi magnetice i dischete). Dac
datele sunt accesibile pe o reea de calculatoare, atunci apare un grad de incertitudine cu
privire la cine are acces la software i la fiierele de date. Conectarea sistemelor de
calculatoare la reeaua global Internet mrete substanial riscul de acces neautorizat de
la distan i de atacuri cu virui sau alte forme de alterare a informaiei sau de distrugere a
unor sisteme informatice. Protejarea reelelor conectate la Internet poate fi dificil de
realizat i necesit controale de nivel nalt, specializate.
Unele sisteme de operare asigur controale ale accesului care limiteaz capacitatea
utilizatorilor de la distan s vad, s modifice, s tearg sau s creeze date. Controalele
de acces ale sistemului de operare pot fi mrite prin controale suplimentare de
identificare i autorizare n cadrul fiecrei tranzacii. n ambele cazuri, eficacitatea
controalelor de acces depinde de proceduri de identificare i autentificare i de o bun
administrare a sistemelor de securitate.
Procesarea tranzaciilor care are loc n interiorul calculatorului este invizibil pentru
auditor. Auditorii pot vedea ceea ce intr i ceea ce iese, dar au puine informaii cu privire
la ceea ce se ntmpl pe parcurs. Aceast slbiciune poate fi exploatat de programe
neautorizate ascunse n programele autorizate. Ameninarea modificrilor neautorizate
poate fi redus prin adoptarea de proceduri adecvate de control al modificrilor, inclusiv
controale eficiente de acces, activarea i revizuirea jurnalelor de operaii, precum i o
separare eficient a sarcinilor ntre actorii implicai n sistem.
Pag. 20 din 180

n cazul tranzaciilor electronice, n care pista de audit (parcursul tranzaciilor) se


reconstituie din nregistrri stocate pe un calculator, auditorul trebuie s se asigure c
datele privind tranzaciile sunt pstrate un timp suficient i c au fost protejate fa de
modificri neautorizate. Capacitatea limitat de stocare a unor calculatoare poate
restriciona cantitatea de date istorice aferente tranzaciilor care trebuie pstrate. n
aceste cazuri, auditorul trebuie s impun arhivarea regulat a evidenelor contabile i
acestea s fie pstrate ntr-un mediu sigur. Auditorul poate, de asemenea, s analizeze
impactul posibil al regulilor de arhivare a datelor organizaiei atunci cnd planific
auditul.
Calculatoarele n reea au capacitatea de a stoca aplicaii financiare i fiiere de date pe
orice dispozitive de stocare din reea. Auditorul se poate afla n faa unui sistem care
ruleaz o aplicaie financiar pe un calculator i stocheaz fiierele cu tranzacii procesate
pe un calculator din alt sal, din alt cldire sau chiar din alt ar. Procesarea datelor
distribuite complic evaluarea de ctre auditor a controalelor de acces fizic i logic. Mediul
de control poate fi foarte bun ntr-un anumit loc, dar foarte slab n alt loc, iar
eterogenitatea mediului informatizat crete riscul de audit.
Principiile referitoare la probele de audit nu se schimb datorit faptului c auditul se
realizeaz ntr-un mediu informatizat. nregistrrile din calculator furnizeaz auditorului
o asigurare de audit. Auditorul poate, de asemenea, s genereze probe de audit utiliznd
tehnicile de audit asistat de calculator.
O problem deosebit de important generat de mediul informatizat o constituie
admisibilitatea nregistrrilor din calculator la o instan de judecat. Din studiul literaturii
de specialitate, rezult c sunt puine precedente care s ilustreze acest fapt. n cazurile n
care probele informatice au fost depuse n aciuni judectoreti, instanele au luat n
considerare o expertiz cu privire la eficiena mediului de control IT, nainte de a evalua
fiabilitatea datelor informatice.
Auditorul va avea n vedere faptul c tranzaciile sau imaginile de documente provenind
de la calculator pot s nu fie admisibile ca probe n justiie dac nu se poate demonstra c
exist controale destul de puternice care s nlture dubiul rezonabil privind
autenticitatea i integritatea datelor coninute n sistem. n ceea ce privete tranzaciile
electronice, aceste controale sunt deosebit de complexe.
Evaluarea sistemelor IT cuprinde trei pri:
A Colectarea informaiilor de fond privind sistemele IT ale entitii auditate
permite auditorului cunoaterea sistemelor IT hardware i software ale acesteia,
precum i a nivelului resurselor umane implicate n activiti IT. Informaiile
privind dimensiunea, tipul i complexitatea tehnic a sistemelor informatice
permit auditorilor s evalueze dac este necesar sprijinul unui auditor IT specialist.
De asemenea, auditorul va identifica sistemele financiare n curs de dezvoltare,
care necesit, n continuare, implicarea acestuia n formularea de cerine privind
unele faciliti de audit care s fie incluse n noua versiune. Colectarea informaiilor
de fond privind sistemele IT ale entitii auditate trebuie s fie finalizat nainte ca
auditorul s realizeze o evaluare a mediului de control IT sau a procedurilor de
control ale aplicaiei.
B Evaluarea mediului de control IT i evaluarea riscului entitii este
utilizat pentru a evalua controalele i procedurile care opereaz n cadrul
Pag. 21 din 180

mediului de control IT. Punctele slabe identificate n mediul de control IT pot


submina eficacitatea procedurilor de control n cadrul fiecrei aplicaii financiare.
C Evaluarea controalelor aplicaiei i evaluarea riscului zonei contabile:
auditorul trebuie s efectueze evaluarea controalelor aplicaiei i evaluarea riscului
zonei contabile pentru a examina procedurile de control, sistemele de control
intern i riscurile de audit n cadrul fiecrei aplicaii financiar-contabile.

1.3.1 Informaii de fond privind sistemele IT / IS ale entitii auditate


Prima parte a evalurii sistemelor informatice se refer la colectarea informaiilor de fond
privind sistemele IT ale entitii auditate. Aceast etap va trebui s fie finalizat nainte
de evaluarea detaliat a controalelor IT, ntruct contribuie la cunoaterea sistemului de
ctre auditor care, pe baza informaiilor colectate, va realiza analiza mediului de control
IT i a controalelor aplicaiei.
Pe baza acestei analize, auditorul obine o nelegere preliminar a situaiei cu care va fi
confruntat pe parcursul evalurii IT. De asemenea, sunt furnizate indicaii cu privire la
documentaiile tehnice care trebuie consultate nainte de vizitarea entitii auditate, de
exemplu documentaii privind sistemele de operare i aplicaiile de contabilitate.
n funcie de concluziile acestei etape, referitoare la configuraia i complexitatea
sistemului care face obiectul auditului, auditorul poate s stabileasc dac este oportun
sau nu s implice specialiti n audit IT n echipa de audit. Factorii care vor afecta aceast
decizie includ:
abilitile i experiena IT a auditorului auditorii nu trebuie s realizeze
evaluri IT dac consider c nu au abilitile necesare sau experiena
necesar;
dimensiunea (volumul) operaiilor entitii auditate operaiile informatice de
volume mari tind s fie mai complexe att n ceea ce privete sistemele propriuzise, ct i din punctul de vedere al structurilor organizatorice;
complexitatea tehnic a echipamentului IT i a reelei sistemele mai complexe,
care ncorporeaz tehnologii noi, vor necesita asistena specialitilor IT pentru
a identifica i a evalua riscurile de audit;
cazul n care utilizatorii sistemului dezvolt i utilizeaz aplicaii sau au
capacitatea de a modifica pachetele contabile standard n general, exist un
risc crescut de audit n situaia n care utilizatorii dezvolt sau personalizeaz
aplicaiile contabile. n multe cazuri, se personalizeaz aplicaii contabile sau
structuri de date (extrase din bazele de date ale sistemului), pentru a satisface
unele cerine ale auditorului;
antecedente de probleme IT n cazul n care auditorii au avut n trecut
probleme cu sistemele IT ale entitii auditate, de exemplu, unde exist
antecedente legate de erori ale utilizatorului, greeli de programare, fraud
informatic sau nclcri grave ale securitii;
cazul n care sistemele informatice sau tranzaciile pe care le proceseaz
furnizeaz informaii sensibile implic ameninri crescute;
sisteme n curs de dezvoltare auditorul poate fi solicitat s formuleze puncte de
vedere cu privire la specificaiile i planurile de implementare ale noilor
sisteme financiare.
Pag. 22 din 180

n etapa de colectare a informaiilor de fond privind sistemele IT ale entitii auditate,


sunt furnizate de asemenea detalii administrative, referitoare la personalul din cadrul
departamentelor financiar-contabil i IT ale entitii auditate.

1.3.2 Controale IT generale


Controlul este definit ca totalitatea politicilor, procedurilor, practicilor i a structurilor
organizaionale proiectate s ofere o asigurare rezonabil asupra faptului c obiectivele
afacerii vor fi atinse i evenimentele nedorite vor fi prevenite sau detectate i corectate.
Controalele pot fi materializate sub urmtoarele forme sau aciuni:
Afirmaii declarative ale managementului privind creterea valorii, reducerea
riscului, securitatea;
Politici, proceduri, practici i structuri organizaionale;
Sunt concepute spre a asigura in mod acceptabil faptul c obiectivele afacerii vor fi
atinse i evenimentele nedorite vor fi prevenite sau detectate i corectate;
Managementul organizaiei trebuie s fac unele alegeri privind obiectivele de
control: selectarea obiectivelor care sunt aplicabile, decizia privind controalele
care vor fi puse n practic;
Alegerea modului de a implementa controalele (frecven, durat, grad de
automatizare etc.);
Acceptarea riscului neimplementrii controalelor aplicabile.
Cerinele obiectivelor de control sunt de a defini: scopurile i obiectivele proceselor;
rspunderea privind procesul; repetabilitatea procesului; rolurile i responsabilitaea;
politici, planuri i proceduri; mbuntirea performanei procesului.
Implementarea unor controale eficace reduce riscul, crete probabilitatea obinerii de
valoare i mbuntete eficiena prin diminuarea numrului de erori i printr-o
abordare managerial consistent.
Controalele IT generale se refer la infrastructura IT a entitii auditate, la politicile IT
aferente, la procedurile i practicile de lucru. Acestea trebuie s se concentreze, din
punctul de vedere al auditorului, pe procesele specifice departamentului IT sau ale
compartimentului cu atribuii similare i nu sunt specifice pachetelor de programe sau
aplicaiilor.
n cadrul evalurii controalelor de nivel nalt, adoptate de management pentru a se
asigura c sistemele informatice funcioneaz corect i satisfac obiectivele afacerii,
auditorul poate determina dac activitile IT sunt controlate adecvat iar controalele
impuse de entitatea auditat sunt suficiente.
n cadrul evalurii este necesar examinarea urmtoarelor aspecte:
Detectarea riscurilor asociate controalelor de management neadecvate;
Structura organizaional IT;
Strategia IT i implicarea managementului de vrf;
Politici de personal i de instruire;
Documentaie i politici de documentare (politici de pstrare a
documentelor);
Politici de externalizare;
Implicarea auditului intern;
Politici de securitate IT;
Conformitatea cu reglementrile n vigoare;
Separarea atribuiilor.
Pag. 23 din 180

Politicile IT de nivel nalt, procedurile i standardele sunt foarte importante n stabilirea


unui cadru de control intern adecvat. Auditorul trebuie s fie capabil s identifice
componentele controlului intern, aferente mediului informatizat, fiecare avnd obiective
diferite:
Controale operaionale: funcii i activiti care asigur c activitile
operaionale contribuie la obiectivele afacerii;
Controale administrative: asigur eficiena i conformitatea cu politicile de
management, inclusiv controalele operaionale.
Controalele de aplicaie;
Obiectivele de control aferente mediului informatizat se axeaz pe: evaluarea calitii
managementului, securitatea fizic i controalele de mediu, securitatea informaiei i a
sistemului IT, continuitatea sistemului, managementul schimbrii i al dezvoltrii
sistemului, funcionalitatea aplicaiilor, calitatea auditului intern cu privire la sistemul IT.
Exist unele considerente speciale care trebuie avute n vedere atunci cnd se realizeaz
evaluarea controalelor IT:
examinarea iniial a sistemelor IT ale entitii auditate se realizeaz pe
zone contabile diferite, tranzaciile procesate de o aplicaie putnd parcurge
diverse fluxuri de prelucrare n cadrul sistemului IT, fiecare dintre acestea
fiind supus unor riscuri de audit diferite.
importana sistemelor informatice n raport cu producerea situaiilor
financiare i cu contribuia la obiectivele afacerii.
aplicabilitatea i oportunitatea auditului bazat pe/asistat de calculator.
Aceasta va permite identificarea procedurilor de control ale aplicaiei i o
evaluare iniial a oportunitii lor.
relaia controalelor IT cu mediul general de control. Se va avea n vedere ca
existena controalelor manuale, care diminueaz punctele slabe ale
sistemului IT, s fie luat integral n considerare.

Evaluarea mediului de control IT


Evaluarea controalelor IT generale vizeaz identificarea punctelor tari, a punctelor slabe
i a riscurilor n cadrul mediului general de control IT. Riscurile identificate n mediul
general de control IT pot atenua eficiena controalelor n aplicaiile care se bazeaz pe
acestea i deci pot fi descrise ca riscuri la nivelul entitii. Evaluarea IT va fi utilizat de
auditor pentru a identifica extinderea i natura riscurilor generale de audit IT asociate cu
utilizarea de ctre entitatea auditat a sistemelor informatice n domeniul financiarcontabil.
Evaluarea ncepe cu examinarea cadrului procedural implementat de entitatea auditat,
care va permite auditorului s formuleze un punct de vedere relativ la oportunitatea
strategiei IT, a managementului, auditului intern i politicilor de securitate ale acesteia.
Rspunsurile la ntrebrile adresate n cadrul interviurilor vor da auditorului o vedere
preliminar rezonabil asupra mediului de control IT. Experiena a artat c entitile cu
reguli IT puine sau necorespunztoare nu sunt n msur s aib un mediu de control
intern adecvat.
Analiza include, de asemenea, o evaluare a controalelor generale n cadrul
departamentului IT, referitoare la configuraia hardware, software i de comunicaii,
precum i la resursele umane care au atribuii n domeniul IT: controlul privind accesul
Pag. 24 din 180

fizic, controlul privind accesul logic, controlul operaional, procedurile de management al


schimbrilor, planificarea recuperrii dup dezastru, utilizarea de prestatori externi de
servicii IT, controlul asupra aplicaiilor dezvoltate i rulate de utilizatorii nii, separarea
sarcinilor.
Punctele slabe identificate n mediul general de control IT vor influena eficacitatea
tuturor controalelor din cadrul aplicaiilor care ruleaz pe configuraia respectiv. De
exemplu, auditorul va acorda puin ncredere controalelor de intrare pentru o tranzacie
rulat de aplicaie n situaia n care baza de date suport a fost neprotejat fa de
modificrile neautorizate.
Odat finalizat, analiza va permite auditorului s fac o evaluare a riscurilor n cadrul
mediului general de control IT al entitii auditate. n general, pentru o entitate cu un
mediu de control IT insuficient, evaluarea riscurilor IT va conduce n mod normal la o
concluzie de risc nalt de audit. Dac mediul general de control IT este evaluat ca
insuficient, poate fi nc posibil s se acorde o oarecare ncredere controalelor de
compensare sau controalelor foarte puternice n cadrul aplicaiilor. Este de asemenea
posibil ca o aplicaie financiar s aib controale foarte slabe cu toate c mediul de control
IT suport are controale puternice.

1.3.3 Evaluarea aplicaiei i evaluarea riscurilor zonei contabile


Controalele de aplicaie
Aplicaiile reprezint unul sau mai multe programe de calculator care realizeaz o
funcionalitate orientat ctre un scop precizat. Aplicaiile pot fi dezvoltate special pentru
o organizaie, respectiv sisteme la comand, sau pot fi cumprate sub form de pachete/
soluii software de la furnizorii externi.
Cele mai rspndite pachete de aplicaii ntlnite de auditorii financiari sunt: pachete
integrate de contabilitate, sisteme de state de plat, de personal, de pensii, registre de
active fixe, sisteme de management al mprumuturilor nerambursabile.
Toate aplicaiile financiare trebuie s conin controale proprii care s asigure
integritatea, disponibilitatea i confidenialitatea, att a datelor tranzaciilor, ct i a
datelor permanente. n realitate, sistemele nu conin toate controalele posibile pentru
fiecare component. Entitatea trebuie s evalueze riscurile pentru fiecare aplicaie i s
aib implementate controale adecvate, eficiente din punct de vedere al costurilor pentru a
reduce riscurile la un nivel acceptabil. Acest principiu trebuie avut n vedere cnd se
formuleaz recomandrile auditului.
Controalele de aplicaie sunt particulare pentru o aplicaie i pot avea un impact direct
asupra prelucrrii tranzaciilor individuale.
Ele se refer, n general, la acele controale incluse n aplicaie pentru a asigura c numai
tranzaciile valide sunt prelucrate i nregistrate complet i corect n fiierele aplicaiei,
precum i la controalele manuale care opereaz n corelaie cu aplicaia.
O mare parte a controalelor de aplicaii sunt versiuni automatizate ale controalelor
manuale. De exemplu, autorizarea prin intermediul calculatorului de ctre supervizor este
similar cu utilizarea semnturii pe documente tiprite.

Pag. 25 din 180

Exist i controale de aplicaie manuale, cum ar fi: analiza formatelor rapoartelor de


ieire, inventarierea situaiilor de ieire, etc..
Controalele de aplicaie sunt proceduri specifice de control asupra aplicaiilor, care
furnizeaz asigurarea c toate tranzaciile sunt autorizate i nregistrate, prelucrate
complet, corect i la termenul stabilit. Controalele de aplicaie pot fi constituite din
proceduri manuale efectuate de utilizatori (controale utilizator) i din proceduri automate
sau controale efectuate de produse software.

ncrederea n controalele de aplicaie


n etapa de cunoatere a entitii, cnd sunt colectate informaiile de fond despre sistemul
IT, auditorul trebuie s obin o nelegere suficient a sistemului pentru a determina dac
sistemul de control intern este de ncredere i furnizeaz informaii corecte despre
acurateea nregistrrilor. n cazul n care sistemul nu pare a fi suficient de robust,
auditorul trebuie s testeze controalele pentru a evalua riscul asupra obiectivelor
auditului.
n acest scop auditorul poate utiliza tehnici i metode de testare variate. Acestea pot fi
bazate pe programe de test al conformitii care conin informaii privind: descrierea
controlului care va fi testat, proba de audit estimat pentru satisfacerea condiiilor, teste
extinse (inclusiv bazate pe eantionare), descrierea funcionrii eronate a controlului, cte
eecuri pot fi tolerate. Probele de audit se colecteaz prin combinarea unor tehnici cum ar
fi observarea, interviul, examinarea i eantionarea, cu tehnici de audit asistat de calculator.
Problemele care pot aprea cu privire la ncrederea n controalele de aplicaie se pot
sintetiza astfel:
(a) Controalele IT nu furnizeaz un istoric al operrii din cauza scufundrii lor n
corpul aplicaiei i, n consecin, nu furnizeaz probe de audit explicite.
(b) Perioada de timp n care acioneaz controalele de aplicaie IT este limitat,
acestea acionnd pe o durat foarte scurt a ciclului de via al tranzaciei (de
exemplu, pe durata introducerii datelor).
(c) Rezervele auditorilor fa de controalele de aplicaie IT, datorate eventualitii
ca acestea s fie alterate de ctre persoane interesate n inducerea n eroare a
auditorului.
(d) Rezervele auditorilor fa de controlul preventiv asigurat, decurgnd din natura
controalelor IT, care nu prezint garanii privind funcionarea corect.
Relaia ntre controalele generale i controalele de aplicaie
O modalitate de a privi relaia dintre controalele generale i cele de aplicaie este aceea de
a aloca adecvat controalele generale pentru a proteja aplicaiile i bazele de date i pentru
a asigura resursele necesare funcionrii continue.
Cele mai uzuale controale de aplicaie
n cazul unei aplicaii financiar-contabile sistemul de controale are urmtoarele nivele:
Examinarea situaiilor financiare pentru a determina dac reflect corect
operaiile efectuate asupra tranzaciilor: nregistrarea corect n conturi a unor
tranzacii de test, reflectarea acestor tranzacii n situaiile contabile, respectarea
formatelor cerute de lege pentru situaiile contabile etc.

Pag. 26 din 180

Controale ale ieirilor, care au ca scop verificarea c fiierele temporare generate


pentru listare (n spooler) naintea transmiterii ctre imprimant sunt sau nu
sunt alterate, n lipsa unei protecii adecvate, nainte de a fi listate.
Controale ale prelucrrilor, care sunt implementate pentru verificarea prelucrrii
corecte a ratelor de schimb, a comisioanelor, a aplicrii unor cote de regie, a
utilizrii unor tarife, etc..
Controale ale intrrilor, care au ca scop verificarea c documentele contabile se
refer la perioada contabil aferent, c se utilizeaz corect planul de conturi, c
aplicaia permite efectuarea automat a egalitilor contabile, etc.
Prevenirea accesului neautorizat n sistem
Asigurarea c pe calculatoare este instalat versiunea corect a programului de
contabilitate i nu versiuni netestate care pot conine erori de programare, sau
versiuni perimate.
Controale privind sistemul de operare, care asigur verificarea c accesul la
aplicaia financiar-contabil este controlat i autorizat pentru utilizatorii care o
opereaz.
Controale ale accesului n reea, care asigur c utilizatorii neautorizai nu pot
avea acces n sistemele conectate la reea.
Auditarea sistemului de securitate al sistemelor i al conexiunilor la Internet, care
verific existena i atribuiile ofierului de securitate al sistemelor, precum i
sistemul de controale specifice, n scopul identificrii riscurilor i al adoptrii
unor msuri de reducere a acestora la un nivel acceptabil.
Selecia i instruirea personalului, care furnizeaz asigurarea c procedurile de
selecie i de instruire a personalului reduc riscul erorilor umane.
Controalele fizice i de mediu, care asigur protejarea fizic a sistemelor de calcul.
Politicile de management i standardele; acestea se refer la toate categoriile de
controale.
Cele mai uzuale evaluri ale controalelor de aplicaie se refer la urmtoarele aspecte:

Existena procedurilor de generare automat de ctre aplicaie a situaiilor de


ieire;
Existena funciei de export al rapoartelor n format electronic, n cadrul
sistemului;
Validitatea i consistena datelor din baza de date a aplicaiei;
Existena discontinuitilor i a duplicatelor;
Existena procedurii de pstrare a datelor pe suport tehnic pe o perioad
prevzut de lege;
Asigurarea posibilitii n orice moment, de a reintegra n sistem datele
arhivate;
Procedura de restaurare folosit;
Existena procedurii de remprosptare periodic a datelor arhivate;
Existena interdiciei de modificare, inserare sau tergere a datelor n condiii
precizate (de exemplu, pentru o aplicaie financiar-contabil, interdicia se
poate referi la tergerea datelor contabile pentru o perioad nchis);
Existena i completitudinea documentaiei produsului informatic;

Pag. 27 din 180

Contractul cu furnizorul aplicaiei din punctul de vedere al clauzelor privind


ntreinerea i adaptarea produsului informatic;
Organizarea gestiunii versiunilor, modificrilor, corecturilor i schimbrilor de
sistem informatic, produse program i sistem de calcul;
Reconcilierile fcute n urma migrrii datelor, ca urmare a schimbrii
sistemului de calcul sau a modului de prelucrare a datelor;
Alte controale decurgnd din specificul aplicaiei.

O categorie special de controale IT se refer la conformitatea sistemului informatic cu


cerinele impuse de cadrul legislativ i de reglementare.
Cerinele legislative i de reglementare variaz de la o ar la alta. Acestea includ:
Reglementri financiare i bancare;
Legislaia privind protecia datelor private i legislaia privind protecia datelor
personale;
Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii
informatice;
Legile cu privire la proprietatea intelectual.
Testarea aplicaiei financiar-contabile
n ceea ce privete determinarea volumului de teste necesare pentru obinerea asigurrii
privind funcionarea controalelor, auditorul i bazeaz decizia pe o combinaie ntre
raionamentul profesional i o modelare statistic pe care o poate opera n acest scop.
Dac auditorul i propune s planifice ca testele de control s se efectueze pe un numr
mare de tranzacii, atunci va aplica metoda eantionrii datelor i va stabili dimensiunea
eantionului.
n ceea ce privete controlul asupra informaiilor de intrare, ieire sau memorate n baza de
date, pentru o aplicaie financiar-contabil verificrile uzuale privind satisfacerea
cerinelor legislative sunt:
Conformitatea conturilor cu Planul de conturi;
Denumirea n limba romn a informaiilor coninute n documentele de intrare i
n situaiile de ieire;
Interdicia deschiderii a dou conturi cu acelai numr;
Interdicia modificrii numrului de cont n cazul n care au fost nregistrate date n
acel cont;
Interdicia suprimrii unui cont n cursul exerciiului curent sau aferent
exerciiului precedent, dac acesta conine nregistrri sau sold;
Respectarea formatului prevzut de lege pentru documentele i situaiile generate
de aplicaia contabil;
Acurateea balanei sintetice, pornind de la balana analitic; generarea balanei
pentru orice lun calendaristic;
Reflectarea corect a operaiunilor n baza de date, n documente i n situaii de
ieire;
Existena i corectitudinea situaiilor prevzute de lege ca fiind obligatorii;
Alte controale decurgnd din specificul aplicaiei.

Pag. 28 din 180

Analiza riscului ntr-un mediu informatizat


Mediul informatizat introduce riscuri noi, pe lng alte categorii de riscuri cu care se
confrunt organizaia. n vederea asigurrii proteciei informaiilor i sistemelor IT este
necesar dezvoltarea unui flux continuu de activiti privind identificarea, analiza,
evaluarea i gestionarea riscurilor specifice.
Erorile i omisiunile umane sunt cele mai mari surse de probleme. Pentru reducerea
riscurilor cauzate de acestea, entitatea trebuie s implementeze controale i proceduri
care s contribuie la diminuarea/eliminarea efectelor generate de ignorarea unor aspecte
care determin modul de utilizare a angajailor, calitatea acestora, motivarea n activitatea
desfurat, fluctuaia personalului, structura conducerii, volumul de munc.
n cele mai multe cazuri entitatea nu deine o soluie integrat a sistemului informatic,
acesta fiind constituit din implementri de aplicaii insularizate, dedicate unor probleme
strict focalizate (aplicaia financiar-contabil, aplicaii dedicate activitii de baz a
entitii, etc.). Acest tip de arhitectur prezint dezavantaje la nivelul utilizrii, precum i
o serie de alte impedimente cum ar fi cele legate de dificultatea sau imposibilitatea
asigurrii interoperabilitii aplicaiilor sau de multiplicarea informaiilor. La aceasta se
adaug i faptul c tranzaciile sunt procesate n cadrul unor aplicaii informatice distincte
iar informaiile introduse n sistem sunt validate ntr-o manier eterogen: proceduri
automate combinate cu proceduri manuale, pentru a se asigura detectarea i corectarea
erorilor de intrare, precum i detectarea inconsistenei sau a redundanei datelor. Lipsa
unei soluii integrate se reflect, de asemenea, n existena unor baze de date diverse,
unele aparinnd unor platforme hardware/software nvechite, interfee utilizator diferite
i uneori neadecvate, faciliti de comunicaie reduse i probleme de securitate cu riscuri
asociate.
Gradul ridicat de fragmentare a sistemului informatic implic aciuni frecvente ale
utilizatorului n procesul de prelucrare i atrage efecte negative n ceea ce privete
respectarea fluxului documentelor, ceea ce crete foarte mult riscul de eroare.
n funcie de soluia arhitectural implementat i de estimrile iniiale privind
dimensiunea bazei de date i complexitatea prelucrrilor, un sistem poate "rezista" sau nu
la creteri semnificative ale volumului de tranzacii care pot rezulta din schimbri
majore n activitatea entitii. Estimarea riscului ca, n viitorul apropiat, sistemul
informatic s nu poat suporta creterea volumului de tranzacii (scalabilitate redus)
implic decizii importante la nivelul managementului, n sensul reproiectrii sistemului,
i, implicit, privind alocarea unui buget corespunztor.
Schimbrile configuraiilor de sisteme trebuie s fie autorizate, testate, documentate,
controlate.
ntr-un mediu informatizat, amploarea riscurilor capt o alt dimensiune, natura
riscurilor fiind influenat de o serie de factori specifici utilizrii tehnologiei informaiei:
a) Densitatea informaiei este mult mai mare dect n sistemele clasice, bazate pe
hrtie.
b) Absena documentelor de intrare datele pot fi introduse n sistem fr a avea la
baz documente justificative este cazul tranzaciilor din sistemele on-line.
c) Lipsa unor urme vizibile ale tranzaciilor spre deosebire de prelucrarea
manual, unde orice tranzacie poate fi urmrit plecnd de la documentul primar,
apoi n registrele contabile i conturi, n prelucrarea automat, pe fluxul de
Pag. 29 din 180

d)

e)

f)

g)

h)
i)

j)

prelucrare, o tranzacie poate exista numai pe o perioad limitat, n format


electronic.
Lipsa unor ieiri vizibile anumite tranzacii sau rezultate, n special cnd acestea
reprezint detalii, se pot regsi memorate doar n fiierele aplicaiei (nu i ntr-o
form tiprit).
Transparena documentelor privind desfurarea unor operaiuni. Dischetele,
discurile optice i alte suporturi moderne ce sunt utilizate pentru salvarea
volumului mare de informaii provenite din sistem (putnd nsuma zeci de mii de
pagini de hrtie), pot fi sustrase mult mai discret, genernd astfel fraude sau cel
puin afectnd confidenialitatea informaiilor.
Autorizarea tranzaciilor. ntr-un mediu informatizat se poate include i
capacitatea calculatorului de a iniia i executa automat unele tranzacii, i, prin
modul de proiectare a aplicaiei informatice poate avea ncorporate anumite
autorizri implicite i funcii de generare automat.
Procesarea uniform a tranzaciilor. O aplicaie informatic proceseaz n mod
uniform tranzacii similare, pe baza acelorai instruciuni program. n felul acesta,
erorile de redactare a documentelor asociate unei procesri manuale sunt n mod
virtual eliminate. n schimb, erorile de programare pot conduce la procesarea
incorect sistematic a tranzaciilor, ceea ce impune auditorilor s-i concentreze
atenia asupra acurateei i consistenei ieirilor.
Accesul neautorizat la date i fiiere se poate efectua cu o mai mare uurin, ceea
ce implic un mare potenial de fraud i eroare.
Remanena suporturilor de memorare a datelor, dup ce au fost terse, poate
constitui o cale sigur ca persoane interesate, neautorizate s intre n posesia unor
informaii de valoare.
Agregarea datelor. Noile sisteme de prelucrare automat a datelor, precum sunt
cele de asistare a deciziei, au condus la valorificarea unor informaii importante ale
entitii, genernd prognoze i strategii ntr-un anumit domeniu. Astfel,
informaiile capt valene suplimentare.

Evoluia tehnologiei informaiei a cunoscut n ultimii ani un ritm accelerat, dar nu acelai
lucru se poate spune despre progresele nregistrate n domeniul securitii datelor.
Integrarea puternic a sistemelor apare ca o consecin a mbuntirii formelor de
comunicaie i a proliferrii reelelor de calculatoare. Aplicaiile de comer electronic sunt
doar un exemplu n acest sens, dar se poate afirma c aceast evoluie a deschis i mai
mult apetitul specialitilor n ceea ce privete frauda informaional.
Lipsa urmelor eventualelor atacuri criminale constituie un alt element ngrijortor al
noului mediu de lucru; n acest sens modificarea datelor, adugarea sau chiar tergerea lor
au devenit operaii mult mai uor de realizat, dar, n acelai timp, destul de greu de
depistat.
Obiectivul unei analize a riscurilor informaionale (riscuri IT) este de a identifica
modalitile prin care datele i, implicit, sistemul informatic care le conine, sunt expuse la
risc. Elementele prezentate n paragraful anterior conduc la ideea c mediul informatizat
genereaz noi riscuri i c orice organizaie, n vederea asigurrii unei protecii eficiente a
informaiilor, este necesar s dezvolte un proces complex de studiu i analiz a riscurilor.
Riscul implicat de utilizarea tehnologiei informaiei se manifest prin intermediul
componentelor proprii ale acestei tehnologii: ameninri, vulnerabiliti i impact.
Ameninrile exploateaz vulnerabilitile unui sistem cauznd impactul i, n esen,
Pag. 30 din 180

combinaia celor trei elemente determin mrimea riscului. Riscul la nivelul unei
organizaii nu poate fi eliminat, el va exista ntotdeauna, managementul organizaiei fiind
responsabil de reducerea acestuia la un nivel acceptabil.

1.3.4 Sisteme n curs de dezvoltare


Sistemele informatice financiar-contabile n curs de dezvoltare ale entitii auditate nu
sunt susceptibile s aib un impact asupra auditului situaiilor financiare curente. ns, un
sistem financiar greit conceput sau implementat ar putea conduce la un audit al
evidenelor informatizate scump sau imposibil de realizat n anii urmtori. Aceast
seciune subliniaz inportana implicrii auditorilor externi n formularea unor cerine
pentru sistemele financiare care urmeaz s fie achiziionate de la furnizori sau dezvoltate
n cadrul entitii.
Revine entitii auditate, i n particular auditului intern, s stabileasc dac demersul de
dezvoltare propus de auditor este susceptibil s conduc la un sistem care s satisfac
necesitile activitii. Nu este rolul auditorilor s avizeze demersul sau aspectele
particulare ale acestuia. Trebuie, ns, ca auditorul intern s fac observaii asupra
aspectelor demersului care ar putea duce la dificulti n emiterea unei opinii asupra
situaiilor financiare i pentru a putea evita dificultile de audit extern ulterioare.
Auditul sistemelor financiare n curs de dezvoltare este o zon cu caracter tehnic,
complex i care comport multe aspecte care necesit o analiz.

1.3.5 Anomalii frecvente n operarea sistemului


Cele mai frecvente efecte ale operrii necorespunztoare a sistemului pot avea ca surs
disfuncionaliti la nivelul infrastructurii IT sau pot fi generate de personalul care
gestioneaz sistemul sau de ctre teri, n cazul serviciilor externalizate.

Aplicaiile nu se execut corect datorit operrii greite a aplicaiilor sau utilizrii


unor versiuni incorecte, precum i datorit unor parametri de configurare incoreci
introdui de personalul de operare (de exemplu, ceasul sistemului i data setate
incorect pot genera erori n calculul dobnzilor, al penalitilor, al salariilor etc.).

Pierderea sau alterarea aplicaiilor financiare sau a fiierelor de date poate rezulta
dintr-o utilizare greit sau neautorizat a unor programe utilitare.

Personalul IT nu tie s gestioneze rezolvarea/escaladarea problemelor sau


raportarea erorilor, iar ncercarea de a le rezolva pe cont propriu poate provoca
pierderi i mai mari;

ntrzieri i ntreruperi n prelucrare din cauza alocrii unor prioriti greite n


programarea sarcinilor;

Lipsa salvrilor i a planificrii reaciei la incidentele probabile crete riscul de


pierdere a capacitii de a continua prelucrarea n urma unui dezastru;

Lipsa capacitii (resurselor) sistemului, acesta devenind incapabil de a prelucra


tranzaciile din cauza suprancrcrii;

Timpul mare al cderilor de sistem pn la remedierea problemei;

Probleme ale utilizatorilor nerezolvate datorit funcionrii defectuoase a facilitii de


asisten tehnic (Helpdesk).
Pag. 31 din 180

1.3.6 Documente i informaii solicitate entitii auditate


n cadrul misiunii de audit IT, n mod uzual, se solicit urmtoarele documente i
informaii privind sistemele, proiectele i aplicaiile existente n cadrul entitii
auditate.
a) Referitor la managementul tehnologiei informaiei:
1. Structura organizaional. Fie de post pentru persoanele implicate n proiectele
informatice;
2. Strategia IT i stadiul de implementare a acesteia;
3. Politici i proceduri incluse n sistemul de control intern;
4. Legislaie i reglementri care guverneaz domeniul;
5. Documente referitoare la coordonarea i monitorizarea proiectelor IT;
6. Raportri ctre management privind proiectele IT;
7. Buget alocat pentru proiectele informatice;
8. Lista furnizorilor i copiile contractelor pentru hardware i software (furnizare,
service, mentenan, etc.);
9. Rapoarte de audit privind sistemul IT n ultimii 3 ani;
10. Raportarea indicatorilor de performan.
b) Referitor la infrastructura hardware/software i de securitate a sistemului
11. Infrastructura hardware, software i de comunicaie. Documentaie de prezentare;
12. Politica de securitate. Proceduri generale. Proceduri operaionale IT (back-up,
managementul capacitii, managementul configuraiilor, managementul
schimbrii proceselor, managementul schimbrilor tehnice, managementul
problemelor etc.);
13. Proceduri i norme specifice, inclusiv cele legate de administrare i securitate, n
vederea creterii gradului necesar de confidenialitate i a siguranei n utilizare, n
scopul bunei desfurri a procedurilor electronice i pentru asigurarea proteciei
datelor cu caracter personal;
14. Arhitectura de sistem. Categorii de servicii i tehnologii utilizate;
15. Arhitectura de reea. Tipuri de conexiuni;
16. Personalul implicat n proiecte. Numr, structur, calificare;
17. Manuale, documentaie de sistem i orice alt documentaie referitoare la
aplicaiile informatice.
c) Referitor la continuitatea sistemului
18. Plan de continuitate a activitii care face obiectul proiectelor IT;
19. Plan de recuperare n caz de dezastru.
d) Referitor la dezvoltarea sistemului
20. Lista aplicaiilor i proiectelor IT (scurt prezentare a portofoliului de proiecte);
21. Stadiul actual, grafice de implementare i rapoarte de utilizare;
22. Perspective de dezvoltare.

Pag. 32 din 180

e) Referitor la sistemul de monitorizare i raportare


23. Raportri ale managementului IT referitoare la proiectele informatice;
24. Rapoarte de monitorizare a modului de implementare a proiectelor informatice.

Pag. 33 din 180

Capitolul 2. Proceduri de audit IT


n aceast seciune se prezint cadrul procedural pentru evaluarea sistemelor informatice,
n general, cu exemplificri pentru sistemele financiar-contabile. Auditorii trebuie s
recurg la raionamentul propriu pentru a stabili care dintre controale ar fi rezonabile,
avnd n vedere mrimea, complexitatea i importana sistemelor informatice financiarcontabile ale entitii auditate. n acest proces, selectarea obiectivelor de control
aplicabile din setul COBIT6 i utilizarea procedurilor de audit adecvate mediului
informatizat auditat constituie o activitate deosebit de important.
Pentru entitile mici, care utilizeaz calculatoare individuale (neinstalate n reea), modul
de evaluare a mediului informatizat este prezentat n Capitolul 4.
Structurarea cadrului procedural este prezentat n tabelul urmtor.
Tabelul 2
Proceduri de audit IT

Seciune
A

Denumirea seciunii
Informaii de fond privind sistemele IT ale entitii
auditate
Privire general asupra entitii auditate
Principalele probleme IT rezultate din activitile anterioare
de audit
Dezvoltri informatice planificate
Echipament informatic [hardware] i programe informatice
[software]
Cerine pentru specialitii n auditul informatic
Activitatea necesar pentru revizuirea sistemelor
Contacte cheie

A1
A2
A3
A4
A5
A6
A7

Evaluarea mediului de control IT Controale IT generale


Management IT
Separarea atribuiilor
Securitatea fizic i controalele de mediu
Securitatea informaiei i a sistemelor
Continuitatea sistemelor
Externalizarea serviciilor IT
Managementul schimbrii i al dezvoltrii de sistem
Audit intern

Procedura

B1
B2
B3
B4
B5
B6
B7
B8

Domeniile, procesele i obiectivele de control COBIT sunt prezentate n detaliu n


Manualul de audit al sistemelor informatice (CCR, 2012)
Pag. 34 din 180

CA

Evaluarea controalelor de aplicaie


nelegerea sistemului informatic
Posibilitatea de efectuare a auditului
Utilizarea tehnicilor de audit asistat de calculator (CAAT)
Determinarea rspunderii
Evaluarea documentaiei aplicaiei
Evaluarea securitii aplicaiei
Evaluarea controalelor la introducerea datelor
Evaluarea controalelor transmisiei de date
Evaluarea controalelor prelucrrii
Evaluarea controalelor datelor de ieire
Evaluarea controalelor fiierelor cu date permanente
Evaluarea conformitii cu legislaia n vigoare
Efectuarea testelor de audit

2.1

CA1
CA2
CA3
CA4
CA5
CA6
CA7
CA8
CA9
CA10
CA11
CA12
CA13

Informaii de fond privind sistemele IT ale entitii auditate

SCOP: Obinerea informaiilor privind mrimea, tipul i complexitatea sistemelor


informatice ale entitii auditate. Pe baza acestora, auditorul poate clasifica sistemele dup
complexitate i poate
aprecia dac evaluarea IT trebuie realizat de un auditor IT
specialist.
Obinerea informaiilor de fond privind sistemele IT ale entitii auditate l ajut pe
auditor n urmtoarele activiti:
identificarea configuraiilor hardware i a aplicaiile informatice implicate n
obinerea situaiilor financiare ale entitii auditate;
evaluarea gradului de complexitate al sistemului informatic;
evaluarea eficacitii securitii informaiei i sistemului;
identificarea riscurilor generate de mediul IT;
obinerea unei nelegeri suficiente a sistemelor de controale IT interne pentru a
planifica auditul i a dezvolta o abordare de audit eficient.

PROCEDURA A1 - Privire general asupra entitii auditate


Auditorul va obine informaii privind natura activitilor entitii supuse auditului, pe
baza unei documentri preliminare sau utiliznd informaii din analizele anterioare
(rapoarte de audit, cunotine anterioare i fiiere de audit). Pentru colectarea datelor se
poate folosi Macheta 1.
De asemenea, se vor analiza urmtorii indicatori de baz:
-

Pli / cheltuieli anuale;


ncasri / venituri anuale;
Total active;
Valoarea activelor IT;
Bugetul anual IT.

Pag. 35 din 180

PROCEDURA A2 - Principalele probleme IT rezultate din activitile


anterioare de audit
Auditorul va obine informaii din analizele anterioare, avnd urmtoarele surse: rapoarte
de audit sau referiri la informri ctre conducere, evaluri ale sistemelor contabile,
evaluri ale riscurilor i altele.

PROCEDURA A3 - Dezvoltri informatice planificate


Auditorul va lua n considerare identificarea i analiza aspectelor legate de dezvoltarea
sistemului informatic i/sau de schimbrile tehnologice: determinarea direciei
tehnologice, examinarea portofoliului de proiecte IT, coordonarea i monitorizarea
proiectelor IT; normele metodologice i standardele n domeniu; stadiul de realizare a
proiectelor.
Adoptarea unei direcii tehnologice n sprijinul afacerii necesit crearea unui plan al
infrastructurii tehnologice i alocarea unor responsabiliti care au ca obiectiv stabilirea i
administrarea cu claritate i n mod realist a ateptrilor cu privire la ceea ce poate oferi
tehnologia informaiei n materie de produse, servicii, precum i la mecanismele de
furnizare a acestora. Planul este actualizat periodic i nglobeaz aspecte cum ar fi:
arhitectura sistemului, direcia tehnologic, planuri de achiziie, standarde, strategii de
migrare i situaiile neprevzute.
Auditorul va obine informaii legate de principalele proiecte de dezvoltare a sistemelor IT
(cnd vor intra n exploatare, locul instalrii, dac au fost identificate probleme, ce efecte
ar putea avea noile sisteme asupra activitii de audit prezente i viitoare), precum i de
monitorizarea tendinelor viitoare i a reglementrilor. n situaia n care apar probleme
tehnice dificil de neles i tratat, auditorul trebuie s aib n vedere contactarea unui
auditor IT specialist (utilizat de regul n faza de specificare a sistemelor sau nainte de
intrarea n funcie a sistemelor).

PROCEDURA A4 - Configuraia hardware (echipamente), software (programe


informatice) i personalul IT
In faza de cunoatere a entitii, auditorul va lua n considerare identificarea i analiza
factorilor legai de configuraia hardware (echipamente), software (programe
informatice) i personalul IT care pot influena procesul de audit:
componentele sistemului informatic;
arhitectura sistemului informatic: platforma hardware/software (soluii de
implementare, echipamente, arhitecturi de reea, licene, desfurare n teritoriu,
locaii funcionale, versiuni operaionale); fluxuri de colectare/transmitere/
stocare a informaiilor (documente text, coninut digital, tehnici multimedia);
arhitectura informaional: raionalizarea resurselor informaionale n vederea
convergenei cu strategia economic (dezvoltarea dicionarului de date al
organizaiei cu regulile de sintax, cu schemele de clasificare a datelor i cu nivelele
de securitate). Acest proces mbuntete calitatea procesului decizional
asigurnd obinerea de informaii de ncredere i sigure, crete responsabilitatea
cu privire la integritatea i securitatea datelor i mrete eficacitatea i controlul
asupra informaiilor partajate ntre aplicaii i entiti.
factorii care influeneaz funcionalitatea sistemului: complexitatea componentelor
software, sistemul de constituire, achiziie, validare, utilizare a fondului
Pag. 36 din 180

documentar (documente text, coninut digital, tehnici multimedia), operarea


sistemului, interfaa utilizator, schimbul de date ntre structuri, interoperabilitate,
anomalii n implementare, modaliti de raportare i operare a coreciilor,
sigurana n funcionare, rata cderilor, puncte critice, instruirea personalului
utilizator, documentaie tehnic, ghiduri de operare, forme i programe de
instruire a personalului, asigurarea suportului tehnic.
Pentru colectarea datelor auditorul poate folosi Machetele 2, 3 i 4 care vor fi adaptate n
funcie de complexitatea i specificul sistemului informatic, ntruct n instituiile publice
exist o mare diversitate de configuraii IT, pornind de la entiti mici (de exemplu,
primrii) care au n dotare un singur calculator i ajungnd la entiti cu sisteme complexe
i configuraii mari, desfurate la nivel naional.
Auditorul va colecta informaii privind:
Echipamentul informatic (hardware) i de comunicaii (topologie, cablare, protocol
de comunicaii, modem-uri, gateways, routere);
Programe informatice (software): sistemul de operare, software de securitate,
software de gestionare a bazelor de date, software de audit, generatoarele de
rapoarte, software de programare i altele;
Software de aplicaie: denumire, prezentare general, furnizor, versiune, platform,
limbaj de programare/dezvoltare, numr de utilizatori, data instalrii, pachet la
cheie sau dezvoltat la comand, module, prelucrare offline/online;
Modelul arhitecturii informaionale a organizaiei: dicionarul de date al
organizaiei i regulile de sintax a datelor, schema de clasificare a datelor;
Informaii privind personalul implicat n proiectele IT.

PROCEDURA A5 - Cerine pentru specialitii n auditul sistemului informatic


Auditorii trebuie s decid dac ei nii au abiliti IT i de audit IT necesare i suficiente
pentru a realiza evaluarea la un standard adecvat de competen. Factorii luai n
considerare n acest sens includ: mrimea departamentului IT care face obiectul auditului,
utilizarea reelelor de comunicaii n cadrul entitii auditate, procesarea de date
distribuite, utilizarea de tehnologii noi, sisteme n curs de dezvoltare, cunoaterea
problemelor IT anterioare ale entitii auditate i dac este de dorit o abordare a auditului
bazat pe controale.

PROCEDURA A6 - Activitatea necesar pentru evaluarea sistemelor


Auditorul va stabili gradul de complexitate al sistemului, va inventaria care sunt sistemele
/componentele /serviciile informatice care trebuie s fie evaluate n funcie de obiectivele
auditului, va decide asupra cerinelor pentru auditul IT i va estima resursele necesare
misiunii de audit. De asemenea va stabili criteriile, tehnicile i metodele de audit, va
selecta sau va proiecta procedurile de audit adecvate, listele de verificare, machetele,
chestionarele, scenariile de test.

PROCEDURA A7 - Contacte cheie


Conducerea entitii va stabili persoanele de contact din cadrul entitii auditate, din
domeniile financiar i IT (nume, funcie, locaie, nr. telefon), care vor colabora cu auditorul
pe parcursul misiunii de audit.

Pag. 37 din 180

2.2

Evaluarea mediului de control IT Controale generale IT

SCOP: Identificarea naturii i impactului riscurilor generate de utilizarea de ctre entitate


a tehnologiei informaiei, asupra situaiilor financiare ale organizaiei, precum i a
capacitii auditorilor de a le evalua. O evaluare a controalelor IT la nivelul entitii este
realizat prin derularea unei evaluri a mediului informatizat n care funcioneaz
aplicaiile financiare. Punctele slabe ale mediului informatizat pot afecta negativ
integritatea i viabilitatea tuturor aplicaiilor informatice i a datelor contabile prelucrate
de acestea.
Obiectivul unei evaluri a mediului de control IT este de a examina i de a evalua riscurile,
i controalele care exist n cadrul mediului IT al unei entiti. O evaluare a mediului de
control IT este focalizat pe controalele care asigur integritatea i disponibilitatea
programelor i aplicaiilor financiare, n timp ce evaluarea unei aplicaii se concentreaz
pe integritatea i disponibilitatea tranzaciilor procesate de respectiva aplicaie.
Termenul de mediu de control IT se refer la configuraia hardware, la programele
informatice de sistem, la mediul de lucru. Dimensiunea unei configuraii IT poate varia de
la un sistem mare, amplasat ntr-o construcie special destinat, deservit de un personal
numeros, pn la un simplu calculator personal (PC) din cadrul unui birou de
contabilitate.
Mediul de control IT trebuie s aib controale adecvate pentru a asigura urmtoarele:
un mediu de procesare sigur i sistematic;
protejarea aplicaiilor, fiierelor i bazelor de date fa de acces, modificare sau
tergere neautorizate;
c pierderea facilitilor de calcul nu afecteaz capacitatea organizaiei de a
produce situaii financiare care pot fi supuse auditului.
Auditorul trebuie s determine ce controale ar fi rezonabile n cadrul fiecrei configuraii
de calcul. Cnd evalueaz un mediu de control IT auditorul trebuie s aib n vedere
diferii factori, inclusiv natura activitii entitii, mrimea compartimentului IT, istoricul
erorilor i ncrederea acordat sistemelor informatice.
Auditorul poate obine informaii privind mediul general IT prin interviuri i discuii cu
personalul implicat, prin analize ale documentaiei sistemului, precum i prin legtura cu
auditul intern i observaia direct.
Pentru evaluarea controalelor IT generale se folosete Lista de verificare pentru evaluarea
controalelor generale IT (LV_Controale generale IT - Anexa 3), structurat dup criterii
funcionale. Auditorul va elimina din list ntrebrile referitoare la controalele care nu
sunt aplicabile pentru sistemul supus evalurii sau va putea introduce ntrebri
suplimentare, dac o cere contextul.
n seciunile urmtoare sunt prezentate procedurile reprezentative pentru auditul
sistemelor informatice.
n funcie de complexitatea sistemului, n cadrul unei misiuni de audit, auditorul, pe baza
raionamentului profesional va decide utilizarea ntregului set de proceduri sau le va selecta
pe cele care sunt aplicabile n cazul concret. De asemenea, va putea adopta evaluarea unui
set restrns de obiective de control din cadrul fiecrei proceduri selectate sau, dac situaia
o cere, poate proiecta proceduri noi.
Pag. 38 din 180

PROCEDURA B1 - Managementul sistemului informatic


Cnd este evaluat acest domeniu, se verific urmtoarele aspecte:
dac strategia IT este aliniat la strategia afacerii;
dac managementul contientizeaz importana tehnologiei informaiei;
dac organizaia atinge un nivel optim de utilizare a resurselor disponibile;
dac obiectivele IT sunt nelese de ctre toi membrii organizaiei;
dac riscurile IT sunt cunoscute i gestionate;
dac nivelul de calitate al sistemelor IT rspunde n mod corespunztor nevoilor
afacerii.
Prin testarea controalelor implementate n cadrul entitii se poate aprecia dac utilizarea
tehnologiilor informaiei de ctre entitatea auditat se desfoar n cadrul unei structuri
bine definite, dac este efectuat o informare operativ a conducerii legat de activitatea
IT i conducerea este receptiv la schimbare, dac funcionarea sistemului informatic este
eficient din punct de vedere al costurilor i al gestionrii resurselor umane, dac riscurile
sunt monitorizate, dac monitorizarea cadrului legislativ i a contractelor cu principalii
furnizori se desfoar corespunztor.
B.1.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele
privind managementul i organizarea departamentului IT al entitii
(responsabilitatea de ansamblu, structura formal, organizarea i desfurarea activitii
IT, implicarea conducerii entitii auditate n coordonarea activitilor legate de
funcionarea sistemului informatic).
Evaluarea se va face pe baza constatrilor i concluziilor rezultate n urma interviurilor cu
conducerea entitii i cu persoanele implicate n coordonarea operativ a sistemului
informatic, precum i pe baza analizei documentelor privind: strategiile, politicile,
procedurile, declaraiile de intenie, cadrul de referin pentru managementul riscurilor,
ntlnirile organizate de conducerea entitii (minute, procese verbale, adrese etc.).

Seciunea Management IT B.1.1


Direcii de
evaluare

Obiective de control

Documente de
lucru

Tabelul 3
Surse probe
de audit

MANAGEMENT IT

Implicarea
conducerii la cel
mai nalt nivel n
coordonarea
activitilor

Implicarea conducerii n elaborarea i


implementarea unei politici oficiale,
consistente privind serviciile
informatice i n comunicarea acesteia
utilizatorilor
Stabilirea unei direcii unitare de
dezvoltare, cu precizarea clar a
obiectivelor, elaborarea unor linii
directoare
Elaborarea strategiilor i politicilor
bazat pe o evaluare a riscurilor (riscuri
n etapa de implementare, riscuri n

LV_ Controale
generale IT

Strategii
Politici
Registrul
riscurilor
Analize
Informri
Minute /
procese
verbale ale
edinelor

Pag. 39 din 180

Direcii de
evaluare

Obiective de control

Documente de
lucru

Surse probe
de audit

etapa de furnizare a serviciilor


informatice)
Identificarea, planificarea i gestionarea
riscurilor implicate de implementarea
i utilizarea sistemului IT
Analiza beneficiilor poteniale
Implicarea conducerii instituiei n
coordonarea activitilor IT - ntlniri
regulate ntre conducerea instituiei i
persoanele cu atribuii n
implementarea, administrarea i
ntreinerea sistemului
Analiza activitilor fa de strategia de
implementare
Definirea
proceselor IT, a
funciei i a
relaiilor

Definirea unei structuri funcionale IT,


lund n considerare cerinele cu
privire la personal, abiliti, funcii,
responsabiliti, autoritate, roluri i
supraveghere
Structura funcional este inclus ntrun cadru de referin al procesului IT
care asigur transparena i controlul,
precum i implicarea att de la nivel
executiv ct i general

LV_ Controale
generale IT

Strategii
Politici
administrative
Proceduri
Organigrama
Fie de post

Existena proceselor, politicilor


administrative i procedurilor, pentru
toate funciile, acordndu-se atenie
deosebit controlului, asigurrii
calitii, managementului riscului,
securitii informaiilor, identificrii
responsabililor datelor i sistemelor i
separrii funciilor incompatibile
Implicarea funciei IT n procesele
decizionale relevante pentru asigurarea
suportului i susinerii cerinelor
economice
Stabilirea rolurilor i responsabilitilor
Identificarea personalului IT critic,
implementarea politicilor i
procedurilor pentru personalul
contractual

Pag. 40 din 180

Direcii de
evaluare
Comunicarea
inteniilor i
obiectivelor
conducerii

Obiective de control
Dezvoltarea de ctre conducere a unui
cadru de referin al controlului IT la
nivelul ntregii organizaii, definirea i
comunicarea politicilor

Documente de
lucru
LV_ Controale
generale IT

Surse probe
de audit
Politica IT
Declaraii de
intenie

Sprijinirea realizrii obiectivelor IT i


asigurarea gradului de contientizare i
de nelegere a riscurilor afacerii i a
riscurilor ce decurg din IT, a
obiectivelor i inteniilor conducerii,
prin intermediul comunicrii.
Asigurarea conformitii cu legile i
reglementrile relevante
Organizarea
sistemului de
monitorizare a
activitilor i
serviciilor IT

Stabilirea atribuiilor privind


LV_ Controale
monitorizarea consecvent a stadiului
generale IT
proiectelor IT (desemnarea unui
responsabil cu urmrirea implementrii
i utilizrii IT, evaluarea periodic a
performanei utilizatorilor sistemului,
instruirea periodic a personalului
implicat n proiectele IT pentru a
acoperi cerinele proceselor noului
model de activitate)

Organigrama
Fie de post
Rapoarte de
evaluare
Rapoarte de
instruire

Existena fielor de post semnate


pentru personalul implicat n proiectele
IT
Estimarea i
managementul
riscurilor IT

Este creat i ntreinut un cadru de


referin pentru managementul
riscurilor care documenteaz un nivel
comun i convenit al riscurilor IT,
precum i strategiile de reducere a
riscurilor i de tratare a riscurilor
reziduale

LV_ Controale
generale IT

Strategiile de
reducere i de
tratare a
riscurilor

Strategiile de reducere a riscurilor sunt


adoptate pentru a minimiza riscurile
reziduale la un nivel acceptat.

Plan de
aciune pentru
reducerea
riscului

Este ntreinut i monitorizat un plan de


aciune pentru reducerea riscului

Monitorizare i
evaluare

Este msurat performana sistemului


IT pentru a detecta la timp problemele
managementul asigur eficiena i
eficacitatea controlului intern.

Cadrul de
referin
pentru
managementul
riscurilor

LV_ Controale
generale IT

Rapoarte de
evaluare

Pag. 41 din 180

Direcii de
evaluare

Obiective de control

Documente de
lucru

Surse probe
de audit

Se efectueaz evaluarea periodic a


proceselor IT, din perspectiva calitii
lor i a conformitii cu cerinele
controlului.
Serviciile IT sunt asigurate
corespunztor: sunt furnizate n
conformitate cu prioritile afacerii,
costurile IT sunt optimizate, personalul
poate folosi sistemele IT n mod
productiv i n siguran iar
confidenialitatea, disponibilitatea i
integritatea sunt adecvate.

Auditorul va evalua soluia organizatoric prin prisma criteriilor menionate i va colecta


probe privind: subordonarea departamentului IT, nivelele de monitorizare a proiectului,
existena unei politici de angajri, instruirea profesional i evaluarea periodic a
performanei personalului tehnic implicat proiect i a utilizatorilor sistemului, analiza
dependenei de persoanele cheie. Pentru personalul implicat n activiti legate de sistemul
informatic, va verifica existena fielor de post semnate i dac acestea conin atribuiile
specifice utilizrii tehnologiilor informaiei. De asemenea pe baza analizei documentelor va
evalua: strategiile, politicile, procedurile, declaraii de intenie, cadrul de referin pentru
managementul riscurilor, ntlnirile organizate de conducerea entitii (minute, procese
verbale, adrese etc.).
B.1.2 Aspectele care se iau n considerare atunci cnd se examineaz controalele
referitoare la planificarea activitilor privind utilizarea tehnologiilor informaiei
Planificarea strategic a tehnologiilor informaionale este necesar pentru a administra i
a direciona toate resursele IT n concordan cu strategia i prioritile organizaiei.
Funcia IT i beneficiarii acesteia sunt responsabili pentru asigurarea realizrii valorii
optime a proiectului i a portofoliului de servicii. Planul strategic urmrete s
mbunteasc gradul i capacitatea de nelegere din partea beneficiarilor n ceea ce
privete oportunitile i limitrile, stabilete nivelul de performan curent, identific
cerinele privind capacitatea i necesarul de resurse umane i clarific nivelul necesar de
investiii. Strategia organizaiei i prioritile trebuie s fie reflectate n portofolii i s fie
executate prin intermediul planurilor tactice, planuri ce specific obiective concrete,
planuri de aciune i sarcini. Toate acestea trebuie s fie nelese i acceptate de
organizaie i de compartimentul IT.
Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu conducerea
entitii i cu persoanele implicate n coordonarea operativ a sistemului informatic, precum
i pe baza analizei documentelor privind planificare activitilor: planul strategic, planuri
tactice, rapoarte de evaluare.

Pag. 42 din 180

Tabelul 4

Seciunea Management IT B.1.2


Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

LV_ Controale
generale IT

Plan strategic

MANAGEMENT IT

Planificarea
activitilor IT

Existena unui plan corespunztor i


documentat pentru coordonarea
activitilor legate de implementarea
i funcionarea sistemului informatic,
corelat cu strategia instituiei

Planuri tactice
Rapoarte de
evaluare

Documentarea n planificarea entitii


a rezultatelor scontate/ intelor i
etapelor de dezvoltare i
implementare a proiectelor
ntocmirea i aprobarea de ctre
conducere a unui plan strategic
adecvat prin care obiectivele cuprinse
n politic s aib asociate aciuni,
termene i resurse
Este realizat managementul valorii IT
Se evalueaz capabilitile i
performanele curente

B.1.3 Aspectele care se iau n considerare atunci cnd se examineaz controalele


privind managementul costurilor (managementul investiiilor IT, identificarea i alocarea
costurilor)
Auditorul va verifica dac este stabilit i ntreinut un cadru de referin pentru
managementul programelor de investiii IT, care nglobeaz costuri, beneficii, prioritile
n cadrul bugetului, un proces formal de bugetare oficial i de administrare conform
bugetului.
Construirea i utilizarea unui sistem care s identifice, s aloce i s raporteze costurile IT
ctre utilizatorii de servicii, implementarea unui sistem just de alocare permite
managementului s ia decizii mai bine ntemeiate cu privire la utilizarea serviciilor IT, pe
baza unei msurri ct mai exacte.

Tabelul 5

Seciunea Management IT B.1.3


Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

MANAGEMENT IT
Managementul
investiiilor

Existena unui cadru de referin


pentru managementul financiar

LV_ Controale
generale IT

Cadrul de
referin
pentru
Pag. 43 din 180

Direcii de evaluare

Managementul
costurilor i al
beneficiilor

Obiective de control

Documente
de lucru

Surse probe
de audit

Stabilirea prioritilor n cadrul


bugetului IT

management
financiar

Finanarea IT

Documentaii
i situaii
privind
finanarea IT,
managementul
costurilor i al
beneficiilor

Definirea serviciilor IT i elaborarea


unei strategii de finanare pentru
proiectele aferente serviciilor IT
Nivelele de finanare sunt consistente
cu obiectivele
Existena unui buget separat pentru
investiii i cheltuieli legate de IT.
Stabilirea responsabilitilor privind
ntocmirea, aprobarea i urmrirea
bugetului
Implementarea sistemelor pentru
monitorizarea i calculul cheltuielilor
(Contabilitatea IT)
Managementul beneficiilor
Efectuarea analizei activitilor fa de
Strategia IT a entitii

LV_ Controale
generale IT

Documente
care reflect
strategia de
finanare
pentru
proiectele
aferente
serviciilor IT
Bugetul
pentru
investiii i
cheltuieli
legate de IT
Situaii
privind
managementul
costurilor i al
beneficiilor
Evidene
contabile

Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu persoanele


implicate n coordonarea operativ a sistemului informatic, cu persoane din compartimentul
financiar-contabil i pe baza analizei documentelor privind modul de alocare i gestionare a
bugetului aferent proiectelor IT, n concordan cu obiectivele i strategia entitii, precum
i pe baza analizei documentelor privind managementul investiiilor i managementul
costurilor.
Urmrirea gestionrii bugetului alocat proiectului se reflect n evidenele operative ale
entitii (procese verbale privind ndeplinirea sarcinilor furnizorilor, documente
coninnd rezultatele unor inspecii, documente privind analize i raportri periodice ale
activitilor i stadiului proiectului, n raport cu strategia de implementare).

Pag. 44 din 180

B.1.4 Aspectele care se iau n considerare atunci cnd se examineaz controalele


privind managementul programelor i al proiectelor, precum i raportarea ctre
conducerea instituiei (cu scopul de a evalua problematica i de a ntreprinde msuri
corective pentru remedierea unor deficiene sau de a efectua evaluri ale efectelor utilizrii
sistemului n raport cu obiectivele activitii entitii)
n vederea realizrii strategiei IT, soluiile IT trebuie identificate, dezvoltate sau
achiziionate, dar i implementate i integrate n procesele afacerii. n plus, pentru a se
asigura continuitatea n atingerea obiectivelor economice pe baza soluiilor IT, sunt
acoperite, prin acest domeniu, schimbrile i mentenana sistemelor deja existente.
Aceast abodare reduce riscul apariiei unor costuri neateptate i anularea proiectelor,
mbuntete comunicarea i colaborarea dintre organizaie i utilizatorii finali, asigur
valoarea i calitatea livrabilelor proiectului, i maximizeaz contribuia lor n programele
de investiii IT.

Tabelul 6

Seciunea Management IT B.1.4


Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

LV_ Controale
generale IT

Documentaia
proiectelor

MANAGEMENT IT
Managementul
programelor i al
proiectelor.
Raportarea ctre
conducerea
instituiei

Pentru toate proiectele IT este stabilit


un program i un cadru de referin
pentru managementul proiectelor
care garanteaz o ierarhizare corect
i o bun coordonare a proiectelor

Grafice de
realizare

Cadrul de referin include un plan


general, alocarea resurselor, definirea
livrabilelor, aprobarea utilizatorilor,
livrarea conform fazelor proiectului,
asigurarea calitii, un plan formal de
testare, revizia testrii i revizia postimplementrii cu scopul de a asigura
managementul riscurilor proiectului
i furnizarea de valoare pentru
organizaie

Rapoarte de
stadiu

Managementul portofoliilor de
proiecte

Planul calitii
proiectelor

Managementul proiectelor este


cuprinztor, riguros i sistematic
Monitorizarea activitilor i
progresului proiectelor n raport cu
planurile elaborate n acest domeniu
Nominalizarea unui colectiv i a unui
responsabil care supravegheaz
desfurarea activitilor n
concordan cu liniile directoare

Situaii de
raportare
ctre
conducere
Registrul
riscurilor
proiectelor IT

Controlul
schimbrilor
n cadrul
proiectelor
Situaii de
raportare a
indicatorilor
de

Pag. 45 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

Informarea personalului n legtur


cu politicile, reglementrile,
standardele i procedurile legate de IT

Surse probe
de audit
performan

Raportarea regulat ctre conducerea


instituiei a activitilor legate de
implementarea IT

Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu persoanele


implicate n managementul proiectelor i pe baza analizei documentelor privind modul de
monitorizare i de gestionare a acestora. Auditorul va constata modul n care se face
raportarea ctre management, prin colectarea unor probe care decurg din analiza
documentelor de raportare care ofer informaii privind coninutul i periodicitatea
raportrilor, privind organizarea unor ntlniri ntre actorii implicai n proiect pentru
semnalarea problemelor aprute i alegerea cilor de rezolvare a problemelor semnalate.
De asemenea, este evaluat modul n care sunt analizai i adui la cunotina conducerii
entitii, n mod oficial, indicatorii de performan ai sistemului informatic.
B.1.5 Aspectele care se iau n considerare atunci cnd se examineaz controalele
privind calitatea serviciilor furnizate utilizatorilor (care se reflect n succesul
proiectului, un obiectiv important al conducerii, avnd efecte inclusiv n planul ncrederii
personalului n noile tehnologii)
Dezvoltarea i ntreinerea unui Sistem de Management al Calitii (SMC), incluznd
procese i standarde validate de dezvoltare i achiziie a sistemelor informatice asigur c
funcia IT ofer valoare afacerii, mbuntire continu i transparen pentru beneficiari.
Nivelul calitii serviciilor furnizate utilizatorilor interni se menioneaz ntr-un
document care prevede clauzele referitoare la acestea - SLA (Service Level Agreement).
Tabelul 7
Seciunea Management IT B.1.5
Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

LV_ Controale
generale IT

Manualul SMC

MANAGEMENT IT
Managementul
calitii

Este dezvoltat i ntreinut un Sistem


de Management al Calitii (SMC),
incluznd procese i standarde
validate de dezvoltare i achiziie a
sistemelor informatice
Furnizarea de cerine clare de calitate
formulate i transpuse n indicatori
cuantificabili i realizabili, proceduri
i politici

Standarde i
practici de
calitate IT
Standarde de
dezvoltare i
achiziie
Evaluri ale
satisfaciei
clientului

Pag. 46 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

mbuntirea continu se realizeaz


prin monitorizare permanent,
analiz i msurarea abaterilor i
comunicarea rezultatelor ctre
beneficiari

Surse probe
de audit
Reclamaii
Msuri de
mbuntire
continu
Documente
privind
msurarea,
monitorizarea
i revizuirea
calitii

Calitatea serviciilor
furnizate
utilizatorilor

Existena clauzelor cu privire la


calitatea serviciilor furnizate
utilizatorilor

LV_ Controale
generale IT

SLA (Service
Level
Agreement)

Auditorul va face evaluarea pe baza concluziilor rezultate n urma interviurilor cu


persoanele implicate n managementul proiectelor i pe baza analizei documentelor privind
clauzele referitoare la asigurarea calitii pentru ntreg ciclul de via al proiectului
(specificarea cerinelor, dezvoltarea sistemului, implementarea sistemului, elaborarea i
predarea documentaiei, instruirea personalului la toate nivelurile, ntreinerea sistemului,
asigurarea suportului tehnic etc.), care trebuie s fac parte din contractele cu furnizorii.
B.1.6 Aspectele care se iau n considerare atunci cnd se examineaz controalele
privind managementul resurselor umane IT
Pentru crearea i livrarea serviciilor IT n cadrul organizaiei (afacerii) se constituie i se
menin resurse umane cu competen ridicat. Acest lucru este realizat prin respectarea
unor practici definite i agreate care sprijin recrutarea, instruirea, evaluarea
performaelor, promovarea i rezilierea contractului de munc. Acest proces este critic,
deoarece oamenii reprezint active importante, iar guvernarea i mediul controlului
intern sunt puternic dependente de motivaia i competena personalului.
Educarea eficient a tuturor utilizatorilor, incluznd pe cei din departamentul IT, necesit
identificarea nevoilor de nvare a fiecrui grup de utilizatori. n afara definirii nevoilor,
procesul ar trebui s includ definirea i implementarea unei strategii de creare a unor
programe de nvare eficiente cu rezultate cuantificabile. Un program de instruire
eficient duce la eficientizarea folosirii tehnologiei prin reducerea erorilor cauzate de
utilizatori, crescnd productivitatea i conformitatea cu controalele cheie, cum ar fi
msurile de securitate.
Instruirea utilizatorilor ca urmare a implementrii noilor sisteme impune elaborarea de
documentaii i manuale pentru utilizatori i pentru personalul IT i necesit pregtire
profesional pentru a asigura utilizarea corect i funcionarea aplicaiilor i a
infrastructurii.

Pag. 47 din 180

Seciunea Management IT B.1.6


Direcii de evaluare

Obiective de control

Tabelul 8

Documente
de lucru

Surse probe
de audit

LV_ Controale
generale IT

Politici i
proceduri
referitoare la
recrutarea i
retenia
personalului

MANAGEMENT IT
Managementul
resurselor umane IT

Existena unor practici definite i


agreate care sprijin meninerea
resurselor umane cu competen
ridicat
Existena politicilor i procedurilor
referitoare la recrutarea i retenia
personalului

Fie de
evaluare a
performanel
or angajailor

Stabilirea competenele personalului,


acoperirea rolurilor din punctul de
vedere al personalului, dependena
de persoanele critice

Proceduri
privind
acoperirea
rolurilor din
punctul de
vedere al
personalului
i dependena
de persoanele
critice

Evaluarea performanelor angajailor


Implementarea procedurilor
referitoare la schimbarea locului de
munc i rezilierea contractului de
munc

Proceduri
referitoare la
schimbarea
locului de
munc i
rezilierea
contractului
de munc
Educarea i
instruirea
utilizatorilor i a
personalului IT

Identificarea nevoilor de nvare a


fiecrui grup de utilizatori
Definirea i implementarea unei
strategii de creare a unor programe
de nvare eficiente cu rezultate
cuantificabile: reducerea erorilor
cauzate de utilizatori, creterea
productivitii i conformitii cu
controalele cheie, cum ar fi msurile
de securitate

LV_ Controale
generale IT

Politici
privind
instruirea
utilizatorilor
Programe de
instruire
Rapoarte de
evaluare

Realizarea sesiunilor de instruire i


educare
Pag. 48 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

Evaluarea instruirii
Autorizarea
operrii i utilizrii

Sunt disponibile cunostine despre


noile sisteme.

Documentaii
i manuale
pentru
utilizatori i
pentru
personalul IT

Transferul cunotinelor ctre


managementul afacerii
Transferul cunotinelor ctre
utilizatorii finali

Situaii
privind
pregtirea
profesional
privind noile
sisteme

Transferul cunotinelor ctre


personalul care opereaz i cel care
ofer suport

Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu conducerea


operativ a sistemului informatic, precum i pe baza analizei documentelor privind
managementul resurselor umane, educarea i instruirea personalului IT i a utilizatorilor.
B.1.7 Aspectele care se iau n considerare atunci cnd se examineaz controalele
privind respectarea reglementrilor n domeniu i a cerinelor proiectului
Stabilirea responsabilitii pentru asigurarea c sistemul implementat este actualizat n
conformitate cu ultima versiune furnizat, c pachetele software au fost furnizate conform
clauzelor contractuale, c au fost furnizate licenele n cadrul contractelor, c
documentaia a fost furnizat conform contractului sunt deosebit de importante pentru
asigurarea continuitii sistemului i pentru creterea ncrederii n informaiile furnizate
de sistemul informatic.

Tabelul 9

Seciunea Management IT B.1.7


Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

LV_ Controale
generale IT

Contractele cu
furnizorii

MANAGEMENT IT
Respectarea
reglementrilor n
domeniu i a
cerinelor
proiectului

Stabilirea responsabilitii asigurrii


c sistemul implementat este
actualizat n conformitate cu ultima
versiune furnizat, c pachetele
software au fost furnizate conform
clauzelor contractuale, c au fost
furnizate licenele n cadrul
contractelor, c documentaia a fost
furnizat conform contractului

Existena
responsabilului
Grafice de
implementare
Documentaia
tehnic

Pag. 49 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit
Licene
software
Suport tehnic

Auditorul va face evaluarea pe baza concluziilor rezultate n urma interviurilor cu


persoanele implicate n managementul proiectelor i pe baza analizei documentelor care se
refer la existena unor politici sau proceduri formale prin care se atribuie responsabilitatea
monitorizrii mediului legislativ care poate avea impact asupra sistemelor informatice,
precum i a asigurrii conformitii cu clauzele contractuale privind:
Responsabilitatea asigurrii c sistemul implementat este actualizat n conformitate
cu ultima versiune furnizat;
Respectarea termenelor privind distribuirea ultimelor versiuni de echipamente,
software, documentaie;
Livrarea i instalarea configuraiilor hardware/software pe baza unui grafic,
conform clauzelor contractuale, pe etape i la termenele stabilite;
Respectarea obligaiilor privind instruirea i suportul tehnic, stabilite prin contract;
Furnizarea pachetelor software conform clauzelor contractuale. Verificarea
existenei i valabilitii licenelor furnizate n cadrul contractului;
Asigurarea suportului tehnic (prin telefon, e-mail sau utiliznd un portal care poate
avea seciuni distincte pentru suport tehnic, specializat pe categorii relevante de
probleme / anomalii sau pentru instruirea continu a utilizatorilor);
Existena unor proceduri scrise privind analiza i acceptarea produselor i serviciilor
furnizate n cadrul contractului, precum i recepia cantitativ i calitativ;
Furnizarea documentaiei tehnice conform contractului: coninutul (lista, numrul
manualelor, limba) i formatul (tiprit, n format electronic, on-line);
Existena specificaiilor funcionale, a manualelor de utilizare i administrare pentru
proiectele de dezvoltare software;
Existena manualelor de utilizare pentru echipamentele livrate.

PROCEDURA B2 - Separarea atribuiilor


Separarea atribuiilor este o modalitate de a asigura c tranzaciile sunt autorizate i
nregistrate i c patrimoniul este protejat. Separarea atribuiilor are loc atunci cnd o
persoan efectueaz o verificare privind activitatea altei persoane. Se previne n acest fel
desfurarea unei activiti, de ctre aceeai persoan, de la nceput pn la sfrit, fr
implicarea altei persoane. Separarea atribuiilor reduce riscul de fraud i constituie o
form de verificare a erorilor i de control al calitii.
Separaia atribuiilor include:
separarea responsabilitii privind controlul patrimoniului de responsabilitatea
de a menine nregistrrile contabile pentru acesta;
separarea funciilor n mediul informatizat.
Separarea atribuiilor se aplic att mediului controalelor generale, ct i programelor i
aplicaiilor specifice.
Pag. 50 din 180

n mediul controalelor generale, anumite funcii i roluri trebuie s fie separate. De


exemplu, un programator nu trebuie s aib acces la mediul de producie pentru a-i
ndeplini sarcinile. Personalul care face programare nu trebuie s aib autoritatea de a
transfera software nou ntre mediile de dezvoltare, testare i producie. Segregarea
atribuiilor ntre programatori i personalul de operare reduce riscul ca acetia, cu
cunotinele de programare pe care le dein, s poat efectua modificri neautorizate n
programe. n multe cazuri activitatea departamentului IT se mparte n dou tipuri
distincte: programare (sisteme i aplicaii) i operarea calculatoarelor. Personalul nu
poate avea atribuii care s se plaseze n ambele tipuri de activiti. Personalul care face
programare nu trebuie s aib acces la fiiere i programe din mediul de producie.
Sub presiunea reducerii costurilor funciilor IT numrul de personal este de multe ori
redus, ceea ce limiteaz separarea atribuiilor. n cazul limitrii separrii atribuiilor,
auditorul trebuie s identifice controale compensatorii, care de obicei se plaseaz n sfera
securitii sistemelor sau n cea a reconcilierii utilizatorilor finali, pe care s le recomande
entitii (de ex. verificri i inspecii regulate ale conducerii, utilizarea parcursurilor de
audit i a controalelor manuale).
Tabelul 10
Seciunea Separarea atribuiilor B2
Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

SEPARAREA ATRIBUIILOR
Cadrul organizatoric
i de implementare
privind separarea
atribuiilor

Existena unei structuri


organizatorice formale / cunoaterea
de ctre personal a modului de
subordonare i a limitelor de
responsabilitate proprii i ale
celorlali. Aceasta va face mai dificil s
se efectueze aciuni neautorizate fr
a fi detectate
Includerea cu claritate a atribuiilor
personalului n fia postului, n scopul
reducerii riscului efecturii de ctre
acesta a unor aciuni dincolo de
limitele autorizate
Separarea sarcinilor realizat prin
intermediul sistemului informatic,
prin utilizarea de profile de securitate
individuale i de grup, preprogramate
Interdicia ca personalul care are
sarcini n departamentul IT, s aib
sarcini i n departamentul financiarcontabil sau personal

LV_ Controale
generale IT

Fie de post
Separarea
sarcinilor
realizat prin
intermediul
sistemului
informatic
Decizii ale
conducerii
Regulamente,
norme,
instruciuni,
Prevederi
contractuale
referitoare la
externalizarea
serviciilor

Existena unei separri fizice i


manageriale a atribuiilor, pentru a
reduce riscul de fraud.

Pag. 51 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

Separarea funciilor IT de utilizatori


pentru a reduce riscul de efectuare de
ctre utilizatori a unor modificri
neautorizate ale softului sau ale
datelor financiar-contabile, avnd n
vedere c persoanele cu sarcini att
n domeniul financiar-contabil, ct i
n domeniul IT au oportuniti mai
mari de a efectua activiti
neautorizate prin intermediul
aplicaiilor informatice, fr a fi
depistai
Existena unui cadru formal de
separare a sarcinilor n cadrul
departamentului IT, pentru
urmtoarele categorii de activiti:
Proiectarea i programarea
sistemelor
ntreinerea sistemelor
Operaii IT de rutin
Introducerea datelor
Securitatea sistemelor
Administrarea bazelor de date
Managementul schimbrii i al
dezvoltrii sistemului informatic
Separarea sarcinilor de administrator
de sistem de cele de control al
securitii sistemului
Asigurarea unei separri adecvate a
sarcinilor pentru a reduce riscurile ca
personalul cu cunotine
semnificative despre sistem s
efectueze aciuni neautorizate i s
nlture urmele aciunilor lor
Existena unei separri eficiente a
sarcinilor ntre dezvoltatorii de
sisteme, personalul de operare a
calculatoarelor i utilizatorii finali
Interdicia ca programatorii s aib
acces la mediul de producie
(introducere de date, fiiere
permanente date de ieire, programe,
etc.) pentru a-i ndeplini sarcinile
Interdicia ca personalul care face
programare s aib permisiunea de a
transfera software nou ntre mediile
de dezvoltare, testare i producie

Pag. 52 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

Interdicia ca personalul cu cunotine


de programare s aib atribuii de
operare care s permit efectuarea
modificri neautorizate n programe
Separarea responsabilitii privind
operarea aplicaiei de control al
patrimoniului, de responsabilitatea de
a menine nregistrrile contabile
pentru acesta
Utilizarea separrii sarcinilor ca
form de revizie, detectare a erorilor
i control al calitii
Contientizarea personalului

Auditorul trebuie s determine prin interviu, prin observare direct i prin analiza
documentelor relevante (organigram, fia postului, decizii ale conducerii, contracte etc.)
dac personalul IT are responsabiliti n departamentele utilizatorilor, dac funciile IT
sunt separate de funciile de utilizare (financiar, gestiunea stocurilor, etc.) pentru a nu se
opera schimbri neautorizate, de obicei dificil de detectat, dac alte funcii incompatibile,
potrivit aspectelor menionate mai sus, sunt separate.

PROCEDURA B3 - Securitatea fizic i controalele de mediu


Obiectivul controalelor fizice i de mediu este de a preveni accesul neautorizat i
interferena cu serviciile IT n scopul diminurii riscului deteriorrii accidentale sau
deliberate sau a furtului echipamentelor IT i al informaiilor. Aceste controale trebuie s
asigure, pe de o parte, protecia mpotriva accesului personalului neautorizat, iar pe de
alt parte, protecia n ceea ce privete deteriorarea mediului n care funcioneaz
sistemul (cauzat de foc, ap, cutremur, praf, cderi sau creteri brute ale curentului
electric).
B.3.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele
privind controlul accesului fizic
Restricionarea accesului la sistemul de calcul se poate realiza pe baza a dou tipuri de
controale, privitoare la accesul fizic i, respectiv, la accesul logic.
Controale fizice:
Asigurarea securitii zonei (delimitarea clar a perimetrului afectat facilitilor IT
i informarea personalului n legtur cu "graniele" acestuia);
Accesul n aria securizat trebuie controlat pe nivele de control, prin controale
fizice explicite: chei, card-uri de acces, trsturi biometrice (amprent, semntur,
voce, imagine, etc.), coduri de acces sau implicite: atribuii specificate n fia
postului, care necesit prezena n zona de operare IT.

Pag. 53 din 180

Controalele administrative:
Uniforma personalului sau utilizarea ecusoanelor;
tergerea drepturilor de acces la plecarea persoanei din organizaie i informarea
personalului care asigur paza n legtur cu acest lucru. Pentru aceast situaie
trebuie s existe proceduri de identificare a celor care pleac i de asigurare c
accesul fizic al acestora n zona de operare IT nu mai este permis;
Identificarea vizitatorilor i primirea acestora;
Proceduri pentru evenimente neateptate: plecarea temporar din birou a unor
salariai pentru a lua masa, sau la o solicitare expres. Msurile pentru aceste
situaii pot include: ncuierea laptop-urilor n sertare sau dulapuri, blocarea
tastaturii, ncuierea suporilor tehnici care conin date.
Tabelul 11
Seciunea Controale privind securitatea fizic i controalele de mediu B.3.1
Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

CONTROALE PRIVIND SECURITATEA FIZIC I CONTROALELE DE MEDIU


Controlul accesului
fizic

Alocarea unor spaii adecvate pentru


camera serverelor
Implementarea unor proceduri
formale de acces n locaiile care
gzduiesc echipamente IT importante
care s stabileasc: persoanele care au
acces la servere, modul n care se
controleaz accesul la servere (ex.
cartele de acces, chei, registre),
procedura de alocare a cartelelor
ctre utilizatori i de monitorizare a
respectrii acesteia, cerina ca
vizitatorii s fie nsoii de un
reprezentant al entitii
Existena unor msuri pentru a
asigura c se ine o eviden exact a
echipamentului informatic i a
programelor informatice (marcarea
sau etichetarea echipamentele pentru
a ajuta identificarea), pentru a
preveni pierderea intenionat sau
neintenionat de echipamente i a
datelor coninute n acestea

LV_ Controale
generale IT

Regulamente,
norme,
instruciuni
Planuri de
amplasare
Proceduri de
acces
Evidene
privind
accesul
Evidene
referitoare la
echipamente
i la software
Inspecie,
observaie
(probe de
audit fizice)

Auditorul trebuie s determine prin interviu i prin observare direct (inspecie n slile n
care sunt amplasate echipamentele) dac exist dotrile necesare pentru asigurarea
controlului accesului fizic n zona de securitate definit. De asemenea, trebuie s verifice
existena i modul de implementare a procedurilor asociate.

Pag. 54 din 180

B.3.2 Aspectele care se iau n considerare atunci cnd se examineaz controalele


privind protecia mediului
Asigurarea c n camera serverelor exist dotrile necesare pentru protecia mediului:
sisteme de prevenire a incendiilor; dispozitive pentru controlul umiditii; aer condiionat;
dispozitive UPS; senzori de micare; camere de supraveghere video.
Asigurarea c serverele i elementele active ale reelei sunt amplasarea n rackuri speciale
i cablurile de reea sunt protejate i etichetate.
Tabelul 12
Seciunea Controale privind securitatea fizic i controalele de mediu B.3.2
Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

CONTROALE PRIVIND SECURITATEA FIZIC I CONTROALELE DE MEDIU


Protecia mediului

Asigurarea c n camera serverelor


exist dotrile necesare pentru
protecia mediului:
sisteme de prevenire a
incendiilor
dispozitive pentru controlul
umiditii
aer condiionat
dispozitive UPS
senzori de micare
camere de supraveghere video

LV_ Controale
generale IT

Amplasarea n rackuri speciale i


protejarea serverelor, protejarea
elementelor active ale reelei i a
cablurilor de reea, etichetarea
cablurilor

Regulamente,
norme,
instruciuni
Planuri/
scheme de
amplasare
Evidene
referitoare la
echipamente
pentru
protecia
mediului
Inspecie,
observaie
(probe de
audit fizice)

Auditorul trebuie s determine prin interviu i prin observare direct (inspecie n slile n
care sunt amplasate echipamentele) dac exist dotrile necesare pentru protecia mediului
(sisteme de prevenire a incendiilor, dispozitive pentru controlul umiditii, aer condiionat,
dispozitive UPS, senzori de micare, camere de supraveghere video). De asemenea, trebuie s
verifice existena i modul de implementare a procedurilor asociate.

PROCEDURA B4 - Securitatea informaiei i a sistemelor


Nevoia de meninere a integritii informaiilor i protejarea bunurilor IT necesit un
proces de management al securitii. Securitatea informaiei i a sistemelor se realizeaz
prin implementarea unor proceduri care s previn obinerea accesului neautorizat la
date sau programe critice i s asigurare confidenialitatea, integritatea i credibilitatea n
mediul n care aceste sisteme opereaz. Acest proces include stabilirea i meninerea
rolurilor de securitate IT i a responsabilitilor, politicilor, standardelor i procedurilor.

Pag. 55 din 180

Gestionarea securitii mai include i efectuarea monitorizrilor periodice de securitate,


testarea periodic i implementarea aciunilor corective pentru identificarea punctelor
slabe n securitate i a incidentelor. Gestionarea eficient a securitii protejeaz toate
bunurile IT pentru minimizarea impactului vulnerabilitilor asupra afacerii.
Obiective de control referitoare la sistemul de management al securitii sunt: Politica de
securitate IT, managementul identitii, managementul conturilor utilizatorilor, testarea
securitii, inspecia i monitorizarea, definirea incidentelor de securitate, protecia
tehnologiei de securitate, managementul cheilor criptografice, prevenirea, detectarea i
neutralizarea software-ului ru-intenionat, securitatea reelei, transferul datelor sensibile
Desemnarea unei persoane cu atribuii privind administrarea securitii,
desemnarea unui responsabil (ofier) pentru securitate i definirea n mod formal a
atribuiilor acestora, asigurarea segregrii responsabilitilor pentru aceste funcii,
asigurarea c politicile de securitate acoper toate activitile IT ntr-un mod
consistent.
Controlul accesului logic (administrarea utilizatorilor, existena i implementarea
regulilor pentru parole, controlul asupra conturilor cu drepturi depline, existena
unor utilitare de sistem cu funcii specializate, accesul IT, revizuirea jurnalelor de
operaii).
Revizuirea jurnalelor de operaii (log-uri) presupune monitorizarea i analiza
periodic a jurnalelor de operaii, alocarea responsabilitilor i specificarea
metodelor care se aplic.
Administrarea utilizatorilor are asociate proceduri formale privind administrarea
drepturilor utilizatorilor, acordarea, modificarea i revocarea drepturilor de acces.
Regulile pentru parole. Se stabilesc proceduri formale care implementeaz
controale relative la: lungimea parolei, existena unor reguli referitoare la
coninutul parolei, stabilirea unei perioade de valabilitate a parolei, numrul de
ncercri prevzute pn la blocarea contului, existena unei persoane cu atribuii
n deblocarea conturilor blocate, numrul de parole reinute de ctre sistem,
schimbarea parolei la prima accesare.
Controlul asupra conturilor cu drepturi depline/utilitare de sistem. Se au n vedere
controale privind: stabilirea dreptului de administrare a sistemului, de alocare i
autorizare a conturilor cu drepturi depline, de monitorizare a activitilor
utilizatorilor cu drepturi depline.
Acces IT. Se au n vedere controale privind: drepturile de acces ale programatorilor
la mediile de producie, drepturile de acces ale departamentului IT la datele
celorlalte departamente.
Conexiuni externe. Controalele se refer la: protejarea conexiunilor externe
mpotriva atacurilor informatice, existena unor proceduri de control al accesului
de la distan, msurile de securitate aplicate pentru a controla accesul de la
distan.
B.4.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele
privind Politica de securitate
Politica de securitate a informaiei asigur orientarea general din partea managementului
i acordarea sprijinului pentru securitatea informaiei n conformitate cu cerinele
afacerii, legislaie i reglementrile aplicabile.

Pag. 56 din 180

Aceasta se reflect n existena unui document formal (distribuit tuturor utilizatorilor, cu


semntura c au luat cunotin), n existena unei persoane care are responsabilitatea
actualizrii acestei politici, precum i n aplicarea msurilor pentru a crete
contientizarea n cadrul entitii cu privire la securitate (cursuri, prezentri, mesaje pe
e-mail).
Politica de securitate se exprim ntr-o form concis, narativ, este aprobat de
managementul de vrf, trebuie s fie disponibil pentru toi funcionarii responsabili cu
securitatea informaiei i trebuie s fie cunoscut de toi cei care au acces la sistemele de
calcul.
Politica de securitate trebuie s conin urmtoarele elemente:
O definiie a securitii informaiei, obiectivele sale generale i scopul;
O declaraie de intenie a managementului prin care acesta susine scopul i
principiile securitii informaiei;
O detaliere a politicilor, principiilor i standardelor specifice privind
securitatea, precum i a cerinelor de conformitate cu acestea:
1. conformitatea cu cerinele legale i contractuale;
2. educaie i instruire n domeniul securitii;
3. politica de prevenire i detectare a viruilor;
4. politica de planificare a continuitii afacerii.
O definire a responsabilitilor generale i specifice pentru toate aspectele
legate de securitate;
O descriere a procesului de raportare n cazul apariiei incidentelor privind
securitatea.
Entitatea trebuie s implementeze metode de monitorizare a conformitii cu politica de
securitate i s furnizeze asigurarea c politica este de actualitate. Responsabilitatea
pentru securitatea IT este asignat unei funcii de administrare a securitii.
Seciunea Securitatea informaiei i a sistemelor B.4.1
Direcii de evaluare

Obiective de control

Documente
de lucru

Tabelul 13
Surse probe
de audit

SECURITATEA INFORMAIEI I A SISTEMELOR


Politica de
securitate

Existena unei politici de securitate


IT formale
Se verific dac aceasta este
distribuit tuturor utilizatorilor, dac
utilizatorii semneaz c au luat
cunotin de politica de securitate IT
Aplicarea unor msuri pentru a crete
contientizarea n cadrul entitii cu
privire la securitate (cursuri,
prezentri, mesaje pe e-mail)

LV_ Controale
generale IT

Politica de
securitate
Msuri
Tabele de
luare la
cunotin sau
mesaje e-mail
Proceduri
asociate

Se analizeaz coninutul
documentului pentru a evalua
domeniile acoperite de politica de
securitate i cadrul procedural asociat
Pag. 57 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

Se verific dac politica de securitate


este actualizat periodic i dac este
alocat responsabilitatea cu privire la
actualizarea politicii de securitate

Auditorul trebuie s determine prin interviu, prin analiza politicii de securitate i a


procedurilor asociate i prin observare direct dac Politica de securitate este distribuit
tuturor utilizatorilor, dac utilizatorii au semnat c au luat cunotin de politica de
securitate IT, dac exist o persoan care este responsabil de actualizarea acestei politici,
dac s-au aplicat msuri pentru a crete contientizarea n cadrul entitii cu privire la
securitate (cursuri, prezentri, mesaje pe e-mail).
B.4.2 Controlul accesului logic
O problem deosebit de important n cadrul unui sistem de management al securitii
este protejarea informaiilor i a resurselor aferente sistemelor IT, care nu pot fi
controlate uor numai prin intermediul controalelor fizice. Problema este cu att mai
complicat, cu ct calculatoarele sunt conectate n reele locale sau n reele distribuite
geografic.
Controalele logice de acces pot exista att la nivelul sistemului, ct i la nivelul aplicaiei.
Controalele la nivelul sistemului pot fi utilizate pentru restricionarea accesului
utilizatorilor la anumite aplicaii i date i pentru a restriciona folosirea neautorizat a
utilitilor sistemelor. Controalele logice de acces sunt adesea utilizate mpreun cu
controalele fizice de acces pentru a reduce riscul modificrii neautorizate a programelor i
a fiierelor de date. Monitorizarea continu a documentelor (jurnalelor) care nregistreaz
evenimentele care se refer la accesul logic constituie un factor de cretere a eficienei
controalelor implementate. Eficiena rapoartelor ctre conducere i a registrelor produse
de calculatoare este semnificativ redus dac nu sunt analizate i verificate regulat de
ctre conducere.
Controalele accesului logic se vor detalia pe baza declaraiilor de nivel nalt cuprinse n
politica de securitate IT a entitii.

Tabelul 14

Seciunea Securitatea informaiei i a sistemelor B.4.2


Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

SECURITATEA INFORMAIEI I A SISTEMELOR


Controlul
accesului logic

Revizuirea logurilor
Asigurarea c logurile aplicaiilor
importante monitorizate i analizate
periodic (cine, cnd, cum, dovezi)
Administrarea utilizatorilor
Existena unei proceduri pentru

LV_ Controale
generale IT

Politica de
securitate
Msuri
Regulamente,
Norme

Pag. 58 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

administrarea drepturilor
utilizatorilor. Se verific modul de
implementare

Declaraii
privind
securitatea

Includerea n procedura de mai sus a


msurilor ce trebuie luate n cazul n
care un angajat pleac din cadrul
instituiei

Tabele de
luare la
cunotin sau
mesaje e-mail

Existena unui document (formular pe


hrtie sa n format electronic) pentru
crearea i tergerea conturilor de
utilizator i pentru acordarea,
modificarea i revocarea drepturilor
de acces care s fie aprobat de
conducere

Proceduri
asociate
Jurnale de
operaii
(log-uri)

Acordarea tuturor drepturilor de


acces, n baza acestui formular
Verificarea periodic a utilizatorilor
activi ai sistemului n concordan cu
lista de angajai furnizat de
departamentul Resurse Umane
Reguli pentru parole
Definirea regulilor pentru parole
pentru accesul n subsistemele IT
Trebuie avute n vedere urmtoarele:
- lungimea parolei
- reguli referitoare la coninutul
parolei
- perioada de valabilitate a
parolei
- numrul de ncercri pn la
blocarea contului
- cine poate debloca un cont
- numrul de parole precedente
reinute de ctre sistem
- utilizatorii sunt forai s
schimbe parola la prima
accesare?
Control asupra conturilor cu
drepturi depline/utilitare de sistem
Alocarea dreptului de administrare
pentru aplicaiile /subsistemele de
baz
Alocarea i autorizarea conturilor cu
drepturi depline
Monitorizarea activitilor
utilizatorilor cu drepturi depline
Pag. 59 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

Acces IT
Verificarea drepturilor de acces la
datele reale pentru programatori
Verificarea drepturilor de acces la
datele celorlalte structuri ale entitii
pentru compartimentul IT

Auditorul trebuie s determine prin consultarea documentelor, prin interviu i prin


observare direct (la staiile de lucru) dac este implementat cadrul procedural pentru
asigurarea controlului accesului logic i modul de monitorizare a acestuia:
va verifica modul de implementare a regulamentului de control al accesului i dac
acesta este documentat i actualizat.
va evalua msurile de acces logic existente pentru a restriciona accesul la sistemul
de operare, la fiierele de date i la aplicaii i s aprecieze dac acestea sunt
corespunzatoare: meniuri restricionate pentru utilizatori, coduri unice de
identificare i parole pentru utilizator, revizuirea drepturilor de acces ale
utilizatorului, profilul utilizatorului i al grupului.
va evalua ct de adecvate sunt regulile privind parolele ale entitii (lungimea
parolei, durata / datele de expirare, procedurile de modificare, componena parolei,
dezafectarea codului de identificare al celor ce pleac din instituie, criptarea parolei,
nregistrarea i alocarea de parole noilor utilizatori, punerea n aplicare a regulilor
privind parolele.
va efectua teste privind modul de implementare a unor tipuri suplimentare de
controale de acces logic: jurnale de operaii, restricionarea ncercrilor de acces,
proceduri i registre de acces, acces specific n funcie de terminal, registre de
ncercri neautorizate, limitarea acceselor multiple, timp automat de expirare, acces
restricionat la utiliti i nregistrarea folosirii utilitilor sistemului i a
instrumentelor de audit, controlul staiilor de lucru neutilizate.
va evalua msurile pentru restricionarea accesului personalului de dezvoltare a
sistemului la datele reale (din mediul de producie) i la mediul de producie
(programatori, firma dezvoltatoare de software).
va evalua modul de alocare, autorizare, control i monitorizare a utilizatorilor
privilegiai (administratori, ingineri de sistem i programatori de sistem i de baze de
date).

Pag. 60 din 180

B.4.3 Aspectele care se iau n considerare atunci cnd se examineaz controalele


privind administrarea securitii
Tabelul 15
Seciunea Securitatea informaiei i a sistemelor B.4.3
Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

SECURITATEA INFORMAIEI I A SISTEMELOR


Administrarea
securitii

Alocarea responsabilitii cu privire la


administrarea securitii IT i
definirea n mod formal a sarcinilor
administratorului securitii

LV_ Controale
generale IT

Politica de
securitate
Msuri
Regulamente,
Norme

Asigurarea separrii
responsabilitilor pentru
administratorul securitii

Proceduri
Jurnale de
operaii
(log-uri)

Se verific dac aplicarea politicilor de


securitate acoper toate activitile IT
ntr-un mod consistent

Responsabili

Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este
implementat cadrul procedural pentru asigurarea controlului administrrii securitii
(examinarea documentelor din care rezult responsabilitile i sarcinile cu privire la
administrarea securitii IT, separarea atribuiilor, reflectarea acestora n politica de
securitate).
B.4.4 Aspectele care se iau n considerare atunci cnd se examineaz controalele
privind conexiuni externe
Controale de acces slabe mresc riscul atacurilor din partea hackerilor, al viermilor i al
viruilor care afecteaz integritatea i disponibilitatea evidenelor financiare.
Managementul inadecvat al reelei poate expune organizaia ameninrilor interne i
externe cu privire la integritatea datelor. O reea slab securizat poate, de exemplu, s fie
vulnerabil la difuzarea viruilor informatici.

Tabelul 16

Seciunea Securitatea informaiei i a sistemelor B.4.4


Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

SECURITATEA INFORMAIEI I A SISTEMELOR


Conexiuni externe

Existena unei persoane desemnate


pentru administrarea reelei IT
Msurile luate pentru monitorizarea
reelei din punct de vedere al
securitii i performanei

LV_ Controale
generale IT

Politica de
securitate
Msuri
Regulamente,
Norme

Pag. 61 din 180

Direcii de evaluare

Obiective de control
Modul de protejare a conexiunilor
externe mpotriva atacurilor
informatice (virui, acces neautorizat)
Dac este permis accesul la sistem
unor organizaii externe (ex. Internet,
conexiuni on-line)

Documente
de lucru

Surse probe
de audit
Proceduri
Jurnale de
operaii
(log-uri)

Se verific existena unor proceduri


de control privind accesul de la
distan i msurile de securitate
aplicate

Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este
implementat cadrul procedural pentru asigurarea controlului reelei: existena unei
persoane desemnate pentru administrarea reelei IT, msurile luate pentru monitorizarea
securitii reelei, pentru protejarea conexiunilor externe mpotriva atacurilor informatice
(virui, acces neautorizat), reglementarea accesului la sistem din partea unor organizaii
externe (de exemplu, Internet, conexiuni on-line), existena unor proceduri de control privind
accesul de la distan i msurile de securitate aplicate.
B.4.5 Aspectele care se iau n considerare atunci cnd se examineaz controalele de
reea i de utilizare a Internetului
Extinderea reelei Internet a scos n eviden i a impus cerine, concepte i riscuri noi,
care au avut consecine privind securitatea sistemelor i controalele asociate.
ntruct conectarea sistemelor n reele comport riscuri specifice, reeaua trebuie
controlat astfel nct s poat fi accesat numai de ctre utilizatorii autorizai, iar datele
transmise s nu fie pierdute, alterate sau interceptate.
Cele mai relevante controale de reea i de utilizare a Internetului, pe care entitile
trebuie s le implementeze, sunt:
a) Controalele privind erorile de transmisie i de comunicaie: se refer la erorile
care pot s apar n fiecare stadiu al ciclului comunicaiei, de la introducerea
datelor de ctre utilizator, continund cu transferul pn la destinaie.
b) Controalele de reea
c) Controalele de utilizare a Internetului
Implicaiile privind securitatea i controlul, care decurg din conectarea la Internet a unei
entit sunt:
a) Implicaiile privind securitatea decurg din: caracterul anonim al unor utilizatori
care vor s contravin principiilor accesului n Internet, vulnerabilitatea
confidenialitii prin interceptarea parolei cu ajutorul unor programe specializate
n cursul nregistrrii pe anumite site-uri, aciunile hackerilor, pirateria i
pornografia, software ru intenionat (virui, programe "cal troian").
b) Protecia securitii: educarea utilizatorilor proprii privind consecinele unui
comportament neadecvat sau ale neglijrii unor precauii legate de utilizarea
Pag. 62 din 180

reelei Internet, utilizarea serviciilor unui provider n locul conexiunii fizice la


Internet, n scopul evitrii expunerii directe a sistemului de calcul propriu la
atacuri din reeaua Internet.
Tabelul 17
Seciunea Securitatea informaiei i a sistemelor B.4.5
Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

SECURITATEA INFORMAIEI I A SISTEMELOR


Controale privind
erorile de
transmisie i de
comunicaie

Se verific implementarea
controalelor pentru fiecare stadiu al
ciclului comunicaiei n parte, de la
introducerea datelor de ctre
utilizator, continund cu transferul
pn la destinaie

LV_ Controale
generale IT

Politica de
securitate
Msuri
Regulamente,
Norme
Proceduri
Jurnale de
operaii
(log-uri)

Controale de reea

Elaborare i implementarea Politicii


de securitate a reelei, care poate
face parte din politica general de
securitate IT
Existena standardelor de reea, a
procedurilor i instruciunilor de
operare, care trebuie s se bazeze pe
politica de securitate a reelei i a
documentaiei aferente
Existena documentaiei reelei care
descrie structura logic i fizic a
reelei
Existena cadrului procedural
privind controalele accesului logic:
procedura de conectare, reguli
privind parolele, permisiile de acces
la resursele sistemului, restriciile
privind utilizarea resurselor externe
(de exemplu este restricionat
accesul n reeaua Internet)
Reeaua trebuie s fie controlat i
administrat de
personal cu
instruire i experien adecvate,
monitorizat de management;

LV_ Controale
generale IT

Politica de
securitate a
reelei i
procedurile
asociate
Standarde de
reea,
proceduri i
instruciuni de
operare
Documentaia
reelei
Jurnale de
operaii
Documentaii
tehnice
Probe de audit
fizice:
observare,
demonstraii,
teste

Implementarea unei proceduri


pentru ntreinerea jurnalelor de
operaii de ctre sistemul de operare
Pag. 63 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

al reelei, precum i pentru


revizuirea periodic n scopul
depistrii activitilor neautorizate
Utilizarea unor instrumente utilitare
pentru managementul i
monitorizarea reelei (pachete
software sau echipamente
hardware), disponibile pentru
administratorii de reea. Acestea pot
monitoriza utilizarea reelei i a
capacitii acesteia i pot inventaria
produsele software utilizate de ctre
fiecare utilizator;
Monitorizarea accesului furnizorilor
de servicii i al consultanilor
Restricionarea terminalelor prin
intermediul codurilor de terminal
sau a al adresei de reea
Implementarea unor algoritmi de
ncriptare a datelor pentru
protejarea n cazul interceptrii n
reea
Utilizarea liniilor private sau
dedicate pentru reducerea riscului
de intercepie

Controale de baz Implementarea unui cadru procedural LV_ Controale


n reeaua Internet pentru minimizarea consecinelor
generale IT
negative generate de conexiunea
direct la Internet care presupune:
- Izolarea fizic a calculatorului legat
la Internet, de sistemul de calcul al
entitii;
- Desemnarea unui administrator cu
experien i de ncredere pentru
supravegherea calculatoarelor cu
acces la Internet;
- Prevenirea accesului anonim sau,
dac trebuie s fie permis,
eliminarea efectelor negative ale
acestuia;
- tergerea tuturor datelor i
programelor care nu sunt necesare,
de pe calculatorul cu acces la
Internet;
- Monitorizarea atacurilor prin
nregistrarea lor;
- Crearea unui numr ct mai mic

Politica de
securitate i
procedurile
asociate
Msuri
Regulamente,
Norme
Documentaii
tehnice
privind soluia
Internet
Jurnale de
operaii
(log-uri)
Responsabili

Pag. 64 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

posibil de conturi de utilizator pe


calculatorul cu acces la Internet i
schimbarea regulat a parolelor;
Includerea n configuraie a unei
protecii de tip "firewall" pentru a
facilita controlul traficului ntre
reeaua entitii i Internet i pentru a
stopa penetrarea pachetelor externe
neautorizate
Implementarea unei politici adecvate
privind parolele pentru securitatea
calculatoarelor conectate la Internet
care s prevad: utilizarea parolelor
ascunse, utilizarea unui algoritm
nestandard de ncriptare a parolelor,
etc.
ncriptarea informaiilor transmise n
reeaua Internet
Utilizarea unor servicii de pot
electronic perfecionate, dezvoltate
pentru a asigura confidenialitatea i
integritatea mesajelor transmise, prin
ncriptare i prin semnare electronic
Utilizarea unor instrumente de
evaluare a securitii utilizate pentru
analiza i evaluarea securitii
reelelor, raportnd slbiciunile
acestora n ceea ce privete controlul
accesului sau regulile pentru parole

Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este
implementat cadrul procedural pentru asigurarea c reeaua este controlat astfel nct s
poat fi accesat numai de ctre utilizatorii interni sau externi autorizai, iar datele
transmise s nu fie pierdute, alterate sau interceptate: implementarea unei politici de
securitate a reelei, utilizarea standardelor de reea, a procedurilor i a instruciunilor de
operare asociate acestei politici, existena i disponibilitatea documentaiei aferente
cadrului procedural i a documentaiei reelei (care descrie structura logic i fizic a
reelei), implementarea controalelor accesului logic (procedura de conectare, reguli privind
parolele, permisiile de acces la resursele sistemului), stabilirea unor reguli privind utilizarea
resurselor externe, existena unui personal cu instruire i experien adecvate, nregistrarea
automat n jurnalele de operaii i revizuirea periodic a acestora pentru a se depista
activitile neautorizate, utilizarea unor instrumente software/hardware pentru
managementul i monitorizarea reelei, monitorizarea accesului furnizorilor de servicii i al
consultanilor, criptarea datelor.

Pag. 65 din 180

Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este
implementat o politic pentru minimizarea consecinelor negative generate de conexiunea
direct la Internet, care s abordeze aspectele prezentate mai sus: protecie firewall,
administrator cu experien i de ncredere pentru supravegherea calculatoarelor cu acces
la Internet, politica privind parolele, ncriptarea, Instrumentele de evaluare a securitii
utilizate, serviciile de pot electronic perfecionate, monitorizarea atacurilor.

PROCEDURA B5 - Continuitatea sistemelor


Managementul continuitii sistemelor are ca obiectiv principal meninerea integritii
datelor entitii prin intermediul unor servicii operaionale i al unor faciliti de
prelucrare i, dac este necesar, furnizarea unor servicii temporare pn la reluarea
serviciilor ntrerupte.
n scopul eliminrii riscului unor defeciuni majore generate de sistemul IT, trebuie
implementate controale adecvate, astfel nct entitatea s poat relua n mod eficient
operaiunile, ntr-o perioad de timp rezonabil, n cazul n care funciile de prelucrare nu
mai sunt disponibile. Aceasta presupune, n principal, ntreinerea i gestionarea copiilor
de siguran ale datelor i sistemelor, implementarea unor politici pentru managementul
datelor i al problemelor, planificarea continuitii, protecia mpotriva viruilor.
B.5.1 Meninerea copiilor de siguran (backup) ale datelor i sistemelor i
managementul datelor
Meninerea copiilor de siguran este o cerin esenial pentru asigurarea continuitii
sistemelor informatice, ntruct deteriorarea fondului de date sau a programelor ar
compromite ntregul sistem i, implicit, activitile care se bazeaz pe rezultatele furnizate
de acesta. Pentru eliminarea acestui risc este necesar elaborarea i aplicarea unei
proceduri formale de salvare / restaurare, i de conservare a copiilor, care s precizeze:
coninutul copiei, tipul suportului, frecvena de actualizare, locul de stocare. De asemenea,
se impune elaborarea unor proceduri de testare a copiilor de rezerv i de recuperare a
sistemului n caz de incident, precum i evaluarea timpului necesar restaurrii datelor /
sistemelor n caz de incident.
Managementul eficient al datelor presupune: identificarea cerinelor de date, stabilirea
procedurilor eficiente pentru a gestiona coleciile de date, copiile de siguran/backup i
recuperarea datelor precum i distribuirea eficient a acestora pe suporturile de
informaii. Un management eficient al datelor ajut la asigurarea calitii, aranjrii
cronologice i disponibilitii datelor.

Tabelul 18

Seciunea Continuitatea sistemelor B.5.1


Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

CONTINUITATEA SISTEMELOR
Copii de siguran
(back-up) ale
datelor, aplicaiilor
i sistemelor

Implementarea unei proceduri


formale de salvare (back-up) care s
specifice:
- tip de copie
(automat/manual)

LV_ Controale
generale IT

Proceduri de
salvare/
restaurare,
testare a
copiilor de
siguran
Pag. 66 din 180

Direcii de evaluare

Obiective de control
-

Documente
de lucru

frecvena copiilor de siguran


coninutul copiei (date,
aplicaii, sisteme,
complet/incremental)
locul de stocare a
copiei/copiilor
tipul de suport
alte comentarii.

Surse probe
de audit
Msuri
Regulamente,
Norme
Probe de audit
fizice:
observare,
Inspecie,
demonstraii

Existena unei proceduri de testare a


copiilor de siguran. Frecvena i
modul de evideniere

Scenarii de
testare

Implementarea unei proceduri de


recuperare / restaurare
Efectuarea de ctre entitate a unor
analize cu privire la timpul necesar
restaurrii datelor /aplicaiilor/
sistemului
Managementul
datelor

Au fost identificate cerinele de date,


sunt stabilite proceduri eficiente
pentru a gestiona coleciile de date,
copiile de siguran/backup i
recuperarea datelor, precum i
distribuirea eficient i aranjarea
cronologic a acestora pe suporturile
de informaii
Sunt stabilite aranjamente privind
depozitarea i pstrarea datelor

LV_ Controale
generale IT

Proceduri
pentru
managementul
datelor
Probe de audit
fizice:
observare,
inspecie,
demonstraii,
teste

Este reglementat sistemul de


management al bibliotecii media
Sunt stabilite proceduri referitoare la
eliminarea datelor perimate
Sunt stabilite cerine i proceduri de
securitate pentru managementul
datelor

Auditorul va examina procedurile i modul de implementare a controalelor referitoare la


urmtoarele obiective de control:
Implementarea unei proceduri formale de salvare (back-up) care s specifice:
Existena unei proceduri de testare a copiilor de siguran. Frecvena i modul de
evideniere;
Implementarea unei proceduri de recuperare / restaurare;

Pag. 67 din 180

Implementarea unor proceduri formale pentru managementul datelor;


Efectuarea de ctre entitate a unor analize cu privire la timpul necesar restaurrii
datelor / aplicaiilor / sistemului.
B.5.2 Managementul capacitii
Nevoia de a gestiona performana i capacitatea resurselor IT necesit un proces de
revizuire periodic a performanei actuale i a capacitii resurselor IT. Acest proces
include previziunea nevoilor viitoare bazate pe volumul de prelucrare, stocare i cerinele
de urgen. Acest proces ofer sigurana c resursele informaionale care susin cerinele
afacerii sunt disponibile continuu.
Managementul capacitii se bazeaz pe analiza capacitii configuraiei disponibile de a
face fa cerinelor sistemelor sau aplicaiilor prin prisma unor criterii de performan
stabilite. Concluziile formulate constituie suport pentru decizii privind: msuri referitoare
la eliminarea ngustrilor de trafic, optimizarea configurrii reelelor i / sau sistemelor,
reproiectri ale fluxurilor, elaborarea unor grafice de utilizare, extinderea configuraiilor
sau nlocuirea acestora.
Tabelul 19
Seciunea Continuitatea sistemelor B.5.2
Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

CONTINUITATEA SISTEMELOR
Managementul
performanei i al
capacitii

Entitatea a implementat un cadru


procedural referitor la: planificarea
performanei i capacitii, evaluarea
performanei i capacitii actuale i
viitoare, monitorizare i raportare
Efectuarea de ctre entitate a unor
analize privind capacitatea pentru
hardware i pentru reea cu o
periodicitate stabilit
Efectuarea de ctre entitate a unor
analize privind performana i
capacitatea aplicaiilor IT. Indicatori
avui n vedere
Efectuarea de ctre entitate a unor
analize privind gtuirile de trafic.
Detalii

LV_ Controale
generale IT

Proceduri
referitoare la:
planificarea
performanei
i capacitii,
evaluarea
performanei
i capacitii
actuale i
viitoare,
monitorizare
i raportare
Scenarii de
testare
Responsabili

Auditorul va examina procedurile i modul de implementare a controalelor referitoare la


urmtoarele obiective de control:
Implementarea unui cadru procedural referitor la: planificarea performanei i
capacitii, evaluarea performanei i capacitii actuale i viitoare, monitorizare i
raportare;

Pag. 68 din 180

Efectuarea de ctre entitate a unor analize privind capacitatea pentru hardware i


pentru reea, precum i periodicitatea acestor analize;
Efectuarea de ctre entitate a unor analize privind performana i capacitatea
aplicaiilor IT i indicatorii avui n vedere;
Efectuarea de ctre entitate a unor analize privind gtuirile de trafic. Detalierea
problemelor.
B.5.3 Managementul problemelor
Managementul eficace al problemelor cere identificarea i clasificarea problemelor,
analiza cauzelor primare i a soluiilor propuse pentru acestea. Procesul de management
al problemelor include de asemenea formularea recomandrilor pentru mbuntire,
pstrarea inregistrrilor cu privire la probleme i analiza strii aciunilor corective. Un
management eficace al problemelor maximizeaz disponibilitatea sistemului,
mbuntete nivelul serviciilor, reduce costurile i sporete confortul i satisfacia
clienilor.
Managementul problemelor are ca scop depistarea i soluionarea problemelor aprute n
funcionarea sistemului informatic pe ntreaga durat de via a acestuia prin asigurarea
unui cadru procedural care s impun:
(a) modul de detectare, semnalare, comunicare, nregistrare, rezolvare i urmrire a
problemelor, (b) analiza i verificarea modului de rezolvare, etapele care se parcurg,
precum i (c) documentele utilizate (registrul problemelor, lista problemelor rmase
deschise sau care se repet frecvent).
Pentru a rspunde la timp i eficient cerinelor utilizatorilor din IT este nevoie de un
proces bine structurat de management al incidentelor i de suport tehnic. Acest proces
include stabilirea unei funciuni de Service Desk / Help Desk pentru nregistrarea
incidentelor, analiza tendinei i cauzelor problemelor, precum i pentru rezolvarea lor.
Beneficiile obinute includ creterea productivitii prin rezolvarea mai rapid a
cerinelor utilizatorilor. Mai mult, se pot evidenia cauzele problemelor (cum ar fi lipsa de
instruire), printr-o raportare eficient.
Tabelul 20
Seciunea Continuitatea sistemelor B.5.3
Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

LV_ Controale
generale IT

Proceduri
referitoare la
managementul
problemelor

CONTINUITATEA SISTEMELOR
Managementul
problemelor

Implementarea unui cadru procedural


care s trateze urmtoarele aspecte:
-

Modul n care se semnaleaz


compartimentului IT apariia
problemelor;

Cum se ine evidena problemelor


n cadrul compartimentului IT
(registru al problemelor sau o alt

Proceduri
referitoare la
Service Desk/
Help Desk:
Pag. 69 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

form de eviden);
-

Implementarea funciei Helpdesk;

Etapele care trebuie urmate


pentru rezolvarea problemelor;

Verificarea i analiza listei de


probleme de ctre conducere;

Implementarea unei proceduri de


urmrire a problemelor rmase
deschise;

Implementarea unei proceduri


pentru situaia nerezolvrii
problemei;

Responsabilitatea documentrii i
aducerii la cunotina celor direct
implicai a acestor proceduri

Surse probe
de audit
nregistrarea
cerinelor
clienilor,
nregistrarea
incidentelor,
nchiderea
unui incident,
raportarea i
analiza
tendinelor

Integrarea managementului
configuraiei, incidentelor i al
problemelor

Auditorul va examina procedurile i modul de implementare a controalelor referitoare la


urmtoarele obiective de control:
Implementarea unui cadru procedural care s trateze urmtoarele aspecte:
Modul n care se semnaleaz compartimentului IT apariia problemelor;
Cum se ine evidena problemelor n cadrul compartimentului IT (registru al
problemelor sau o alt form de eviden);
- Implementarea funciei Service Desk/ Help Desk;
- Etapele care trebuie urmate pentru rezolvarea problemelor;
- Verificarea i analiza listei de probleme de ctre conducere;
- Implementarea unei proceduri de urmrire a problemelor rmase deschise;
- Implementarea unei proceduri pentru situaia nerezolvrii problemei.
Responsabilitatea documentrii i aducerii la cunotina celor direct implicai a
acestor proceduri.
-

Integrarea managementului configuraiei, incidentelor i al problemelor.

B.5.4 Planificarea continuitii


Nevoia asigurrii continuitii serviciilor IT necesit dezvoltarea, meninerea i testarea
planurilor de continuitate IT, utilizarea amplasamentelor externe de stocare a copiilor de
backup i oferirea unui plan de instruire continuu. Un proces eficient de asigurare a
continuitii serviciilor reduce probabilitatea i impactul unei ntreruperi majore a
serviciilor IT asupra funciilor i proceselor cheie ale afacerii.

Pag. 70 din 180

Planificarea continuitii proceselor IT presupune existena unui astfel de plan,


documentat corespunztor, de continuitate a afacerii i, n particular, a operaiunilor IT.
Planul de continuitate a activitii reprezint un control corectiv semnificativ.
Pentru elaborarea unui plan extensiv, care s rspund gamei largi de probleme asociate
continuitii proceselor IT sunt necesare att aptitudini ct i disponibilitatea unei
metodologii care s ofere cadrul procedural pentru toat problematica abordat: definirea
obiectivelor, agrearea bugetului, definirea proceselor, alocarea resurselor, stabilirea
termenelor i a responsabilitilor, aprobare.
Elaborarea planului are la baz o analiz detaliat a impactului pe care l-ar genera lipsa
sistemului IT asupra afacerii, n scopul reducerii riscurilor. Sunt examinate, de asemenea,
msurile de prevenire a dezastrului pentru a opera perfecionarea acestor msuri. Pe baza
analizelor i informaiilor preliminare, se realizeaz dezvoltarea planului de continuitate,
care va fi implementat, testat prin simulri periodice i actualizat n funcie de schimbrile
impuse de rezultatele simulrilor.
Planul de continuitate trebuie s fie fcut cunoscut personalului implicat n procesele IT.
Coninutul unui plan de continuitate poate varia n funcie de circumstane, dar, n
general, include urmtoarele seciuni: seciunea administrativ, contracte suport, operarea
calculatoarelor privind recuperarea proceselor cheie IT, infrastructura IT necesar
recuperrii i procedurile asociate, locaia de back-up, identificarea locului unde sunt
stocate arhivele cu supori tehnici care conin salvrile i procedura de obinere a accesului
la acestea, personalul implicat n procesul de recuperare n caz de dezastru (personal
propriu sau extern), stabilirea sediului provizoriu (pentru cazul n care dezastrul a fost
extensiv i a necesitat evacuri), revenirea la normal (lista detaliat a responsabilitilor
echipelor implicate n restabilirea condiiilor normale de activitate).
Tabelul 21
Seciunea Continuitatea sistemelor B.5.4
Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

CONTINUITATEA SISTEMELOR
Planificarea i
asigurarea
continuitii
serviciilor

Existena unui cadru de referin


pentru continuitatea IT
Stabilirea resurselor IT critice
ntreinerea planului de continuitate
IT
Implementarea unui plan privind
asigurarea continuitii activitii
entitii i, n particular, a
operaiunilor IT
Testarea cu regularitate a planului de
continuitate. Periodicitate
Instruirea privind planul de
continuitate IT

LV_ Controale
generale IT

Cadrul de
referin
pentru
continuitatea
IT
Planul de
continuitate a
activitii
Cadrul
procedural
referitor la
continuitatea
IT

Recuperarea i reluarea serviciilor IT


Stocarea extern a copiilor de
Pag. 71 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

siguran
Revizia post-reluare

Auditorul va examina procedurile i controalele privind la cadrul de referin pentru


continuitatea IT, la existena, implementarea, urmrirea i testarea cu regularitate a
planului privind asigurarea continuitii activitii entitii i, n particular, a operaiunilor
IT.
B.5.5 Managementul operaiunilor IT
Procesarea complet i exact a datelor necesit un management eficient al procedurilor
de prelucrare a datelor i o ntreinere temeinic a hardware-ului. Acest proces include
definirea politicilor de operare i a procedurilor pentru gestionarea eficient a
prelucrrilor programate, protejnd datele de ieire sensibile, monitoriznd performana
infrastructurii i asigurnd ntreinerea preventiv a hardware-ului. Gestionarea eficient
a operaiunilor ajut la meninerea integritii datelor i reduce ntrzierile i costurile de
exploatare IT.
Procedurile operaionale IT furnizeaz asigurarea c sistemele de aplicaii sunt disponibile
la momentele programate, opereaz n concordan cu cerinele, iar rezultatele
prelucrrilor sunt produse la timp.
Controalele operaionale reduc riscurile adoptrii unor practici de lucru
necorespunztoare ntr-un departament IT. Practicile de lucru necorespunztoare pot
afecta auditul financiar ntruct utilizarea calculatorului constituie baza pentru ntocmirea
situaiilor financiare. Punctele slabe din mediul de operare ar putea fi exploatate pentru a
rula programe neautorizate i a efectua modificri ale datelor financiare. Operarea pe
calculator trebuie s asigure o procesare exact, corespunztoare a datelor financiare.
Controlul neadecvat asupra operatorilor la calculator crete riscul aciunilor neautorizate.
Operatorii nesupravegheai pot face uz de utilitile sistemului pentru a efectua modificri
neautorizate ale datelor financiare.
Experiena i pregtirea neadecvat a personalului mrete riscul comiterii de greeli n
departamentul IT. Greelile pot conduce la orice efect, de la cderea sistemului, pn la
tergerea datelor unei perioade.
ntreinerea neadecvat a echipamentului informatic poate cauza probleme de
disponibilitate a aplicaiilor, iar disfunciile sistemului pot conduce la date eronate.
Registrele de procesare pot reduce riscurile unei activiti neautorizate. Pot fi utilizate de
asemenea pentru determinarea extensiei erorilor de procesare.
Documentaia slab sau lipsa acesteia pot cauza probleme cum ar fi: indisponibilitatea
sistemului, pierderea integritii datelor sau ntrzieri n recuperarea acestora dup
eliminarea defectelor din sistem.

Pag. 72 din 180

Seciunea Continuitatea sistemelor B.5.5


Direcii de evaluare

Obiective de control

Tabelul 22

Documente
de lucru

Surse probe
de audit

LV_ Controale
generale IT

Planul de
continuitate a
activitii

CONTINUITATEA SISTEMELOR
Managementul
operaiunilor IT

Proceduri operaionale IT
Implementarea unui cadru procedural
care s conin urmtoarele proceduri
operaionale:
-

Proceduri la nceput de zi / sfrit


de zi, dac e cazul

Proceduri de recuperare sau


restaurare

Instalare de software i hardware

Raportarea incidentelor

Rezolvarea problemelor

Stabilirea unui responsabil cu


actualizarea procedurilor
operaionale IT

Cadrul
procedural
pentru
managementul
operaiunilor
IT
Procedura
privind
utilizarea unei
soluii
antivirus

Protecia mpotriva viruilor


Implementarea unei proceduri
privind utilizarea unei soluii
antivirus care s ofere asigurarea
privind:
Aplicarea soluiei antivirus
tuturor serverelor i staiilor
de lucru;
Actualizarea fiierului de
definiii antivirus
Interdicia dezactivrii
software-ul antivirus de ctre
utilizatori la staia lor de
lucru;
Software-ul antivirus scaneaz
toate fiierele (pe server i
staiile de lucru) automat n
mod periodic

Auditorul va examina procedurile i modul de implementare a controalelor privind


operaiunile IT: existena unui manager de reea, existena unui acord privind nivelul de
servicii ntre departamentul informatic i restul organizaiei, respectiv cu utilizatorii
sistemului (care s acopere disponibilitatea serviciilor, standardele de servicii etc.), existena
unor proceduri i msuri de supraveghere a personalului de operare a calculatoarelor i
care asigur suport tehnic, pregtirea i experiena personalului de operare, modalitatea i
calitatea ntreinerii calculatoarelor (ntreinere prin mijloace poprii sau de ctre furnizori
Pag. 73 din 180

externi), existena, utilizarea i monitorizarea jurnalelor de operaii (pentru a detecta


activiti neuzuale sau neautorizate sau pentru a monitoriza utilizarea facilitilor
sistemului de operare), documentarea adecvat a procedurilor (proceduri de supraveghere,
proceduri de procesare, proceduri de operare, managementul incidentelor, managementul
suporilor de memorare (benzi, discuri, CD, DVD).
Auditorul va examina soluia de implementare a proteciei antivirus .
B.5.6 Managementul configuraiilor IT
Managementul configuraiilor presupune asigurarea contextului hardware / software
stabil care s susin funcionalitatea continu a sistemului informatic i, implicit,
activitile entitii auditate. Se verific dac este prevzut i este operaional
meninerea configuraiilor echipamentelor IT i ale aplicaiilor, n mod formal, n alte
locaii dect sediul sistemelor.

Tabelul 23

Seciunea Continuitatea sistemelor B.5.6


Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

LV_ Controale
generale IT

Planul de
continuitate a
activitii

CONTINUITATEA SISTEMELOR
Managementul
configuraiilor IT

Meninerea n mod formal a


configuraiilor echipamentelor IT i
ale aplicaiilor, i n alte locaii dect
sistemele de producie; Utilizarea
unor msuri de protecie
Implementarea unor proceduri care
s ofere asigurarea c sunt ndeplinite
urmtoarele condiii:
- Configuraiile sunt actualizate,
comprehensive i complete;
-

Manualele de
instalare/utilizare sunt
actualizate n concordan cu
ultima versiune de sistem;

Se realizeaz o gestiune a
versiunilor programelor i
documentaiei, iar personalul
utilizator tie care sunt cele
mai noi versiuni ale
programelor i ale
documentaiei

Cadrul
procedural
referitor la:
configuraii,
documentaia
tehnic de
instalare /
utilizare,
gestiunea
versiunilor
programelor i
documentaiei,
personalul
utilizator

Auditorul va examina procedurile i controalele privind existena i implementarea


procedurilor specifice managementului configuraiilor:
Meninerea n mod formal a configuraiilor echipamentelor IT i ale aplicaiilor i n
alte locaii dect sediul sistemelor de producie; utilizarea unor msuri de protecie;

Pag. 74 din 180

Implementarea unor proceduri care s ofere asigurarea c sunt ndeplinite condiiile


referitoare la: configuraii, documentaia tehnic de instalare / utilizare, gestiunea
versiunilor programelor i documentaiei, personalul utilizator.

PROCEDURA B6 - Externalizarea serviciilor IT


Nevoia de siguran c serviciile de la teri (furnizori, vnztori i parteneri) satisfac
cerinele afacerii implic un proces efectiv de management al prii tere. Acest proces
este realizat prin definirea clar a rolurilor, reponsabilitilor i ateptrilor n acordurile
cu prile tere, precum i prin revizuirea i monitorizarea acestor acorduri n vedera
asigurrii eficacitii i conformitii. Managementul efectiv al serviciilor de la teri
minimizeaz riscul afacerii asociat furnizorilor neperformani.
Avnd n vedere c activitatea IT nu este activitatea principal ntr-o entitate i c
managementul se concentreaz n primul rnd pe obiectivele afacerii, tendina principal
privind asigurarea serviciilor IT este de a utiliza furnizori externi de servicii IT, soluie
care n majoritatea cazurilor contribuie i la reducerea costurilor.
Necesitatea unor colaborri, a furnizrii unor servicii de tehnologia informaiei (Internet,
instruire, asisten tehnic, ntreinere, etc.) determin externalizarea acestor activiti
prin ncheierea de contracte semnate cu furnizorii acestor servicii. Avnd n vedere c
astfel de relaii contractuale sunt purttoare de riscuri (att sub aspect valoric, ct i la
nivelul funcionalitii i securitii sistemului), auditorul trebuie s evalueze implicaiile
ce decurg din clauzele contractuale privind confidenialitatea, formele de asigurare a
suportului i asistenei tehnice, valorile contractuale pentru asisten tehnic i
ntreinere, dependena fa de furnizor, innd seama de natura serviciilor.
Externalizarea serviciilor IT B6
Direcii de evaluare

Obiective de control

Tabelul 24

Documente
de lucru

Surse probe
de audit

LV_ Controale
generale IT

Politic de
externalizare a
activitilor IT

EXTERNALIZAREA SERVICIILOR IT
Externalizarea
serviciilor IT

Exist o politic de externalizare a


activitilor IT (existena unor
colaboratori, furnizori de servicii IT,
etc.) bazat pe: identificarea relaiilor
cu toi furnizorii, managementul
relaiilor cu furnizorii, managementul
riscului asociat furnizorilor
Includerea de clauze de tip SLA
(Service Level Agreement) n
contractele cu furnizorii de servicii

Contractele cu
furnizorii IT
Rapoarte de
evaluare

Includerea clauzelor de
confidenialitate n contractele cu
furnizorii de servicii
Este monitorizat performana
furnizorului
Se efectueaz o analiz privind nivelul
de dependen fa de furnizor

Pag. 75 din 180

Auditorul va examina n primul rnd politicile i procedurile care asigur securitatea


datelor entitii. Clauzele existente n contractele semnate cu furnizorii ofer o prim
imagine privind eventualitatea apariiei unor riscuri n cazul neincluderii unor controale
adecvate.
De asemenea, auditorul va evalua politica de externalizare a activitilor IT, precum i
modul n care organizaia monitorizeaz prestaia furnizorilor externi de servicii, att n
ceea ce privete aspectele legate de securitate, ct i cele legate de calitatea serviciilor.
Monitorizarea neadecvat mrete riscul ca procesarea inexact sau incomplet s rmn
nedetectat.
Examinarea contractelor de prestri servicii va acoperi toate problemele importante:
performana (SLAs), securitatea, proprietatea asupra datelor, accesul la datele clientului,
disponibilitatea serviciului, planificarea pentru situaiile de urgen.
Auditorul trebuie s obin asigurarea c furnizorul extern de servicii IT a realizat o
procesare exact i complet. Auditorul va putea obine asigurarea prin inspecie personal
sau prin obinerea asigurrii unei tere pri independente.

PROCEDURA B7 - Managementul schimbrii i al dezvoltrii de sistem


Managementul schimbrii i al dezvoltrii sistemului are ca obiectiv important
implementarea unor politici, proceduri i controale n scopul asigurrii c sistemele sunt
disponibile cnd sunt necesare, funcioneaz conform cerinelor, sunt fiabile, controlabile
i necostisitoare, au un control sigur al integritii datelor i satisfac nevoile utilizatorilor.
Controalele schimbrii sunt necesare pentru a asigura continuitatea sistemului n
conformitate cu cerinele impuse i pot varia considerabil de la un tip de sistem la altul.
Cnd este evaluat acest domeniu, se pun urmtoarele ntrebri:
Dac exist perspective ca noile proiecte s ofere soluii care s rspund nevoilor
afacerii;
Dac noile proiecte au anse s fie duse la bun sfrit, n timpul i cu bugetul
prevzute;
Dac noile sisteme vor funciona dup implementare;
Dac este posibil ca schimbrile s aib loc fr a perturba activitile curente ale
afacerii/organizaiei.
Schimbrile se refer la hardware (calculatoare, periferice, reele), la software (sisteme de
operare, utilitare) i la aplicaiile individuale. Scara schimbrilor poate diferi considerabil:
de la proceduri aferente unor funcii dedicate, la instalarea unor versiuni noi de aplicaii
sau sisteme de operare. Indiferent de mrimea sau scara schimbrilor, efectele asupra
operrii sistemului trebuie s fie minime pentru a nu perturba activitatea curent a
entitii.
Controalele managementului schimbrilor sunt implementate pentru a se asigura c
modificrile aduse unui sistem informatic sunt corespunztor autorizate, testate,
acceptate i documentate. Controalele slabe pot antrena din schimbri care pot conduce la
modificri accidentale sau de rea credin aduse programelor i datelor. Schimbrile de
sistem insuficient pregtite pot altera informaiile financiare i pot ntrerupe parcursul de
audit.
Schimbarea sistemului presupune procurarea resurselor. Resursele IT, incluznd
echipamente hardware, software, servicii i personal, trebuie s fie achiziionate. Acest
Pag. 76 din 180

lucru necesit definirea i punerea n aplicare a procedurilor de achiziii, selectarea


distribuitorilor, configurarea aranjamentelor contractuale, precum i achiziia n sine. Se
asigur astfel obinerea de ctre organizaie a tuturor resursele IT ntr-un timp util i n
mod eficient.
Toate schimbrile, incluznd cele de ntreinere urgent i pachetele, referitoare la
infrastructura i aplicaiile din mediul de producie sunt administrate formal i ntr-o
manier controlat. Schimbrile (inclusiv acelea ale procedurilor, proceselor, sistemelor i
parametrilor de servicii) sunt nregistrate, evaluate i autorizate nainte de implementare
i revizuite n comparaie cu rezultatul ateptat dup implementare. Aceasta asigur
reducerea riscurilor care afecteaz stabilitatea i integritatea mediului de producie.
Noile sisteme trebuie s devin operaionale odat ce dezvoltarea lor este complet. De
aceea, sunt necesare urmtoarele: testare adecvat ntr-un mediu dedicat, cu date de test
relevante; definirea instruciunilor de distribuie i migrare; planificarea pachetelor de
distribuie i promovarea n producie, precum i o revizuire post-implementare. Astfel se
asigur c sistemele operaionale rspund ateptrilor i rezultatelor agreate.
Aplicaiile sunt puse la dispoziie n conformitate cu cerinele afacerii. Acest proces ia n
considerare arhitectura aplicaiilor, includerea corect a cerinelor de control i securitate
ale aplicaiei precum i dezvoltarea i configurarea n conformitate cu standardele. Acest
proces permite organizaiilor s susin n mod corespunztor operaiunile economice cu
ajutorul aplicaiilor automatizate potrivite.
Organizaiile au procese pentru achiziia, implementarea i actualizarea infrastructurii
tehnologice. Aceasta necesit o abordare planificat pentru achiziia, ntreinerea i
protecia infrastructurii, n conformitate cu strategiile tehnologice agreate i pregtirea
mediilor de dezvoltare i testare. Acest proces asigur existena unui suport tehnic
continuu pentru aplicaiile economice.
Seciunea Managementul schimbrii i al dezvoltrii de sistem B7
Direcii de evaluare

Obiective de control

Documente
de lucru

Tabelul 25

Surse probe
de audit

MANAGEMENTUL SCHIMBRII I AL DEZVOLTRII DE SISTEM


Politici privind
schimbarea sau
dezvoltarea
sistemului i
procedurile
asociate

Implementarea unor politici,


proceduri i controale n scopul
asigurrii c sistemele sunt
disponibile cnd sunt necesare,
funcioneaz conform cerinelor, sunt
fiabile, controlabile i necostisitoare,
au un control sigur al integritii
datelor i satisfac nevoile
utilizatorilor
Managementul schimbrii
proceselor afacerii
- Iniierea modificrii sau dezvoltrii
sistemului IT,
- Alocarea corect a investiiilor n
hardware, software i servicii IT,
- Asigurarea c se realizeaz

LV_ Controale
generale IT

Politici privind
schimbarea/
dezvoltarea
sistemului i
procedurile
asociate
Standardele i
procedurile
pentru
schimbare
Contractele cu
furnizorii IT
Rapoarte de
evaluare
Pag. 77 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

armonizarea necesitilor afacerii cu


schimbrile IT,
- Documentarea procedurilor i a
activitilor (formular pentru cereri,
- Evidena modificrilor efectuate) i
competenele de aprobare
Managementul schimbrilor tehnice
- Integrarea de componente noi,
- nlocuirea unor componente,
- Schimbarea versiunii sistemului
- Implementarea schimbrilor tehnice
n mediul de test, de producie, de
dezvoltare
- Implementarea modificrilor
solicitate n regim de urgen
Metodologia de dezvoltare
- Procedurile trebuie s se aplice ntrun mod consistent tuturor proiectelor
de dezvoltare, avnd ataate i cazuri
predefinite de testare. Lipsa unei
metodologii de dezvoltare a
proiectelor implic un risc ridicat
asupra sistemului
Managementul proiectelor
- Metodologia de management al
proiectelor utilizat,
- Existena procedurilor specifice
proiectelor IT,
- Monitorizarea periodic a stadiului
proiectelor IT
Implicarea utilizatorilor n etapele
procesului de dezvoltare a
proiectului
- Specificarea cerinelor,
- Testarea programelor,
- Acceptarea sistemului,
- Instruirea personalului,
- Elaborarea documentaiei, etc..
Managementul calitii
- Are un impact semnificativ asupra
componentelor informatice
dezvoltate, asupra sistemului n
general i, implicit, asupra activitii
entitii
Documentarea procedurilor i a
funcionrii sistemului
- Facilitatea operrii de ctre
utilizatori la nivel de aplicaie, ct i

Pag. 78 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

pentru asigurarea funcionalitii la


nivel de sistem. Existena manualelor
de utilizare reprezint o cerin
minimal
Implementarea unor proceduri de
control al schimbrii
- Proceduri privind autorizarea de
ctre management;
- Testarea software-ului modificat
nainte de a fi utilizat n mediul de
producie;
- Examinri din partea
managementului ale efectelor
schimbrilor;
- ntreinerea unor evidene adecvate;
- Pregtirea unui plan de recuperare,
chiar dac sistemul funcioneaz
corect;
- Elaborarea i implementarea
procedurilor de control privind
schimbrile de urgen
- Procedurile de control al versiunilor
utilizeaz pe scar larg instrumente
automate de control al versiunilor
pentru a nregistra schimbrile
succesive efectuate asupra
programelor surs;
- Proceduri pentru migrarea datelor n
noul sistem;
- Actualizarea documentaiei n
concordan cu schimbrile operate
Efectuarea unei analize cu privire
la efectele schimbrii, pentru a
determina:
Dac schimbarea s-a finalizat cu
rezultatele planificate;
Dac utilizatorii sunt mulumii
n ceea ce privete modificarea
produsului;
Dac au aprut probleme sau
efecte neateptate;
Dac resursele cerute pentru
implementarea i operarea
sistemului actualizat au fost cele
planificate
Implementarea unor controale
specifice care s stabileasc:
- Cine iniiaz modificarea sau
dezvoltarea aplicaiilor
- Dac exist un formular pentru
Pag. 79 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

cereri i cine trebuie s l aprobe


- Dac exist o procedur pentru a se
asigura c investiiile n hardware,
software i servicii IT sunt evaluate
corespunztor
- Dac au fost adoptate metodologii i
instrumente standard pentru
dezvoltarea unor aplicaii pe plan
local i dac utilizarea acestei
metodologii este transpus n
proceduri documentate
- Cum se asigur conducerea de
armonizarea necesitilor activitii
cu schimbrile IT
- Dac exist o eviden a tuturor
modificrilor efectuate
- Dac exist o separaie a mediilor de
producie (operaional), de test i de
dezvoltare
- Dac exist o procedur de
implementare a schimbrilor tehnice
n mediul operaional
- Dac sunt permise n cadrul
instituiei modificrile de urgen
- Dac exist o etapizare privind
documentarea, abordarea
retrospectiv, testarea
- Cine iniiaz, cine aprob, cine
efectueaz, cine monitorizeaz aceste
modificri
- Dac exist o eviden clar a acestor
modificri
- Dac se testeaz modificrile de
urgen
- Dac sunt stabilite msuri de control
pentru ca numai modificrile
autorizate s fie transferate din
mediul de test n cel de producie
Procurarea
resurselor

Este implementat un cadru de control


al achiziiilor, se realizeaz
managementul contractelor cu
furnizorii, exist politici pentru
selectarea furnizorilor i
achiziionarea resurselor

LV_ Controale
generale IT

Cadrul de
control al
achiziiilor
Contractele cu
furnizorii
Politici i
proceduri

Instalarea i
acreditarea
soluiilor i
schimbrilor

Instruirea pesonalului pentru


utilizarea noului sistem
Au fost elaborate documente privind:

LV_ Controale
generale IT

Program de
instruire

Pag. 80 din 180

Direcii de evaluare

Obiective de control

Documente
de lucru

Planul de testare, Planul de


implementare

Plan de testare
Plan de
implementare

Exist proceduri privind: mediul de


test, conversia sistemului i a datelor,
testarea schimbrilor, testul final de
acceptare, promovarea n producie,
revizia post-implementare
Achiziia i
ntreinerea
aplicaiilor software

Achiziia i
ntreinerea
infrastructurii
tehnologice

A fost asigurat cadrul pentru


desfurarea urmtoarelor activiti
i satisfacerea urmtoarelor cerine:
- Proiectarea de nivel nalt
- Proiectarea detaliat
- Controlul i auditabilitatea
aplicaiilor
- Securitatea i disponibilitatea
aplicaiilor
- Configurarea i implementarea
aplicaiilor software achiziionate
- Actualizri majore ale sistemelor
existente
- Dezvoltarea aplicaiilor software
Asigurarea calitii software
- Managementul cerinelor
aplicaiilor
- ntreinerea aplicaiilor software
A fost asigurat cadrul pentru
desfurarea urmtoarelor activiti
i satisfacerea urmtoarelor cerine:
- Planul de achiziie a infrastructurii
tehnologice
- Protecia i disponibilitatea
resurselor infrastructurii
- ntreinerea infrastructurii
- Mediul de testare a fezabilitii

Surse probe
de audit

Proceduri

LV_ Controale
generale IT

Proiecte
Cadrul de
securitate
Cadrul
procedural
Contractele cu
furnizorii
Politici i
proceduri
Documentaii
tehnice

LV_ Controale
generale IT

Planul de
achiziie a
infrastructurii
tehnologice
Contracte
Documentaii
tehnice

Detalii teoretice referitoare la PROCEDURA B7 se regsesc n Manualul de audit al


sistemelor informatice (CCR, 2012).
Auditorul va examina urmtoarele aspecte:
Politicile i procedurile de autorizare existente pentru modificarea aplicaiilor
financiare: cine autorizeaz modificrile, dac se folosesc studii de fezabilitate
pentru a determina impactul potenial al modificrilor, cum este monitorizat i
analizat derularea proiectului de ctre conducere, reaciile generate, metodologii i
instrumente standard de dezvoltare adoptate, documentaii referitoare la modificare,
analiza post-modificare;

Pag. 81 din 180

Modul de gestionare a urmtoarelor categorii de actuiviti: procurarea resurselor,


instalarea i acreditarea soluiilor i schimbrilor, achiziia i ntreinerea aplicaiilor
software, achiziia i ntreinerea infrastructurii tehnologice;

n ce msur sunt testate actualizrile sistemului i ale aplicaiei nainte de


transferul n mediul operaional (de producie);
Dac procedurile de testare sunt adecvate, independente i documentate;
Implicarea utilizatorilor n testarea dezvoltrii, achiziiei i recepiei sistemelor
informatice;
Dac evidenele modificrilor sunt la zi, cuprinztoare i complete;
Dac manualele de utilizare sunt actualizate i este disponibil cea mai recent
versiune a documentaiei;
Efectuarea modificrilor de urgen;
Controale existente pentru a asigura c numai modificrile autorizate sunt
transferate din mediul de testare n mediul de producie;
Modul de tratare a deficienele de funcionare a software-ului i a problemelor
utilizatorilor (funcie help-desk, statistici help-desk disponibile, rezolvarea practic a
incidentelor);
Controale pentru prevenirea accesului persoanelor neautorizate la programele din
biblioteca sursa de programe pentru a face modificri.

PROCEDURA B8 - Auditul intern IT


Responsabilitatea managementului privind implementarea sistemului de controale
interne se reflect n politicile i procedurile implementate. Asigurarea c sistemul de
controale este implementat corespunztor i reduce n mod rezonabil riscurile identificate
este furnizat de auditorii interni care examineaz politicile, procedurile i controalele
implementate i efectele funcionrii acestora asupra activitii entitii.
Auditorii externi privesc funcia de audit intern a entitii ca fiind o parte din structura
general de control a acesteia, o evalueaz i formuleaz o opinie privind ncrederea n
activitatea auditului intern.
De asemenea, auditorii externi evalueaz dac personalul din structura de audit intern
este capabil s efectueze evaluri competente ale sistemului de calcul al entitii, dac
utilizeaz metodologii sau standarde de audit IT adecvate.
Structura mediului de control IT al unei entiti conine controale specifice IT care se
refer la urmtoarele categorii de elemente:
Mediul controalelor generale: include controalele asociate politicilor de
nivel nalt, valorilor etice, culturii afacerii i resurselor umane.
Evaluarea riscurilor: presupune evaluarea ameninrilor, vulnerabilitilor i
a impactului acestora asupra afacerii.
Informaie i comunicaii: constau n controale care permit personalului s
primeasc i s controleze informaiile legate de afacere.
Activiti de control: asigur c afacerea continu s opereze n maniera
ateptat de managementul de vrf.
Monitorizare: asigur c politicile i procedurile continu s funcioneze i
sunt adecvate.
Pag. 82 din 180

Tabelul 26
Seciunea Auditul Intern B8
Direcii de evaluare

Obiective de control

Documente
de lucru

Surse probe
de audit

AUDIT INTERN IT
Audit intern IT

Modul n care se reflect preocuparea


pentru auditarea infrastructurii IT, n
planificarea aciunilor de audit intern
ale entitii
Msurile ntreprinse pentru
asigurarea funcia de audit intern
privind domeniul IT n cadrul
instituiei

LV_ Controale
generale IT

Planul de audit
intern
Rapoarte de
audit
Metodologia
pentru audit
IT

Pregtirea profesional a auditorilor


interni n domeniul IT
Metodologia pentru audit IT folosit
de auditorii interni
Ritmicitatea elaborrii unor rapoarte
de audit IT. Modul de valorificare a
constatrilor

Auditul intern trebuie s se concentreze asupra existenei i eficacitii controalelor


specializate IT pentru toate categoriile menionate mai sus, n concordan cu specificul
activitii i n scopul evitrii expunerii afacerii la riscuri nejustificate.
Specializarea unor auditori n domeniul auditului IT i utilizarea unor metodologii adecvate
sau includerea unor experi n domeniu n echipa de audit, n situaii n care se justific
prezena acestora, reprezint o cerin pentru evaluarea unor sisteme informatice
complexe.

2.3

Revizuirea controalelor aplicaiei i evaluarea riscurilor


asociate

Seciunile urmtoare se refer la problematica specific aplicaiilor informatice financiarcontabile, din perspectiva auditului.
SCOP: S consolideze cunotinele privind sistemul informatic al entitii auditate, obinute
prin evaluarea controalelor generale aferente mediului informatizat, s permit auditorului
financiar s identifice, s documenteze i s evalueze orice proceduri i controale care
opereaz n cadrul fiecrei aplicaii financiare, s permit auditorului s evalueze nivelul
general al riscului de audit asociat fiecrei aplicaii i s identifice riscurile specifice care pot
influena realizarea conformitii i riscurile asociate programelor informatice.

Pag. 83 din 180

Cele mai importante obiective de control specifice aplicaiilor7 sunt:


1. Pregtirea i autorizarea surselor de date: asigur faptul c documentele surs sunt
pregtite de personal autorizat i calificat, folosind proceduri anterior stabilite,
demonstrnd o separare adecvat a ndatoririlor cu privire la generarea i aprobarea
acestor documente. Erorile i omisiunile pot fi minimizate printr-o bun proiectare a
intrrilor. Detecteaz erorile i neregulile spre a fi raportate i corectate.
2. Colectarea surselor de date si introducerea n sistem: stabilete faptul c intrrile (datele
de intrare) au loc la timp, fiind fcute de ctre personal autorizat i calificat. Corectarea i
retrimiterea datelor care au intrat n sistem n mod eronat trebuie s aib loc fr a trece
peste nivelurile iniiale de autorizare privind tranzaciile (intrrile). Cnd este nevoie s
se reconstituie intrarea, trebuie reinut sursa iniial pentru o perioad suficient de
timp.
3. Verificri privind: acurateea, completitudinea i autenticitatea: asigur faptul c
tranzaciile sunt precise (exacte), complete i valabile. Valideaz datele introduse i le
editeaz sau le trimite napoi spre a fi corectate ct mai aproape posibil de punctul de
provenien.
4. Integritatea i validitatea procesului: menine integritatea i validitatea datelor de-a
lungul ciclului de procesare. Detectarea tranzaciilor compromise din punct de vedere al
erorilor nu ntrerupe procesarea tranzaciilor valide.
5. Revizuirea rezultatelor, reconcilierea i tratarea erorilor: stabilete procedurile i
responsabilitile asociate pentru a asigura c rezultatul este utilizat ntr-o manier
autorizat, distribuit destinatarului potrivit i protejat n timpul transmiterii sale, precum
i faptul c se produc: verificarea, detectarea i corectarea exactitii rezultatului i c
informaia oferit n rezultatul procesrii este utilizat.
6. Autentificarea i integritatea tranzaciilor: nainte de a transmite datele tranzaciei de la
aplicaiile interne ctre funciile operaionale ale afacerii (sau ctre exteriorul
organizaiei), trebuie verificate: destinaia, autenticitatea sursei i integritatea
coninutului. Menine autenticitatea i integritatea transmiterii sau ale transportului.
Pentru evaluarea controalelor de aplicaie se utilizeaz Lista de verificare privind
evaluarea controalelor de aplicaie.
Aspectele teoretice referitoare la evaluarea riscurilor sunt tratate n Capitolul 4. Pentru
evaluarea riscurilor se utilizeaz Lista de verificare privind evaluarea riscurilor (Anexa 4.

PROCEDURA CA1 - nelegerea sistemului informatic financiar - contabil


Auditorul trebuie s neleag toate etapele pe care le parcurg tranzaciile, de la iniiere i
pn la reflectarea lor n situaiile financiare. n foarte multe cazuri, cnd activitatea este
parial informatizat, aplicaiile informatice reflect parial fluxul unei tranzacii,
prelucrarea fiind completat prin proceduri manuale. n acest context, auditorul este cel
care trebuie s reconstituie parcursul tranzaciei, de la iniiere pn la includerea n
situaiile financiare.
n cadrul evalurii aplicaiilor, auditorul trebuie s identifice toate echipamentele
informatice asociate mediului IT implicate n introducerea, prelucrarea, stocarea sau
producerea rezultatelor de ieire aferente sistemului informatic financiar-contabil.

Conform cadrului de lucru COBIT


Pag. 84 din 180

De asemenea, va identifica toate aplicaiile IT care contribuie la obinerea situaiilor


financiare.
Pentru fiecare aplicaie financiar auditorul trebuie s prezinte n documentele de lucru,
sub forma de schem logic sau descriptiv, urmtoarele elemente:
interfeele dintre operaiile manuale i operaiile informatizate;
echipamentele i aplicaiile informatice care contribuie la obinerea situaiilor
financiare verificate;
valoarea i volumul tranzaciilor procesate de fiecare aplicaie;
modulele de introducere, prelucrare, ieire i stocare ale aplicaiilor relevante;
fluxul tranzaciilor de la iniierea tranzaciei pn la reflectarea acestora n
situaiile financiare.
Creterea gradului de complexitate a sistemelor informatice prin integrarea aplicaiilor la
nivelul sistemului informatic al entitii, permite procesarea mai multor tipuri de
tranzacii, provenind din aplicaii diferite: aplicaii care proceseaz tranzacii privind
veniturile, tranzacii de cheltuieli, state de plat lunare, evidena stocurilor, costul
lucrrilor i activele fixe i altele. Este deci posibil ca o aplicaie s proceseze tranzacii din
zone contabile diferite.
La definirea zonelor contabile, auditorul va trebui s identifice fluxul principal de
tranzacii din fiecare aplicaie i s reconstituie parcursul prelucrrii n funcie de
aplicaia analizat. De asemenea, trebuie s detecteze i s reconstituie fluxurile care apar
n situaia transferului de informaii ntre aplicaii.
Tabelul 27

Descrierea aplicaiei
Cod
procedur

Controale de
aplicaie

CA1

Descrierea
aplicaiei

Documente de
lucru
LV_Controale
Aplicaie

Revizuiri / Teste
Funciile pe care le realizeaz aplicaia
Arhitectura aplicaiei (platforma hardware /
software, produsele software de tip
instrument, sistemul de gestiune a bazelor de
date, sistemul de comunicaie)
Desemnarea administratorului aplicaiei
Care este numrul utilizatorilor? Cine sunt
utilizatorii?
Volumul i valoarea tranzaciilor procesate
lunar de aplicaia financiar contabil
Puncte slabe sau probleme cunoscute

Auditorul trebuie s evalueze riscul de audit n cadrul fiecrui proces, utiliznd urmtorii
trei factori:
(a) ameninrile la adresa integritii i disponibilitii informaiilor financiare;
(b) vulnerabilitatea informaiilor financiare la ameninrile identificate;
(c) impactul posibil n ceea ce privete obiectivele auditului.
Pag. 85 din 180

Auditorul va colecta informaii referitoare la aplicaia financiar-contabil: descrierea


aplicaiei, funciile pe care le realizeaz aplicaia, arhitectura aplicaiei (platforma
hardware / software, produsele software de tip instrument, sistemul de gestiune a bazelor de
date, sistemul de comunicaie), proprietarul aplicaiei, administratorul aplicaiei, numrul
utilizatorilor aplicaiei i cine sunt acetia, volumul i valoarea tranzaciilor procesate lunar
de aplicaia financiar-contabil, puncte slabe sau probleme cunoscute.

PROCEDURA CA2 - Posibilitatea de efectuare a auditului


Posibilitatea efecturii auditului pe baza sistemului informatic financiar-contabil depinde
de posibilitatea colectrii unor probe suficiente i competente, pentru efectuarea
auditului.

Tabelul 28

Posibilitatea de efectuare a auditului


Cod
procedur

Controale de
aplicaie

Documente de
lucru

CA2

Posibilitatea
de efectuare
a auditului

LV_Controale
Aplicaie

Revizuiri / Teste
Evidenele tranzaciilor s fie stocate i s fie
complete pentru ntreaga perioad de raportare
Evidenierea unei tranzacii s conin suficiente
informaii pentru a stabili un parcurs de audit
Totalurile tranzaciilor s se regseasc n
situaiile financiare

Dac oricare dintre aceste revizuiri nu primete un rspuns afirmativ, auditorul, pe baza
raionamentului profesional, trebuie s decid dac sistemul informatic ofer ncredere n
situaiile financiare generate de acest sistem. n condiiile n care concluzia auditorului
este c nu poate avea ncredere n sistemul informatic, auditorul trebuie s analizeze ce
msuri trebuie luate pentru a continua misiunea de audit financiar.
Auditorul trebuie s constate dac exist evidene contabile alternative manuale i dac este
posibil s se efectueze auditul pe baza acestora (pe lng sistemul informatic).

PROCEDURA CA3 - Utilizarea tehnicilor de audit asistat de calculator (CAAT)


Tehnicile de auditare asistat de calculator utilizate cel mai frecvent n auditul financiar se
mpart n dou categorii:
(a) tehnici pentru regsirea datelor
prin interogarea fiierelor de date;
prin utilizarea unor module de audit incluse n sistemul informatic auditat.
(b) tehnici pentru verificarea controalelor sistemului
utilizarea datelor de test;
utilizarea facilitilor de testare integrate;
simulare paralel;
Pag. 86 din 180

compararea codului programului;


revizuirea codului programului.
Utilizarea tehnicilor de audit asistat de calculator (CAAT)
Cod
procedur
CA3

Controale de
aplicaie
Utilizarea
tehnicilor de
audit asistat
de calculator
(CAAT)

Documente de
lucru
LV_Controale
Aplicaie

Tabelul 29

Revizuiri / Teste
Identificarea informaiilor care vor fi necesare
pentru prelucrare n scopul obinerii probelor de
audit
Obinerea datelor ntr-un format adecvat pentru
a fi prelucrate
Stocarea datelor ntr-o structur care s permit
prelucrrile impuse de necesitile auditului
Obinerea asigurrii privind versiunea de
programe utilizat i corectitudinea surselor de
date
nelegerea modului n care opereaz sistemul
(identificarea fiierelor care conin datele de
interes i a structurii acestora)
Cunoaterea structurii nregistrrilor, pentru a
le putea descrie n programul de interogare
Formularea interogrilor asupra fiierelor/
bazelor de date
Cunoaterea modului de operare a sistemului
Determinarea criteriilor de selecie a
nregistrrilor n funcie de metoda de
eantionare i de tipurile de prelucrri
Interogarea sistemului i obinerea probelor de
audit. Trebuie adoptat cea mai adecvat form
de prezentare a rezultatelor

Datele trebuie s fie furnizate ntr-o form care s permit utilizarea lor n mod direct de
ctre programul de audit asistat de calculator sau ntr-un format standard compatibil cu
versiunea sofware utilizat de auditor (fiiere Windows, Lotus, Excel, mdb, text cu
separatori, etc.);
Datele trebuie s fie furnizate n format electronic, pentru a permite importul direct n
baza de date a auditorului, pe suport magnetic, optic sau prin reea (Internet, intranet). In
toate cazurile trebuie analizate implicaiile infectrii cu virui.
In cazul auditului financiar, sunt oferite faciliti specifice pentru prelucrarea i analiza
unor colecii mari de date, prin efectuarea unor teste i utilizarea unor proceduri
adecvate, cum ar fi:
Pag. 87 din 180

Teste ale detaliilor tranzaciilor i soldurilor (recalcularea dobnzii, extragerea din


nregistrrile bazei de date a entitii a facturilor care depesc o anumit valoare
sau dat calendaristic sau care ndeplinesc alte condiii);
Proceduri analitice (identificarea neconcordanelor sau a fluctuaiilor
semnificative);
Teste ale controalelor generale (testarea setrii sau a configurrii sistemului de
operare, verificarea faptului c versiunea programului folosit este versiunea
aprobat de conducere);
Programe de eantionare pentru extragerea datelor n vederea efecturii testelor
de audit;
Teste ale controalelor aplicaiilor (testarea conformitii aplicaiei cu condiiile
impuse de legislaia n vigoare);
Refacerea calculelor efectuate de sistemele contabile ale entitii.
Pentru a obine probe de audit de calitate i pentru efectuarea unor prelucrri adiionale,
auditorul poate efectua investigaii privind informaiile generate de calculator, prin
utilizarea tehnicilor de audit asistat de calculator, n particular, utilizarea programului
IDEA.
Acest mod de lucru contribuie la creterea performanei n efectuarea testelor de fond, prin
aplicarea unor proceduri analitice automatizate, precum i a performanei procedurilor de
audit.
Auditorul poate folosi testarea datelor pentru:
verificarea controalelor specifice n sistemele informatice, cum ar fi controale de
acces la date, parole;
prelucrarea tranzaciilor selectate dintre cele prelucrate de sistemul informatic sau
create de auditor pentru a testa facilitile aplicaiilor informatice ale entitii,
separat de datele procesate n mod obinuit de entitate;
prelucrarea tranzaciilor de test n timpul execuiei normale a programului de
prelucrare, de ctre auditorul integrat n sistem ca fiind un utilizator fictiv. In acest
caz, tranzaciile de test trebuie s fie eliminate ulterior din nregistrrile contabile
ale entitii.

PROCEDURA CA4 Determinarea rspunderii


Pentru a determina rspunderea utilizatorilor n ceea ce privete operaiile efectuate
asupra tranzaciilor, sistemele informatice trebuie s fie capabile s identifice ce utilizator
a efectuat o anumit operaie i cnd.

Tabelul 30

Determinarea rspunderii
Cod
procedur

CA4

Controale de
aplicaie

Documente
de lucru

Determinarea
rspunderii

LV_Controale
Aplicaie

Revizuiri / Teste

Implementarea unor controale care identific


i raporteaz aciunile utilizatorilor i
nregistreaz informaiile ntr-un registru de
audit
Conducerea examineaz n mod regulat
rapoartele de excepii extrase din registrul de
audit i ia msuri de urmrire ori de cte ori
Pag. 88 din 180

Cod
procedur

Controale de
aplicaie

Documente
de lucru

Revizuiri / Teste

sunt identificate discrepane


Exist controale adecvate pentru a asigura c
personalul care introduce sau proceseaz
tranzacii nu poate s modifice i nregistrrile
aferente activitilor lor, nscrise n registrul de
audit
Integritatea registrelor de audit este asigurat
prin criptarea datelor sau prin copierea
registrului ntr-un director sau fiier protejat

Auditorul va verifica dac exist controale adecvate pentru a asigura c personalul care
introduce sau proceseaz tranzacii nu poate s modifice i dac sunt nregistrate
activitilor lor.

PROCEDURA CA5 Evaluarea documentaiei aplicaiei


O bun documentaie a aplicaiei reduce riscul comiterii de greeli de ctre utilizatori sau
al depirii atribuiilor autorizate. Documentaia trebuie s fie cuprinztoare, actualizat
la zi, pentru ca examinarea acesteia s ajute auditorul s obin o nelegere a modului n
care funcioneaz fiecare aplicaie i s identifice riscurile particulare de audit.
Documentaia trebuie s includ:
prezentarea general a sistemului;
specificaia cerinelor utilizatorului;
descrierea i listingul programului surs (dup caz);
descrierile intrrilor / ieirilor;
descrierea coninutului fiierelor;
manualul utilizatorului;
instruciuni de operare.
Documentaia aplicaiei
Cod
procedur

Controale de
aplicaie

Documente
de lucru

CA5

Documentaia LV_Controale
aplicaiei
Aplicaie

Tabelul 31

Revizuiri / Teste
Se va evalua:
dac documentaia aplicaiei este
adecvat, cuprinztoare i actualizat;
dac personalul ndreptit are copii ale
documentaiei relevante sau acces la
aceasta;
dac exist instruciuni de lucru pentru
procedurile zilnice i pentru rezolvarea
unor probleme frecvente;
dac se pstreaz copii de rezerv ale
documentaiei aplicaiei n scopul
recuperrii dup dezastru i al relurii
rapide a procesrii.
Pag. 89 din 180

Auditorul va evalua dac documentaia aplicaiei este adecvat, este cuprinztoare i


actualizat, dac personalul ndreptit are copii ale documentaiei relevante sau acces la
aceasta, dac exist instruciuni de lucru pentru procedurile zilnice i pentru rezolvarea
unor probleme frecvente, dac se pstreaz copii de rezerv ale documentaiei aplicaiei n
scopul recuperrii dup dezastru i al relurii rapide a procesrii.

PROCEDURA CA6 Evaluarea securitii aplicaiei


Dup evaluarea controalelor generale IT, auditorul va trebui s obin o nelegere a
controalelor asupra accesului la calculatoarele pe care funcioneaz aplicaiile, n
condiiile n care utilizatorii selecteaz o aplicaie anume. O analiz a securitii aplicaiei
ia n considerare controalele de acces ca fiind o faz anterioar operrii aplicaiei i
vizeaz modul n care sunt controlai utilizatorii cnd acceseaz o anumit aplicaie. De
exemplu, tot personalul din departamentul finane va avea acces, prin controalele
sistemului, la aplicaia financiar online. Pentru controlul accesului la diferite categorii de
informaii (la registrul de vnzri, la registrul de cumprri, la statele de plat etc.) se
introduc controalele de aplicaie suplimentare care reglementeaz drepturile de acces la
fiecare categorie n parte.

Tabelul 32

Securitatea aplicaiei
Cod
procedur
CA6

Controale de
aplicaie
Securitatea
aplicaiei:
acces fizic i
logic

Documente de
lucru
LV_Controale
Aplicaie

Revizuiri / Teste
Se vor evalua proteciile fizice n vigoare pentru
a preveni accesul neautorizat la aplicaie sau la
anumite funcii ale acesteia, n funcie de
atribuii, pentru punerea n aplicare a separrii
sarcinilor i a respectrii atribuiilor
Se vor testa controalele logice de acces utilizate
pentru a restriciona accesul la aplicaie sau la
anumite funcii ale acesteia pentru punerea n
aplicare a separrii sarcinilor i a respectrii
atribuiilor
Se vor testa controalele logice existente pentru
restricionarea activitii utilizatorilor dup ce a
fost obinut accesul la o aplicaie (de exemplu,
meniuri restricionate)
Evaluarea controalelor existente n cadrul
aplicaiei pentru identificarea aciunilor
utilizatorilor individuali (utilizarea de
identificri unice, jurnale de operaii, utilizarea
semnturii electronice)

Auditorul va evalua proteciile fizice n vigoare pentru a preveni accesul neautorizat la


aplicaie sau la anumite funcii ale acesteia, n funcie de atribuii, pentru punerea n
aplicare a separrii sarcinilor i a respectrii atribuiilor. De asemenea, va evalua
controalele existente n cadrul aplicaiei pentru identificarea aciunilor utilizatorilor

Pag. 90 din 180

individuali (utilizarea de identificri unice, jurnale de operaii, utilizarea semnturii


electronice).
Auditorul va testa controalele logice de acces utilizate pentru a restriciona accesul la
aplicaie sau la anumite funcii ale acesteia pentru punerea n aplicare a separrii sarcinilor
i a respectrii atribuiilor, precum i controalele logice existente pentru restricionarea
activitii utilizatorilor dup ce a fost obinut accesul la o aplicaie (de exemplu, meniuri
restricionate).

PROCEDURA CA7 Evaluarea controalelor privind introducerea datelor


n vederea prelucrrii, datele pot fi introduse ntr-o varietate de formate. Pe lng
informaiile introduse direct de la tastatur, aplicaiile informatice accept pe scar din ce
n ce mai larg documente electronice provenind din prelucrri anterioare n alte sisteme
sau create prin utilizarea dispozitivelor electronice de recunoatere a caracterelor.
Controalele fizice i logice de acces trebuie s ofere asigurarea c numai tranzaciile
valabile sunt acceptate pentru introducere.
Controalele fizice de acces includ mecanisme de acces protejate la uile ctre biroul
financiar i terminalele calculatorului (nchidere cu mecanisme de blocare sau cu cheia).
Controalele logice de acces se refer la capacitatea sistemelor informatice de a identifica
utilizatorii individuali i de a raporta identitatea lor fa de o list predeterminat de
funcii pe care fiecare dintre acetia este autorizat s le execute.
Dup identificare i autentificare, aplicaia poate fi n msur s controleze drepturile
fiecrui utilizator. Aceasta se realizeaz pe baza profilului i a drepturilor i privilegiilor
de acces necesare pentru fiecare utilizator individual sau grup de utilizatori. De exemplu,
unui utilizator i se poate atribui profilul de operator n registrul de vnzri i ca atare
acestuia i va fi interzis s realizeze activiti n registrul de cumprri sau n orice alt
modul din cadrul aplicaiei.
O asigurare suplimentar poate fi obinut prin separarea sarcinilor impus prin
calculator. Utilizatorii pot avea un profil care s asigure c sistemul va procesa datele
introduse numai dup ce au fost autorizate de un alt membru nominalizat al personalului.
Profilul utilizatorului trebuie s fie suficient de detaliat pentru a asigura c un membru al
personalului nu poate accesa sau procesa o tranzacie financiar de la nceput la sfrit.
Asigurarea c introducerea datelor este complet poate fi obinut prin gruparea
tranzaciilor pe loturi i verificarea numrului i valorii tranzaciilor introduse cu
totalurile calculate independent.
Dac aplicaiile nu utilizeaz controalele de lot pentru a introduce tranzacii, auditorul
trebuie s caute alte dovezi ale completitudinii. Se poate include o examinare a
documentelor surs pentru a se confirma c acestea au dat natere datelor de intrare.
Aplicaiile pot confirma validitatea intrrii prin compararea datelor introduse, cu
informaii deja deinute in sistem (de obicei din nomenclatoare sau cataloage). De
exemplu, un sistem utilizat de validare a adreselor dintr-un registru de vnzri sau
cumprri implic introducerea numrului cldirii i a codului potal. Calculatorul va

Pag. 91 din 180

cuta adresa n fiierele sale i apoi operatorul o compar cu adresa din documentele de
intrare.
Numerele de cont i alte cmpuri cheie pot ncorpora cifre de control. Cifrele de control
sunt calculate prin aplicarea unui algoritm la coninutul cmpului i pot fi utilizate pentru
a verifica dac acel cmp a fost introdus corect.
Cmpurile financiare pot face obiectul verificrii unui set de date pentru a evita
introducerea de sume neautorizate sau nerezonabile. Datele introduse care ncalc
limitele prestabilite vor fi respinse i evideniate ntr-un registru de audit.
Utilizarea numerelor de ordine ale tranzaciilor poate releva tranzaciile lips, ajut la
evitarea tranzaciilor duble sau neautorizate i asigur un parcurs de audit.
Controalele precizate mai sus nu sunt valide n condiiile n care este posibil ca acestea s
fie ocolite prin aciuni de introducere sau modificare a datelor, din afara aplicaiei.
Controale privind introducerea datelor
Cod
procedur

Controale de
aplicaie

Documente
de lucru

CA7

Controale
LV_Controale
privind
Aplicaie
introducerea
datelor

Tabelul 33

Revizuiri / Teste
Evaluarea procedurilor/controalelor existente care
s asigure c introducerea datelor este autorizat i
exact
Evaluarea controalelor care asigur c toate
tranzaciile valabile au fost introduse (verificri de
completitudine si exactitate), c exist proceduri
pentru tratarea tranzaciilor respinse sau eronate
Evaluarea controalelor care asigur c toate
tranzaciile sunt valabile
Evaluarea controalelor care asigur c toate
tranzaciile sunt autorizate
Evaluarea controalelor care asigur c toate
tranzaciile sunt nregistrate n perioada financiar
corect
Verificarea aciunilor care se ntreprind de ctre
conducere pentru monitorizarea datelor de intrare

Auditorul trebuie s urmreasc existena unor verificri automate ale aplicaiei care s
detecteze i s raporteze orice modificri externe ale datelor, de exemplu modificri
neautorizate efectuate de personalul de operare al calculatorului, direct n baza de date
aferent aplicaiei. Auditorul trebuie s examineze i rezultatele analizelor efectuate de
sistem, pentru a se asigura c utilizarea facilitilor de modificare ale sistemului, precum
editoarele, este controlat corespunztor.
Auditorul va evalua procedurile / controalele existente care s asigure c introducerea
datelor este autorizat i exact, precum i controalele care asigur c toate tranzaciile
Pag. 92 din 180

valabile au fost introduse (verificri de completitudine i exactitate), c exist proceduri


pentru tratarea tranzaciilor respinse sau eronate. Va verifica aciunile care se ntreprind de
ctre conducere pentru monitorizarea datelor de intrare.

PROCEDURA CA8 Evaluarea controalelor privind transmisia de date


Sistemele informatice sunt conectate fie la reeaua local, fie la alte reele externe (LAN
sau WAN), care le permit s primeasc i s transmit date de la calculatoare aflate la
distan. Cele mai utilizate medii de transmitere a datelor includ liniile telefonice,
cablurile coaxiale, unde infraroii, fibre optice i unde radio. Indiferent de mijloacele de
transmisie utilizate, trebuie s existe controale adecvate care s asigure integritatea
datelor tranzaciei transmise.
Aplicaiile care transmit informaii prin reele pot fi supuse urmtoarelor riscuri:
datele pot fi interceptate i modificate fie n cursul transmisiei, fie n cursul
stocrii n site-uri intermediare;
n fluxul tranzaciei se pot introduce date neautorizate utiliznd conexiunile de
comunicaii;
datele pot fi deformate n cursul transmisiei.
Auditorul trebuie s se asigure c exist controale care s previn i s detecteze
introducerea de tranzacii neautorizate. Aceasta se poate realiza, de exemplu, prin
controlul asupra proiectrii i stabilirii legturilor de comunicaii, sau prin ataarea
semnturilor digitale la fiecare transmisie.
Integritatea datelor transmise poate fi compromis datorit defectelor de comunicaie.
Auditorul trebuie s se asigure c funcioneaz controale adecvate, fie n cadrul reelei, fie
n aplicaiile financiare, pentru detectarea datelor deformate. Este posibil ca protocolul de
comunicaii al reelei, respectiv regulile predeterminate care determin formatul i
semnificaia datelor transmise, s ncorporeze faciliti automate de detecie i corecie.
Avnd n vedere uurina interceptrii datelor transmise n reelele locale sau n alte
reele externe, protecia neadecvat a reelei mrete riscul modificrii, tergerii i
dublrii neautorizate a datelor. Exist un numr de controale care pot fi utilizate pentru a
trata aceste probleme:
se pot utiliza semnturi digitale pentru a verifica dac tranzacia provine de la
un utilizator autorizat i coninutul tranzaciei este intact;
se pot utiliza tehnici de criptare a datelor pentru a preveni interpretarea i /
sau modificarea tranzaciilor interceptate;
secvenierea tranzaciilor poate ajuta la prevenirea i detectarea tranzaciilor
dublate sau terse i pot ajuta la identificarea tranzaciilor neautorizate.
Controale ale transmisiei de date
Cod
procedur

Controale
de aplicaie

Documente
de lucru

CA8

Controale
privind
transmisia
de date

LV_Controale
Aplicaie

Tabelul 34

Revizuiri / Teste
Asigurarea c transferul de date n reea este att
complet, ct i exact (utilizarea semnturii digitale,
criptarea datelor, secvenierea tranzaciilor)

Pag. 93 din 180

Cod
procedur

Controale
de aplicaie

Documente
de lucru

Revizuiri / Teste
Identificarea i tratarea riscurilor asociate
transferului de date n reea

Auditorul va evalua controalele implementate pentru asigurarea c transferul de date n


reea este att complet ct i exact (utilizarea semnturii digitale, criptarea datelor,
secvenierea tranzaciilor), precum i metodele de identificare i tratare a riscurilor asociate
transferului de date n reea (adoptate de organizaie).

PROCEDURA CA9 Evaluarea controalelor prelucrrii


Controalele prelucrrii n cadrul unei aplicaii informatice trebuie s asigure c se
utilizeaz numai date i versiuni de program valabile, c procesarea este complet i
exact i c datele prelucrate au fost nscrise n fiierele corecte.
Asigurarea c prelucrarea a fost complet i exact poate fi obinut prin efectuarea unei
comparaii a totalurilor deduse din tranzaciile introduse cu totalurile din fiierele de date
meninute de calculator. Auditorul trebuie s se asigure c exist controale pentru
detectarea procesrii incomplete sau inexacte a datelor de intrare.
Procesele aplicaiei pot s efectueze i alte validri ale tranzaciei, prin verificarea datelor
cu privire la dublarea unor tranzacii i la concordana cu alte informaii deinute de alte
componente ale sistemului. Procesul poate s verifice integritatea datelor pe care le
pstreaz prin utilizarea sumelor de verificare deduse din date. Scopul acestor controale
este de a detecta modificrile externe aduse datelor datorit anomaliilor sistemului sau a
utilizrii neautorizate a unor faciliti de modificare ale sistemului, precum editoarele.
Sistemele informatice financiar-contabile trebuie s menin un registru al tranzaciilor
procesate. Registrul de tranzacii, care poate fi denumit fiierul parcursului de audit,
trebuie s conin informaii suficiente pentru a identifica sursa fiecrei tranzacii i fluxul
de prelucrare al acesteia.
n mediile care se prelucreaz loturi de date, erorile detectate n cursul procesrii trebuie
s fie aduse la cunotina utilizatorilor. Loturile respinse trebuie nregistrate i napoiate
expeditorului. Sistemele online trebuie s ncorporeze controale de monitorizare i
raportare a tranzaciilor neprocesate sau neclare (precum facturi pltite parial). Trebuie
s existe proceduri care s permit conducerii s identifice i s examineze toate
tranzaciile neclarificate peste un anumit termen.
Aplicaiile trebuie sa fie proiectate pentru a face fa perturbaiilor, precum cele cauzate
de defecte de alimentare cu curent electric sau de echipament (salvarea strii curente n
caz de incident). Sistemul trebuie sa fie capabil s identifice toate tranzaciile incomplete
i s reia procesarea acestora de la punctul de ntrerupere.

Pag. 94 din 180

Tabelul 35

Controalele prelucrrii
Cod
Controale
procedur de aplicaie
CA9

Documente
de lucru

Controalele LV_Controale
prelucrrii Aplicaie

Revizuiri / Teste
Evaluarea controalelor existente care s asigure c
toate tranzaciile au fost procesate, pentru a reduce
riscul de procesare a unor tranzacii incomplete,
eronate sau frauduloase
Evaluarea controalelor existente care s asigure c
sunt procesate fiierele corecte (controalele pot fi de
natur fizic sau logic i previn riscul de procesare
necorespunztoare a unor tranzacii)
Se va verifica existena controalelor pentru a asigura
exactitatea procesrii i a controalelor pentru
detectarea / prevenirea procesrii duble
Se va verifica existena controalelor pentru a asigura
c toate tranzaciile sunt valabile
Se va verifica existena controalelor pentru a asigura
c procesele din calculator sunt auditabile
Se va verifica modul n care aplicaia i personalul
trateaz erorile de procesare

Auditorul va evalua controalele existente care s asigure c toate tranzaciile au fost


procesate, pentru a reduce riscul de procesare a unor tranzacii incomplete, eronate sau
frauduloase, controalele existente care s asigure c sunt procesate fiierele corecte
(controalele pot fi de natur fizic sau logic i previn riscul de procesare
necorespunztoare a unor tranzacii), precum i existena controalelor care s asigure
exactitatea procesrii i a controalelor pentru detectarea / prevenirea procesrii duble.
Se va verifica, de asemenea, modul n care aplicaia i personalul trateaz erorile de
procesare.

PROCEDURA CA10 Evaluarea controalelor privind datele de ieire


Implementarea controalelor datelor de ieire trebuie s asigure c rezultatele furnizate de
sistemul informatic ndeplinesc urmtoarele condiii:
sunt complete;
sunt exacte;
au fost distribuite corect.
Pentru a obine o asigurare c avut loc o prelucrare complet i exact, se implementeaz
un mecanism de raportare a tuturor mesajelor de eroare detectate n cursul procesrii sau
de furnizare a unor totaluri de control care s se compare cu cele produse n cursul
Pag. 95 din 180

introducerii, pus la dispoziia persoanelor responsabile cu introducerea i autorizarea


datelor tranzaciei. Aceasta poate lua forma unui registru de operaii.
Completitudinea i integritatea rapoartelor de ieire depinde de restricionarea capacitii
de modificare a ieirilor i de ncorporarea de verificri de completitudine, cum ar fi
numerotarea paginilor, i de prezentarea unor sume de verificare.
Fiierele de ieire trebuie s fie protejate pentru a reduce riscul modificrilor
neautorizate. Motivaii posibile pentru modificarea datelor de ieire includ acoperirea
procesrii neautorizate sau manipularea rezultatelor financiare nedorite. De exemplu,
fiierele de ieire neprotejate n cadrul unui sistem de plat a notelor de plat ar putea fi
exploatate prin alterarea sumelor cecurilor sau a ordinelor de plat i a detaliilor
beneficiarului. O combinaie de controale fizice i logice poate fi utilizat pentru
protejarea integritii datelor de ieire.
Datele de ieire dintr-un sistem IT pot constitui date de intrare n alt sistem, nainte ca
acestea s fie reflectate n situaiile financiare; de exemplu, datele de ieire dintr-un
sistem care transfer statele de plat, ca date de intrare, n registrul general. Acolo unde se
ntlnete acest caz, auditorul trebuie s verifice existena controalelor care s asigure c
datele de ieire sunt transferate exact de la o faz de procesare la alta. Un alt exemplu ar fi
n cazul n care datele de ieire dintr-o balan de verificare sunt utilizate ca date de
intrare ntr-un pachet de procesare de tabele care reformateaz datele pentru a produce
situaiile financiare.
Tabelul 36
Controalele privind datele de ieire
Cod
procedur

Controale
de
aplicaie

Documente
de lucru

CA10

Controale
privind
datele de
ieire

LV_Controale
Aplicaie

Revizuiri / Teste
Se va verifica existena controalelor care s asigure c
rezultatele furnizate de sistemul informatic sunt
complete, sunt exacte; au fost distribuite corect
Se va verifica existena controalelor care s asigure c
ieirile de la calculator sunt stocate corect i atunci
cnd sunt transmise acestea ajung la destinaie
Se va verifica existena controalelor corespunztoare
privind licenele software
Se va verifica existena controalelor privind caracterul
rezonabil, exactitatea i completitudinea ieirilor

Auditorul va verifica existena controalelor care s asigure c ieirile de la calculator sunt


stocate corect i, atunci cnd sunt transmise, acestea ajung la destinaie, va verifica
existena controalelor corespunztoare privind caracterul rezonabil, exactitatea i
completitudinea ieirilor.

Pag. 96 din 180

PROCEDURA CA11 Evaluarea controalelor privind fiierele de date


permanente
Implementarea controalelor privind fiierele de date permanente trebuie s ofere
asigurarea c: modificrile aduse datelor sunt autorizate; utilizatorii sunt rspunztori de
modificri; integritatea este pstrat.
Controalele de acces, de identificare i autentificare puternice, pot sta la baza asigurrii c
datele permanente sunt create, modificate, recuperate sau terse numai de personal
autorizat. Aceste controale sunt foarte eficiente atunci cnd sunt implementate n sistemul
de operare, deoarece vor prentmpina utilizarea neautorizat a facilitilor sistemului
pentru a modifica datele n afara mediului de control al aplicaiei.
Fiierele de date permanente trebuie s fie protejate pentru a evita ca tranzacii valabile
s fie procesate incorect. De exemplu, modificarea unor detalii referitoare la furnizori
poate conduce la situaia ca o plata valabil s fie efectuat unui beneficiar neautorizat.
Controalele de acces trebuie s asigure c exist o separare a sarcinilor ntre cei care
pstreaz datele permanente i cei care introduc tranzacii. Registrele de audit trebuie s
nregistreze informaii, precum data i ora la care s-a fcut modificarea, identificarea
persoanei responsabile i cmpurile de date afectate. Fiierele importante de date
permanente trebuie s aib copii de rezerv ori de cte ori se fac modificri importante.
Aplicaiile care controleaz permisiunile de acces ale utilizatorului stocheaz detalii ale
acestor permisiuni n fiierele de date permanente. Aceste fiiere trebuie s fie protejate la
modificri neautorizate. Conducerea trebuie s probeze c se realizeaz verificri
independente, care s asigure c administratorul sistemului de control al accesului
aplicaiei nu abuzeaz de privilegiile sale. Organizaiile pot lista periodic coninutul
fiierelor de date permanente (de exemplu profilele de securitate ale utilizatorilor) pentru
verificri operative.

Tabelul 37

Controalele privind fiierele de date permanente


Cod
procedur

Controale
de aplicaie

Documente
de lucru

CA11

Controale
LV_Controale
privind
Aplicaie
fiierele de
date
permanente

Revizuiri / Teste
Se va verifica existena i se vor testa controalele
privind autorizarea accesului i a modificrilor
datelor permanente
Se va obine asigurarea c datele permanente sunt
create, modificate, recuperate sau terse numai de
personal autorizat
Verificri operative prin listarea periodic a
coninutului fiierelor de date permanente
Fiierele importante de date permanente au copii de
rezerv ori de cte ori se fac modificri importante
Conducerea trebuie s probeze c se realizeaz
verificri independente, care s asigure c
administratorul sistemului de control al accesului
aplicaiei nu abuzeaz de privilegiile sale

Pag. 97 din 180

Auditorul va verifica existena controalelor i va testa controalele privind autorizarea


accesului i a modificrilor datelor permanente.

PROCEDURA CA12 - Evaluarea conformitii aplicaiilor cu legislaia n


vigoare
n cadrul entitilor auditate, sistemele informatice care fac obiectul evalurii sunt
utilizate ca suport pentru asistarea deciziei, constituind sisteme IT utilizate pentru
evidena, prelucrarea i obinerea de rezultate, situaii operative i sintetice la toate
nivelele de raportare.
Din acest motiv, o categorie special de controale IT se refer la conformitatea sistemului
informatic cu cerinele impuse de cadrul legislativ i de reglementare.
Cerinele legislative i de reglementare variaz de la o ar la alta. Acestea includ:
Legislaia privind protecia datelor private i legislaia privind protecia datelor
personale;
Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii
informatice;
Reglementri financiare i bancare;
Legile cu privire la proprietatea intelectual.
Evaluarea conformitii aplicaiilor cu legislaia n vigoare
Cod
procedur
CA12

Controale de
aplicaie

Documente
de lucru

Conformitatea LV_Controale
aplicaiilor cu Aplicaie
legislaia n
vigoare

Tabelul 38

Revizuiri / Teste
Existena unor politici sau proceduri formale prin
care se atribuie responsabilitatea monitorizrii
mediului legislativ care poate avea impact asupra
sistemelor informatice
Este alocat responsabilitatea asigurrii
conformitii aplicaiilor cu clauzele contractuale
privind:
asigurarea c sistemul implementat este
actualizat n conformitate cu ultima versiune
furnizat;
respectarea termenelor privind distribuirea
ultimelor versiuni de echipamente, software,
documentaie;
livrarea i instalarea configuraiilor hardware
/ software pe baza unui grafic, conform
clauzelor contractuale, pe etape i la termenele
stabilite;
respectarea obligaiilor privind instruirea i
suportul tehnic, stabilite prin contract;
furnizarea pachetelor software conform
clauzelor contractuale. Verificarea existenei i
valabilitii licenelor furnizate n cadrul
contractului;
Pag. 98 din 180

Cod
procedur

Controale de
aplicaie

Documente
de lucru

Revizuiri / Teste
asigurarea suportului tehnic (prin telefon, email sau utiliznd un portal; portalul poate
avea seciuni distincte foarte utile pentru
suport tehnic specializat pe categorii relevante
de probleme / anomalii sau pentru instruirea
continu a utilizatorilor;
furnizarea documentaiei tehnice conform
contractului: coninutul (lista, numrul
manualelor, limba) i formatul (tiprit, n
format electronic, on-line);
Existena unor proceduri scrise privind analiza i
acceptarea produselor i serviciilor furnizate n
cadrul contractului, precum i recepia cantitativ
i calitativ
Existena specificaiilor funcionale, a manualelor
de utilizare i administrare pentru proiectele de
dezvoltare software
Existena manualelor de utilizare pentru
echipamentele livrate

PROCEDURA CA13 - Efectuarea testelor de audit


n etapa de studiu preliminar, auditorul trebuie s obin o nelegere suficient a
sistemului pentru a determina dac sistemul de controale interne este de ncredere i
furnizeaz informaii corecte despre acurateea nregistrrilor. n cazul n care sistemul de
controale interne nu pare a fi suficient de robust, auditorul trebuie s testeze controalele
pentru a evalua riscul asupra obiectivelor auditului.
n acest scop, auditorul poate utiliza tehnici i metode de testare variate. Acestea pot fi
bazate pe programe de test al conformitii care conin informaii privind: descrierea
controlului care va fi testat, proba de audit estimat pentru satisfacerea condiiilor, teste
extinse (inclusiv bazate pe eantionare), descrierea funcionrii eronate a controlului, cte
eecuri pot fi tolerate. Probele de audit se colecteaz prin combinarea unor tehnici
tradiionale, cum ar fi observarea, interviul, examinarea i eantionarea, cu tehnici de
auditare asistat de calculator.
Efectuarea testelor de audit
Cod
procedur

Controale de
aplicaie

CA13

Efectuarea
testelor de
audit

Documente
de lucru
LV_Controale
Aplicaie

Tabelul 39

Revizuiri / Teste
Se va verifica existena evidenelor complete ale
tranzaciilor aferente aplicaiei
Se va evalua fezabilitatea colectrii probelor de
audit relevante i suficiente
Pag. 99 din 180

Cod
procedur

Controale de
aplicaie

Documente
de lucru

Revizuiri / Teste
Se va evalua dac parcursul (pista) de audit se
poate reconstitui din fluxul de prelucrare
Se va evalua dac aplicaia este disponibil atunci
cnd este nevoie, funcioneaz conform cerinelor,
este fiabil i are implementate controale sigure
asupra integritii datelor
Se va detalia procedura de actualizare a aplicaiei n
concordan cu modificrile legislative
Se va evalua aplicaia din punct de vedere al
gestionrii resurselor informatice disponibile (date,
funcionalitate, tehnologii, faciliti, resurse umane,
etc.)
Se va evalua cunoaterea funcionrii aplicaiei de
ctre utilizatori
Se vor efectua teste de verificare a parametrilor i
funcionalitii aplicaiei din punct de vedere
operaional i al conformitii cu legislaia n
vigoare
Se vor efectua teste de verificare la nivel de funcie
pentru procedurile critice din punctul de vedere al
performanei (lansarea, derularea i abandonarea
procedurilor, accesul la informaii n funcie de
perioada de nregistrare/raportare, restaurarea
bazei de date)
Se vor efectua teste privind corectitudinea
ncrcrii / actualizrii informaiilor n baza de
date. Se vor meniona metodele de depistare i
rezolvare a erorilor. Se vor testa funciile de
regsire i analiz a informaiei
Se va evalua interoperabilitatea aplicaiei cu
celelalte aplicaii din sistemul informatic
Se vor evalua: sistemul de raportare propriu
aplicaiei i sistemul de raportare global
Se vor efectua teste privind modul de accesare a
aplicaiei la nivel de reea, la nivelul staiei de lucru
i la nivel de aplicaie
Se vor testa funciile de conectare ca utilizator final
i de operare n timp real, pe tranzacii de test
Se va evalua funcionalitatea comunicrii cu
nivelele superior i inferior

Pag. 100 din 180

Cod
procedur

Controale de
aplicaie

Documente
de lucru

Revizuiri / Teste
Se va analiza soluia de gestionare a documentelor
electronice
Se va efectua verificarea prin teste a proteciilor
aferente aplicaiei

Problemele care pot aprea cu privire la ncrederea n controalele de aplicaie se pot


sintetiza astfel:
(a) Controalele IT nu furnizeaz un istoric al operrii din cauza scufundrii lor n corpul
aplicaiei i, n consecin, nu furnizeaz probe de audit explicite.
(b) Perioada de timp n care acioneaz controalele de aplicaie IT este limitat, acestea
acionnd, n general, pe o durat foarte scurt a ciclului de via al tranzaciei (de
exemplu, pe durata introducerii datelor).
(c) Rezervele auditorilor fa de controalele de aplicaie IT datorate eventualitii alterrii
acestora de ctre persoane interesate n inducerea n eroare a auditorului.
(d) Rezervele auditorilor fa de controlul preventiv asigurat, decurgnd din natura
controalelor IT, care nu prezint garanii privind funcionarea corect.
Majoritatea organizaiilor folosesc produse informatice pentru gestiune i contabilitate. Ca
urmare a cerinelor impuse informaiei contabile de ctre utilizatorii acesteia, produsele
informatice trebuie s ndeplineasc, la rndul lor, o serie de cerine specifice.

2.3.1 Norme metodologice ale Ministerului Finanelor Publice


privind criterii i cerine minimale pentru sistemele informatice
financiar- contabilitate
n Romnia exist o multitudine de dezvoltri ale unor astfel de produse, care ar trebui s
se raporteze la o serie de criterii i cerine minimale reglementate, n principal, prin
norme metodologice ale Ministerului Finanelor Publice. Aceste norme se refer n
principal la urmtoarele aspecte:
a) Pentru controlul intern
b) Actualizrile sistemului informatic n concordan cu modificrile legislative;
c) Cunoaterea funcionrii sistemului informatic de ctre utilizatori (personalul de
operare);
d) Accesul la date (confidenialitate, utilizare de parole de acces la date i la sistem);
e) Opiuni pentru alegerea tipului de suport magnetic pentru copiile de siguran;
f) Posibiliti de depistare i rezolvare a erorilor.
a) Pentru controlul extern
a) Posibiliti de verificare complet sau prin sondaj a procedurilor de prelucrare;
b) Posibiliti de verificare complet sau prin sondaj a operaiunilor nregistrate n
contabilitate;

Pag. 101 din 180

c) Posibiliti de verificare complet sau prin sondaj a fluxului de prelucrri prin teste
de control.
c) Criterii minimale pentru produsele informatice de gestiune i contabilitate
a) Concordana cu legislaia n vigoare;
b) Precizarea tipului de suport care s asigure prelucrarea n siguran a
informaiilor;
c) Identificarea complet a fiecrei informaii nregistrate;
d) Respectarea criteriului cronologic n liste, cu imposibilitatea actualizrii ulterioare
a listei;
e) Transferul automat al soldurilor precedente pentru perioada curent;
f) Conservarea datelor (arhivarea) conform Legii contabilitii nr. 82/1991;
g) Posibilitatea restaurrii datelor arhivate;
h) Imposibilitatea actualizrii datelor pentru perioadele de gestiune precedente;
i) Preluarea informaiilor eseniale pentru identificarea operaiunilor: dat,
denumire jurnal, numr pagin sau numr nregistrare, numr document;
j) Acces parolat;
k) Identificarea n liste a unitii patrimoniale, a paginrii cronologice, a tipului de
document, a perioadei de gestiune, a datei de listare i a versiunii de produs
progam;
l) Listarea documentelor de sintez necesare conducerii ntreprinderii;
m) Respectarea coninutului informaional pentru formularele cu regim special;
n) Asigurarea concordanei ntre cartea mare a fiecrui cont i jurnalul de
nregistrare;
o) S respecte cerinele de normalizare a bazelor de date cu privire la conturi i
documente;
p) S existe posibilitatea actualizrii conturilor fr afectarea situaiilor patrimoniale
i a celei de gestiune;
q) S existe documentaie tehnic asociat caracteristicilor produselor program
(mono / multi post, mono / multi societate, portabilitatea fiierelor, arhitectura de
reea, aplicaii) care s permit utilizarea optim a produselor informatice n
cauz;
r) Stabilirea tipului de organizare pentru culegerea datelor (pe loturi cu control
ulterior, n timp real cu control imediat, combinat);
s) S nu fie limitat volumul informaiilor contabile;
t) S asigure securitatea datelor i fiabilitatea;
u) S existe clauze de actualizare a procedurilor de prelucrare a informaiilor
financiar-contabile;
v) S asigure continuitatea sistemului n cazul ncetrii activitii de dezvoltare
software, inclusiv arhivarea i restaurarea datelor;
w) S funcioneze gestiunea versiunilor.

2.3.2 Volumul de teste de control


n ceea ce privete determinarea volumului de teste necesare pentru obinerea asigurrii
privind funcionarea controalelor, auditorul i bazeaz decizia pe o combinaie ntre

Pag. 102 din 180

raionamentul profesional i o modelare statistic pe care o poate efectua n acest scop.


Dac auditorul i propune s planifice ca testele de control s se efectueze pe un numr
mare de tranzacii, atunci va aplica metoda eantionrii datelor i va stabili dimensiunea
eantionului.
Auditorul va efectua urmtoarele teste:
Va verifica criteriile i cerine minimale reglementate, n principal, prin normele
metodologice ale Ministerului Finanelor Publice;
Va verifica existena evidenelor complete ale tranzaciilor aferente aplicaiei;
Va evalua fezabilitatea colectrii probelor de audit relevante i suficiente;
Va evalua dac parcursul (pista) de audit se poate reconstitui din fluxul de
prelucrare;
Va evalua dac aplicaia este disponibil atunci cnd este nevoie, funcioneaz
conform cerinelor, este fiabil i are implementate controale sigure asupra
integritii datelor;
Va detalia procedura de actualizare a aplicaiei n concordan cu modificrile
legislative;
Va evalua aplicaia din punct de vedere al gestionrii resurselor informatice
disponibile (date, funcionalitate, tehnologii, faciliti, resurse umane etc.);
Va evalua cunoaterea funcionrii aplicaiei de ctre utilizatori;
Va efectua teste de verificare a parametrilor i funcionalitii aplicaiei din punct de
vedere operaional i al conformitii cu legislaia n vigoare;
Va efectua teste de verificare la nivel de funcie pentru procedurile critice din punctul
de vedere al performanei (lansarea, derularea i abandonarea procedurilor, accesul
la informaii n funcie de perioada de nregistrare / raportare, restaurarea bazei de
date);
Se vor efectua teste privind corectitudinea ncrcrii / actualizrii informaiilor n
baza de date. Se vor meniona metodele de depistare i rezolvare a erorilor. Se vor
testa funciile de regsire i analiz a informaiei;
Va evalua interoperabilitatea aplicaiei cu celelalte aplicaii din sistemul informatic;
Va evalua sistemul de raportare propriu aplicaiei i sistemul de raportare global;
Se vor efectua teste privind modul de accesare a aplicaiei la nivel de reea, la nivelul
staiei de lucru i la nivel de aplicaie;
Se vor testa funciile de conectare ca utilizator final i de operare n timp real, pe
tranzacii de test;
Se va evalua funcionalitatea comunicrii cu nivelele superioare i inferioare;
Se va analiza soluia de gestionare a documentelor electronice;
Se va efectua verificarea prin teste a proteciilor aferente aplicaiei.
Aceast list nu este exhaustiv. n funcie de obiectivele auditului i de specificul
sistemului / aplicaiei auditate, auditorul poate decide efectuarea i a altor teste care pot
furniza concluzii relevante pentru formularea unei opinii corecte.

Pag. 103 din 180

Capitolul 3. Riscuri IT
Riscul IT este o component a universului general al riscurilor organizaiei. Alte categorii
de riscuri cu care se confrunt o ntreprindere includ: riscul strategic, riscul de mediu,
riscul de pia, riscul de credit, riscul operaional i riscul de conformitate. Riscul legat de IT
poate fi considerat, n acelai timp, ca find o component a riscului operaional, sau a
riscului strategic.
Riscul IT este un risc specific al afacerii, asociat cu utilizarea, proprietatea, operarea,
implicarea, influena i adoptarea IT n cadrul unei organizaii. Se compune din
evenimente legate de IT i din condiii care ar putea avea impact potential asupra afacerii.
Acesta poate aprea cu frecven i amploare incerte, i poate s creeze probleme n
atingerea obiectivelor strategice i a obiectivelor.
Riscurile IT pot fi clasificate n diferite moduri:
Riscuri privind beneficiile/valoarea generate de IT: tehnologia ca suport pentru;
iniiativele de afaceri noi, tehnologia ca suport pentru eficientizarea operaiunilor
Riscuri privind livrarea programelor i proiectelor IT: calitatea proiectului, relevana
proiectului, perturbri n derularea proiectului;
Riscuri privind operarea i livrarea serviciilor IT: stabilitatea n funcionare,
disponibilitatea, protecia i recuperarea serviciilor, probleme de securitate,
cerine de conformitate.
Multe probleme legate de riscul IT pot aprea din cauza problemelor generate de teri
(furnizarea de servicii, dezvoltarea de soluii), parteneri IT i parteneri de afaceri. Prin
urmare, buna gestionare a riscurilor IT impune dependene semnificative care urmeaz s
fie cunoscute i bine nelese.
Datorita importanei IT pentru organizaie (afacere), riscurile IT ar trebui s fie tratate la
fel ca alte riscuri cheie ale afacerii, cum ar fi riscul strategic, riscul de mediu, riscul de
pia, riscul de credit, riscurile operaionale i riscul de conformitate, toate acestea avnd
impact major asupra ndeplinirii obiectivelor strategice.
n acest sens, n conformitate cu OMF nr. 946/2005 pentru aprobarea Codului controlului
intern, cuprinznd standardele de management/control intern la entitile publice i pentru
dezvoltarea sistemelor de control managerial, instituiile publice sunt obligate s
ntocmesc i s actualizeze periodic un registru al riscurilor care va avea o seciune
dedicat riscurilor IT.
Riscul IT nu este doar o problem tehnic. Dei experii n IT sunt interesai s neleag i
s gestioneze aspectele legate de riscurile IT, managementul este cel mai important dintre
prile interesate.

3.1

Probleme cu impact semnificativ asupra riscului de audit

n cazul informatizrii unei pri semnificative a activitii entitii, se impune evaluarea


influenei utilizrii sistemului informatic asupra riscurilor auditului (inerent i de control),
avnd n vedere aspectele legate de relevana i credibilitatea probelor de audit. Vom
prezenta n continuare o serie de probleme tipice cu impact semnificativ asupra riscului
de audit.

Pag. 104 din 180

(a) Complexitatea fluxurilor de prelucrare poate genera lipsa formelor intermediare


pe care le parcurge tranzacia, generndu-se n cele mai multe cazuri numai o
form final i uneori numai n format electronic sau disponibil numai pentru o
perioad scurt de timp. n lipsa unor proceduri de validare adecvate, erorile pot fi
dificil de detectat prin proceduri manuale, proba de audit fiind neconcludent.
(b) Alterarea probelor de audit poate fi cauzat de existena unor anomalii sau erori
sistematice ale funcionrii programelor, care afecteaz prelucrarea ntregului
fond de date i duc la obinerea unor rezultate eronate, greu de corectat prin
proceduri manuale, avnd n vedere volumul mare al tranzaciilor i complexitatea
algoritmilor de prelucrare.
(c) Concentrarea operrii unor proceduri cu funcionalitate incompatibil la nivelul
aceluiai individ, proceduri care, potrivit legislaiei sau reglementrilor interne
privind separarea atribuiilor, ar trebui operate de ctre persoane diferite,
genereaz executarea unor funcii incompatibile i posibilitatea accesului i
alterrii coninutului informaional n funcie de interese personale. O cerin
important legat de operarea sistemului informatic este distribuirea aplicaiilor
n cadrul entitii i alocarea drepturilor de utilizare n conformitate cu necesitatea
separrii atribuiilor, impus de legislaie.
(d) Datorit interveniei umane, care nu are ntotdeauna asociate protecii stricte
privind autorizarea accesului i intervenia asupra fondului de date, n
dezvoltarea, ntreinerea i operarea sistemului informatic, exist un potenial
foarte mare de alterare a fondului de date fr o dovad explicit.
(e) Ca urmare a gestionrii automate a unui volum mare de date, fr implicare
uman, exist riscul nedetectrii pentru o perioad lung de timp a unor erori
datorate unor anomalii de proiectare sau de actualizare a unor componente
software.
(f) n cazul unor proceduri sau tranzacii executate n mod automat, autorizarea
acestora de ctre management poate fi implicit prin modul n care a fost proiectat
i dezvoltat sistemul informatic i pentru modificrile ulterioare, ceea ce
presupune lipsa unei autorizri similare celei din sistemul manual, asupra
procedurilor i tranzaciilor.
(g) Eficacitatea procedurilor manuale de control este afectat de eficacitatea
controalelor IT n situaia n care procedurile manuale se bazeaz pe documente i
rapoarte produse n mod automat de sistemul informatic.
(h) Extinderea structurii de control intern cu controale specializate, bazate pe
utilizarea tehnologiei informaiei, are efecte n planul monitorizrii activitii
entitii prin utilizarea unor instrumente analitice oferite de sistemul informatic.
(i) Efectuarea testelor de control asupra unui volum mare de date, prin utilizarea
tehnicilor i instrumentelor de audit asistat de calculator, este facilitat de
existena unor proceduri de prelucrare i analiz oferite de sistemul informatic.
(j) Evaluarea riscurilor n cazul misiunilor de audit n mediu informatizat trebuie s
aib n vedere probabilitatea obinerii unor informaii eronate cu impact
Pag. 105 din 180

semnificativ asupra auditului ca rezultat al unor deficiene n funcionarea


sistemului informatic. Aceste deficiene pot fi legate att de calitatea infrastructurii
hardware i/sau software, de dezvoltarea i ntreinerea aplicaiilor, de operarea
sistemului, de securitatea sistemului i a informaiilor, de calitatea personalului
implicat n funcionarea sistemului, de calitatea documentaiei tehnice, ct i de
interveniile neautorizate asupra aplicaiilor, bazelor de date sau de condiiile
procedurale impuse n cadrul sistemului.
n proiectarea procedurilor de audit, se vor lua n considerare restriciile impuse de mediul
informatic i se vor alege soluii care s reduc riscul de audit: proceduri manuale de audit,
tehnici de audit asistat de calculator, o soluie mixt, n scopul obinerii unor probe de audit
de ncredere.

3.2

Riscurile generate de existena mediului informatizat

nelegerea aspectelor legate de infrastructura IT, de managementul serviciilor IT, precum


i a procedurilor de evaluare i management al riscurilor este fundamental n efectuarea
auditului.
Evaluarea riscurilor generate de funcionarea sistemului informatic, prin analiza unor arii
de risc cu impact n desfurarea activitii entitii auditate, respectiv: dependena de IT,
resurse i cunotine IT, ncrederea n IT, schimbri n IT, externalizarea IT, securitatea
informaiei, respectarea legislaiei n vigoare, este esenial.

3.2.1 Dependena de IT
Dependena de tehnologiile informaiei este un factor cheie n condiiile n care tendina
actual este de a se generaliza utilizarea calculatoarelor n toate domeniile economice i
sociale.
n scopul evalurii dependenei conducerii de tehnologiile informaiei, auditorul va
examina urmtoarele aspecte relevante: gradul de automatizare al entitii, complexitatea
sistemelor informatice utilizate i timpul de supravieuire al entitii n lipsa sistemului IT.
Tabelul 40
Dependena de IT
Arii de risc

Gradul de automatizare

Factori de risc
Numrul i importana sistemelor informatice sau
aplicaiilor care funcioneaz i sunt utilizate n
cadrul entitii pentru conducerea proceselor

Documente
de lucru
LV_Riscuri

Ponderea activitilor informatizate n totalul


activitilor entitii
Gradului de acoperire a necesitilor n
compartimentele funcionale i la nivelul conducerii

Pag. 106 din 180

Arii de risc

Factori de risc

Complexitatea
sistemului IT

Volumul tranzaciilor gestionate de fiecare din


aplicaiile informatice (subsisteme) i forma de
prezentare (alfanumeric, multimedia, analogic)

Documente
de lucru
LV_Riscuri

Tehnologia utilizat, pentru fiecare din


subsistemele sistemului informatic
Modul de operare (n timp real sau n loturi)
Volumul tranzaciilor generate automat de ctre
aplicaii
Modul de preluare a datelor: n format electronic
sau manual (suport hrtie), n timp real sau pe
loturi
Timpul de supravieuire
fr IT

Consecinele asupra activitii curente n LV_Riscuri


eventualitatea ntreruperii funcionrii sistemului
informatic sau a unui subsistem
Sistemul prelucreaz un volum mare de tranzacii,
are la baz algoritmi i modele complexe a cror
rezolvare nu se poate efectua manual
ntreaga activitate este informatizat iar
substituirea procedurilor automate prin proceduri
manuale este foarte costisitoare sau imposibil
Posibilitatea limitat de refacere a funcionalitii,
costurile, intervalul de timp necesar pentru
reluarea funcionrii, impact economic, social, de
imagine, etc.

3.2.2 Resurse i cunotine IT


Politica de personal i de instruire
Erorile i omisiunile umane sunt cele mai mari surse de probleme. Pentru reducerea
riscurilor cauzate de greelile umane, entitatea trebuie s implementeze controale i
proceduri n cadrul unor politici de personal adecvate: o structur organizaional clar,
formalizat n organigrama entitii, descrierea posturilor, planificarea personalului,
instruirea i dezvoltarea personalului, politici de angajare/concediere (inclusiv coduri de
conduit), evaluarea personalului (promovare/retrogradare), contracte speciale, rotaia
personalului, concediile personalului.

Tabelul 41

Resurse i cunotine IT
Arii de risc
Aptitudini curente

Factori de risc
Structura profesional a angajailor din compartimentul IT
(organigram, numr, stat funciuni, fie de post etc.)

Documente
de lucru
LV_Riscuri

Pag. 107 din 180

Arii de risc

Factori de risc

Documente
de lucru

Nivelul de pregtire al angajailor IT n raport cu


necesitile activitii curente
Anumite cunotine IT concentrate la nivelul unui numr
restrns de personal
Metodele de evaluare a personalului IT
Resurse
comparate cu
volumul de munc

Numrul personalului IT n raport cu volumul de munc

LV_Riscuri

Suprancrcarea personalului IT
Activitatea personalului IT nu este una specific exclusiv
domeniului IT

Fluctuaia
personalului

Fluctuaia personalului IT n ultima perioad (de exemplu,


3 ani)

LV_Riscuri

Insatisfacia profesional
Moralul personalului IT (nivel de salarizare, stimulente,
posibiliti de promovare, stagii de pregtire i de
perfecionare etc.).

3.2.3 ncrederea n IT
ncrederea actorilor implicai n utilizarea sistemelor informatice sau n valorificarea
rezultatelor furnizate de acestea n cadrul unei entiti (management, utilizatori, auditori)
este determinat att de calitatea informaiilor obinute, ct i gradul n care se asigur
utilizarea tehnologiilor informatice ca instrumente accesibile i prietenoase n activitatea
curent.

Tabelul 42

ncrederea n IT
Arii de risc
Complexitatea
sistemului i
documentaia
aplicaiilor
informatice

Factori de risc
ncrederea conducerii de vrf i a personalul implicat n
proiectele legate de implementarea serviciilor IT, n
implementarea programelor i proiectelor

Documente
de lucru
LV_Riscuri

Percepia privind complexitatea calculelor i a proceselor


controlate de ctre sistemele IT, prin amploarea
automatizrii activitilor desfurate n cadrul entitii, prin
calitatea i varietatea interfeelor, prin informaiile
documentare aferente utilizrii aplicaiilor i sistemului
Cum este apreciat complexitatea sistemului de ctre
personalul implicat n coordonare, administrare, ntreinere
i utilizare
n ce constau i cum sunt apreciate documentaia i suportul
metodologic (calitatea slab genereaz practici de lucru

Pag. 108 din 180

Arii de risc

Factori de risc

Documente
de lucru

neautorizate adoptate de personalul IT, creterea numrului


de erori produse de personalul IT, dificultatea ntreinerii
sistemului, precum i dificultatea diagnosticrii erorilor

Politici neadecvate n ceea ce privete existena i


calitatea documentaiei, pstrarea i utilizarea
documentaiei actualizate la ultima versiune i pstrarea
unei copii a documentaiei ntr-un loc sigur n afara
sediului entitii
Asistena, cum ar fi cea de tip helpdesk nu este furnizat pe
tot intervalul n care este necesar utilizatorilor
Integrarea /
fragmentarea
aplicaiilor

Entitatea nu deine o soluie integrat a sistemului informatic,


acesta fiind constituit din implementri de aplicaii
insularizate, dedicate unor probleme punctuale (aplicaia
financiar-contabil, aplicaii dedicate activitii de baz a
entitii, etc.)

LV_Riscuri

Dficultatea (sau chiar imposibilitatea) de a asigura


interoperabilitatea aplicaiilor i a evita multiplicarea
informaiilor
Validarea ntr-o manier eterogen, respectiv prin proceduri
automate combinate cu proceduri manuale, pentru a se
asigura detectarea i corectarea erorilor de intrare, precum i
detectarea inconsistenei sau redundanei datelor
Existena unor baze de date diverse, unele instalate pe
platforme hardware/software nvechite
Existena unor interfee utilizator diferite i uneori
neadecvate
Existena unor faciliti de comunicaie reduse i a unor
probleme de securitate cu riscuri asociate
Existena unor probleme de securitate cu riscuri asociate
Competena i
ncrederea
personalului n
dezvoltare,
implementare i
suport

Personalul este informat despre necesitatea i beneficiile care


decurg din utilizarea sistemului IT

LV_Riscuri

Personalul nelege ce roluri va juca i ce ateptri sunt de la


acesta
Cum este apreciat receptivitatea utilizatorilor
Utilizatorii consider util implementarea sistemului
Utilizatorii consider dificil utilizarea sistemului
Cultura organizaional permite o for de munc mobil,
flexibil i adaptabil

Pag. 109 din 180

Arii de risc
Erori
sistematice/
intervenii
manuale

Factori de risc
Erori raportate n cadrul utilizrii sistemului

Documente
de lucru
LV_Riscuri

Calitatea slab a suportului tehnic pentru analiza i


corectarea erorilor n mediul de producie
Numrul, frecvena i tipul erorilor constatate n cazul
fiecrei aplicaii n parte
Lipsa procedurilor de semnalare a anomaliilor, erorilor sau
incidentelor i a modalitilor de corectare/rezolvare
Msura n care datele generate de aplicaii sufer prelucrri
manuale ulterioare din partea utilizatorilor
Gradul ridicat de fragmentare a aplicaiilor informatice
implic aciuni frecvente ale utilizatorului n procesul de
prelucrare i influene n ceea ce privete respectarea fluxului
documentelor
Exist probleme de reconciliere ntre diversele aplicaii sau
chiar n cadrul aceleiai aplicaii

Scalabilitate

Msura n care sistemul poate suporta diversificarea


aplicaiilor

LV_Riscuri

Soluia arhitectural implementat i de estimrile iniiale


privind dimensiunea bazei de date i complexitatea
prelucrrilor nu permit creteri semnificative ale volumului
de tranzacii generate de schimbri majore n activitatea
entitii
Sisteme
depite

Tehnologia folosit nu este de ultim generaie

LV_Riscuri

Dificultatea sau imposibilitatea adecvrii ritmului


schimbrilor sistemelor informatice cu nivelul tehnologic
Lipsa unor politici de nlocuire a sistemelor depite i de
cretere continu a nivelului tehnologic

3.2.4 Schimbri n domeniul sistemelor IT / IS


Cu toate c n urma procesului de dezvoltare un sistem nou a fost acceptat, pe durata sa
de via el trebuie ntreinut, schimbat sau modificat, fapt care poate afecta
funcionalitatea de baz a acestuia. Revizuirea controalelor schimbrii i adaptarea
acestora sunt necesare pentru a asigura continuitatea sistemelor n ceea ce privete
funcionalitatea i modul de operare.

Pag. 110 din 180

Schimbri n domeniul IT / IS
Arii de risc
Dezvoltarea
de aplicaii
informatice

Factori de risc
Lipsa unei metodologii de dezvoltare intern a aplicaiilor
informatice

Tabelul 43
Documente de
lucru
LV_Riscuri

Schimbri neautorizate accidentale sau deliberate ale


sistemelor
Termene depite pentru rezolvarea unor probleme:
Raportri i prelucrri eronate:
Dificulti de ntreinere
Utilizarea de hardware i software neautorizate
Probleme privind schimbrile de urgen
Reputaia furnizorilor externi IT i a sistemelor folosite

Noi tehnologii

Dac schimbrile n sistemele IT au n vedere tehnologii de LV_Riscuri


ultima generaie

Modificri ale
proceselor
activitii

n ce msur se vor impune n viitorul apropiat modificri LV_Riscuri


structurale ale proceselor activitii care s atrag modificri
ale sistemul informatic
Dac este pregtit cadrul legal n acest sens

3.2.5 Externalizarea serviciilor IT


Externalizarea serviciilor se refer la furnizarea unor servicii IT, sau conexe acestora, de
ctre o organizaie independent de entitatea auditat, prin urmtoarele forme: contract
cu o ter parte pentru furnizarea complet a serviciilor IT ctre entitatea auditat
(outsourcing), contract cu o ter parte pentru utilizarea curent i ntreinerea
echipamentelor i a aplicaiilor care sunt n proprietatea entitii auditate, precum i
contractarea unor servicii punctuale pe criterii de performan n funcie de necesiti i
de costurile pieei, asociat cu diminuarea sau eliminarea anumitor pri din structura
departamentului IT, n cazul n care externalizarea funciilor aferente acestora este mai
eficient.
Opiunea privind externalizarea serviciilor IT trebuie s se bazeze pe o bun cunoatere a
pieei n scopul alegerii celei mai adecvate soluii privind: reputaia furnizorilor, costurile
corelate cu calitatea serviciilor.

Pag. 111 din 180

Externalizarea serviciilor IT
Arii de risc
Externalizarea

Factori de risc

Tabelul 44

Documente de
lucru

Nivelul externalizrii, incluznd suportul tehnic, operare, LV_Riscuri


dezvoltare, suport utilizatori etc.
Drepturi de acces n auditul extern
Controlul privind securitatea sistemului
Pierderea flexibilitii
Costul schimbrilor
Pierderea specialitilor interni proprii i a expertizei n
domeniu
Rezistena personalului

Furnizorii IT

Riscurile care decurg din contractele cu furnizorii

LV_Riscuri

Dependena de furnizorul de servicii IT


Dezvoltarea de
aplicaii
informatice de
ctre utilizatori

n ce msur aplicaiile informatice sunt dezvoltate intern

LV_Riscuri

Lipsa unui suport metodologic adecvat


Lipsa specialitilor IT

3.2.6 Focalizarea pe afacere


Lansarea unor investiii n IT, efectuat la nceputul unei afaceri sau schimbrile necesare
pe parcursul acesteia vor fi supuse unor analize privind obiectivele investiiilor IT,
configuraiile necesare, personalul IT implicat n proiecte, soluiile de achiziie sau de
dezvoltare, finanarea proiectelor, etc.
Deciziile luate de managementul de vrf al entitii n legtur cu direciile de dezvoltare
n domeniul IT trebuie formalizate i documentate ntr-un document denumit Strategia IT
n care se identific toate proiectele i activitile IT care vor face obiectul finanrilor.
Deciziile i schimbrile planificate specificate n strategia IT sunt preluate i detaliate n
planurile anuale ale departamentului IT.
Dei strategia are un efect minimal pentru auditul efectuat pentru o perioad de un an, ea
ofer o imagine n legtur cu o perspectiv mai ndelungat (urmtorii ani) i l
avertizeaz pe auditor n ceea ce privete problemele care pot s apar n viitor.

Pag. 112 din 180

Focalizarea pe afacere
Arii de risc

Factori de risc

Tabelul 45

Documente
de lucru

Corelaia ntre
strategia IT i
strategia
ntregii afaceri

Obiectivele departamentului IT nu sunt consistente cu


obiectivele ntregii afaceri

Contientizarea
conducerii
privind
riscurile IT

n ce msura conducerea este contient de importana LV_Riscuri


sistemelor IT i a riscurilor conexe

Necesiti
curente
comparativ cu
funcionalitatea
sistemului
informatic

Dac sistemul informatic acoper necesitile activitii LV_Riscuri


curente

LV_Riscuri

Planificarea anual a departamentului IT este realizat pe


baza prevederilor strategiei

Flexibilitatea i adaptabilitatea sistemelor IT


Investiiile IT nu constituie cheltuieli care se justific prin
efectele pe care le au asupra afacerii

3.2.7 Securitatea informaiei


Poziia entitii referitoare la securitatea informaiei trebuie exprimat n Politica de
securitate IT, care stabilete cu claritate politicile, principiile i standardele specifice
privind securitatea, precum i cerinele de conformitate cu acestea, controalele detaliate
privind securitatea, responsabilitile i sarcinile personalului n ceea ce privete
securitatea IT, modalitile de raportare n caz de incidente.
Tabelul 46
Securitatea informaiei
Arii de risc

Factori de risc

Motivaia
pentru fraud/
infraciuni
(intern i
extern)

Tipurile de informaii gestionate de ctre fiecare din aplicaiile


(subsistemele) informatice

Sensibilitatea
datelor

Ct de confideniale sunt datele gestionate de ctre aplicaiile


informatice

Documente
de lucru
LV_Riscuri

Dezvluiri neautorizate prin acces la informaii confideniale


Msura n care ar fi afectat reputaia instituiei n caz de
fraud
LV_Riscuri

Interesul manifestat pentru informaiile confideniale


Deteriorarea imaginii
Pag. 113 din 180

Arii de risc

Factori de risc

Documente
de lucru

Pierderi financiare
Legislaie i
regulamente

Domeniul de activitate este puternic reglementat

LV_Riscuri

Dezvluirea neautorizat a informaiilor confideniale,


accidental sau deliberat
Contravenii la legislaia privind drepturile de proprietate
intelectual i de protecie a datelor private
Caracterul anonim al unor utilizatori care vor s contravin
principiilor accesului n Internet

aciunile hackerilor, pirateria i pornografia;


aciunea unui software ru intenionat (virui,
programe de tip "cal troian")

3.2.8 Protecia fizic a sistemelor IT


Managementul entitii are responsabilitatea de a asigura existena controalelor adecvate
pentru protejarea bunurilor i a resurselor afacerii. n acest scop trebuie s se implice n
identificarea ameninrilor asupra sistemelor, a vulnerabilitii componentelor sistemului
i a impactului pe care l pot avea aceste incidente asupra afacerii, s identifice msurile
adecvate pentru a reduce riscul la un nivel acceptabil. De asemenea, va balansa riscurile
identificate cu costul implementrii controalelor.
Politica de securitate a entitii trebuie s includ consideraii privind riscurile accesului
fizic i ale deteriorrii mediului n care funcioneaz sistemele de calcul.
Tabelul 47
Protecia fizic a sistemelor IT
Arii de risc
Protecia
fizic

Factori de risc
Msuri pentru a preveni distrugerea sau deteriorarea
accidental sau intenionat din partea personalului
(personalul IT, personalul care asigur curenia, personalul
care asigur securitatea, ali salariai)

Documente
de lucru
LV_Riscuri

Msuri pentru a preveni furtul calculatoarelor sau al


componentelor
Msuri pentru a preveni efectele vrfurilor sau cderilor de
curent electric care pot produce deteriorarea componentelor
i pierderea sau alterarea informaiilor
Implementarea controalelor accesului logic (parole de acces),
avnd acces fizic la server
Accesul la informaii "sensibile" sau confideniale

Pag. 114 din 180

Arii de risc
Asigurarea
condiiilor de
mediu

Factori de risc
Msuri pentru a preveni distrugeri provocate de foc, ap sau
de alte dezastre naturale

Documente
de lucru
LV_Riscuri

Msuri pentru a preveni cderi ale sistemului datorate


creterilor sau scderilor de temperatur sau umiditate
peste/sub limitele normale admise

3.2.9 Operarea sistemelor IT


Rolul i ndatoririle privind operarea sistemelor IT se reflect n urmtoarele activiti:
1. Planificarea capacitii: asigurarea c sistemele de calcul vor continua s asigure

servicii cu nivel de performan satisfctor pe o perioad mare de timp. Aceasta


implic: personal de operare IT, capacitate de calcul i de memorare, capacitate de
ncrcare a reelei.

2. Monitorizarea performanei: monitorizarea zilnic a performanei sistemului n

termenii msurrii timpului de rspuns.

3. ncrcarea iniial a programelor: iniializarea sistemelor sau instalarea de software

nou.

4. Managementul suporilor tehnici: include controlul discurilor, al benzilor, al

discurilor compacte (CD ROM), al dischetelor, etc.

5. Programarea proceselor de calcul: include programarea proceselor care se

desfoar n paralel cu programele curente i efectueaz n principal actualizri de


fiiere. Acestea se execut n general periodic (zilnic, sptmnal, lunar, trimestrial
sau anual).

6. Salvri i recuperri n caz de dezastru: salvarea datelor i a programelor se

efectueaz regulat de ctre personalul de operare.

7. Asigurarea suportului (Helpdesk) i managementul problemelor: helpdesk reprezint

modalitatea de a face legtura ntre utilizatori i personalul din departamentul IT,


ori de cte ori apar probleme n operarea calculatorului. Problemele pot s apar n
programe individuale (aplicaii i sisteme), hardware, sau telecomunicaii.

8. ntreinerea: se refer att la hardware, ct i la software.


9. Monitorizarea reelei i administrare: majoritatea calculatoarelor utilizate n afaceri

sau n administraie funcioneaz n reea. Funcia de operare IT presupune


responsabilitatea asigurrii c legturile de comunicaie sunt ntreinute i
furnizeaz utilizatorilor accesul n reea la nivelul aprobat. Reelele sunt n mod
special importante cnd organizaia utilizeaz schimburi electronice de date.

Pag. 115 din 180

Operarea sistemelor IT
Arii de risc
Managementul
operaiilor

Factori de risc
Planificarea capacitii pentru asigurarea c sistemele de
calcul vor continua s furnizeze servicii cu nivel de
performan satisfctor pe o perioad mare de timp:
personal de operare IT, capacitate de calcul i de memorare,
capacitate de ncrcare a reelei

Tabelul 48

Documente
de lucru
LV_Riscuri

Monitorizarea zilnic a performanei sistemului n termenii


msurrii timpului de rspuns
ncrcarea iniial a programelor: iniializarea sistemelor sau
instalarea de software nou
Managementul suporilor tehnici: controlul discurilor, al
benzilor, al discurilor compacte (CD ROM), al dischetelor, etc.
Programarea proceselor de calcul: programarea proceselor
care se desfoar n paralel cu programele curente i
efectueaz n principal actualizri de fiiere, periodicitate
Salvri i recuperri n caz de dezastru: salvarea datelor i a
programelor se efectueaz regulat de ctre personalul de
operare
Asigurarea suportului (Helpdesk) i managementul
problemelor: helpdesk
ntreinerea: se refer att la hardware, ct i la software.
Monitorizarea reelei i administrare: responsabilitatea
asigurrii c legturile de comunicaie sunt ntreinute i
furnizeaz utilizatorilor accesul n reea la nivelul aprobat
Operarea
sistemelor IT

Aplicaiile nu se execut corect din cauza operrii greite a


aplicaiilor sau a utilizrii unei versiuni incorecte, a unor
parametri de configurare incoreci introdui de personalul
de operare

LV_Riscuri

Pierderea sau alterarea aplicaiilor financiare sau a fiierelor


de date datorat utilizrii greite sau neautorizate a unor
programe utilitare
Personalul IT nu tie s gestioneze rezolvarea problemelor
sau raportarea erorilor din lipsa instruirii sau documentaiei
ntrzieri i ntreruperi n prelucrare datorate alocrii unor
prioriti greite n programarea sarcinilor
Lipsa salvrilor i a planificrii incidentelor probabile crete
riscul incapacitii de a continua prelucrarea n urma unui
dezastru
Lipsa capacitii (resurselor) sistemului din cauza
suprancrcrii

Pag. 116 din 180

Arii de risc

Factori de risc

Documente
de lucru

Timpul mare al cderilor de sistem pn la remedierea erorii


Probleme ale utilizatorilor nerezolvate datorit funcionrii
defectuoase a facilitii Helpdesk.

3.2.10

Dezvoltri efectuate de utilizatorii finali

Dezvoltrile efectuate de utilizatori ntr-un mediu informatizat este o activitate dificil de


controlat, ntruct utilizatorii nu adopt standardele sau bunele practici utilizate de
specialitii din departamentul IT. Acest mediu necontrolat poate conduce la consum de
timp, efort i costuri suplimentare, precum i la riscuri majore n cazul n care utilizatorii
care dezvolt programe prelucreaz i tranzacii financiare.
n ceea ce privete dezvoltarea de sisteme informatice de ctre utilizatori, auditorul va
evalua riscurile care decurg din dezvoltarea intern a sistemelor informatice (resurse de
dezvoltare / implementare / colarizare, etc.). Se vor trata difereniat cazurile n care
entitatea are un departament IT care are ca atribuii dezvoltarea de sisteme i aplicaii, de
cele n care dezvoltrile se fac ad-hoc, fr utilizarea unui suport metodologic adecvat i
fr participarea unor specialiti cu atribuii definite n acest domeniu.
Dezvoltri efectuate de utilizatori
Arii de risc

Dezvoltri
efectuate de
utilizatori

Factori de risc
Amploarea aplicaiilor dezvoltate de ctre utilizatori

Tabelul 50

Documente
de lucru
LV_Riscuri

Dezvoltarea programelor de ctre utilizatori este realizat de


personal lipsit de experien, neinstruit n dezvoltarea de sisteme
software i lipsit de asisten de specialitate din partea
departamentului IT
Protejarea informaiilor fa de accesul utilizatorilor
Datele extrase din aplicaiile de baza sunt supuse unor prelucrri
manuale ulterioare
Duplicarea efortului rezult din efectuarea unor sarcini care se
execut i n departamentul de informatic pentru rezolvarea
aceleiai probleme, n lipsa unei coordonri unitare
Inconsistena datelor datorit utilizrii sistemului distribuit care
prelucreaz date inconsistente din departamente diferite
Creterea costurilor de utilizare a serviciilor IT (cerinele de
instruire suplimentare; o mai mare solicitare a serviciilor
helpdesk; alte costuri adiionale ascunse aferente timpului
suplimentar pe care utilizatorul l folosete pentru rezolvarea
problemelor, comparativ cu specialitii IT, sistemele dezvoltate
de utilizatori au tendina de a utiliza mai puin eficient resursele
de calcul)
Pag. 117 din 180

Arii de risc

Factori de risc

Documente
de lucru

Conformitatea cu legislaia. n lipsa unei legturi cu


departamentul IT, utilizatorii risc s nu respecte legislaia
asociat domeniului IT (utilizarea calculatoarelor, memorarea
informaiilor cu caracter personal sau secrete, drepturile de
proprietate intelectual) i sunt tentai s utilizeze software
neautorizat
Pierderea datelor se poate datora urmtoarelor motive: virusarea
calculatoarelor, securitatea accesului logic sau fizic
Conducerea nu este contient de riscurile dezvoltrilor efectuate
de utilizatori

Pag. 118 din 180

Capitolul 4. Evaluarea mediului informatizat


n entitile mici
4.1

Evaluarea mediului informatizat cu calculatoare PC


individuale

Calculatoarele individuale, neinstalate n reea pot fi utilizate pentru procesarea


tranzaciilor contabile i obinerea de rapoarte care sunt eseniale pentru ntocmirea
situaiilor financiare. Pe aceste calculatoare poate fi operaional ntregul sistem financiar
contabil sau numai o parte a acestuia.
Avnd n vedere complexitatea redus, mediile IT n care sunt utilizate calculatoare
individuale neinstalate n reea sunt diferite de mediile IT complexe, prin faptul c
anumite controale i msuri de securitate care sunt folosite pentru sistemele mari pot s nu
fie aplicabile n cazul calculatoarelor individuale.
Pe de alt parte, anumite tipuri de controale interne devin mai importante datorit
particularitilor implementrii i utilizrii calculatoarelor n mod individual i anume:
Calculatoarele neinstalate n reea pot fi operate de un singur utilizator sau de mai
muli utilizatori la momente diferite, care acceseaz acelai program sau programe
diferite de pe acelai calculator.
Utilizatorul unui calculator neinclus n reea care proceseaz aplicaii contabile
desfoar, n multe situaii, activiti care n mod normal necesit separare de
atribuii (de exemplu, introducerea de date i operarea programelor de aplicaii).
Dei, n mod normal, utilizatorii nu au cunotine de programare, ei pot utiliza
pachete de programe proprii sau furnizate de teri, cum ar fi foi de lucru
electronice sau aplicaii de baze de date, i, implicit, pot altera informaiile din
aplicaia financiar-contabil.
Structura organizaional n cadrul creia este utilizat un calculator neinclus n
reea este important pentru evaluarea riscurilor i a dimensiunii controalelor
cerute pentru reducerea acelor riscuri. Eeficiena controalelor asociate unui
calculator neinclus n reea utilizat n cadrul unei organizaii mai mari poate
depinde de o structur organizatoric ce separ n mod clar responsabilitile i
restricioneaz utilizarea calculatorului respectiv pentru anumite funcii specifice,
n timp ce pentru o organizaie mic, separarea atribuiilor la nivelul utilizrii
calculatorului, nefiind posibil.
Multe calculatoare pot fi folosite ca parte a unei reele sau n mod individual. n
primul caz, auditorul ia n considerare riscurile suplimentare induse de accesul n
reea.

4.1.1 Particularitile auditului n medii cu calculatoare individuale


Calculatoarele personale (PC) sunt orientate spre utilizatori finali individuali. Gradul de
acuratee i credibilitatea informaiilor financiare depind, parial, de controalele interne
pe care utilizatorul le adopt fie voluntar, fie pentru c au fost prescrise de ctre
conducere. Procedurile de control implementate sunt corelate cu complexitatea mediului
Pag. 119 din 180

de afaceri n care opereaz calculatoarele personale, acesta fiind mai puin structurat
dect un mediu IT complex, i, n consecin, nivelul controalelor generale fiind mai
sczut.
Auditul n medii cu calculatoare individuale se va axa pe urmtoarele direcii:
a) Evaluarea procedurilor i politicilor organizaionale
Pentru obinerea unei nelegeri a mediului de control IT pentru calculatoarele neinstalate
n reea, auditorul ia n considerare structura organizatoric a entitii i, n special,
alocarea responsabilitilor referitoare la prelucrarea datelor. Politicile i procedurile
eficiente de achiziie, implementare, operare i ntreinere a calculatoarelor neincluse n
reea pot mbunti mediul de control general. Lipsa unor astfel de politici poate conduce
la utilizarea de ctre entitate a programelor expirate i la erori n datele i informaiile
generate de astfel de programe, ducnd n acelai timp i la un risc crescut de apariie a
fraudei. Astfel de politici i proceduri includ urmtoarele:
Standarde referitoare la achiziie, implementare i documentare;
Programe de pregtire a utilizatorilor;
Recomandri cu privire la securitate, copii de back-up i stocare;
Gestiunea parolelor;
Politici privind utilizarea personal;
Standarde referitoare la achiziionarea i utilizarea produselor software;
Standarde de protecie a datelor;
ntreinerea programului i suport tehnic;
Un nivel corespunztor de separare a sarcinilor i responsabilitilor;
Protecie mpotriva viruilor.
b) Evaluarea proteciei fizice a echipamentelor
Din cauza caracteristicilor lor fizice, calculatoarele neinstalate n reea i mediile lor de
stocare sunt susceptibile de furt, deteriorare fizic, acces neautorizat sau utilizare greit.
Protecia fizic se realizeaz prin urmtoarele metode:
nchiderea lor ntr-o camer, ntr-un dulap de protecie sau ntr-un nveli
protector;
Utilizarea unui sistem de alarm care este activat ori de cte ori calculatorul este
deconectat sau deplasat de la locul lui;
Fixarea calculatorului de o mas;
Politici care s menioneze procedurile corecte care trebuie urmate atunci cnd se
cltorete cu un laptop sau cnd acesta se folosete n afara biroului;
Criptarea fiierelor cheie;
Instalarea unui mecanism de nchidere pentru a controla accesul la ntreruptorul
de pornire/oprire al calculatorului. Acesta nu poate s previn furtul
calculatorului, dar poate preveni folosirea neautorizat a acestuia;
Implementarea controalelor de mediu pentru prevenirea daunelor de pe urma
dezastrelor naturale, cum ar fi incendii, inundaii etc.
c) Evaluarea proteciei fizice a mediilor portabile i fixe
Programele i datele instalate pe un calculator pot fi stocate pe medii de stocare portabile
(dischet, CD, stik) i fixe (hard-disk). n plus, componentele interioare ale multor
calculatoare, n special ale laptop-urilor sunt uor accesibile. Atunci cnd un calculator

Pag. 120 din 180

este folosit de mai multe persoane, este mai probabil ca mediile de stocare s fie pierdute,
modificate fr autorizare sau distruse.
Este responsabilitatea utilizatorului s protejeze mediile portabile de stocare, de exemplu
prin pstrarea copiilor de rezerv curente ale acestora, ntr-o alt locaie protejat.
Aceast situaie se aplic n mod egal sistemului de operare, programelor de aplicaii i
datelor.
d) Evaluarea securitii programelor i a datelor
Atunci cnd calculatoarele sunt accesibile mai multor utilizatori, exist riscul ca sistemul
de operare, programele i datele s poat fi modificate fr autorizare, sau ca utilizatorii
s i instaleze propriile versiuni ale programelor, dnd natere unor poteniale probleme
legate de licenele software.
Gradul de control i restriciile de securitate prezente n sistemul de operare al unui
calculator pot s varieze. Dei unele sisteme de operare evoluate conin proceduri
complexe de securitate ncorporate, cele utilizate la calculatoarele individuale nu conin
astfel de protecii. Cu toate acestea, exist tehnici care ofer asigurarea c datele sunt
procesate i citite numai n mod autorizat i c distrugerea accidental a datelor este
prevenit, limitnd accesul la programe i date doar personalului autorizat:
1. Folosirea parolelor este o tehnic de control eficient care se bazeaz pe utilizarea
profilelor i a parolelor, care controleaz accesul permis unui utilizator. De exemplu,
unui utilizator i se poate atribui un profil protejat de o parol, care s permit doar
introducerea de date, iar calculatorul poate fi configurat astfel nct s solicite parola
nainte de putea fi accesat.
2. Implementarea unui pachet de control al accesului poate furniza un control eficient
asupra accesului i utilizrii sistemelor de operare, programelor i fiierelor de date.
De exemplu, numai unui anumit utilizator i se poate acorda accesul la fiierul cu parole
sau i se poate permite s instaleze programe. Astfel de pachete pot, de asemenea, s
examineze cu regularitate programele existente pe calculator pentru a detecta dac
sunt utilizate programe sau versiuni ale programelor neautorizate.
3. Utilizarea mediilor de stocare portabile pentru programele sau fiierele de date
eseniale sau sensibile poate furniza o protecie sporit prin depozitarea acestora n
locaii protejate i sub control independent att ct este necesar. De exemplu, datele
referitoare la salarii pot fi pstrate pe un mediu portabil i utilizate numai atunci cnd
este necesar procesarea acestora.
4. Folosirea de fiiere i directoare ascunse. Salvarea programelor i a datelor din
calculatoarele care dispun de medii portabile de stocare (de exemplu, dischete, CD-uri
i stik-uri) constituie o modalitate eficient de pstrare a acestora n condiii de
securitate. Mediile de stocare sunt apoi depozitate n custodia bibliotecarilor de fiiere
sau a utilizatorilor responsabili pentru datele sau programele respective.
5. Criptografia este o tehnic folosit, n general, atunci cnd date sensibile sunt
transmise pe linii de comunicaie, dar poate fi folosit i n cazul informaiei stocate pe
un calculator individual.
e) Evaluarea continuitii sistemului
ntr-un mediu cu calculatoare neinstalate n reea, conducerea se bazeaz, n mod
obinuit, pe utilizator pentru a asigura disponibilitatea continu a sistemelor n caz de

Pag. 121 din 180

nefuncionare, pierdere sau distrugere a echipamentului, sistemului de operare,


programelor sau datelor. Acest lucru presupune:
(a)

Pstrarea de ctre utilizator a copiilor sistemelor de operare, programelor i


datelor, depozitnd cel puin o copie ntr-un loc sigur, departe de calculator; i

(b)

Un acces disponibil la un echipament alternativ ntr-un interval de timp rezonabil,


avnd n vedere utilizarea i importana sistemului de baz.

4.1.2 Efectul utilizrii calculatoarelor individuale asupra sistemului


financiar contabil
Efectul utilizrii calculatoarelor individuale asupra sistemului financiar contabil, precum
i riscurile asociate vor depinde n general de urmtoarele aspecte:
(a) Msura n care calculatorul este folosit pentru a procesa aplicaiile financiar
contabile;
(b) Tipul i importana tranzaciilor financiare care sunt procesate; i
(c) Natura programelor i a datelor utilizate n aplicaii.
Particularitile controalelor generale i ale controalelor aplicaiilor aferente mediului
informatizat decurg, n acest context, din urmtoarele considerente:
a) Controale generale IT
Cel mai important aspect l reprezint separarea sarcinilor, care ntr-un mediu de
calculatoare individuale este greu de realizat avnd n vedere amploarea redus a
sistemului i numrul redus de personal implicat n activiti IT (instalare, administrare,
operare, ntreinere etc.), n cele mai multe cazuri, aceeai persoan ndeplinind toate
aceste sarcini. De asemenea, utilizatorii pot derula n sistemul financiar contabil, n
general, dou sau mai multe dintre urmtoarele funcii:
(a) Iniierea de documente surs;
(b) Autorizarea de documente surs;
(c) Introducerea de date n sistem;
(d) Procesarea datelor introduse;
(e) Schimbarea programelor i a fiierelor de date;
(f) Folosirea sau distribuirea rezultatelor;
(g) Modificarea sistemelor de operare.
Mai mult dect att, n foarte multe cazuri, aceste activiti sunt ndeplinite de persoane
din afara entitii. Din din aceste motive, multe erori pot s trac neobservate i se poate
permite comiterea i ascunderea fraudelor.
b) Controale ale aplicaiilor
Existena i folosirea controalelor de acces adecvate asupra programelor i fiierelor de
date, combinate cu controlul asupra intrrilor, procesrii i ieirilor de date poate, n
conformitate cu politicile conducerii, s compenseze unele dintre carenele controalelor
generale n mediile de calculatoare. Implementarea unor controalele eficiente la acest
nivel (proceduri manuale sau automate, reguli, norme, instruciuni) contribuie la
creterea eficacitii sistemului de control al mediului informatizat i se poate realiza prin
urmtoarele tehnici:
proceduri de control programate;

Pag. 122 din 180

utilizarea i monitorizarea unui sistem de jurnale ale tranzaciilor, incluznd


urmrirea i soluionarea oricror excepii;
supravegherea direct, de exemplu, o analiz a rapoartelor;
reconcilierea numrtorilor nregistrrilor sau utilizarea totalurilor de control.
n acest context, controlul se poate implementa prin desemnarea unei persoane creia i se
va aloca o funcie independent cu urmtoarele atribuii:
(a)
(b)
(c)
(d)
(e)

Va primi toate datele pentru procesare;


Va asigura c toate datele sunt autorizate i nregistrate;
Va urmri toate erorile detectate n timpul procesrii;
Va verifica distribuirea corespunztoare a rezultatelor obinute;
Va limita accesul fizic la programele de aplicaii i la fiierele de date.

4.1.3 Efectul unui mediu cu calculatoare individuale asupra


procedurilor de audit
ntr-un mediu informatizat cu calculatoare individuale poate s nu fie practicabil sau
rentabil pentru conducere s implementeze controale suficiente pentru a reduce riscurile
erorilor nedetectate la un nivel minim. n astfel de situaii, dup obinerea nelegerii
sistemului contabil i a mediului de control8, auditorul, pe baza raionamentului
profesional, poate considera c este mai rentabil s nu efectueze o analiz suplimentar a
controalelor generale sau a controalelor aplicaiilor, i poate adopta una dintre
urmtoarele abordri:
- Efectuarea auditului situaiilor financiare n manier tradiional (manual), n
cazul n care consider ca informaiile furnizate de sistemul informatic nu sunt de
ncredere;
-

Utilizarea unei abordri mixte (metode manuale combinate cu proceduri automate),


caz n care i va concentra eforturile asupra procedurilor de fond. Aceasta poate
determina o examinare fizic i o confirmare suplimentar a activelor, mai multe
teste ale tranzaciilor, mrimi mai mari ale eantioanelor i folosirea ntr-o msur
mai mare a tehnicilor de audit asistat de calculator.

Dac nivelul controalelor generale pare a fi adecvat, auditorul poate decide adoptarea
unei abordri diferite, stabilind proceduri care reduc riscul de control.
Calculatoarele neinstalate n reea se ntlnesc n mod frecvent n entitile mici. Pe baza
unei analize preliminare a controalelor, planul de audit ar putea include testri ale
controalelor pe care auditorul intenioneaz s se bazeze.

4.2

Efectul implementrii i utilizrii sistemelor de gestiune a


bazelor de date (SGBD) asupra sistemului financiar contabil

Gestionarea resurselor de date creeaz un control organizaional esenial pentru


asigurarea integritii i compatibilitii datelor. ntr-un mediu cu baze de date metodele
de control informaional i utilizare se schimb de la o abordare orientat pe aplicaii
ctre o abordare organizaional extins. n contrast cu sistemele tradiionale n care
fiecare aplicaie este un sistem separat cu propria raportare i propriile controale, ntr-un
8

cerut de ISA 400 Evaluarea riscurilor i controlul intern


Pag. 123 din 180

mediu de baz de date, multe controale pot fi centralizate iar baza de date este proiectat
pentru a servi necesitilor informaionale integrale ale organizaiei.
Utilizarea acelorai date de ctre diferite programe de aplicaii subliniaz importana
coordonrii centralizate a utilizrii i definirii datelor precum i a meninerii integritii,
securitii, exhaustivitii i exactitii acestora. Gestionarea resurselor de date este
necesar pentru a promova integritatea datelor i include o funcie de administrare a
bazei de date care se ocup n principal cu implementarea tehnic a bazei de date, cu
operaiunile zilnice precum i cu politicile i procedurile care guverneaz accesarea
acesteia i utilizarea zilnic. n general, administrarea bazei de date este responsabil cu
definirea, structurarea, securitatea, controlul operaional i eficientizarea bazelor de date,
inclusiv definirea regulilor de accesare i stocare a datelor.

4.2.1 Particularitile controlului intern aferent mediului cu baze de


date
Pentru meninerea integritii, exhaustivitii i securitii datelor este necesar
proiectarea, implementarea i impunerea reglementrilor privind integritatea,
exhaustivitatea i a accesul la informaii. Aceste responsabiliti includ:
Stabilirea persoanei responsabile cu monitorizarea datelor i a modului n care se
va desfura aceast monitorizare;
Stabilirea celor care au acces la date i a modului n care este realizat accesul (de
exemplu, cu ajutorul parolelor i a tabelelor de autorizare);
Prevenirea includerii de date incomplete sau eronate;
Detectarea absenei datelor;
Securizarea bazei de date fa de accesul neautorizat sau distrugeri;
Monitorizarea i urmrirea incidentelor de securitate precum i realizarea regulat
de back-up-uri;
Asigurarea unei recuperri totale n caz de pierderi de date.
Particularitile controlului intern aferent mediului informatizat decurg din urmtoarele
considerente:
1.

Deoarece infrastructura de securitate a unei entiti joac un rol important n


asigurarea integritii informaiilor produse, auditorii iau n considerare acest
factor, naintea examinrii controalelor generale i ale aplicaiilor. n general,
controlul intern ntr-un mediu cu baz de date solicit controale eficiente ale bazei
de date, ale SGBD-ului i ale aplicaiilor. Eficacitatea controalelor interne depinde
n mare msur de natur administrarea bazei de date.

2.

ntr-un sistem de baze de date, controalele generale privind baza de date, SGBD i
administrarea bazei de date au un efect esenial asupra aplicaiilor. Aceste
controale pot fi clasificate dup cum urmeaz:
(a)
(b)
(c)
(d)
(e)
(f)

Utilizarea unei metode standard pentru dezvoltarea i meninerea


programelor de aplicaii;
Proiectarea unui model al datelor i stabilirea proprietarilor datelor;
Stabilirea accesului la baza de date;
Separarea sarcinilor;
Gestionarea datelor;
Implementarea procedurilor privind securitatea datelor i recuperarea
datelor.
Pag. 124 din 180

a) Metoda standard pentru dezvoltarea i meninerea programelor de aplicaii


Utilizarea unei metode standard pentru a dezvolta fiecare nou program de aplicaii i
pentru a modifica programele de aplicaii existente, poate crete eficiena controlului.
Aceasta va include o metod formalizat, pas cu pas, pe care fiecare persoan n parte
trebuie s o urmeze atunci cnd dezvolt sau modific un program de aplicaii. De
asemenea include analiza efectelor tranzaciilor noi sau existente asupra bazei de date de
fiecare dat cnd este necesar o modificare, analiz din care vor rezulta efectele
modificrii asupra securitii sau integritii bazei de date.
Implementarea unei metode standard pentru a dezvolta sau modifica programele de
aplicaii este o tehnic care ajut la mbuntirea acurateii, exhaustivitii i integritii
bazei de date. Cele mai relevante controale, specifice pentru atingerea acestui scop, sunt:
Definirea standardelor de conformitate pentru monitorizare;
Stabilirea i implementarea procedurilor de back-up al datelor i de
recuperare pentru a asigura disponibilitatea bazei de date;
Stabilirea diferitelor niveluri de control ale accesului pentru date, tabele i
fiiere pentru a se preveni accesul neadecvat i neautorizat;
Stabilirea controalelor pentru a asigura acurateea, ncrederea i
exhaustivitatea datelor. n multe cazuri, proiectarea sistemului poate s nu
furnizeze ntotdeauna utilizatorilor controale care s dovedeasc
exhaustivitatea i acurateea datelor i astfel poate aprea un risc crescut
ca SGBD s nu identifice ntotdeauna coruperea datelor;
Implementarea procedurilor privind reproiectarea bazei de date, ca urmare
a modificrilor logice, fizice i procedurale.
b) Modelul datelor i proprietatea datelor
ntr-un mediu cu baz de date, unde mai multe persoane pot utiliza programe pentru a
introduce i modifica date, administratorul bazei de date trebuie s se asigure c exist o
repartizare clar i definit a responsabilitii pentru asigurarea acurateei i integritii
datelor pentru fiecare categorie de informaii. Responsabilitatea pentru definirea
accesului i a regulilor de securitate, cum ar fi de exemplu, drepturile de utilizare a datelor
(accesul) i funciile pe care le poate executa (securitatea) trebuie alocat unei singure
persoane. Desemnarea unor responsabiliti specifice pentru deinerea datelor ajut la
asigurarea integritii bazei de date. Dac diferite persoane pot lua decizii care afecteaz
acurateea i integritatea datelor respective, probabilitatea ca datele s fie alterate sau
utilizate impropriu, crete. Controalele asupra profilului utilizatorilor sunt de asemenea
importante atunci cnd se utilizeaz un sistem cu baz de date, nu doar pentru a stabili
accesul autorizat dar i pentru a detecta violrile i tentativele de violare a protocoalelor
de securitate.
c) Accesarea bazei de date
Accesul utilizatorilor la baza de date poate fi restricionat prin controalele de acces.
Aceste restricii se aplic persoanelor, terminalelor i programelor. Pentru ca parola s fie
eficient, sunt necesare anumite proceduri adecvate pentru modificarea parolelor,
meninerea secretului parolelor i revizuirea sau investigarea ncercrilor de violare a
protocoalelor de securitate. Conexarea parolelor cu anumite staii de lucru, programe sau
date este necesar pentru a asigura accesul, modificarea sau tergerea datelor doar de
ctre persoane autorizate. Utilizarea tabelelor de autorizare generate pentru securizarea
Pag. 125 din 180

bazei de date poate asigura un control n plus asupra accesrii diferitelor informaii de
ctre utilizator. Implementarea improprie a procedurilor de acces poate avea ca rezultat
accesul neautorizat la baza de date.
d) Separarea sarcinilor
Responsabilitile pentru efectuarea diferitelor activiti necesare pentru a proiecta,
implementa i opera o baz de date sunt divizate ntre personalul tehnic, proiectant,
administrativ i utilizator. ndatoririle acestora includ proiectarea sistemului, proiectarea
bazei de date, administrarea i operarea. Meninerea unei separri adecvate a acestor
ndatoriri este absolut necesar pentru asigurarea integritii, exhaustivitii i acurateei
bazei de date. De exemplu, persoanele responsabile cu modificarea programelor de baze
de date care conin informaii despre personal, nu vor fi aceleai persoane care sunt
autorizate s efectueze modificri individuale ale plilor salariale n baza de date.
e) Securitatea datelor i recuperarea bazei de date
Exist o probabilitate crescut ca bazele de date s fie utilizate de diferii utilizatori n
diferite zone ale operaiunilor entitii, ceea ce nsemn c aceste zone din cadrul entitii
vor fi afectate n cazul n care datele nu sunt accesibile sau conin erori. De aici decurge
nivelul nalt de importan al controalelor generale privind securitatea datelor i
recuperarea bazelor de date.

4.2.2 Efectul utilizrii bazelor de date asupra sistemului financiar


contabil
Efectul utilizrii bazelor de date asupra sistemului financiar contabil, precum i riscurile
asociate vor depinde n general de urmtoarele aspecte:
Msura n care este utilizat baza de date de aplicaiile contabile;
Tipul i importana tranzaciilor financiare care sunt procesate;
Natura i structura bazei de date, SGBD;
Administrarea bazei de date i a aplicaiilor;
Controalele generale referitoare la baza de date i ale aplicaiilor.
Sistemele cu baze de date ofer n mod obinuit o mai mare credibilitate a datelor fa de
aplicaiile bazate pe fiiere de date. n astfel de sisteme, controalele generale au o
importan mai mare dect controalele aplicaiilor, ceea ce implic reducerea riscului de
fraudare sau eroare n sistemele contabile n care sunt utilizate bazele de date. Urmtorii
factorii, n combinaie cu controalele adecvate, contribuie la o credibilitate sporit a
datelor.
Este asigurat o coeren crescut a datelor deoarece acestea sunt
nregistrate i actualizate o singur dat, i nu stocate n mai multe fiiere i
actualizate de mai multe ori de ctre diferite programe.
Integritatea datelor va fi mbuntit de utilizarea eficient a facilitilor
incluse n SGBD (rutine de recuperare / restartare, editare generalizat,
rutine de validare, caracteristici de control i securitate.
Alte funcii disponibile n cadrul SGBD pot facilita procedurile de control i
audit (generatoare de rapoarte, care pot fi utilizate pentru a crea rapoarte

Pag. 126 din 180

bilaniere, i limbaje de investigare care pot fi utilizate pentru a identifica


inconsecvenele din date).
Riscul denaturrii poate crete n cazul n care sistemele baze de date sunt utilizate fr
un control adecvat. ntr-un mediu cu fiiere de date, controalele efectuate de ctre
utilizatori individuali pot compensa slbiciunile controlului general. ntr-un sistem cu
baze de date, utilizatorii individuali nu pot compensa ntotdeauna controalele neadecvate
ale administrrii bazei de date. De exemplu, personalul responsabil cu creanele nu poate
exercita un control eficace al datelor din conturile de creane dac restul personalului nu
are restricie privind modificarea soldurile conturilor de creane din baza de date.

4.2.3 Efectul utilizrii bazelor de date asupra procedurilor de audit


Procedurile de audit ntr-un mediu cu baze de date vor fi afectate n principal de msura
n care sistemul contabil utilizeaz informaii din bazele de date. n cazul n care aplicaiile
financiar contabile utilizeaz o baz de date comun, auditorul poate considera c este
eficient din punctul de vedere al costului s utilizeze unele dintre procedurile prezentate
n continuare.
a) Cnd planific un audit financiar, pentru a nelege mediul de control al bazei de date i
fluxul de tranzacii, auditorul este posibil s ia n considerare efectul urmtorilor factori,
asupra riscului de audit.
Controalele de acces relevante. Este posibil ca baza de date s fie utilizat de
persoane din afara sistemului contabil tradiional i astfel auditorul va trebui s ia
n considerare controlul accesului asupra datelor contabile i al tuturor celor care
ar fi putut avea acces la acestea.
SGBD i aplicaiile contabile importante care utilizeaz baza de date. Este posibil ca
alte aplicaii din cadrul entitii s genereze sau s altereze date utilizate de
aplicaiile contabile. Auditorul va evalua modul n care SGBD controleaz aceste
date.
Standardele i procedurile pentru dezvoltarea i meninerea programelor de aplicaii
care utilizeaz baza de date. Bazele de date, mai ales cele care se gsesc pe
calculatoare individuale, pot fi adesea proiectate i implementate de persoane din
afara departamentului IT sau a celui contabil. Auditorul va evalua modul n care
entitatea controleaz dezvoltarea acestor baze de date.
Funcia de gestionare a datelor. Aceast funcie joac un rol important n
meninerea integritii informaiilor stocate n baza de date.
Fiele posturilor, standardele i procedurile pentru persoanele responsabile cu
suportul tehnic, proiectarea, administrarea i operarea bazei de date. Este posibil
ca n cazul sistemelor cu baze de date, un numr sporit de persoane s aib
responsabiliti majore legate de informaii i date, spre deosebire de sistemele cu
fiiere tradiionale.
Procedurile utilizate pentru a asigura integritatea, securitatea i exhaustivitatea
informaiilor financiare coninute n baza de date.
Disponibilitatea facilitilor de audit din cadrul SGBD utilizat.
Procedurile utilizate pentru introducerea noilor versiuni de baze de date n cadrul
sistemului.
b) La determinarea gradului de ncredere acordat controalelor interne privitoare la
utilizarea bazelor de date n sistemul contabil, auditorul va lua n considerare modul n
Pag. 127 din 180

care acestea sunt utilizate. Dac ulterior auditorul decide s se bazeze pe aceste
controale, el va proiecta i efectua teste corespunztoare.
c) Atunci cnd auditorul decide efectuarea unor teste ale controalelor sau teste detaliate
de audit privitoare la sistemul cu baz de date, n cele mai multe cazuri va fi mai eficient
realizarea acestora cu ajutorul tehnicilor de audit asistat de calculator. Faptul c datele
sunt stocate integral ntr-un singur loc i organizate ntr-o manier structurat face ca
extragerea probelor s fie mai simpl. De asemenea, este posibil ca bazele de date s
conin date generate n afara funciei contabile, ceea ce va face ca efectuarea aplicaiei
procedurilor analitice s fie mult mai eficient.
d) Procedurile de audit pot include utilizarea funciilor SGBD pentru rezolvarea
urmtoarelor probeme, dup ce, n prealabil, s-a verificat dac acestea funcioneaz
corect:
- Testarea controalelor de acces;
- Generarea datelor de testare;
- Furnizarea unui proces de audit;
- Verificarea integritii bazei de date;
- Furnizarea accesului la informaiile din baza de date sau a unei copii a prilor
relevante din baza de date, pentru a face posibil utilizarea de produselor software
de audit;
- Obinerea informaiilor necesare auditului.
e) n cazul n care controalele privind administrarea bazei de date sunt neadecvate, este
posibil ca auditorul s nu poat compensa aceste controale slabe indiferent de ct de
mult munc va depune. Prin urmare, atunci cnd devine clar c nu se poate baza pe
controalele din sistem, auditorul va lua n considerare necesitatea de a efectua teste
detaliate de audit asupra tuturor aplicaiilor contabile importante care utilizeaz baza de
date i va decide dac aceste proceduri sunt suficiente pentru atingerea obiectivelor
auditului. n cazul n care auditorul nu poate compensa slbiciunile din mediul de control
prin teste detaliate pentru a reduce riscul de audit la un nivel ct mai redus, acceptabil,
standardul ISA 700 solicita ca auditorul s emit o opinie cu rezerve, sau s se declare n
imposibilitatea de a exprima o opinie.
f) Caracteristicile sistemelor cu baze de date pot face mai eficient pentru auditor
efectuarea unor revizuiri pre-implementare a noilor aplicaii contabile dect revizuirea
aplicaiilor dup ce acestea au fost instalate. Aceste revizii pre-implementare i revizii ale
procesului de modificare a gestionrii pot furniza auditorului oportunitatea de a solicita
noi funcii, cum ar fi rutine ncorporate sau controale adiionale n proiectarea aplicaiei.
De asemenea, poate oferi suficient timp auditorului pentru a dezvolta i testa proceduri de
audit naintea utilizrii sistemului.
n cazul mediilor informatizate cu calculatoare individuale, controalele se pot implementa
prin desemnarea unei persoane creia i se va aloca o funcie independent cu atribuii
legate de definirea accesului i a regulilor de securitate, sau, n cazul n care nu exist
personal suficient, aceste sarcini vor fi atribuite persoanei desemnate cu gestionarea
sistemului informatic.

Pag. 128 din 180

4.3

Utilizarea tehnicilor de audit asistat de calculator n mediile


IT ale entitilor mici

Tehnicile de audit asistat de calculator pot fi utilizate n executarea unor proceduri, cum
ar fi:
Testarea detaliilor tranzaciilor i balanelor;
Procedure de revizuire analitic;
Teste de conformitate a controalelor IT generale;
Teste de conformitate a controalelor de aplicaie;
Teste de penetrare.
Luarea deciziei de a utiliza tehnici de audit asistat de calculator se bazeaz pe o serie de
factori care sunt luai n considerare:
Cunotinele, expertiza i experiena auditorului IT;
Disponibilitatea unor programe de audit asistat de calculator i a facilitilor IT
necesare;
Eficiena i eficacitatea utilizrii tehnicilor de audit asistat de calculator fa de
tehnicile manuale;
Restriciile de timp;
Integritatea sistemului informatic i a mediului IT;
Nivelul riscului de audit.
Paii principali care trebuie ntreprini de ctre auditor n cazul utilizrii tehnicilor de
audit asistat de calculator sunt:
(a) Stabilirea obiectivului aplicaiei de audit asistat de calculator;
(b) Determinarea coninutului i a accesibilitii la fiierele entitii;
(c) Identificarea fiierelor sau bazelor de date specifice care urmeaz a fi
examinate:
(d) nelegerea relaiilor dintre tabelele de date, acolo unde urmeaz s fie
examinat o baz de date;
(e) Definirea testelor sau a procedurilor specifice, precum i a tranzaciilor i
soldurilor aferente afectate;
(f) Definirea cerinelor cu privire la ieirile de date;
(g) Stabilirea mpreun cu utilizatorul i cu personalul IT, dac este cazul, a
modalitii de efectuare i a formatului unor copii ale fiierelor i bazelor de
date relevante la o dat i un moment adecvate (corelate cu separarea
exerciiilor);
(h) Identificarea personalului care poate participa la proiectarea i aplicarea
procedurilor de audit asistat de calculator;
(i) Perfecionarea estimrilor costurilor i beneficiilor;
(j) Asigurarea c utilizarea programelor de audit asistat de calculator este
controlat i documentat corespunztor;
(k) Organizarea activitilor administrative, inclusiv cu privire la aptitudinile
necesare i facilitile informatizate;
(l) Reconcilierea datelor care vor fi utilizate pentru programul de audit asistat de
calculator cu nregistrrile contabile;
(m) Executarea aplicaiei de audit asistat de calculator;
(n) Evaluarea rezultatelor.

Pag. 129 din 180

n cazul mediilor IT existente n entitile mici, nivelul controalelor generale poate fi sczut,
astfel nct auditorul se va baza mai puin pe sistemul de control intern. Aceast situaie va
avea ca rezultat un accent mai mare pus pe teste ale detaliilor tranzaciilor i soldurilor i
pe procedurile analitice de revizuire, care pot crete eficacitatea tehnicilor de audit asistat
de calculator.
n cazul n care sunt procesate volume mici de date, metodele manuale pot fi mai
rentabile.
n multe cazuri, s-ar putea ca auditorul s nu aib la dispoziie asistena tehnic adecvat
din partea entitii, n cazul unei entiti mai mici, acest lucru fcnd imposibil folosirea
tehnicilor de audit asistat de calculator.
Anumite pachete de programe de audit ar putea s nu funcioneze pe calculatoare mici,
limitndu-se astfel alegerea tehnicilor de audit asistat de calculator de ctre auditor. n
astfel de situaii, dac este posibil, fiierele de date ale entitii pot fi copiate i procesate pe
un alt calculator corespunztor.

Pag. 130 din 180

Capitolul 5. Documente de lucru


Pentru obinerea probelor de audit se vor utiliza liste de verificare, machete i, dup caz,
chestionare i se vor realiza interviuri cu: persoane din conducerea instituiei auditate,
personalul de specialitate IT, utilizatori ai sistemelor / aplicaiilor.
Machetele constituie suportul pentru colectarea informaiilor cantitative referitoare la
infrastructura IT. Acestea sunt transmise entitii auditate, spre completare.
n condiiile n care se colecteaz informaii care reflect performana sistemului, se
utilizeaz chestionare proiectate de auditor, pe baza crora, n urma centralizrii i
prelucrrilor statistice vor rezulta informaii legate de satisfacia utilizatorilor,
modernizarea activitii, continuitatea serviciilor, creterea calitii activitii ca urmare a
informatizrii i altele.
Machetele i chestionarele completate vor fi semnate de conducerea entitii i predate
echipei de audit.
Machetele propuse pentru colectarea datelor referitoare la infrastructura IT i la
personalul IT sunt urmtoarele:
Macheta 1 - Bugetul privind investiiile IT;
Macheta 2 - Sisteme / aplicaii utilizate;
Macheta 3 - Evaluarea infrastructurilor hardware, software i de comunicaie;
Macheta 4 - Informaii privind personalul implicat n proiectele IT.
Acestea pot fi modificate de auditor n funcie de contextul specific.
Listele de verificare constituie un suport valoros pentru realizarea interviurilor. Aceste
documente de lucru, respectiv listele de verificare, nu se pun la dispoziia entitii
auditate. Unul dintre motive este legat de creterea veridicitii probelor de audit avnd n
vedere caracterul spontan al interviului, care nu permite celui intervievat s dea explicaii
prin corelarea prealabil a ntrebrilor din lista de verificare. n acest caz, probele de audit
vor avea un grad de ncredere mai ridicat.
Un alt motiv l constituie faptul c, prin interviu se vor detalia aspecte pe care, de obicei,
cel care ar completa lista, le-ar formula ntr-un stil laconic. Pe parcursul interviului,
auditorul consemneaz rspunsurile celui intervievat, precum i comentarii personale i
alte constatri.
Completarea listelor de verificare de ctre entitatea auditat reduce ncrederea n probele
de audit obinute n aceast manier.
Un model pentru o list de verificare a controalelor generale IT este prezentat n Anexa 3,
Lista de verificare pentru evaluarea controalelor generale IT (LV_Controale generale), care
conine urmtoarele seciuni:
1. managementul funciei IT;
2. securitatea fizic i controalele de mediu;
3. securitatea informaiei i a sistemelor;
4. continuitatea sistemelor;
Pag. 131 din 180

5. managementul schimbrii i dezvoltarea de sistem;


6. auditul intern.
Aceast list nu exclude adugarea altor categorii de probleme considerate semnificative
de ctre auditor, n funcie de obiectivele specifice ale auditului.
Pentru evaluarea riscurilor, un model de list de verificare este prezentat n Anexa 4, Lista
de verificare pentru evaluarea riscurilor (LV_Riscuri).
Aceast list nu exclude adugarea altor categorii de probleme considerate semnificative
de ctre auditor, n funcie de obiectivele specifice ale auditului.
Un model pentru o list de verificare a controalelor de aplicaie este prezentat n Anexa 5,
Lista de verificare pentru evaluarea controalelor de aplicaie (LV_Controale Aplicaie) care
include urmtoarele categorii de controale de aplicaie:
controale privind integritatea fiierelor;
controale privind securitatea aplicaiei;
controale ale datelor de intrare;
controale de prelucrare;
controale ale ieirilor;
controale privind reeaua i comunicaia;
controale ale fiierelor cu date permanente.
Aceast list nu exclude adugarea altor categorii de probleme considerate semnificative
de ctre auditor, n funcie de obiectivele specifice ale auditului sau n condiiile n care
sunt necesare teste de audit suplimantare.
Aceste liste de verificare sunt aplicabile pentru auditul n medii informatizate, n cadrul
misiunilor de audit financiar sau de audit al performanei, pentru evaluarea controalelor
generale IT i a riscurilor generate de funcionarea sistemului informatic. n cazul
misiunilor de audit financiar, care presupun evaluarea sistemului informatic financiarcontabil, pentru a formula o opinie privind ncrederea n informaiile furnizate de sistemul
informatic auditorul public extern va utiliza lista de verificare pentru testarea
controalelor IT specifice aplicaiei financiar-contabile.
n cazul n care sistemul nu pare a fi suficient de robust, auditorul trebuie s evalueze riscul
funcionrii necorespunztoare a sistemului asupra obiectivelor misiunii de audit financiar.
n cadrul entitilor auditate, sistemele informatice care fac obiectul evalurii sunt
utilizate ca suport pentru asistarea deciziei, constituind sisteme IT/IS utilizate pentru
evidena, prelucrarea i obinerea de rezultate, situaii operative i sintetice la toate
nivelele de raportare. Din acest motiv, o categorie special de controale IT se refer la
conformitatea sistemului informatic cu cerinele impuse de cadrul legislativ i de
reglementare.
Cerinele legislative i de reglementare decurg din urmtoarele categorii de legi:
Legislaia din domeniul finanelor i contabilitii;
Legislaia privind protecia datelor private i legislaia privind protecia datelor
personale;
Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii
informatice;
Pag. 132 din 180

Reglementri financiare i bancare;


Legislaia cu privire la proprietatea intelectual.
n cazul sistemelor complexe sau desfurate la scar naional (de exemplu,
Sistemul Electronic Naional) se folosesc liste de verificare specializate:
Lista de verificare pentru evaluarea guvernrii IT, personalizat pentru sistemele de
tip e-guvernare;
- Lista de verificare pentru evaluarea portalului web;
- Lista de evaluare a perimetrului de securitate;
- Liste de verificare pentru evaluarea serviciilor electronice;
- Liste de verificare pentru evaluarea cadrului de interoperabilitate,
precum i alte liste de verificare a cror necesitate decurge din obiectivele auditului.
-

Auditul performanei implementrii i utilizrii sistemelor informatice va lua n


considerare urmtoarele aspecte:
Modul n care funcionarea sistemului contribuie la modernizarea activitii
entitii;
Modul n care managementul adecvat al configuraiilor IT contribuie la creterea
valorii adugate prin utilizarea sistemului informatic, reflectat n economii privind
costurile de achiziie i creterea calitii serviciilor;
Creterea semnificativ a productivitii unor activiti de rutin foarte mari
consumatoare de timp i resurse, care, transpuse n proceduri electronice
(tehnoredactare, redactarea automat a documentelor, cutri n arhive
electronice, reutilizarea unor informaii, accesarea pachetelor software legislative),
se materializeaz n reduceri de costuri cu aceste activiti;
Scurtarea timpului de prelucrare prin reducerea numrului de erori i evitarea
relurii unor proceduri pentru remedierea acestora;
Eliminarea paralelismelor i integrarea proceselor care se reflect n eficientizarea
activitii prin eliminarea redundanelor;
Scderea costurilor serviciilor, creterea disponibilitii acestora i scderea
timpului de rspuns;
Creterea gradului de instruire a personalului n utilizarea noilor tehnologii i
dezvoltarea de noi aptitudini;
Reducerea costurilor administrative.
Pentru evaluarea gradului n care implementarea i utilizarea sisemului informatic a
produs efecte n planul modernizrii activitii, n creterea calitii serviciilor publice i
n ceea ce privete satisfacia utilizatorilor se pot proiecta i utiliza chestionare prin
intermediul crora se vor colecta informaii care s reflecte reaciile actorilor implicai
(management, funcionari publici, utilizatori, personal IT, ceteni).

Pag. 133 din 180

Referine bibliografice
[1] Regulamentului privind organizarea i desfurarea activitilor specifice
Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti.
[2] Manual de audit al sistemelor informatice, Curtea de Conturi a Romniei,
Bucureti, 2012
[3] OMF nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd
standardele de management/control intern la entitatile publice i pentru
dezvoltarea sistemelor de control managerial
[4] ISACA, IS Standards, Guidelines and Procedures for Auditing and Control
Professionals, ediia februarie 2010, www.isaca.org
[5] ITGI, COBIT Control Objectives, Ediia 4.0, www.isaca.org
[6] ITGI, IT Assurance Guide using COBIT, www.isaca.org
[7] ITGI, IT Assurance Guide: Using COBIT
[8] ITGI, Val IT Framework 2.0, www.isaca.org
[9] Best practice Why IT Projects Fail, www.nao.gov.uk/intosai/edp
[10] INTOSAI, INTOSAI GOV 9100 Guidelines for Internal Control Standards for
the Public Sector, 2004
[11] ISA, Declaraia internaional privind practica de audit 1008 - Evaluarea
riscurilor i controlul intern caracteristici i considerente privind CIS
[12 ISA, Declaraia internaional privind practica de audit 1009 - Tehnici de
audit asistat de calculator

Pag. 134 din 180

Glosar de termeni
Acceptarea riscului - Decizie luat de management de acceptare a unui risc.
Analiza riscului - Utilizarea sistematic a informaiei pentru a identifica ameninrile i
pentru a estima riscul.
Aria de aplicabilitate a unui audit Domeniul acoperit de procedurile de audit care, n
baza raionamentului auditorului i a Standardelor Internaionale de Audit, sunt
considerate ca proceduri adecvate n mprejurrile date pentru atingerea obiectivului
unui audit.
Asigurare rezonabil (n contextul unei misiuni de audit) - Un nivel de asigurare adecvat,
ridicat dar nu absolut, reflectat n raportul auditorului ca fiind o asigurare rezonabil cu
privire la faptul c informaiile auditate nu conin greeli semnificative.
Audit extern Un audit efectuat de un auditor extern.
Autenticitate Proprietate care determin c iniiatorul unui mesaj, fiier, etc. este n
mod real cel care se pretinde a fi.
Audit online - Auditare prin consultarea online a bazelor de date ale entitilor auditate,
aflate la distan.
Audit continuu - Tip de auditare n care auditorul are acces permanent la sistemul
informatic al entitii auditate, diferena de timp ntre momentul producerii
evenimentelor urmrite de auditor i obinerea probelor de audit fiind foarte mic.
Autentificare Actul care determin c un mesaj nu a fost schimbat de la momentul
emiterii din punctul de origine. Un proces care verific identitatea pretins de un individ.
Autoritate de certificare O organizaie investit pentru a garanta autenticitatea unei
chei publice (PKI). Autoritatea de certificare cripteaz certificatul digital.
Backup O copie (de exemplu, a unui program software, a unui disc ntreg sau a unor
date) efectuat fie n scopuri de arhivare, fie pentru salvarea fiierelor valoroase pentru a
evita pierderea, deteriorarea sau distrugerea informaiilor. Este o copie de siguran.
Browser - Prescurtare pentru Web Browser, program care permite utilizatorilor s
navigheze pe Web. Cele mai populare browsere sunt Microsoft Internet Explorer, Opera,
Mozilla.
BSI (British Standards Institution) Instituia care a publicat standardele naionale
britanice care au constituit baza evoluiei standardelor ISO 9001 (BS5750 sisteme de
management al calitii) i ISO 17799 (BS 7799 managementul securitii informaiei).

Pag. 135 din 180

CAAT - Computer Assisted Audit Techniques (Tehnici de audit asistat de calculator) Software care poate fi utilizat pentru interogarea, analiza i extragerea de fiiere de date i
pentru producerea de probe de tranzacii pentru testele de detaliu.
CISA (Certified Information Systems Auditor) - Auditor de Sisteme Informatice Certificat) calificare profesional oferit de Information Systems Audit and Control Association
(ISACA) (Asociaia de Audit i Control al Sistemelor Informatice).
Cloud Computing (configuraie de nori) - Stil de utilizare a calculatoarelor n care
capabilitile IT se ofer ca servicii distribuite i permit utilizatorului s acceseze servicii
bazate pe noile tehnologii, prin intermediul Internetului, fr a avea cunotine, expertiz
sau control privind infrastructura tehnologic suport a acestor servicii.
Confidenialitate Proprietate a informaiei care asigur c aceasta nu este fcut
disponibil sau dezvluit persoanelor, entitilor sau proceselor neautorizate.
Continuitatea afacerii - Un plan formal sau un set de planuri integrate, proiectate pentru
a permite proceselor cheie ale afacerii s continue operarea n urma unor cderi majore
sau dezastre.
Controale generale n sistemele informaionale computerizate - Politici i proceduri
care se refer la sistemele informatice i care susin funcionarea eficient a controalelor
aplicaiilor contribuind astfel la asigurarea unei funcionri adecvate i continue a
sistemelor informatice. Controalele informatice generale includ, n mod obinuit,
controale asupra securitii accesului la date i reele, precum i asupra achiziiei,
ntreinerii i dezvoltrii sistemelor informatice.
Controlul accesului - Proceduri proiectate s restricioneze accesul la echipamente,
programe i datele asociate. Controlul accesului const n autentificarea utilizatorului i
autorizarea utilizatorului. Autentificarea utilizatorului se realizeaz, n general, prin
intermediul unui nume de utilizator unic, al unei parole, al unui card de acces, al datelor
biometrice. Autorizarea utilizatorului se refer la regulile de acces pentru a determina
resursele informatice la care poate avea acces fiecare utilizator.
Control intern - Procesul proiectat i efectuat de cei care sunt nsrcinai cu guvernarea,
de ctre conducere i de alte categorii de personal, pentru a oferi o asigurare rezonabil n
legtur cu atingerea obiectivelor entitii cu privire la credibilitatea raportrii financiare,
la eficacitatea i eficiena operaiilor i la respectarea legilor i reglementrilor aplicabile.
Controlul intern este compus din urmtoarele elemente: (a) Mediul de control; (b)
Procesul de evaluare a riscurilor entitii; (c) Sistemul informatic, inclusiv procesele de
afaceri aferente, relevante pentru raportarea financiar i comunicare; (d) Activitile de
control; i (e) Monitorizarea controalelor.
Controale de aplicaie n sistemele informatice - Proceduri manuale sau automate care
opereaz de obicei la nivelul proceselor ntreprinderii. Controalele de aplicaie pot fi de
natur preventiv sau de detectare i sunt proiectate s asigure integritatea informaiilor.
n mare parte, controalele de aplicaie se refer la procedurile folosite pentru a iniia,
nregistra, procesa i raporta tranzaciile sau alte date financiare.

Pag. 136 din 180

Controlul dezvoltrii programelor - Proceduri menite s previn sau s detecteze


modificrile inadecvate aduse programelor informatice care sunt accesate cu ajutorul
terminalelor conectate online. Accesul poate fi restricionat prin controale cum ar fi
folosirea unor programe operaionale separate sau a unor pachete de programe
specializate dezvoltate special pentru acest scop. Este important ca modificrile efectuate
online asupra programelor s fie documentate, controlate i monitorizate n mod adecvat.
CRAMM (The CCTA Risk Analysis and Management Method) - Metod de management i
analiz a riscului - este o metod structurat pentru identificarea i justificarea msurilor
de protecie care vizeaz asigurarea unui nivel adecvat de securitate n cadrul sistemelor
IT.
Criptare (criptografie) - Procesul de transformare a programelor i informaiilor ntr-o
form care nu poate fi neleas fr accesul la algoritmi specifici de decodificare (chei
criptografice).
Certificat digital - Conine semnturi digitale i alte informaii care confirm identitatea
prilor implicate ntr-o tranzacie electronic, inclusiv cheia public.
Declaraie de aplicabilitate - Declaraie documentat care descrie obiectivele de control
i msurile de securitate care sunt relevante i aplicabile SMSI al organizaiei. Obiectivele
de control i msurile sunt bazate pe rezultatele i concluziile analizei de risc i pe
procesele de tratare a riscului, cerine legale sau de reglementare, obligaii contractuale i
cerinele afacerii organizaiei pentru securitatea informaiei.
Determinarea riscului - Pprocesul global de analiz i evaluare a riscului
Disponibilitate Capacitatea de a accesa un sistem, o resurs sau un fiier atunci cnd
este formulat o cerere n acest scop. Proprietatea informaiei de a fi accesibil i
utilizabil la cerere de ctre o entitate autorizat
Documentarea misiunii de audit - nregistrarea procedurilor de audit aplicate, a
probelor de audit relevante, precum i a concluziilor la care a ajuns auditorul (termen
cunoscut uneori i ca documente de lucru sau foi de lucru). Documentaia unei misiuni
specifice este colectat ntr-un dosar de audit.
Documentele de lucru - Materialele ntocmite de auditor i pentru uzul auditorului, sau
obinute i pstrate de acesta, n corelaie cu derularea auditului. Documentele de lucru
pot fi pe suport de hrtie, pe film, pe suport magnetic, electronic sau pe alte tipuri de
suport pentru stocarea datelor.
e-audit - Tip de audit pentru care prezena fizic a auditorului nu este necesar la
entitatea auditat, acesta avnd la dispoziie toate informaiile oferite de o infrastructur
ITC pentru audit.
EDI - Electronic Data Interchange este termenul generic pentru transmisia structurat a
tranzaciilor sau informaiilor comerciale de la un sistem la altul.
e-guvernare - Schimbul online al informaiei autoritilor publice i a guvernului cu, i
livrarea serviciilor ctre: ceteni, mediul de afaceri i alte agenii guvernamentale.
Pag. 137 din 180

Guvernarea electronic presupune furnizarea sau obinerea de informaii, servicii sau


produse prin mijloace electronice ctre i de la agenii guvernamentale, n orice moment
i loc, oferind o valoare adugat pentru prile participante.
e-sisteme - Sisteme bazate pe Internet i tehnologii asociate care ofer servicii electronice
cetenilor, mediului de afaceri i administraiei: e-government, e-health, e-commerce, elearning, etc.
EFT - Electronic Funds Transfer systems (sisteme electronice de transfer de fonduri) sunt
utilizate pentru a transfera fonduri dintr-un cont bancar n alt cont bancar utiliznd
echipamente electronice n locul mediilor pe hrtie. Sistemele uzuale EFT includ BACS
(Bankers Automated Clearing Services) i CHAPS (Clearing House Automated Payment
System).
Eantionarea n audit - Aplicarea procedurilor de audit la mai puin de 100% din
elementele din cadrul soldului unui cont sau al unei clase de tranzacii, astfel nct toate
unitile de eantionare s aib o ans de selectare. Aceasta i va permite auditorului s
obin i s evalueze probe de audit n legtur cu unele caracteristici ale elementelor
selectate pentru a formula o concluzie sau a ajuta la formularea unei concluzii n legtur
cu populaia din care este extras eantionul. Eantionarea n audit poate utiliza fie o
abordare statistic, fie una nonstatistic.
Evaluarea riscului - Proces de comparare a riscului estimat cu criteriile de risc agreate n
vederea stabilirii importanei riscului.
Eveniment de securitate a informaiilor - situaie identificat n legtur cu un sistem,
un serviciu sau o reea care indic o posibil nclcare a politicii de securitate a
informaiilor, un eec al msurilor de protecie sau o situaie ignorat anterior, dar
relevant din punct de vedere al securitii.
Firewall - Combinaie de resurse informatice, echipamente sau programe care protejeaz
o reea sau un calculator personal de accesul neautorizat prin intermediul Internetului,
precum i mpotriva introducerii unor programe sau date sau a oricror alte programe de
calculator neautorizate sau care produc daune.
Frequently Asked Questions (FAQ) - Un termen care se refer la o list de ntrebri i
rspunsuri furnizat de companii referitoare la produsele de software, web site, etc.
Frauda - Act intenionat ntreprins de una sau mai multe persoane din cadrul conducerii,
din partea celor nsrcinai cu guvernarea, a angajailor sau a unor tere pri, care implic
folosirea unor neltorii pentru a obine un avantaj ilegal sau injust.
Gateway - Interconexiunea ntre dou reele cu protocoale de comunicare diferite.
Guvernare (guvernare corporativ) - Descrie rolul persoanelor crora le este
ncredinat supervizarea, controlul i conducerea unei entiti. Cei nsrcinai cu
guvernarea sunt, n mod obinuit, rspunztori pentru asigurarea ndeplinirii obiectivelor
entitii, pentru raportarea financiar i raportarea ctre prile interesate. n cadrul celor
nsrcinai cu guvernarea se include conducerea executiv doar atunci cnd aceasta
ndeplinete astfel de funcii.
Pag. 138 din 180

Guvernarea electronic - Schimbul online al informaiei guvernului cu, i livrarea


serviciilor ctre: ceteni, mediul de afaceri i alte agenii guvernamentale (definiie
INTOSAI).
HelpDesk - Punctul principal de contact sau interfaa dintre serviciile sistemului
informatic i utilizatori. Help desk este punctul unde se colecteaz i se rezolv
problemele utilizatorului.
Home Page - Pagina prin care un utilizator intr n mod obinuit pe un web site. Aceasta
conine i legturile (linkurile) cele mai importante ctre alte pagini ale acestui site.
Hypertext - Un sistem de scriere i de afiare a textului care permite ca textul s fie
accesat n moduri multiple, s fie disponibil la mai multe nivele de detaliu i care conine
legturi la documente aflate n relaie cu acesta.
Hypertext Mark-Up Language (HTML) - Limbajul utilizat pentru generarea
documentelor de tip hipertext (inclusiv pentru scrierea paginilor pentru http://www).
Acest limbaj permite textului sa includ coduri care definesc font-ul, layout-ul, grafica
inclus i link-urile de hypertext.
Internet - Un ansamblu de calculatoare conectate n reea (la scar mondial) care
asigur servicii de tiri, acces la fiiere, pota electronic i instrumente de cutare i
vizualizare a resurselor de pe Internet.
Internet Service Provider (ISP) - Un furnizor comercial al unei conexiuni la Internet.
Incident - Un eveniment operaional care nu face parte din funcionarea standard a
sistemului.
Incident privind securitatea informaiei - un eveniment sau o serie de evenimente de
securitate a informaiei care au o probabilitate semnificativ de a compromite activitile
organizaiei i de a aduce ameninri la securitatea informaiei.
Integritate - Proprietatea de a pstra acurateea i deplintatea resurselor.
Instituia Suprem de Audit - Organismul public al unui stat care, indiferent de modul n
care este desemnat, constituit sau organizat n acest scop, exercit n virtutea legii cea mai
nalt funcie de audit n acel stat.
Intranet - Versiunea privat a Internetului, care permite persoanelor din cadrul unei
organizaii s efectueze schimburi de date, folosind instrumentele obinuite ale
Internetului, cum sunt browserele.
Log (jurnal de operaii) - O eviden sau un jurnal al unei secvene de evenimente sau
activiti.

Pag. 139 din 180

Managementul configuraiei - Procesul de identificare i definire a componentelor de


configuraie ntr-un sistem, de nregistrare i raportare a strii componentelor din
configuraie i a solicitrilor de modificare i verificare a integritii i corectitudinii
componentelor de configuraie.
Managementul riscului - Activiti coordonate pentru ndrumarea i controlul unei
organizaii lund n considerare riscurile.
Managementul schimbrilor - Procesul de control i gestionare a solicitrilor de
modificare a oricrui aspect al sistemului informatic (hardware, software, documentaie,
comunicaii, fiiere de configurare a sistemului). Procesul de management al schimbrilor
va include msuri de control, gestionare i implementare a modificrilor aprobate.
Mediu de control - Include funciile de guvernare i de conducere, precum i atitudinile,
contientizarea i aciunile celor nsrcinai cu guvernarea i conducerea entitii
referitoare la controlul intern al entitii i la importana acestuia n entitate. Mediul de
control este o component a controlului intern.
Mediu informatizat - Politicile i procedurile pe care entitatea le implementeaz i
infrastructura informatic (echipamente, sisteme de operare etc.), precum i programele
de aplicaie utilizate pentru susinerea operaiunilor ntreprinderii i realizarea
strategiilor de afaceri. Se consider c un astfel de mediu exist n cazul n care n
procesarea de ctre entitate a informaiilor financiare semnificative pentru audit este
implicat un calculator, de orice tip sau dimensiune, indiferent dac acest calculator este
operat de ctre entitate sau de o ter parte.
Metode biometrice - Metode automate de verificare sau de recunoatere a unei persoane
bazate pe caracteristici comportamentale sau fizice (de exemplu, amprente digitale,
scrisul de mn i geometria facial sau retina), utilizate n controlul accesului fizic.
Modem - O pies de echipament utilizat pentru convertirea unui semnal digital dintr-un
calculator, n semnal analog pentru transmiterea ntr-o reea analogic (precum sistemul
public de telefoane). Un alt modem aflat la captul de primire convertete semnalul analog
n semnal digital.
Networks [reele] - Interconectarea prin faciliti de telecomunicaie a calculatoarelor i
a altor dispozitive.
Ofier de securitate - Persoana responsabil s asigure c regulile de securitate ale
organizaiei sunt implementate i funcioneaz.
Pista de audit Un set cronologic de nregistrri care furnizeaz n mod colectiv proba
documentar a prelucrrii, suficient pentru a permite reconstituirea, revizuirea i
examinarea unei activiti.
Planificarea continuitii - Planificarea efectuat pentru a asigura continuitatea
proceselor cheie ale afacerii dup dezastre, cderi majore ale sistemelor sau n cazul
imposibilitii procesrilor de rutin.

Pag. 140 din 180

Politica de securitate - Setul de reguli i practici care reglementeaz modul n care o


organizaie gestioneaz, protejeaz i distribuie informaiile sensibile.
Probe de audit - Totalitatea informaiilor folosite de auditor pentru a ajunge la
concluziile pe care se bazeaz opinia de audit.
Protocol - Standarde i reguli care determina nelesul, formatul i tipurile de date care
pot fi transferate ntre calculatoarele din reea.
Resurse - Orice prezint valoare pentru organizaie.
Risc rezidual - Riscul care rmne dup tratarea riscului.
Reea de arie larg (WAN) - O reea de comunicaii care transmite informaii pe o arie
extins, cum ar fi ntre locaii ale ntreprinderii, orae sau ri diferite. Reelele extinse
permit, de asemenea, accesul online la aplicaii, efectuat de la terminale situate la distan.
Mai multe reele locale (LAN) pot fi interconectate ntr-o reea WAN.
Reea local (LAN) - O reea de comunicaii care deservete utilizatorii dintr-o arie
geografic bine delimitat. Reelele locale au fost dezvoltate pentru a facilita schimbul de
informaii i utilizarea n comun a resurselor din cadrul unei organizaii, inclusiv date,
programe informatice, depozite de date, imprimante i echipamente de telecomunicaii.
Componentele de baz ale unei reele locale sunt mijloacele de transmisie i programele
informatice, staiile de lucru pentru utilizatori i echipamentele periferice utilizate n
comun.
Router - Un dispozitiv de reea care asigur c datele care se transmit printr-o reea
urmeaz ruta optim.
Sectorul public Guvernele naionale, guvernele regionale (spre exemplu, cele la nivel de
stat, provincie sau teritoriale), administraiile locale (spre exemplu, la nivel de ora,
municipiu) i entitile guvernamentale aferente (spre exemplu, agenii, consilii, comisii i
ntreprinderi).
Secure Socket Layer (SSL) - O tehnologie bazat pe web care permite unui calculator s
verifice identitatea altui calculator i permite conexiunile securizate.
Securitatea informaiei - Pstrarea confidenialitii, integritii i a disponibilitii
informaiei; n plus, alte proprieti precum autenticitatea, responsabilitatea, nonrepudierea i fiabilitatea pot fi de asemenea implicate.
Server - O unitate de calcul plasat ntr-un nod al reelei care asigur servicii specifice
utilizatorilor reelei (de exemplu, un print server asigur faciliti de imprimare n reea,
iar un file server stocheaz fiierele utilizatorului).
Service level agreements - Acorduri sau contracte scrise ntre utilizatori i prestatorii de
servicii, care documenteaz livrarea convenit a serviciilor IT. Acestea includ, de obicei,
orele pentru prestarea serviciului, disponibilitatea serviciului, produsul, timpii de
rspuns, restricii i funcionalitate.

Pag. 141 din 180

Sistem de management al securitii informaiei (SMSI) - Partea din ntreg sistemul de


management, bazat pe o abordare a riscului afacerii, folosit pentru a stabili,
implementa, funciona, monitoriza, revizui, menine i mbunti securitatea informaiei.
Sistemul de management include structuri organizaionale, politici, activiti de
planificare, responsabiliti, practici, proceduri, procese i resurse.
Sisteme informaionale relevante pentru raportarea financiar O component a
controlului intern care include sistemul de raportare financiar i const din procedurile
i nregistrrile stabilite pentru a iniia, nregistra, procesa i raporta tranzaciile entitii
(precum i evenimentele i condiiile) i pentru a menine responsabilitatea pentru
activele, datoriile i capitalurile proprii aferente.
Software social - Software de tip social (social networking, social collaboration, social
media and social validation) este avut n vedere de organizaii n procesul integrrii
ntreprinderii.
t-guvernare - Utilizarea tehnologiei comunicrii informaiei pentru a asigura (a
permite) transformarea modului de lucru al guvernului, ntr-o manier centrat pe client.
Tehnologii informatice verzi (ecologice) Sunt asociate cu evoluia blade server,
prin reorientarea ctre produse din ce n ce mai eficiente care pot permite funcionarea n
manier ecologic, avnd n vedere impactul asupra reelei electrice i a emisiilor de
carbon.
Test de parcurgere Un test de parcurgere implic urmrirea ctorva tranzacii pe
parcursul ntregului sistem de raportare.
TCP/IP - Transmission Control Protocol/Internet Protocol [Protocol de control al
transmisiei / Protocol Internet]: un standard utilizat pe larg pentru transferul de date
ntre calculatoarele n reea, inclusiv cele conectate la Internet.
Tratarea riscului - Proces de selecie i implementare a unor msuri n vederea reducerii
riscului.
Trojan horse (cal troian) - Program de calculator care realizeaz aparent o funcie util,
dar realizeaz i funcii ascunse neautorizate (de exemplu, un program neautorizat care
este ascuns ntr-un program autorizat i exploateaz privilegiile de acces ale acestuia).
User profile (profilul utilizatorului) - O list de drepturi de acces ale unui anumit
utilizator al sistemului.
Virus - Sunt programe de calculator ru intenionate, autopropagabile care se ataeaz
programelor executabile gazd.
Worms (viermi) - Viermii sunt programe de calculator ru intenionate, care se pot
replica fr ca programul gazd s poarte infecia. Reelele sunt vulnerabile la atacurile
viermilor, un vierme care intra n nodul unei reele cauzeaz probleme locale n nod i
trimite copii ale sale nodurilor vecine.

Pag. 142 din 180

Anexa 2 - Lista documentelor


a) Referitor la managementul tehnologiei informaiei
1. Structura organizaional. Fie de post pentru persoanele implicate n proiectele
informatice
2. Strategia IT i stadiul de implementare a acesteia
3. Politici i proceduri incluse n sistemul de control intern
4. Legislaie i reglementri care guverneaz domeniul
5. Documente referitoare la coordonarea i monitorizarea proiectelor IT
6. Raportri ctre management privind proiectele IT
7. Buget alocat pentru proiectele informatice
8. Documente referitoare la coordonarea i monitorizarea proiectelor informatice
9. Lista furnizorilor i copiile contractelor pentru hardware i software (furnizare,
service, mentenan, etc.)
10. Rapoarte de audit privind sistemul IT din ultimii 3 ani
11. Raportarea indicatorilor de performan
b) Referitor la infrastructura hardware / software i de securitate a sistemului
12. Infrastructura hardware, software i de comunicaie. Documentaie de prezentare
13. Politica de securitate. Proceduri generale. Proceduri operaionale IT (back-up,
managementul capacitii, managementul configuraiilor, managementul
schimbrii proceselor, managementul schimbrilor tehnice, managementul
problemelor etc.)
14. Proceduri i norme specifice, inclusiv cele legate de administrare i securitate, n
vederea creterii gradului necesar de confidenialitate i a siguranei n utilizare, n
scopul bunei desfurri a procedurilor electronice i pentru asigurarea proteciei
datelor cu caracter personal
15. Arhitectura de sistem. Categorii de servicii i tehnologii utilizate
16. Arhitectura de reea. Tipuri de conexiuni
17. Personalul implicat n proiecte. Numr, structur, calificare
18. Manuale, documentaie de sistem i orice alte documentaii referitoare la aplicaiile
informatice
c) Referitor la continuitatea sistemului
19. Plan de continuitate a activitii care face obiectul proiectelor IT
20. Plan de recuperare n caz de dezastru
d) Referitor la dezvoltarea sistemului
21. Lista aplicaiilor i proiectelor IT (scurt prezentare a portofoliului de proiecte)
22. Stadiul actual, grafice de implementare i rapoarte de utilizare
23. Perspective de dezvoltare

Pag. 143 din 180

e) Referitor la sistemul de monitorizare i raportare


24. Raportri ale managementului IT referitoare la proiectele informatice
25. Rapoarte de monitorizare a modului de implementare a proiectelor informatice

Pag. 144 din 180

Macheta 1
Instituia public ________________
Localitatea ____________________
Judeul _______________________

BUGET PRIVIND INVESTIIILE IT PENTRU ANUL _______

Nr.
crt.

Proiect / Sistem / Aplicaie

Specificaie

Numr

Valoare

Servere
Calculatoare PC
Echipamente de reea
Licene
Aplicaii
Personal
ntreinere
Alte cheltuieli
Not: Se vor aduga linii distincte pentru fiecare proiect / sistem / aplicaie.
TOTAL VALOARE

Aprobat / Confirmat,

Intocmit,

Pag. 145 din 180

Macheta 2
Instituia public _____________
Localitatea __________________
Judeul _____________________
Sisteme / aplicaii utilizate

Cod
serviciu
informatic

Denumire
sistem /
aplicaie

Categorie
sistem/
aplicaie
1 - aplicaie
2 - sistem
informatic
integrat
3managementul
documentelor
4 - arhiva
electronic
5 - altele

Cod
Serviciul
informatic
#1
Cod
Serviciul
informatic
#2

Stadiul
1 - n curs de
implementare
2 - neoperaional
3 - operaional

Productor
/
Furnizor

Arhitectura
1 - aplicaie
independent
2 - client-server
3 aplicaie
web

Tehnologia

SGBD /
Platforma

Mediu de
proiectare
i
dezvoltare

1-nou
2-perimat

Aplicaia 1
Aplicaia 2
.
Aplicaia ..

Aprobat / Confirmat,

Intocmit,
Pag. 146 din 180

Macheta 3

Instituia public _________


Localitatea _____________
Judeul ________________

EVALUAREA INFRASTRUCTURILOR
HARDWARE, SOFTWARE I DE COMUNICAIE

ECHIPAMENTE HARDWARE
Nr. crt.

Tip echipament

Numr

1 Servere (total)
2 Servere securizate
3 Calculatoare personale desktop (total)
4 Calculatoare personale desktop legate n reea
5 Calculatoare portabile (laptop)
6 Imprimante
7 Scannere
8 Alte tipuri de echipamente
Pag. 147 din 180

LICENE SOFTWARE
Nr. crt.

Denumire

Numr

1 Licene sistem de operare Windows XP


2 Licene sistem de operare Windows 2000 Professional
3 Licene sistem de operare Vista, Windows 7 etc.
*) Se vor aduga linii n funcie de numrul sistemelor de operare
4 Licene pentru aplicaii de birotic
CONECTARE LA INTERNET
Nr. crt

Tip conexiune

Numr

1 Conectate prin linie telefonic (dial-up)


2 Conectate prin linie nchiriat
3 Conectate prin radio
4 Conectate prin linie de cablu TV
5 Conexiune de banda larg
6 Conectare prin telefoane mobile cu acces la Internet
Aprobat / Confirmat,

Intocmit,

Pag. 148 din 180

Macheta 4
Instituia public ________
Localitatea _____________
Judeul ________________

INFORMAII PRIVIND PERSONALUL


IMPLICAT N PROIECTELE IT

Nr.
crt.
1 Personal cu
studii
superioare
care
efectueaz
activiti IT

Numr
personal

Categorii de activiti IT
Dezvoltare de programe
Consultan n domeniul hardware
Consultan i furnizare de produse software
Prelucrarea informatic a datelor
Activiti legate de baze de date
Activiti legate de asigurarea securitii sistemului
ntreinerea i repararea echipamentelor
Suport tehnic
Telecomunicaii (transmisie de date, acces Internet, etc.)
Consultan i management de proiect informatic
TOTAL (studii superioare)

Pag. 149 din 180

2 Personal cu
studii medii

Operare
TOTAL PERSONAL

1 Ponderea personalului ocupat al instituiei care utilizeaz tehnica de calcul (%)


2 Ponderea personalului ocupat din instituie care utilizeaz PC cu conectare Internet
(%)
3 Ponderea personalului ocupat care utilizeaz munca la distan (teleworking) (%)

Aprobat / Confirmat,

Intocmit,

Pag. 150 din 180

Anexa 3
Lista de verificare pentru evaluarea controalelor generale IT
Domeniul de evaluare

Comentarii/Constatri/Recomandri

I. Managementul IT
Implicarea conducerii entitii n
coordonarea activitii IT
a) n ce msur este implicat
conducerea entitii n coordonarea
activitilor IT?
b) Au loc ntlniri periodice ntre
reprezentanii compartimentului IT i
conducere? (modalitate, raportri,
procese verbale ale ntlnirilor,
minute)
Comunicarea inteniilor i obiectivelor
conducerii
a) Conducere a dezvoltat unui cadru de
referin al controlului IT la nivelul
ntregii organizaii, a definit i a
comunicat politicile?
b) Conducerea sprijin realizarea
obiectivelor IT i asigur
contientizarea i nelegerea
riscurilor afacerii i a riscurilor ce
decurg din IT, a obiectivelor i
inteniilor sale, prin intermediul
comunicrii?
Raportarea ctre conducerea entitii
a) Exist o raportare periodic a
activitilor IT ctre conducere?
b) Ce indicatori de performan IT sunt
adui la cunotina conducerii, n mod
formal?
Pag. 151 din 180

Definirea proceselor IT, a funciei i a


relaiilor
a) A fost definit o structur funcional
IT, lund n considerare cerinele cu
privire la personal, abiliti, funcii,
responsabiliti, autoritate, roluri i
supervizare?
b) Aceast structur funcional este
inclus ntr-un cadru de referin al
procesului IT care asigur
transparena i controlul, precum i
implicarea att de la nivel executiv ct
i general?
c) Sunt implementate procese, politici
administrative i proceduri, pentru
toate funciile, acordndu-se atenie
deosebit controlului, asigurrii
calitii, managementului riscului,
securitii informaiilor, identificrii
responsabililor datelor i sistemelor i
separrii funciilor incompatibile.
d) Care este implicarea funciei IT n
procesele decizionale relevante pentru
asigurarea suportului i susinerii
cerinelor economice.
e) Au fost stabilite rolurile i
responsabilitile?
f) A fost identificat personalului IT critic,
au fost implementate politicile i
procedurile pentru personalul
contractual?
Cadrul organizatoric i de
implementare privind separarea
atribuiilor
a) Exist o structur organizatoric
formal n care sunt cunoscute de
ctre personal: modul de subordonare
i limitele de responsabilitate proprii
i ale celorlali?
b) Sunt incluse cu claritate a atribuiilor
personalului n fia postului, n scopul
Pag. 152 din 180

reducerii riscului efecturii de ctre


acesta a unor aciuni dincolo de
limitele autorizate?
c) Se utilizeazepararea sarcinilor
realizat prin intermediul sistemului
informatic, prin utilizarea de profile de
securitate individuale i de grup,
preprogramate
d) Exist interdicia ca personalul care
are sarcini n departamentul IT, s
aib sarcini i n departamentul
financiar-contabil sau personal?
e) Exist o separare fizic i managerial
a atribuiilor, pentru a reduce riscul de
fraud?
f) Sunt separate funciil IT de cele ale
utilizatorilor pentru a reduce riscul de
efectuare de ctre utilizatori a unor
modificri neautorizate ale softului
sau ale datelor financiar-contabile,
avnd n vedere c persoanele cu
sarcini att n domeniul financiarcontabil, ct i n domeniul IT au
oportuniti mai mari de a efectua
activiti neautorizate prin
intermediul aplicaiilor informatice,
fr a fi depistai?
g) Exist un cadru formal de separare a
sarcinilor n cadrul departamentului
IT, pentru urmtoarele categorii de
activiti:
Proiectarea i programarea
sistemelor
ntreinerea sistemelor
Operaii IT de rutin
Introducerea datelor
Securitatea sistemelor
Administrarea bazelor de date
Managementul schimbrii i al
dezvoltrii sistemului informatic?
h) Este realizat separarea sarcinilor de
administrator de sistem de cele de
control al securitii sistemului?
Pag. 153 din 180

i) Este asigurat separarea adecvat a


sarcinilor pentru a reduce riscurile ca
personalul cu cunotine semnificative
despre sistem s efectueze aciuni
neautorizate i s nlture urmele
aciunilor lor?
j) Exist o separare eficient a sarcinilor
ntre dezvoltatorii de sisteme,
personalul de operare a
calculatoarelor i utilizatorii finali?
k) Exist interdicia ca programatorii s
aib acces la mediul de producie
(introducere de date, fiiere
permanente date de ieire, programe,
etc.) pentru a-i ndeplini sarcinile?
l) Exist interdicia ca personalul care
face programare s aib permisiunea
de a transfera software nou ntre
mediile de dezvoltare, testare i
producie?
m) Exist interdicia ca personalul cu
cunotine de programare s aib
atribuii de operare care s permit
efectuarea modificri neautorizate n
programe?
n) Este separat responsabilitatea
privind operarea aplicaiei de control
al patrimoniului, de responsabilitatea
de a menine nregistrrile contabile
pentru acesta?
o) Este utilizat separarea sarcinilor ca
form de revizie, de detectare a
erorilor i control al calitii?
p) S-au ntreprins msuri pentru
contientizarea personalului?
Organizarea sistemului de
monitorizare a activitilor i
serviciilor IT
a) Au fost stabilite atribuiile privind
monitorizarea consecvent a stadiului
Pag. 154 din 180

proiectelor IT (desemnarea unui


responsabil cu urmrirea
implementrii i utilizrii IT,
evaluarea periodic a performanei
utilizatorilor sistemului, instruirea
periodic a personalului implicat n
proiectele IT pentru a acoperi
cerinele proceselor noului model de
activitate)?
b) Exist fie de post semnate pentru
personalul implicat n proiectele IT?
Estimarea i managementul riscurilor
IT
a) Este creat i ntreinut un cadru de
referin pentru managementul
riscurilor care documenteaz un nivel
comun i convenit al riscurilor IT,
precum i strategiile de reducere a
riscurilor i de tratare a riscurilor
reziduale?
b) Este ntreinut i monitorizat un plan
de aciune pentru reducerea riscului?

Monitorizare i evaluare
a) Este msurat performana sistemului
IT pentru a detecta la timp
problemele?
b) Managementul asigur eficiena i
eficacitatea controlului intern?
c) Se efectueaz evaluarea periodic a
proceselor IT, din perspectiva calitii
lor i a conformitii cu cerinele
controlului?
d) Serviciile IT sunt asigurate
corespunztor: sunt furnizate n
conformitate cu prioritile afacerii,
costurile IT sunt optimizate,
personalul poate folosi sistemele IT n
mod productiv i n siguran iar
confidenialitatea, disponibilitatea i
integritatea sunt adecvate?
Pag. 155 din 180

Managementul investiiilor/
managementul costurilor
a) Exist n entitate un cadru de referin
pentru managementul financiar?
b) Exist un buget separat pentru
investiii i cheltuieli legate de IT?
c) Dac da, este acesta urmrit periodic?
d) Cine urmrete bugetul, cum se
ntocmete, cine l aprob?
e) Se face o analiza a activitilor fa de
Strategia IT a entitii?
f) Au fost stabilite prioriti n cadrul
bugetului IT?
g) Este asigurat finanarea IT?
Managementul programelor i al
proiectelor
a) Pentru toate proiectele IT este stabilit
un program i un cadru de referin
pentru managementul proiectelor care
garanteaz o ierarhizare corect i o
bun coordonare a proiectelor ?
b) Include cadrul de referin un plan
general, alocarea resurselor, definirea
livrabilelor, aprobarea utilizatorilor,
livrarea conform fazelor proiectului,
asigurarea calitii, un plan formal de
testare, revizia testrii i revizia postimplementrii cu scopul de a asigura
managementul riscurilor proiectului i
furnizarea de valoare pentru
organizaie.
c) Se realizeaz monitorizarea
activitilor i progresului proiectelor
n raport cu planurile elaborate n
acest domeniu?
d) Este nominalizat unui colectiv i un
responsabil care supravegheaz
desfurarea activitilor n
concordan cu liniile directoare?
Pag. 156 din 180

e) Personalul este informat n legtur cu


politicile, reglementrile, standardele
i procedurile legate de IT?
f) Exist o raportare regulat ctre
conducerea instituiei a activitilor
legate de implementarea IT?
Managementul calitii
a) Este dezvoltat i ntreinut un Sistem
de Management al Calitii (SMC),
incluznd procese i standarde
validate de dezvoltare i achiziie a
sistemelor informatice?
b) Au fost formulate cerine clare de
calitate i transpuse n indicatori
cuantificabili i realizabili, proceduri i
politici?
c) mbuntirea continu se realizeaz
prin monitorizare permanent, analiz
i msurarea abaterilor i
comunicarea rezultatelor ctre
beneficiari?
Respectarea reglementrilor in
domeniu
a) Cine are responsabilitatea asigurrii
c aplicaiile informatice sunt
actualizate n conformitate cu ultima
versiune furnizat?
b) Exist licene pentru tot software-ul
folosit? Identificai i menionai ce
software fr licen este folosit?
Managementul resurselor umane IT
a) Sunt definite i agreate practici care
sprijin meninerea resurselor umane
cu competen ridicat?
b) Exist politici i proceduri referitoare
la recrutarea i retenia personalului?
Pag. 157 din 180

c) Au fost stabilite competenele


personalului, acoperirea rolurilor,
dependena de persoanele critice?
d) Se realizeaz evaluarea
performanelor angajailor?
e) Au fost implementate proceduri
referitoare la schimbarea locului de
munc i rezilierea contractului de
munc?
Instruirea utilizatorilor i a
personalului IT
a) Au fost identificate necesitile de
instruire ale fiecrui grup de
utilizatori?
b) A fost definit i implementat o
strategie de creare a unor programe
de instruire eficient, cu rezultate
cuantificabile: reducerea erorilor
cauzate de utilizatori, creterea
productivitii i conformitii cu
controalele cheie (de
exemplu,referitoare la msurile de
securitate)?
c) Au fost realizate sesiunile de
instruire? A fost efectuat evaluarea
instruirii?
Autorizarea operrii i utilizrii
a) Sunt disponibile cunostine despre
noile sisteme?
b) Sunt transferate cunotine ctre
managementul afacerii?
c) Sunt transferate cunotine ctre
utilizatorii finali?
d) Sunt transferate cunotine ctre
personalul care opereaz i cel care
ofer suport?

Pag. 158 din 180

II. Securitatea fizic i controalele de mediu


Controlul accesului fizic
a) Unde se afl localizat camera
serverelor?
b) Exist proceduri formale de acces n
locaiile care gzduiesc echipamente
IT importante?
c) Cine are acces la servere?
d) Cum se controleaz accesul la servere
(de exemplu, cartele de acces, chei,
registre)?
e) n cazul existenei cartelelor de acces,
care este procedura de alocare a
cartelelor ctre utilizatori i cine
verific jurnalele (logurile) sistemului
de carduri?
f) Exist cerina ca vizitatorii s fie
nsoii de un reprezentant al entitii?
Protecia mediului
a) Exist n camera serverelor
urmtoarele dotri:
sisteme de prevenire a incendiilor
dispozitive pentru controlul umiditii
podea fals
aer condiionat
dispozitive UPS
senzori de micare
camere de supraveghere video
Detaliai pentru fiecare caz.
b) Sunt serverele amplasate pe rackuri
speciale?
c) Sunt elementele active ale reelei
amplasate n rackuri speciale?
d) Sunt cablurile de reea protejate? Sunt
acestea etichetate?

Pag. 159 din 180

III. Securitatea informaiei i a sistemelor


Politica de securitate
a) Exist o politic de securitate IT?
b) Exist o persoan care este
responsabil cu actualizarea acestei
politici?
c) Este aceasta politic distribuit
tuturor utilizatorilor?
d) Ce msuri s-au aplicat pentru a crete
contientizarea n cadrul instituiei cu
privire la securitate (cursuri,
prezentri, mesaje pe e-mail)?
e) Este stabilit obligaia ca utilizatorii s
semneze c au luat la cunotin de
politica de securitate IT? Dac da, cu
ce periodicitate?
Administrarea securitii
a) Exista un responsabil desemnat cu
administrarea securitii IT?
b) ndatoririle acestui responsabil sunt
definite formal?
c) Este asigurat separarea
responsabilitilor pentru aceast
persoan?
d) Aplicarea politicilor de securitate
acoper toate activitile IT ntr-un
mod consistent?
Controlul accesului logic
Revizuirea jurnalelor (logurilor)
a) Sunt logurile aplicaiilor importante
monitorizate i analizate periodic?
Dac da, detaliai (cine, cnd, cum,
dovezi).
Administrarea utilizatorilor
a) Exist o procedur pentru
administrarea drepturilor
utilizatorilor? Dac da, detaliai.
Pag. 160 din 180

b) Conine procedura de mai sus


msurile ce trebuie luate n cazul n
care un angajat pleac din cadrul
instituiei?
c) Exist un formular pentru crearea i
tergerea conturilor de utilizator i
pentru acordarea, modificarea i
revocarea drepturilor de acces? Dac
da, cine l aprob?
d) Au fost toate drepturile de acces
acordate n baza acestui formular?
e) Sunt utilizatorii activi ai sistemului
verificai periodic n concordan cu
lista de angajai furnizat de
departamentul Resurse umane?
Reguli pentru parole
a) Ce reguli pentru parole sunt definite
pentru accesul n subsistemele IT?
Trebuie avute n vedere urmtoarele
criterii:
- lungimea parolei
- reguli referitoare la coninutul parolei
- perioada de valabilitate a parolei
- numrul de ncercri pn la blocarea
contului
- cine poate debloca un cont
- numrul de parole precedente reinute
de ctre sistem
- utilizatorii sunt forai s schimbe
parola la prima accesare?
Control asupra conturilor cu drepturi
depline / utilitarelor de sistem
a) Cine are drept de administrare pentru
aplicaiile / subsistemele de baz?
b) Cine aloc i autorizeaz conturile cu
drepturi depline?
c) Cine monitorizeaz activitile
utilizatorilor cu drepturi depline?
Acces IT
a) Au programatorii drepturi de acces la
datele din mediul de producie?
Pag. 161 din 180

b) Are compartimentul IT drepturi de


acces la datele celorlalte structuri ale
entitii ? Detaliai.
Conexiuni externe
a) Exist desemnat o persoan pentru
administrarea reelei IT?
b) Ce msuri sunt luate pentru
monitorizarea reelei din punct de
vedere al securitii i al
performanei?
c) Cum sunt protejate conexiunile
externe mpotriva atacurilor
informatice (virui, acces
neautorizat)?
d) Au existat astfel de atacuri?
e) Ce organizaii externe au acces la
sistem? (de exemplu, Internet,
conexiuni on-line)
f) Exist proceduri de control privind
accesul de la distan?
g) Ce msuri de securitate sunt aplicate
n acest sens? Detaliai

IV. Continuitatea sistemelor


Copii de siguran (back-up) ale
datelor, aplicaiilor i sistemelor
a) Exist o procedur formal de salvare
(back-up)?
b)
-

Detaliai urmtoarele:
tip de copie (automat / manual)
frecvena copiilor de siguran
coninutul copiei (date, aplicaii,
sisteme, tip: complet / incremental)
locul de stocare a copiei/copiilor
tipul de suport
alte comentarii.

c) Exist o procedur de testare a


copiilor de siguran? Dac da, cu ce
frecven i cum este ea evideniat?
d) Exist o procedur de recuperare /
restaurare?
Pag. 162 din 180

e) A analizat instituia timpul necesar


restaurrii datelor /aplicaiilor/
sistemului?
Managementul datelor
a) Au fost identificate cerinele de date,
sunt stabilite proceduri eficiente
pentru a gestiona coleciile de date,
copiile de siguran/backup i
recuperarea datelor, precum i
distribuirea eficient i aranjarea
cronologic a acestora pe
suporturile de informaii?
b) Sunt stabilite aranjamente privind
depozitarea i pstrarea datelor?
c) Este reglementat sistemul de
management al bibliotecii media?
d) Sunt stabilite proceduri referitoare
la eliminarea datelor perimate?
e) Sunt stabilite cerine i proceduri de
securitate pentru managementul
datelor?

Managementul performanei i al
capacitii
a) Entitatea a implementat un cadru
procedural referitor la: planificarea
performanei i capacitii, evaluarea
performanei i capacitii actuale i
viitoare, monitorizare i raportare?
b) Se realizeaz o analiz a capacitii
pentru hardware i pentru reea? Dac
da, cu ce periodicitate? Detaliai.
c) Se realizeaz o analiz a performanei
i a capacitii aplicaiilor IT? Dac da,
ce indicatori sunt avui n vedere?
Detaliai.
d) Se realizeaz o analiz a gtuirilor de
trafic? Dac da, detaliai.

Pag. 163 din 180

Managementul problemelor
a) Cum se semnaleaz compartimentului
IT apariia problemelor?
b) Cum se ine evidena problemelor n
cadrul compartimentului IT ? Exist
un registru al problemelor sau o alt
form de eviden?
c) Exist implementat o funcie de helpdesk? Dac da, ce date statistice sunt
disponibile i cum sunt ele utilizate?
d) Ce etape trebuie urmate pentru
rezolvarea problemelor?
e) Verific i analizeaz conducerea lista
de probleme?
f) Exist o procedur de urmrire a
problemelor rmase deschise?
g) Exist o procedur n caz de
nerezolvare a situaiei?
h) Sunt procedurile documentate i
aduse la cunotin celor direct
implicai?

Planificarea continuitii
a) Exist un cadru de referin pentru
continuitatea IT? Au fost stabilite
resurselor IT critice?
b) Exist un plan privind asigurarea
continuitii activitii instituiei i, n
particular, a operaiunilor IT? Dac da,
revizuii i evaluai planul.
c) Este planul ntreinut i testat cu
regularitate? Dac da, cu ce
periodicitate?
d) Au fost organizate instruiri privind
planul de continuitate IT?
a) Sunt stabilite proceduri pentru
recuperarea i reluarea serviciilor IT,
stocarea extern a copiilor de
siguran, revizia post-reluare?
Pag. 164 din 180

Managementul operaiunilor IT
Proceduri operaionale IT
a) Sunt documentate urmtoarele
proceduri operaionale:
-

Proceduri la nceput de zi / sfrit de zi,


dac e cazul

Proceduri de recuperare sau restaurare

Instalare de software i hardware

Raportarea incidentelor

Rezolvarea problemelor

Detaliai n fiecare caz.


b) Cine este responsabil de actualizarea
procedurilor operaionale IT?
Protecia mpotriva viruilor
a) Ce soluie antivirus se folosete?
b) Aceast soluie se aplic tuturor
serverelor i staiilor de lucru?
c) Cum se realizeaz actualizarea
fiierului de definiii antivirus? (Se va
verifica actualitatea fiierele de
definiii pentru server i cteva staii
de lucru).
d) Au utilizatorii permisiunea s
dezactiveze software-ul antivirus la
staia proprie de lucru?
e) Software-ul antivirus scaneaz toate
fiierele (pe server i staiile de lucru)
automat, n mod periodic?
Managementul configuraiilor
a) Configuraiile echipamentelor IT i ale
aplicaiilor sunt meninute n mod
formal i n alte locaii dect
sistemele?
Dac da, unde i ce msuri de
protecie se utilizeaz?
b) Configuraiile sunt actualizate,
comprehensive i complete?

Pag. 165 din 180

c) Manualele de instalare / utilizare sunt


actualizate?
d) Cum este informat personalul
utilizator care sunt cele mai noi
versiuni ale documentaiei?

V. Managementul schimbrii i al dezvoltrii sistemului


Managementul schimbrii
a) Cine iniiaz modificarea sau
dezvoltarea aplicaiilor?
b) Exist un formular pentru cereri de
modificare sau schimbare? Dac da,
cine trebuie s l aprobe?
c) Exist o procedur pentru a se asigura
c investiiile n hardware, software i
servicii IT sunt evaluate
corespunztor? Dac da, detaliai.
d) Au fost adoptate metodologii i
instrumente standard pentru
dezvoltarea unor aplicaii in site (pe
plan local)? Dac da, utilizarea acestei
metodologii este transpus n
proceduri documentate?
e) Cum se asigur conducerea de
armonizarea necesitilor activitii cu
schimbrile IT?
f) Exist o eviden a tuturor
modificrilor efectuate? Dac da,
detaliai.
g) Exista o separaie a mediilor de
producie (operaional), de test i de
dezvoltare?
h) Exist o procedur de implementare a
schimbrilor tehnice n mediul
operaional?
i) Sunt modificrile de urgen permise
n cadrul instituiei?
Dac da:
j) Exist o etapizare privind
documentarea, abordarea
retrospectiv, testarea?
Pag. 166 din 180

k) Cine iniiaz, cine aprob, cine


efectueaz, cine monitorizeaz aceste
modificri?
l) Exist o eviden clar a acestor
modificri?
m) Se testeaz modificrile de urgen?
n) Ce msuri de control se iau pentru ca
doar modificrile autorizate s fie
transferate din mediul de test n cel de
producie?
Procurarea resurselor
a) Este implementat un cadru de control
al achiziiilor?
b) Se realizeaz managementul
contractelor cu furnizorii, exist
politici pentru selectarea furnizorilor
i achiziionarea resurselor?
Instalarea i acreditarea soluiilor i
schimbrilor
a) S-a efectuat instruirea pesonalului
pentru utilizarea noului sistem?
b) Au fost elaborate documente privind:
Planul de testare, Planul de
implementare?
c) Exist proceduri privind: mediul de

test, conversia sistemului i a datelor,


testarea schimbrilor, testul final de
acceptare, promovarea n producie,
revizia post-implementare?
Achiziia i ntreinerea aplicaiilor
software
a) A fost asigurat cadrul pentru
desfurarea urmtoarelor activiti i
satisfacerea urmtoarelor cerine:
o Proiectarea de nivel nalt
o Proiectarea detaliat
o Controlul i auditabilitatea
Pag. 167 din 180

o
o
o
o
o
o
o

aplicaiilor
Securitatea i disponibilitatea
aplicaiilor
Configurarea i implementarea
aplicaiilor software achiziionate
Actualizri majore ale sistemelor
existente
Dezvoltarea aplicaiilor software
Asigurarea calitii software
Managementul cerinelor
aplicaiilor
ntreinerea aplicaiilor software?

Achiziia i ntreinerea infrastructurii


tehnologice

a) A fost asigurat cadrul pentru


desfurarea urmtoarelor activiti i
satisfacerea urmtoarelor cerine:
o Planul de achiziie a infrastructurii
tehnologice
o Protecia i disponibilitatea
resurselor infrastructurii
o ntreinerea infrastructurii
o Mediul de testare a fezabilitii?

VI. Auditul intern IT


Audit intern IT
a) Cum este asigurat funcia de audit
intern privind domeniul IT n cadrul
instituiei?
b) Care este pregtirea profesional a
auditorilor interni n domeniul IT?
c) Ce metodologie folosesc acetia?
d) Care este ritmicitatea elaborrii
Raportului de audit intern? Conine
acesta aspecte legate de activitatea IT?
Dac da, precizai cum se valorific
constatrile? Dac nu, v-ai propus
abordarea aspectelor legate de IT n
rapoartele viitoare?

Pag. 168 din 180

Anexa 4
Lista de verificare pentru evaluarea riscurilor IT
Arii de risc

Nivel
risc

Comentarii / Observaii /
Concluzii

I. Dependena de IT
Complexitatea sistemului IT
a) Determinai volumul tranzaciilor
gestionate de fiecare din aplicaiile
informatice (subsisteme).
b) Determinai ct de nou este tehnologia
utilizat, pentru fiecare din subsistemele
sistemului informatic.
c) Determinai modul de operare.
d) Preluarea datelor are loc n format
electronic sau manual (suport hrtie), n
timp real sau pe loturi?
Timpul de supravieuire fr IT
a) Care ar fi consecinele asupra activitii
curente n eventualitatea ntreruperii
funcionrii sistemului informatic sau a
unui subsistem al acestuia?
b) Evaluai: posibilitatea refacerii
funcionalitii, costurile, intervalul de timp
necesar pentru reluarea funcionrii,
impact economic, social, de imagine, etc.

II. Resurse umane i cunotine IT


Aptitudini curente
a) Structura profesional a angajailor din
compartimentul IT (organigram, numr,
stat funciuni, fie de post etc.) sau a
persoanelor care au responsabiliti
privind serviciile IT externalizate

Pag. 169 din 180

b) Care este nivelul de pregtire al angajailor


IT n raport cu necesitile activitii
curente?
c) Exist anumite cunotine IT care sunt
concentrate la nivelul unui numr restrns
de personal?
d) Care sunt metodele de evaluare ale
personalului IT?
Resurse umane comparate cu volumul de
munc
a) Personalul IT este suficient n raport cu
volumul de munc?
b) Personalul IT este suprancrcat?
c) Activitatea personalului IT este una
specific exclusiv domeniului IT?
Fluctuaia personalului
a) Care a fost fluctuaia personalului IT n
ultima perioad (de exemplu, 3 ani)?
b) Cum este apreciat moralul personalului IT?
(nivel de salarizare, stimulente, posibiliti
de promovare, stagii de pregtire i de
perfecionare etc.).

III. ncrederea n IT
Complexitatea sistemului i documentaia
aplicaiilor informatice
a) Cum este apreciat complexitatea
aplicaiilor (subsistemelor) din cadrul
sistemului informatic?
b) Aplicaiile sunt utilizate preponderent
pentru nregistrarea i raportarea datelor?
c) Ce interfee exist ntre aplicaii?
Erori / intervenii manuale
a) Care este tipul i numrul i erorilor
constatate n cazul fiecrei aplicaii n
parte?

Pag. 170 din 180

b) n ce msur datele generate de aplicaii


sufer prelucrri manuale ulterioare din
partea utilizatorilor?
c) Exist probleme de reconciliere ntre
datele furnizate de diverse aplicaii sau
chiar n cadrul aceleiai aplicaii?
Scalabilitate
a) n ce msur sistemul informatic actual
poate suporta creterea volumului de
operaiuni i/sau de date?
Sisteme depite
a) Tehnologia folosit este de ultim
generaie?

IV. Schimbri n IT
Dezvoltarea de aplicaii informatice
a) Exist o metodologie de dezvoltare intern
a aplicaiilor informatice?
Noi tehnologii
a) Schimbrile n sistemele IT au n vedere
tehnologii de ultima generaie?
Modificri ale proceselor activitii
a) n ce msur se vor impune n viitorul
apropiat modificri structurale ale
proceselor activitii care s atrag
modificri ale sistemului informatic?
Este pregtit cadrul de reglementare n
acest sens?

IV. Externalizarea IT
Externalizarea
a) Care este nivelul externalizrii, incluznd
suportul tehnic, operare, dezvoltare, suport
utilizatori etc.?
b) Exist o politic de externalizare a
activitilor IT (existena unor colaboratori,
furnizori de servicii IT, etc.) bazat pe:
identificarea relaiilor cu toi furnizorii,
Pag. 171 din 180

managementul relaiilor cu furnizorii,


managementul riscului asociat
furnizorilor?
c) Au fost incluse clauze de tip SLA (Service
Level Agreement) n contractele cu
furnizorii de servicii?
d) Au fost incluse clauze de confidenialitate
n contractele cu furnizorii de servicii? Este
monitorizat performana furnizorului?
Furnizorii IT
a) Ce riscuri decurg din contractele cu
furnizorii?
b) Se efectueaz o analiz privind nivelul de
dependen fa de furnizor?
Dezvoltarea de aplicaii informatice de
ctre utilizatori
a) n ce msur aplicaiile informatice sunt
dezvoltate intern?

V. Focalizarea pe activitile afacerii


Contientizarea conducerii privind
riscurile IT
a) n ce msura conducerea este contient de
importana sistemelor IT i a riscurilor
conexe?
b) Este implementat un registru al riscurilor
care s reflecte abordarea managementului
cu privire la modelul de risc i de
management al riscurilor?
Necesiti curente n raport cu
funcionalitatea sistemului informatic
a) Sistemul informatic acoper necesitile
activitii curente?

Pag. 172 din 180

VI. Securitatea informaiei


Motivaia pentru fraud / infraciuni
(intern i extern)
a) Care sunt tipurile de informaii gestionate
de ctre fiecare din aplicaiile sau
subsistemele informatice?
b) n ce msur ar fi afectat reputaia
instituiei n caz de fraud informatic?
Detaliai.
Sensibilitatea datelor
a) Sunt confideniale datele gestionate de
ctre aplicaiile informatice? n ce grad?
Legislaie i regulamente
a) Domeniul de activitate este riguros
reglementat?
b) Exist date cu caracter personal gestionate
de aplicaiile IT? Dac da, detaliai cum
sunt acestea gestionate i care este
modalitatea de aliniere la legislaia n
vigoare care reglementeaz domeniul.

Pag. 173 din 180

Anexa 5
Lista de verificare privind evaluarea controalelor de aplicaie
Controale de aplicaie / Teste

Comentarii / Observaii

CA1 - Descrierea aplicaiei


a) Care sunt funciile pe care le realizeaz
aplicaia?
b) Prezentai arhitectura aplicaiei (platforma
hardware / software, produsele software
de tip instrument, sistemul de gestiune a
bazelor de date, sistemul de comunicaie).
c) Este desemnat un administrator al
aplicaiei?
d) Care este numrul utilizatorilor? Cine sunt
utilizatorii?
e) Care sunt volumul i valoarea tranzaciilor
procesate lunar de aplicaia financiarcontabil
f) Puncte slabe sau probleme cunoscute

CA2 - Posibilitatea de efectuare a auditului


a) Evidenele tranzaciilor s fie stocate i s
fie complete pentru ntreaga perioad de
raportare.
b) Evidenierea unei tranzacii s conin
suficiente informaii pentru a stabili un
parcurs de audit.
c) Totalurile tranzaciilor s se regseasc n
situaiile financiare.

CA3 - Utilizarea CAAT


a) Identificarea informaiilor care vor fi
necesare pentru prelucrare n scopul
obinerii probelor de audit
Pag. 174 din 180

b) Obinerea datelor ntr-un format adecvat


pentru a fi prelucrate
c) Stocarea datelor ntr-o structur care s
permit prelucrrile impuse de necesitile
auditului
d) Obinerea asigurrii privind versiunea de
programe utilizat i corectitudinea
surselor de date
e) nelegerea modului n care opereaz
sistemul (identificarea fiierelor care
conin datele de interes i a structurii
acestora
f) Cunoaterea structurii nregistrrilor,
pentru a le putea descrie n programul de
interogare
g) Formularea interogrilor asupra fiierelor
/ bazelor de date
h) Cunoaterea
sistemului

modului

de

operare

i) Determinarea criteriilor de selecie a


nregistrrilor n funcie de metoda de
eantionare i de tipurile de prelucrri
j) Interogarea sistemului i obinerea
probelor de audit. Trebuie adoptat cea
mai adecvat form de prezentare a
rezultatelor.

CA4 - Determinarea rspunderii


a) Implementarea unor controale care
identific i raporteaz aciunile
utilizatorilor i nregistreaz informaiile
ntr-un registru de audit
b) Conducerea examineaz n mod regulat
rapoartele de excepii extrase din registrul
de audit i ia msuri de urmrire ori de
cte ori sunt identificate discrepane
c) Exist controale adecvate pentru a asigura
c personalul care introduce sau
proceseaz tranzacii nu poate s modifice
i nregistrrile aferente activitilor lor,
nscrise n registrul de audit
Pag. 175 din 180

d) Integritatea registrelor de audit este


asigurat prin criptarea datelor sau prin
copierea registrului ntr-un director sau
fiier protejat

CA5 - Documentaia aplicaiei


a) Evaluai dac documentaia aplicaiei este
adecvat, este cuprinztoare i actualizat,
dac personalul ndreptit are copii ale
documentaiei relevante sau acces la
aceasta, dac exist instruciuni de lucru
pentru procedurile zilnice i pentru
rezolvarea unor probleme frecvente, dac
se pstreaz copii de rezerv ale
documentaiei aplicaiei n scopul
recuperrii dup dezastru i al relurii
rapide a procesrii.

CA6 - Securitatea aplicaiei: acces fizic i logic


a) Evaluai proteciile fizice n vigoare pentru
a preveni accesul neautorizat la aplicaie
sau la anumite funcii ale acesteia, n
funcie de atribuii, pentru punerea n
aplicare a separrii sarcinilor i a
respectrii atribuiilor
b) Se vor testa controalele logice de acces
utilizate pentru a restriciona accesul la
aplicaie sau la anumite funcii ale acesteia
pentru punerea n aplicare a separrii
sarcinilor i a respectrii atribuiilor
c) Se vor testa controalele logice existente
pentru restricionarea activitii
utilizatorilor dup ce a fost obinut accesul
la o aplicaie (de exemplu, meniuri
restricionate)
d) Evaluai controalele existente n cadrul

aplicaiei pentru identificarea aciunilor


utilizatorilor individuali (utilizarea de
identificri unice, jurnale de operaii,
utilizarea semnturii electronice)

Pag. 176 din 180

CA7- Controale la introducerea datelor


a) Evaluai procedurile / controalele existente
care s asigure c introducerea datelor este
autorizat i exact.
b) Evaluai controalele care asigur c toate
tranzaciile valabile au fost introduse
(verificri de completitudine i exactitate),
c exist proceduri pentru tratarea
tranzaciilor respinse sau eronate.
c) Verificai aciunile care se ntreprind

pentru monitorizarea datelor de intrare.

CA8 - Controale ale transmisiei de date


a) Verificai c transferul de date n reea este
att complet, ct i exact (utilizarea
semnturii digitale, criptarea datelor,
secvenierea tranzaciilor).
b) Evaluai modelul de identificare i tratare a
riscurilor asociate transferului de date n
reea.

CA9 - Controalele procesrii


a) Evaluai controalele existente care s
asigure c toate tranzaciile au fost
procesate, pentru a reduce riscul de
procesare a unor tranzacii incomplete,
eronate sau frauduloase.
b) Evaluai controalele existente care s
asigure c fiierele sunt procesate corect
(controalele pot fi de natur fizic sau
logic i previn riscul de procesare
necorespunztoare a unor tranzacii).
c) Verificai modul n care aplicaia i
personalul trateaz erorile de procesare.
d) Verificai existena controalelor pentru a
asigura exactitatea procesrii i a
controalelor pentru detectarea /
prevenirea procesrii duble.

Pag. 177 din 180

CA10 - Controale la ieire


a) Verificai existena controalelor care s
asigure c ieirile de la calculator sunt
stocate corect i atunci cnd sunt transmise
acestea ajung la destinaie.
b) Verificai existena controalelor
corespunztoare privind licenele software.
c) Verificai existena controalelor privind
caracterul rezonabil, exactitatea i
completitudinea ieirilor.

CA11 - Controalele datelor permanente


a) Verificai existena i testai controalele
privind autorizarea accesului i a
modificrilor datelor permanente.

CA12 Conformitatea cu legislaia


a) Existena unor politici sau proceduri
formale prin care se atribuie
responsabilitatea monitorizrii mediului
legislativ care poate avea impact asupra
sistemelor informatice
b) Este alocat responsabilitatea asigurrii
conformitii aplicaiilor cu clauzele
contractuale privind:
asigurarea c sistemul implementat
este actualizat n conformitate cu
ultima versiune furnizat;
respectarea termenelor privind
distribuirea ultimelor versiuni de
echipamente, software, documentaie;
livrarea i instalarea configuraiilor
hardware / software pe baza unui
grafic, conform clauzelor contractuale,
pe etape i la termenele stabilite;
respectarea obligaiilor privind
instruirea i suportul tehnic, stabilite
prin contract;
furnizarea pachetelor software conform
clauzelor contractuale. Verificarea
existenei i valabilitii licenelor
furnizate n cadrul contractului;
Pag. 178 din 180

asigurarea suportului tehnic (prin


telefon, e-mail sau utiliznd un portal;
portalul poate avea seciuni distincte
foarte utile pentru suport tehnic
specializat pe categorii relevante de
probleme / anomalii sau pentru
instruirea continu a utilizatorilor;
furnizarea documentaiei tehnice
conform contractului: coninutul (lista,
numrul manualelor, limba) i formatul
(tiprit, n format electronic, on-line);
c) Existena unor proceduri scrise privind
analiza i acceptarea produselor i
serviciilor furnizate n cadrul contractului,
precum i recepia cantitativ i calitativ
d) Existena specificaiilor funcionale, a
manualelor de utilizare i administrare
pentru proiectele de dezvoltare software
e) Existena manualelor de utilizare pentru
echipamentele livrate.

CA13 - Efectuarea testelor de audit


a) Verificai existena evidenelor complete
ale tranzaciilor aferente aplicaiei.
b) Evaluai fezabilitatea colectrii probelor de
audit relevante i suficiente.
c) Evaluai dac parcursul (pista) de audit se
poate reconstitui din fluxul de prelucrare.
d) Evaluai dac aplicaia este disponibil
atunci cnd este nevoie, funcioneaz
conform cerinelor, este fiabil i are
implementate controale sigure asupra
integritii datelor.
e) Detaliai procedura de actualizare a
aplicaiei ca urmare a modificrilor
legislative.
f) Evaluai aplicaia din punct de vedere al
gestionrii resurselor informatice
disponibile (date, funcionalitate,
tehnologii, faciliti, resurse umane, etc.).
g) Evaluai cunoaterea funcionrii aplicaiei
de ctre utilizatori.
Pag. 179 din 180

h) Se vor efectua teste de verificare a


parametrilor i funcionalitii aplicaiei
din punct de vedere operaional i al
conformitii cu legislaia n vigoare.
i) Se vor efectua teste de verificare la nivel de
funcie pentru procedurile critice din
punctul de vedere al performanei
(lansarea, derularea i abandonarea
procedurilor, accesul la informaii n funcie
de perioada de nregistrare/raportare,
restaurarea bazei de date).
j) Se vor efectua teste privind corectitudinea
ncrcrii / actualizrii informaiilor n
baza de date. Se vor meniona metodele de
depistare i rezolvare a erorilor. Se vor
testa funciile de regsire i analiz a
informaiei.
k) Evaluai interoperabilitatea aplicaiei cu
celelalte aplicaii din sistemul informatic.
l) Evaluai sistemul de raportare propriu al
aplicaiei i sistemul de raportare global.
m) Se vor efectua teste privind modul de
accesare a aplicaiei la nivel de reea, la
nivelul staiei de lucru i la nivel de
aplicaie.
n) Se vor testa funciile de conectare ca
utilizator final i de operare n timp real, pe
tranzacii de test.
o) Evaluai funcionalitatea comunicrii cu
nivelele superior i inferior.
p) Analizai soluia de gestionare a
documentelor electronice.
q) Verificai prin teste proteciile aferente
aplicaiei.

Pag. 180 din 180