Auditarea Sistemului Informatic
Capitolul 1
Auditul sistemelor informatice,
componentă a sistemului de audit
Definirea și conceptul auditului sistemelor informatice
În literatura și practica se întâlnesc termenii de auditul sistemelor informaționale, auditul sistemelor informatice sau auditul informatic (auditul IT), Diferența conceptuală dintre acești termeni este dată pe de o parte de conținutul și nivelul la care se desfășoară activitatea de audit și pe de altă parte de diferența conceptuală dintre noțiunile de sistem informațional și sistem informatic. Astfel, auditul sistemului informațional este, conceptual, cel mai cuprinzător, acoperind prin obiectivele sale toate nivelurile sistemului informațional, de la evaluarea proiectării și utilizării sistemului informatic, până la evaluarea politicilor și procedurilor de securitate de la nivelul operațional și strategic. Auditul sistemului informatic respectiv
auditul informatic acoperă prin obiectivele sale doar sistemul informatic. Pe scurt, conceptual, auditul sistemului informațional conține auditul sistemului informatic, întrucât în majoritatea întreprinderilor sistemul informatic acoperă aproape tot sistemul informațional .Cel mai utilizat termen va fi de auditul sistemelor informatice sau auditul IT, iar pentru auditor se va utiliza termenii de auditor de sisteme informatice sau auditor IT.
Auditul sistemelor informatice reprezintă activitatea de colectare și evaluare a unor probe pentru a determina dacă sistemul informatic este securizat, menține integritatea datelor prelucrate și stocate, permite atingerea obiectivelor strategice ale întreprinderii și utilizează eficient resursele informaționale.
De regulă, această activitate trebuie să fie executată de persoane pregătite și calificate în domeniul controlului, securității și managementului sistemelor informaționale. O atestare profesională în acest domeniul îl oferă certificatul CISA (Certified Information Systems Auditor) eliberat de către ISACA (Information Systems Audit and Control Association).
Deși există o legătură metodologică destul de strânsă între auditul financiar-contabil și auditul sistemelor informatice, cel din urmă are la bază cunoștințe din cel puțin patru domenii, astfel: auditul tradițional, sisteme informaționale pentru management, știința comportamentului (psihologie) și informatică.
Auditul sistemului informatic poate fi organizat atât la nivelul întreprinderii, în cadrul funcției de audit intern, cât și sub forma auditului extern realizat de către persoane din afara întreprinderii.
în cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operații sunt verificările, evaluările și testările mijloacelor informaționale, astfel:
Identificarea și evaluarea riscurilor din sistem.
Evaluarea și testarea controlului din sistem.
Verificarea și evaluarea fizică a mediului informațional. ,
Verificarea și evaluarea administrării sistemului informatic.
Verificarea și evaluarea aplicațiilor informatice.
Verificarea și evaluarea securității rețelelor de calculatoare.
Verificarea și evaluarea planurilor și procedurilor de recuperare
în caz de dezastre și continuare a activității.
Testarea integrității datelor.
Având în vedere faptul că auditul sistemelor informatice este o disciplină care presupune cunoștințe de specialitate din mai multe domenii, profesia de auditor al sistemelor informatice este destul de complexă și dinamică. Un auditor de sisteme informatice, trebuie să aibă cunoștințe privind :
auditul financiar;
managementul;
contabilitate;
evaluarea riscurilor,
controlul;
arhitectura fizică (hardware) a sistemelor informatice;
sistemele de operare și aplicațiile informatice;
telecomunicațiile;
securitatea sistemelor informatice;
analiza și proiectarea sistemelor informatice;
programarea și limbajele de programare;
sistemele de gestiune a bazelor de date;
tehnicile de procesare automată a datelor în cadrul
sistemelor informatice de gestiune;
statistică;
legislația.
Auditorul de sisteme informatice, trebuie să aibă si o serie de aptitudinile cum ar fii:
să fie un bun membru într-o echipă de audit;
să fie un bun manager al activităților de audit;
să aibă un spirit de observație bine dezvoltat;
să fie un bun colaborator;
să dispună de abilități de comunicare;
să fie capabil să ia decizii obiective;
să fie un bun analist.
1.2. Riscurile din cadrul sistemelor informatice
1.2.1. Definirea și clasificarea riscului din cadrul sistemului informațional
În cadrul sistemului informațional al întreprinderilor, auditorii trebuie să evalueze, atât riscurile, cât și controlul sistemului. Orientarea spre evaluarea riscurilor permite auditorului să observe mult mai bine eficacitatea și eficiența controlului din sistemul audîtat.
Riscul din cadrul sistemului informațional reprezintă probabilitatea de apariție a unei pierderi care să afecteze negativ resursele informaționale și funcționalitatea sistemului.
Privit în ansamblul său sistemul informațional al întreprinderilor este expus la o serie de riscuri. Un rol deosebit în identificarea și controlul riscurilor îl are procesul de management al riscului.
Managementul riscului poate fi definit ca fiind procesul de identificare a vulnerabilităților și amenințărilor din cadrul unei întreprinderi, precum și de elaborare a unor măsuri de minimizare a impactului acestora asupra resurselor informaționale din întreprindere.
Acest proces trebuie să existe la nivelul oricărei întreprinderi pentru a asigura atingerea cu succes a obiectivelor. întreprinderile pot, însă, transfera, ignora, accepta sau reduce riscul. Transferul riscurilor se poate realiza prin asigurarea mijloacelor expuse (asigurarea informatică sau a sistemului informatic). Ignorarea riscului poate să conducă la pierderi semnificative. Acceptarea riscului poate fi realizată în condițiile în care măsurile de control sunt mai costisitoare decât pierderea în sine. Reducerea riscului se realizează prin adoptarea unor proceduri de control a factorilor de risc.
Riscul sistemului informațional reprezintă probabilitatea de apariție a unor erori sau fraude datorită utilizării inadecvate a sistemului informațional. Riscul sistemului informațional cuprinde:
Riscurile la nivelul aplicațiilor și operațiilor din sistemul informatic. Acestea pot fi:
securitatea scăzută a aplicațiilor;
accesul neautorizat la datele sistemului;
introducerea unor date inadecvate sau false;
procesarea incompletă a datelor;
dublarea datelor tranzacționate;
procesarea cu întârziere a datelor;
nefuncționarea corectă a transmisiei datelor;
analiza și proiectarea defectuoasă a aplicațiilor;
incompatibilitatea dintre aplicațiile informatice;
infectarea aplicațiilor cu viruși electronici;
instruirea inadecvată a utilizatorilor;
suportul și mentenanța inadecvată a aplicațiilor;
Riscul de continuare a activității sistemului informatic. Reprezintă riscul asociat disponibilității și recuperării sistemului. Riscul disponibilității sistemului reprezintă probabilitatea ca sistemul să devină indisponibil utilizatorilor datorită securității sale. Riscul recuperării sistemului reprezintă probabilitatea ca datele și operațiile sistemului să nu mai poată fi recuperate în vederea continuării activității întreprinderii (de exemplu inexistența unor copii de siguranță și a procedurilor de recuperare și continuare a activității conduc la creșterea nivelului acestui risc).
1.2.2. Evaluarea riscurilor din sistemul informațional
Atât managerii, cât și auditorii, trebuie să evalueze cât mai corect riscurile din cadrul sistemului informațional ai întreprinderii.
Pentru identificarea și evaluarea riscurilor, în general, se parcurg următorii pași:
identificarea factorilor de risc;
ierarhizarea factorilor de risc după importanța acestora pentru sistemul auditat;
determinarea frecvenței și duratei de apariție a fiecărui factor de risc;
cuantificarea și evaluarea nivelului de risc;
programarea auditului și alocarea resurselor de audit corespunzătoare nivelului de risc stabilit.
Controlul în cadrul sistemului informațional
După identificarea și evaluarea riscurilor din sistemul informatic se trece la evaluarea și testarea controalelor stabilite pentru minimizarea sau eliminarea riscurilor. Obiectivele controlul intern acoperă toate funcțiunile și activitățile, indiferent dacă acestea sunt manuale sau automatizate.
Astfel, auditorul trebuie să cunoască, să identifice și să testeze toate tipurile de controale existente.
În cadrul sistemului informațional, la fel ca și la nivelul întregii întrepinderi, controlul intern asigură prevenirea, detectarea (identificarea) și corectarea evenimentelor (problemelor) cauzate de către factorii de risc. Astfel, controlul poate fi:
preventiv: permite identificarea problemelor înainte ca acestea să apară și să afecteze activitatea întreprinderii. în termenii sistemului informatic controlul preventiv permite detectarea și prevenirea unor erori, omisiuni sau fraude înainte ca acestea să aibă loc. De exemplu în cadrul controlului preventiv din sistemul informațional pot fi cuprinse: segregarea sarcinilor și responsabilităților;controlul accesului la resursele din sistem (pe bază de cartele sau carduri de acces); stabilirea unor proceduri clare de introducerea datelor în sistem.
detectiv: permite detectarea și raportarea problemelor apărute în sistem. De exemplu în cadrul controlului detectiv din sistemul informațional pot fi cuprinse: validarea intrărilor de date prin caractere de control; mesajele de eroare din cadrul aplicațiilor informatice; procedura de identificare a dublurilor înregistrărilor bazei de date.
corectiv: permite remedierea unei probleme sau minimizarea impactului unei amenințări identificate prin controlul detectiv. De exemplu: procedurile de recuperare a datelor; procedurile de relansarea aplicațiilor informatice.
Obiectivele controlului intern specifice sistemului informațional pot fi:
asigurarea securității fizice și logice a resurselor informaționale;
asigurarea integrității aplicațiilor informatice (în special a celor degestiune) prin:
verificarea și autorizarea intrărilor de date;
o acuratețea, integritatea și securitatea prelucrărilor și tranzacțiilor de date;
acuratețea,integritatea și securitatea rapoartelor;
o integritatea bazelor de date;
asigurarea eficienței dezvoltării sau achiziției de aplicații informatice și asigurarea concordanței acestora cu obiectivele întreprinderii;
asigurarea eficacității și eficienței operațiilor și procedurilor din sistem;
asigurarea concordanței dintre procedurile, respectiv operațiile din sistem și reglementările legale și regulamentele interne în vigoare;
asigurarea recuperării datelor și continuarea activității în caz de dezastre sau evenimente neprevăzute.
Având în vedere obiectivele controlului, structura sistemului informațional dintr-o întreprindere ,controlul intern al sistemului informațional poate fi clasificat în două categorii:
Controlul managementului sistemului informațional.
Controlul aplicațiilor informatice.
Controlul managementului sistemului informațional reprezintă ansamblul procedurilor de asigurare a unui nivel rezonabil de acoperire a controlului intern din Sistemul informațional. Acest tip de control are un caracter general, cuprinzând sistemul în ansamblul său. în cadrul acestei categorii de control, auditorul trebuie să identifice, să evalueze și să testeze următoarele:
Controlul organizării sistemului informatic;
Controlul proiectării și implementării sistemului informatic;
Controlul procedurilor și operațiilor din sistem;
Controlul organizării securității sistemului;
Controlul asigurării calității sistemului.
Controlul aplicațiilor informatice reprezintă ansamblul procedurilor și tehnicilor, manuale sau automate pentru controlul intrărilor, prelucrărilor și ieșirilor aplicațiilor informatice. Acest tip de control are un caracter specific și se referă la o anumită componentstabilite pentru minimizarea sau eliminarea riscurilor. Obiectivele controlul intern acoperă toate funcțiunile și activitățile, indiferent dacă acestea sunt manuale sau automatizate.
Astfel, auditorul trebuie să cunoască, să identifice și să testeze toate tipurile de controale existente.
În cadrul sistemului informațional, la fel ca și la nivelul întregii întrepinderi, controlul intern asigură prevenirea, detectarea (identificarea) și corectarea evenimentelor (problemelor) cauzate de către factorii de risc. Astfel, controlul poate fi:
preventiv: permite identificarea problemelor înainte ca acestea să apară și să afecteze activitatea întreprinderii. în termenii sistemului informatic controlul preventiv permite detectarea și prevenirea unor erori, omisiuni sau fraude înainte ca acestea să aibă loc. De exemplu în cadrul controlului preventiv din sistemul informațional pot fi cuprinse: segregarea sarcinilor și responsabilităților;controlul accesului la resursele din sistem (pe bază de cartele sau carduri de acces); stabilirea unor proceduri clare de introducerea datelor în sistem.
detectiv: permite detectarea și raportarea problemelor apărute în sistem. De exemplu în cadrul controlului detectiv din sistemul informațional pot fi cuprinse: validarea intrărilor de date prin caractere de control; mesajele de eroare din cadrul aplicațiilor informatice; procedura de identificare a dublurilor înregistrărilor bazei de date.
corectiv: permite remedierea unei probleme sau minimizarea impactului unei amenințări identificate prin controlul detectiv. De exemplu: procedurile de recuperare a datelor; procedurile de relansarea aplicațiilor informatice.
Obiectivele controlului intern specifice sistemului informațional pot fi:
asigurarea securității fizice și logice a resurselor informaționale;
asigurarea integrității aplicațiilor informatice (în special a celor degestiune) prin:
verificarea și autorizarea intrărilor de date;
o acuratețea, integritatea și securitatea prelucrărilor și tranzacțiilor de date;
acuratețea,integritatea și securitatea rapoartelor;
o integritatea bazelor de date;
asigurarea eficienței dezvoltării sau achiziției de aplicații informatice și asigurarea concordanței acestora cu obiectivele întreprinderii;
asigurarea eficacității și eficienței operațiilor și procedurilor din sistem;
asigurarea concordanței dintre procedurile, respectiv operațiile din sistem și reglementările legale și regulamentele interne în vigoare;
asigurarea recuperării datelor și continuarea activității în caz de dezastre sau evenimente neprevăzute.
Având în vedere obiectivele controlului, structura sistemului informațional dintr-o întreprindere ,controlul intern al sistemului informațional poate fi clasificat în două categorii:
Controlul managementului sistemului informațional.
Controlul aplicațiilor informatice.
Controlul managementului sistemului informațional reprezintă ansamblul procedurilor de asigurare a unui nivel rezonabil de acoperire a controlului intern din Sistemul informațional. Acest tip de control are un caracter general, cuprinzând sistemul în ansamblul său. în cadrul acestei categorii de control, auditorul trebuie să identifice, să evalueze și să testeze următoarele:
Controlul organizării sistemului informatic;
Controlul proiectării și implementării sistemului informatic;
Controlul procedurilor și operațiilor din sistem;
Controlul organizării securității sistemului;
Controlul asigurării calității sistemului.
Controlul aplicațiilor informatice reprezintă ansamblul procedurilor și tehnicilor, manuale sau automate pentru controlul intrărilor, prelucrărilor și ieșirilor aplicațiilor informatice. Acest tip de control are un caracter specific și se referă la o anumită componentă a sistemului informatic. în cadrul acestei categorii de control, auditorul trebuie să identifice, să evalueze și să testeze următoarele:
• Controlul intrării datelor. Acest tip de control asigură autenticitatea, acuratețea și integralitatea datelor introduse în sistem, precum și respingerea, corectarea sau reintroducerea datelor eronate.
Prin autenticitate se asigură faptul că numai utilizatorii autorizați au acces la introducerea datelor. Practic această limitare se realizează prin definirea unor grupuri de utilizatori în cadrul sistemului, care vor avea acces diferențiat la diferitele module de intrare a datelor. Accesul se realizează pe baza autentificării utilizatorilor prin nume și parolă. Prin acuratețe se asigură faptul că datele introduse sunt reale, corecte și compatibile cu prelucrările din sistem. Practic acest lucru se realizează prin implementarea în sistem a procedurilor de verificare și validare a datelor introduse, cum ar fi: validarea codurilor, validarea lungimii datelor sau validarea încadrării datelor în anumite intervale. De exemplu calculul caracterelor de control pentru codurile produselor sau mărfurilor intrate.
Prin integralitate se asigură faptul că datele au fost introduse în totalitate fără omisiuni sau dubluri. Acest lucru se poate realizează prin calculul și compararea totalului sumelor introduse cu totalurile din documentele introduse.
Controlul prelucrării (procesării), tranzacțiilor de date și a fișierelor de date. Asigură acuratețea și integralitatea prelucrărilor și tranzacțiilor, integritatea datelor stocate, atât pe loturi, cât și în timp real (online), precum și corectarea datelor eronate. Asigurarea acurateța prelucrării și tranzacționării datelor se realizează prin proceduri de validare a prelucrărilor și tranzacțiilor. Asigurarea integralității prelucrării și tranzacțiilor de date se poate realiza prin compararea tranzacțiilor intrate într-un modul cu tranzacțiile ieșite din modulul predecesor. Pot fi comparate, atât numărul tranzacțiilor, cât și totalul valorii acestora. De exemplu compararea numărului și totalului facturilor recepționate la gestiune și transmise către contabilitate, cu numărul și totalul facturile recepționate la contabilitate și primite de la gestiune. Asigurarea integrității datelor stocate în baza de date se realizează prin integritatea referențială, integritatea tranzacțională, definirea constrângerilor de unicitate și de valoare, precum și definirea procedurilor de recuperare a datelor (backup).
Urmărirea și corectarea datelor eronate din cadrul prelucrărilor și tranzacțiilor de date se realizează prin înregistrarea erorilor și corectării acestora în cadrul unor fișiere de tip jurnal (log files).
Controlul ieșirilor de date și informații. Asigură faptul că ieșirile sistemului sunt reale, corecte, integrale, securizate și distribuite în timp util utilizatorilor și factorilor decizionali corespunzători (autentificați), în cadrul procedurilor de control al ieșirilor pot fi enumerate următoarele: autorizarea generării ieșirilor; compararea totalurilor din cadrul rapoartelor cu totalurile din cadrul tranzacțiilor (de exemplu compararea rulajelor din balanță cu rulajele calculate din jurnal); autorizarea distribuției ieșirilor (doar utilizatorii autentificați trebuie să beneficieze de ieșirile sistemului); verificarea recepției ieșirilor către beneficiarii autentificați. De asemenea, în cadrul sistemului generarea și distribuția ieșirilor trebuie jurnalizată prin intermediul unor fișiere jurnal
Evaluarea riscurilor și a controlului sistemului informațional este un proces dinamic într-o perpetuă schimbare datorită evoluției rapide a tehnologiei informației. Astfel, pe lângă aspectele menționate mai sus există o serie de riscuri și sisteme de control particularizate pentru sistemele informatice de comerț electronic, electronic banking, ATM, e-finance ș.a. Auditorul trebuie să aibă în vedere, atât cadrul general de evaluare a riscurilor și de implementare și funcționare a controlului, cât și riscurile și sistemele de control particularizate pe sisteme informatice ca și cele menționate anterior.
Metodologia de audit a sistemelor informatice
Metodologia de audit a sistemelor informatice reprezintă un set de procedee destinat atingerii obiectivelor activității de audit. Pentru auditul sistemului informațional, etapele generale ale unei unei misiuni de audit IT pot fi:
Planificarea.
Evaluarea riscurilor și controlului intern.
Elaborarea programului de audit.
Culegerea probelor.
Formularea concluziilor și elaborarea raportului.
Urmărirea (monitorizarea) implementării recomandărilor din raportulde audit.
1.4.1. Planificarea
În cadrul acestei etape auditorul trebuie:
să se informeze cu privire la obiectul de activitate al clientului și domeniul în care își desfășoară activitatea;
să se documenteze cu privire la structura sistemului informațional. Auditorul trebuie să analizeze structura organizatorică (organigrama), organigrama sistemului informatic și flowchart-urile din sistem;
să determine complexitatea sistemului informatic;
să se documenteze cu privire la aplicațiile informatice utilizate;
se documenteze cu privire Ia infrastructura rețelei de calculatoare;
să se documenteze cu privire la politicile și procedurile de securitate, respectiv procedurile de operare din sistemul informatic;
să identifice contractele de outsourcing (externalizare)din sistemul informațional;
să se documenteze cu privire la controlul intern și mai cu seamă a controalelor ce privesc procesele ce vor fi auditate;
să evalueze riscurile din sistem (inerent, de detectare și de control);
să stabilească nivelul pragului de materialitate;
să stabilească și să documenteze foile de lucru necesare pentru misiunea de audit.
1.4.2. Evaluarea riscurilor și controlului intern
În cadrul acestei etape auditorul trebuie:
să identifice vulnerabilitățile și amenințările la care este expusă aria de audit;
să evalueze prin tehnici adecvate (metoda scorurilor sau judecata liberă) nivelurile de risc din cadrul ariei de audit;
să stabilească riscul inerent și de control;
să evalueze controlul intern din aria de audit;
1.4.3. Elaborarea programului de audit
Programul de audit se elaborează după planificarea și evaluarea riscurilor și controlului intern, atunci când auditorul are o imagine mai clară asupra sistemului ce va fi auditat. Acest program reprezintă un ghid pentru procedurile ce vor fii realizate în etapa de culegere a probelor, astfel încât să fie acoperite cât mai bine obiectivele auditului.
În general programul de audit trebuie să fie documentat în cadrul foilor de lucru și cuprinde următoarele:
Scopul auditului.
Obiectivele auditului.
Procedurile și tehnicile de audit ce vor fi utilizate.
Planificarea și programarea sarcinilor și responsabilităților, membrilor echipei.
Bugetul misiunii de audit.
Programul de audit poate să sufere modificări ulterioare în funcție de rezultatele testelor și analizelor sistemului auditat.
1.4.4. Culegerea probelor
Probele pentru audit reprezintă ansamblul documentelor, reprezentărilor, fișierelor și observațiilor obținute în cursul misiunii de audit și utilizate pentru elaborarea concluziilor și formularea opiniei
Pentru fundamentarea unor concluzii cât mai reale și exprimarea unei opinii pertinente, auditorul trebuie să obțină probe suficiente și concludente. Probele pe care auditorul IT Ie culege într-o misiune sunt variate. în general acestea pot fi:
documente privind politicile și procedurile securitate din sistemul informațional al clientului;
documente privind procedurile de lucru din sistemul informatic;
documente sau observații privind infrastructura fizică (hardwere) și logică (software) a sistemului auditat.
interviurile și chestionarele aplicate;
flowchart-uri de sistem și/sau de aplicații;
observații personale în cadrul foilor de lucru;
fișiere cu datele extrase din aria de auditat;
fișiere cu tranzacțiile de date necesare auditului;
fișiere jurnal pentru intrări, prelucrări, tranzacții de date și tratarea erorilor,
situații listate din aplicațiile sistemului;
fișierele cu datele de test;
fișiere cu erori;
conținutul și rezultatul testelor controlului din sistem;
liste cu surse ale programelor utilizate în procesele auditate;
conținutul și rezultatul testelor securității sistemului
1.4.5. Formularea concluziilor și elaborarea raportului
După culegerea probelor, auditorul trebuie să le analizeze și să formuleze concluziile cu privire la obiectivele misiunii de audit. Auditorul trebuie să discute rezultatele și concluziile în primul rând cu managementul entității auditate și apoi să le comunice conducerii întreprinderii. Scopul unei astfel de proceduri este de a dezbate rezultatele obținute și de a elabora un plan de măsuri corective.
Rezultatele obținute și recomandările stabilite, se vor concretiza sub forma unei opinii într-un raport de audit
În general un raport de audit IT trebuie să conțină următoarele:
• Denumirea organizației auditate.
• Titlul, data și semnătura.
• Descrierea obiectivelor auditului.
• Scopul auditului.
• Perioada acoperită prin audit.
• Standardele și criteriile sub care a fost desfășurat auditul.
• Descrierea detaliată a rezultatelor pentru obiectivele auditului.
• Concluziile și opiniile auditorului.
• Recomandările și măsurile corective.
1.4.6. Urmărirea implementării recomandărilor din raportul de audit
Ultima etapă a procesului de audit o reprezintă urmărirea implementării recomandărilor. Această etapă constă în stabilirea de comun acord cu clientul a unor date în care auditorul să revină și să verifice dacă recomandările și măsurile corective propuse de el au fost implementate.
Capitolul 2
Evaluarea riscurilor IT din DGFP Arad
Structura organizatorică și profesională a personalului IT
Din punct de vedere organizatoric personalul IT din cadrul DGFP și administrațiile financiare din subordine este structurat astfel:
a) La nivelul DGFP
Structura personalului compusă din 18 posturi este următoare:
1 șef serviciu – ocupat
1 șef birou – ocupat
8 consilieri studii superioare din care
7 ocupate
1 vacant și blocat
8 referenți cu studii medii – ocupate
b) La nivelul AFP a Municipiului Arad
c) La nivelul celor 9 AFP –uri orășenești și 2 AFP-uri comunale
Există câte un post de expert în IT , ele fiind ocupate, cu excepția AFP Curtici și AFP Sebiș care s-au vacantat în anul 2004 și au rămas blocate.
Pentru fiecare angajat IT sunt întocmite fișele posturilor care au fost făcute cunoscute în scris angajaților.
Din punct de vedere al studiilor efectuate, nivelul de pregătire al angajaților IT este corespunzător.
Datorită volumului mare de aplicații ce trebuiesc implementate, puse în exploatare și actualizate, pe servere și stațiile de lucru ale utilizatorilor, precum și a situațiilor realizate din afara meniurilor aplicațiilor, determină ca anumite cunoștințe IT să fie concentrate la nivelul unui număr restrâns de personal.
Evaluarea personalului IT se face anual, odată cu evaluarea întregului personal, conform criteriilor de performanță din fișa de evaluare a funcționarului public, transmisă de MFP.
2.2. Corespondența resurse – volum de muncă în compartimentele funcționale IT
Puse față în față capacitățile și performanțele tehnicii informatice ( harware-uri, servere, procesoare, subsisteme informatice ,etc.) cu numărul , calificarea și gradul de instruire a personalului din compartimentele IT s-au desprins următoarele concluzii:
personalul IT nu este suficient în raport cu volumul de muncă, datorită :
numărului mare de aplicații ce trebuiesc implementate, puse în exploatare, și actualizate pe servere și stațiile de lucru ale utilizatorilor în conformitate cu documentațiile sau instrucțiunile primite de DGTI, operații care trebuiesc făcute în timp foarte scurt pentru a asigura funcționalitatea sistemului informatic în cele mai bune condiții.
diversele situații și rapoarte cerute de conducerea DGFP Arad pentru asigurarea managementului propriu sau pentru a fi raportate la MFP și care nu sunt realizate de aplicații.
asigurarea funcționării tuturor echipamentelor (servere, stații de lucru, imprimante, echipamente de comunicații) care să nu determine perturbări în funcționarea întregului sistem informatic, astfel ca utilizatorii să-și poată desfășura activitatea în cele mai bune condiții.
timpul de muncă a personalul IT este supraîncărcat ca urmare a gradului de îmbătrânire a tehnicii (achiziționată în cea mai mare parte în anii 1998-1999. În aceste condiții pentru actualizarea aplicațiilor acestea sunt lăsate să ruleze 24 de ore din 24 , chiar și după încheierea programului de lucru a salariaților.
Fluctuația personalului
În anul 2004 la nivelul personalului IT din întreaga instituție s-au vacantat 7 posturi care nu s-au ocupat până in prezent ( ele fiind blocate), astfel:
1 post consilier la DGFP
3 consilieri la AFP a Mun.Arad
1 post referent la AFP a Mun.Arad
1 post expert la AFP Curtici
1 post expert la AFP Sebiș
Nivelul de salarizare și de acordare a stimulentelor salariale este ușor peste media salariilor instituției respectiv pentru personalul IT nivelul mediu al veniturilor anuale din salarii realizate pe angajat, în anul 2004, a fost de 49.764 mii lei față de media pe angajați cu funcții de execuție de 38.947 mii lei. Situația este aceeași și în privința stimulentelor acordate din fondul special constituit la nivelul DGFP Arad salariaților IT media anuală care revine unui salariat IT este de 37.537 mii lei în timp ce media anuală ce revine unui salariat de execuție al DGFP este de 29.519 mii lei anual.
Principala cauză invocată de personalul specializat în IT la renunțarea la contractul de muncă încheiat cu DGFP Arad a fost nivelul de salarizare nesatisfăcător în raport cu propriile nevoi și lipsa perspectivei de creștere a lui în conjunctura legislativă respectivă.
De exemplu un fost salariat al serviciului IT de la nivelul DGFP Arad, plecat în anul 2004, deși a recunoscut verbal că munca pe care o desfășoară ca angajat al unei firme private cu renume în Arad este "monotonă strict specializată ca nivel al problematicilor și de uzură " comparativ cu munca pe care a desfășurat-o în instituția din care a plecat, a ales în baza singurului criteriu – salarizare net superioară ( de peste 3 ori venitul pe care la avut în instituție).
2.4. Încrederea în IT
2.4.1. Complexitatea și documentația aplicațiilor informatice
Problematica referitoare la complexitatea și documentația aplicațiilor informatice a fost abordată din două puncte de vedere :
modul în care sunt percepute și agreate aplicațiile informatice de către salariații DGFP Arad
modul în care sunt percepute și agreate aplicațiile informatice de către contribuabili
a) Modul în care sunt percepute și agreate aplicațiile informatice de către salariații DGFP Arad
La nivelul DGFP Arad și a subunităților sale organizatorice aplicațiile sunt, în cea mai mare parte, pentru completarea sau corectarea bazelor de date cu informații noi. Opiniile salariaților care exploatează aplicațiile pot fi grupate astfel :
interfețe accesibile, care nu presupun ca utilizatorii (operatorii aplicațiilor) să posede cunoștințe de specialitate IT deosebite;
aplicațiile fiind "standard" la nivel de MFP și subunități, iar accesibilitatea limitată acestea nu răspund întotdeauna unor situații excepționale, procedura rezolvării solicitând un anumit timp ;
pentru realizarea unor raportări individualizate se efectuează lucrări de prelucrare a informațiilor din baza de date în afara aplicațiilor, care însă ar putea fi realizate prin direcționarea informațiilor și către anumite locații de stocare accesibile pentru nivelele 2 și 3;
tehnica învechită îngreunează rularea aplicațiilor și de conduce la situații de inoperativitate;
transferul de informații de la o aplicație la alta este uneori perturbat, triggerele nesoluționând unele situații: De exemplu, în completarea machetei nr.2, Administrația Finanțelor Publice a municipiului Arad, precizează: "Situația indicatorilor de performanță nu se poate transmite si raporta așa cum rezultă din rularea programelor deoarece conține foarte multe erori si neconcordante între informațiile preluate din aplicația oblig, vector fiscal si decimp (nu preia numărul real de notificări emise și transmise, număr de plătitori de impozite înregistrați în vectorul fiscal si numărul total de declarații depuse în termen, de asemenea neconcordanta privind plățile efectuate voluntar și în termen).
2.5. Schimbări în IT
Dezvoltarea de aplicații informatice, achiziționarea de noi tehnologii precum și modificările sistemului informatic potrivit modului de organizare a Ministerului Finanțelor Publice intră în sfera de competență a acestuia
2.6. Externalizarea IT
2.6.1. Externalizarea
Externalizarea IT se referă strict la două grupe de activități și anume :
service-ul echipamentelor din dotare
achiziționarea de consumabile
2.6.2. Furnizorii IT
Riscurile ce pot decurge din contractele cu furnizorii sunt doar cele față de furnizorii de consumabile Pot fi situații când consumabilele furnizate de câștigătorul licitației electronice nu corespund criteriilor precizate prin licitația electronică. Aceste riscuri sunt rezolvate potrivit clauzelor contractuale prin returnarea respectivelor consumabile furnizorilor , care fie că transmit alte consumabile, fie prin renunțarea la tranzacție și înlocuirea furnizorului cu un altul câștigător al sistemul „E-licitații”. Restituirea consumabilelor necorespunzătoare precum și renunțarea la tranzacții determină lipsa stocurilor de consumabile siguranță, în anumite perioade, ceea ce conduce la perturbări în activitatea desfășurată.
2.6.3. Dezvoltarea de aplicații informatice de către utilizatori
DGFP și administrațiile din subordine , fiind utilizatori ai nivelelor 2 și 3 nu au dreptul de acces asupra aplicațiilor informatice proiectate și dezvoltate de DGTI-MFP , pentru a le dezvolta.
2.7. Focalizarea pe activitate
2.7.1. Conștientizarea conducerii privind riscurile IT
Conducerea DGFP a fost și este preocupată permanent de modul în care funcționează sistemul informatic atât hard cât și soft, este conștientă într-o măsură destul de mare de importanța sistemelor IT și a riscurilor conexe. Argumentul constă și în faptul că atât media salariilor cât și a stimulentelor salariaților IT este superioară mediei celorlalți salariați ai instituției.
2.7.2. Necesități curente comparativ cu funcționalitatea sistemului informatic
Sistemul informatic existent nu acoperă toate necesitățile activităților curente. Sunt activități pentru care MFP-DGTI , fie că nu a proiectat aplicații informatice sau cele existente nu satisfac toate cerințele utilizatorilor :
Colectare
Executare silita persoane juridice și fizice
Contabilitatea creanțelor bugetare
Activitatea de control fiscal
2.8. Securitatea informației
2.8.1. Motivația pentru fraudă/ infracțiuni (internă și externă)
Tipurile de informații gestionate de aplicațiile informatice sunt:
confidențiale
cu caracter secret ( cazier fiscal)
cu caracter public ( bilanțuri, cod fiscal, inactivi, restanțieri la buget)
În caz de fraudă reputația instituției ar fi afectată într-o foarte mare măsură și ar conduce la susceptibilitatea contribuabililor în a mai declara fără reținere informațiile solicitate prin declarațiile fiscale
2.8.2. Sensibilitatea datelor
Prin sistemul de limitare a accesului personalului la bazele de date ale aplicațiilor informatice se realizează un grad ridicat de confidențialitate a datelor gestionate. În anumite situații unele informații sunt criptate astfel încât să nu poată fi accesate de "intruși".
2.8.3. Legislație și regulamente
Domeniul de gestionare a datelor este sub incidența legislației cu caracter general privind securizarea informațiilor
Nu există date cu caracter personal gestionate de către aplicațiile IT.
Capitolul 3
Evaluarea controalelor sistemelor IT din DGFP Arad
3.1. Managementul sistemelor IT
3.1.1. Implicarea conducerii în coordonarea activității IT
Conducerea DGFP Arad a manifestat receptivitate la problematicele structurilor IT concurând prin soluții concrete la rezolvarea acestora în limita resurselor financiare existente. De asemenea, înțelegând situația neatractivă a salariilor din compartimentele IT comparativ cu salariile oferite personalului specializat în acest domeniu de pe piața muncii, a dirijat spre aceste compartimente o parte din resursele fondului de stimulente, atât media anuală a salariilor cât și media anuală a stimulentelor pe salariat fiind peste media personalului de execuție din celelalte activități.
Aportul susținut al managerilor DGFP Arad în activitatea IT este rezultatul unei comunicări permanente intre acestea.
Având în vedere informarea permanentă a conducerii DGFP despre activitățile IT, implicarea acesteia are un caracter continuu în coordonarea activităților IT.
Între reprezentanții serviciului IT și conducere au loc întâlniri periodice, săptămânal în ședințe de lucru, problemele dezbătute fiind consemnate in procese verbale și ori de câte ori este nevoie prin informări verbale, discuții, referate în vederea clarificării și rezolvării problemelor apărute : implementări de noi aplicații distribuite de DGTI și MFP , solicitări ale utilizatorilor de aplicații, raportări către MFP, DGTI.
Planificarea activităților IT
Sistemul informatic implementat în cadrul DGFP Arad și Administrațiile subordonate funcționează în baza Proiectului Director de Informatizare al MFP, elaborat de MFP DGTI, care conține strategia de informatizare a întregii structuri organizatorice a MFP inclusiv a activităților din subunitățile teritoriale ale acestuia.
În aceste condiții planul activităților IT din cadrul DGFP Arad este corelat cu strategia de dezvoltare în domeniul IT implementată în cadrul MFP.
3.1.3. Managementul costurilor
La nivelul DGFP Arad organizarea contabilității analitice, respectă planul de conturi al instituțiilor publice fără a detaila cheltuielile la nivel de compartimente funcționale ci numai pe subdiviziunile contului de execuție bugetară. Astfel, activitatea IT fiind inclusă ca un consumator comun de cheltuieli cu celelalte activități ale instituției nu pot fi identificate nici efectele pozitive a investițiilor în IT ( de exemplu, cu cât au crescut încasările ca urmare a urmăririi declarațiilor contribuabililor prin implementarea aplicației DECIMP, sau care a fost impactul în selectarea subiecților pentru efectuarea controalelor fiscale în urma implementării aplicațiilor CODFISC, DECIMP, VECTOR, SERADN, OBLIG etc. )
3.1.4. Raportarea către conducerea DGFP Arad
La nivelul DGFP Arad există practica raportărilor periodice a activităților IT către conducere :
raportări ale activității proprii specifice activității de IT săptămânal în cadrul ședințelor de lucru și trimestrial respectiv anual cu ocazia analizei activității întregii instituții.
raportări întocmite de serviciul IT care reflectă activitatea tuturor serviciilor și compartimentelor din cadrul DGFP
Dintre indicatorii de performanță IT aduși la cunoștința conducerii mai frecvent întâlniți sunt :
gradul de exploatare al echipamentelor care este foarte ridicat acestea lucrând și 24 de ore pe zii
impactul uzurii fizice si morale : din 409 echipamente din dotarea întregii instituții ( servere și stații de lucru 256 sunt din dotarea IBM realizată la nivelul MFP in anul 1998 și 153 de calculatoare au fost achiziționate prin investiții extrabugetare in perioada 2003- 2004.
indicatori ai performanțelor activităților fiscale dar care pentru că nu există un sistem unitar de raportări și situații de ieșire pentru nivelele 2 și 3, care să satisfacă nevoia de cunoaștere a problematicelor de către manageri , datele din aplicații informatice sunt extrase și prelucrate manual în afara acestora de către utilizatorii nivelelor 2 și 3. Mai mult chiar la nivelul MFP , sunt cerute de la DGFP situații, care nu se regăsesc în meniurile aplicațiilor informatice ( ce sunt proiectate in SGDB ORACLE de catre DGTI ) și care necesită suplimentar prelucrări manuale ale informațiilor.
3.1.5. Calitatea serviciilor și aplicațiilor IT
În construcția aplicațiilor IT nu există prevăzute clauze cu privire la calitatea serviciilor furnizate utilizatorilor interni. Utilizatorii nu au acces asupra sistemului pentru ai modifica performanțele.
Respectarea reglementărilor in domeniu
Responsabilitatea asigurării faptului că aplicațiile informatice sunt actualizate în conformitate cu ultima versiune furnizată este a șefului de serviciu TI, dar și a administratorilor de baze de date din cadrul IT.
Tot software-ul folosit ( sisteme de operare de tip AIX, Windows pentru servere și stații; Oracle 8.5 pentru servere și stații; soft comunicații Lotus Notes ; Micrsoft Office; Lotus Smarte ,etc) are la bază licențe.
Politica practicată în DGFP este interzicerea software-urilor fără licențe.
Periodic angajații serviciului TI fac verificări în acest sens.
3.1.7. Organizarea serviciului IT
Organizatoric și funcțional Serviciul IT este subordonat direct directorului executiv al DGFP Arad
Pentru angajarea personalului ca cerințe sunt: studii de specialitate (obligatoriu), performante anterioare ( recomandare de la ultimul loc de munca sau de la instituția de învățământ absolvit), curicullum vitae, cazier judiciar din care să rezulte calitatea morală.
Evaluarea performanțelor personalului IT se realizează anual, atunci când se face și evaluarea performanțelor întregului personal din cadrul DGFP la cerințele MFP.
Personalul IT este instruit profesional lunar conform programelor de instruire profesională, care se raportează periodic (lunar ) la MFP.
Datorită faptului că numărul aplicațiilor informatice este foarte mare în raport cu numărul administratorilor de aplicații există dependență față de persoanele cheie. Impactul absenței acestora din instituție din diverse motive (caz de boală, concedii de odihnă, evenimente etc.) se resimte imediat, persoanele rămase fiind suprasolicitate și creându-se situații în care prin imposibilitatea rezolvării imediate a problemelor acestea să fie așezate pe o scară de priorități și rezolvate în timp.
Sarcinile de serviciu ale angajaților IT au fost stipulate în fișe de post și au fost aduse la în scris la cunoștința acestora.
3.1.8. Dezvoltări realizate de utilizatori
Aplicațiile implementate la nivelele 2 și 3 nu permit accesul utilizatorilor pentru a face lucrări de dezvoltare a lor
Datele extrase din aplicațiile de bază nu satisfac întotdeauna cerințele utilizatorilor, nu oferă informații suficiente necesare unor situații și raportări către conducerea DGFP sau MFP ceea ce determină efectuarea de prelucrări manuale ulterioare,
Prin promptitatea conducerii acordă rezolvării problemelor întregului sistem informațional din cadrul DGFPArad rezultă locul de prioritatea maximă a activității IT în realizarea managementului instituției.
3.1.9. Externalizare
Funcționarea în parametri normali , în condițiile de mediu organizatoric al DGFP Arad a condus la externalizarea unor activități IT și anume: service-ul echipamentelor din dotare, și sistemul de operare pe partea software, precum și achiziționarea de consumabile.
Pentru aceste activități există contracte semnate :
pentru activitatea de service a echipamentelor din dotare contractul este semnat la nivelul MFP cu firma Forte,un contract național;
activitatea de procurare consumabile se face prin licitație electronică pe sistemul electonic „E-licitatii” conform H182/2002, contractele fiind semnate la nivelul DGFP.
intervenție (SLA – Service Level Agreements) :
pe partea hardware timpul de intervenție specificat este de 24 ore
pe partea de achiziție consumabile, acestea se returnează in perioada de garanție conform specificațiilor din contract.
De asemenea, în contractele de service sunt stipulate clauze de confidențialitate .
Referitor la recuperarea informațiilor existente la un moment dat pe un hard-disc defect acesta este asigurată în totalitate, deoarece HDD la nivel de servere sunt organizate în matrice RAID astfel, încât, în cazul defectării unui HDD, informațiile se recuperează ușor de pe matricea RAID (practic informațiile nu pot fi pierdute). De asemenea aceste HDD sunt și „Mirror-ate”.
Pe stațiile de lucru obișnuite, de regulă, nu se păstrează informații vitale, acestea se înlocuiesc în service de firma FORTE, după care acestea se clonează potrivit cu procedurile emise de DGTI Bucuresti.
Prin externalizarea serviciilor și a achiziționării consumabililor există o dependență limitată (normală) , care se manifestă mai ales față de furnizorii de consumabile, dar sistemul „E-licitatii” generează alt câștigător în cazul că primul câștigător nu respectă sau nu mai încheie tranzacția. Pe partea hard-ware și soft-ware nu există dependență pentru că serviciul TI are specialiști ,angajați proprii, instruiți care să remedieze orice situație tehnică apărută.
3.2. Continuitatea sistemelor
3.2.1. Copii de siguranță (back-up) ale datelor, aplicațiilor și sistemelor
Există o procedură formală de salvare (back-up). ea a fost stabilita de DGTI București. Aceasta procedura a fost extinsa si chiar îmbunătățită. Ea se aplica la toate serverele din dotarea DGFP Arad.
In fiecare noapte se declanșează o procedură de salvare automată pe serverul principal de lucru care a doua zi este verificată. Totodată se fac salvări manuale înaintea fiecărei modificări ale aplicațiilor vechi sau înaintea implementării aplicațiilor noi.
Săptămânal în weekend se declanșează automat proceduri de salvări totale ale unor aplicații vitale.
Lunar se fac manual salvări generale ale întregului server cu tot cu sistemul de operare. Stocarea copiilor de siguranță se face în dulapuri închise cu cheie in 2 camere distincte. Salvările se fac de regula pe benzii de tip DAT de 12 GB sau 20 GB, iar cele zilnice se fac direct pe HDD-uri organizate RAID1.
De asemenea, la nivelul DGFP Arad există o procedură de testare a copiilor de siguranță, acesta se face în platforma de test a DGTI si DGFP Arad pentru sisteme IT ai căror utilizatori sunt serviciile și birourile din cadrul DGFP Arad.
Procedura de testare a procedurilor de salvare se verifica ori de câte ori aceasta se modifica.
La nivelul DGFP Arad există și o procedură de recuperare / restaurare ea fiind este stabilita de DGTI.
Timpul necesar restaurării datelor /aplicațiilor/sistemelor, a fost analizat de instituție , dar numai cel necesar serverelor de test , acesta fiind diferit în funcție de aplicație și de mărimea bazei de date.
3.2.2. Managementul capacității
Conducerea DGFP Arad , împreună cu specialiști IT din instituție au realizat periodic câte o analiză a capacității pentru hardware și pentru rețea. Odată cu creșterea nivelului de informatizare, cu versiuni noi ale programelor utilizate s-a impus si actualizarea hardware a tehnicii de calcul. Practic s-a renunțat la parcul de tehnica de calcul de dinainte de 1998, iar tendința este de a schimba și parcul de tehnică de calcul uzată moral. Acest lucru se face însa centralizat la nivel MFP întrucât implica resurse financiare foarte mari. In timp toate stațiile din dotare au fost upgradate cel puțin din punct de vedere a memoriei RAM, unele chiar și din punct de vedere a capacității HDD-urilor. De asemenea, traficul în rețea este monitorizat permanent prin utilizarea doar a echipamentelor active de rețea cu management. In ultimul timp s-au înlocuit în proporție de 80% echipamentele active de rețea cu porturi de 10 MHz cu echipamente active de rețea cu porturi de 100 MHz, iar viteza pe back bone-ul de cascadare a crescut de la 400 MHz la 2GHz.
Referitor la analiza performanțelor și a capacităților aplicațiilor IT specialiștii IT din DGFP Arad au cules de la unitățile fiscale din subordine date pe care le-au transmis DGTI-Bicurești în vederea realizării acesteia.
Pentru rezolvarea gâtuirilor din rețea traficul este monitorizat si se încearcă prin interconectarea echipamentelor active de rețea o echilibrare a rețelei care să ducă la evitarea coliziunilor în rețea. Orice sesizare de gâtuire a traficului se rezolvă cu ajutorul software-ului de management ale echipamentelor active de rețea.
3.2.3. Managementul problemelor
Comunicarea serviciului IT externalizat a apariției unei probleme se realizează după acordarea primului nivel de asistenta primara la apariția problemei și dacă problemele persistă. La sesizare firma de service FORTE întocmește un formular de mentenență în care trece natura defectului și modul de soluționare, iar dacă aceasta implica un timp mai îndelungat de reparare respectivul echipament sau subansamblu este înlocuit cu unul de service.
Evidența problemelor în cadrul serviciului IT se ține cu ajutorul unui registru al problemelor care în fapt este un program de verificare, întreținere și evidență a tehnicii de calcul elaborat de DGTI și prin care se raportează lunar problemele survenite.
Etapele urmate în rezolvarea problemelor au următoarea traiectorie:
Analiza problemelor IT având în vedere specificitatea lor se face la nivel central DGTI, dar despre acestea este informată și conducerea DGFP Arad de existența problemelor majore si recomandările făcute în sensul remedierii acestora.
Procedura urmăririi problemelor rămase deschise este asigurată prin formularele de mentenență care trebuie închise in momentul soluționării acestora.
De asemenea, în caz de nerezolvare a problemelor de către firma FORTE există prevăzut în contract procedura care trebuie urmată , la nivelul DGFP Arad nu au existat însă astfel de situații.
3.2.4. Planificarea continuității
Procedurile pentru fiecare tip de operație în parte sunt elaborate și ele trebuiesc urmate de întregul personal.
Planificarea procedurilor este revizuită și reevaluată periodic, ca urmare a doi factori principali :
Un prim factor determinant cu implicații în respectarea procedurilor obligatorii îl constituie fluctuațiile pe linie de personal care presupune un timp de acomodare si de însușire ale acestor proceduri, dar ele sunt clare, stabilite prin fișa postului.
Un al doilea factor determinant îl constituie, destul de desele schimbări legislative, care atrag modificări esențiale ale aplicațiilor informatice și care conduc la rândul lor la îngreunarea realizărilor unor situații pentru perioade de timp exercitate în exerciții bugetare diferite.
În vederea eliminării eventualelor probleme sau incidente procedurile sunt testate periodic.
3.2.5. Managementul operațiunilor IT
Proceduri operaționale IT sunt documentate responsabil de actualizarea procedurilor operaționale IT fiind șeful serviciului TI din cadrul DGFP Arad
Pentru realizarea protecției întregului sistem TI împotriva virușilor se utilizează ca soluții
Pentru protecția împotriva virușilor a tuturor serverelor și stațiilor de lucru este utilizată soluția Norton Symatec Corporate Edition v.9.0.0.338, care este actualizată bisăptămânal de la nivelul DGTI -București prin on-line de pe serverul central.
Ca soluție de protecție suplimentară , utilizatorii nu cunosc parola de instalare sau dezinstalare a software-ului antivirus deci nu pot dezactiva acest soft.
Software-ul antivirus este rezident în memorie cu opțiunea "auto-protect" activă, el scanând toate fișierele de pe servere și stațiile de lucru automat și periodic.
3.2.6. Managementul configurațiilor
Din raționamente legate de modul de exploatare în condiții de siguranță a tehnicii informatice, serviciul de tehnologia informației își desfășoară activitatea în încă 4 săli în afara sălii destinată serverelor.
3.3. Managementul schimbării și dezvoltarea de sistem, a proiectelor și calității
Modificarea sau dezvoltarea aplicațiilor informatice se realizează în exclusivitate la nivel de DGTI Bucuresti
La nivel de DGFP Arad , opiniile față de acest subiect sunt formulate accidental, cu ocazia soluționării problematicilor cu care se confruntă specialiștii IT. Datorită insuficienței numărului de personal, precum și a încărcăturii cu sarcini de serviciu curente la nivel de salariat IT, realizarea unor studii sau analize privind managementul schimbării sau dezvoltării de sistem este dificil de realizat , în condițiile actuale.
3.4. Securitatea fizică și controalele de mediu
3.4.1. Controlul accesului fizic
Încăperea destinată serverelor este localizata la nivelul Serviciului Tehnologia Informației. Este o camera cu acces restricționat la nivelul administratorilor de sistem si a administratorilor bazelor de date. In aceasta încăpere nu exista personal care sa-si desfășoare activitatea curent. Aici se intra doar atunci când sunt necesare intervenții direct de la consola serverelor. In general monitorizarea activității serverelor se face prin retea.
Există proceduri formale de acces în locația care găzduiește echipamentele IT importante. Încăperea fiind încuiata în permanență, accesul este clar restricționat. Cheia de la aceasta încăpere o are doar seful de serviciu TI (administrator baze de date) și șeful de birou exploatări echipamente (inginer de sistem)
Acces la servere o are unul din cei 2 posesori ai cheii de acces, iar cu acordul acestora si ceilalți administratori de aplicații.
Accesul la servere se face prin cheia de acces la sala serverelor. Orice intervenție la consola serverelor este verificabilă prin log-urile de monitorizare. Administratorii de aplicații se conectează pe conturile specifice fiecărei aplicații astfel încât se poate verifica ce utilizator a accesat serverul și la ce ora.
În instituție nu sunt utilizate ca forme de acces cartelele , iar pentru vizitatori nu se acordă nici o dispensă de acces, indiferent dacă aceștia ar fi sau nu însoțiți.
3.4 2. Protecția mediului
In încăperea serverelor exista aer condiționat și dispozitive UPS.
Serverele din dotare nu sunt de tipul rack-mount. In rack-uri sunt găzduite doar echipamentele active de rețea si patch-panel-urile.
Cablurile de rețea sunt in totalitate protejate de canalete PVC. Etichetarea s-a făcut prin marcere cu marker permanent la cablarea veche (1999) și etichete tipărite și protejate la cablarea din clădirea (C3) a instituției în care se află locația serverelor.
3.5. Securitatea informației și a sistemelor
3.5.1. Politici de securitate
Întotdeauna a existat la nivelul instituției o politica de securitate IT. Practic parolele pe serverele și stațiile de lucru la nivel de administrator sau root functie de sistemul de operare, sunt cunoscute doar de administratori de baze de date și de sistem. Persoana responsabila cu actualizarea acestei politici este seful de serviciu TI. Aceasta politică este distribuită în realizare doar administratorilor implicați în implementarea acestor masuri de securitate.
Pentru a crește conștientizarea în cadrul instituției cu privire la securitate sau făcut instructaje atât cu cei ce administrează sistemul informatic la nivelele inferioare cit si cu utilizatorii stațiilor de lucru. Aceștia preiau stațiile de lucru gata configurate, cu contul de administrator parolat si sunt avertizați cu privire la instalarea programelor neautorizate.
Utilizatorii au semnat doar in legătură cu interzicerea instalării programelor neautorizate si în legătură cu prevederile legii drepturilor de autor, la primirea calculatorului din dotare.
3.5.2. Administrarea securității
Administrarea securității IT este responsabilitatea inginerului de sistem după ce a luat la cunoștință de politica de securitate trasata de seful serviciului TI. Îndatoririle acestuia sunt trasate de seful serviciului TI.
Aplicarea politicilor de securitate acoperă toate activitățile IT într-un mod consistent
3.5.3. Controlul accesului logic
Revizuirea logurilor. Logurile aplicațiilor importante sunt monitorizate și analizate periodic. In unele aplicații mai ales în domeniul comunicațiilor, analiza logurilor este chiar esențială. Administratorul de sistem verifică periodic log-ul care arată câte încercări sunt de a trece de parola de root, iar ceilalți administratori de aplicații monitorizează log-urile care însoțesc toate exporturile sau modificările pe aplicații.
Administrarea utilizatorilor Procedura administrării utilizatorilor a fost elaborata în platformele de test ale DGTI București. Odată stabilite drepturile utilizatorilor sau implementat pe o stație pilot care s-a clonat pe toate stațiile din dotarea MFP.
Persoana care pleacă din instituție dacă este un utilizator obișnuit nu implică nici o acțiune specială deoarece nu a avut acces la nivelul zero de securitate, daca în schimb este un administrator de baze de date sau de rețea acest fapt atrage după sine schimbarea tuturor parolelor de pe conturile de administrare.
Crearea conturilor de utilizator este stabilită prin procedura administrării utilizatorilor elaborată de DGTI București. Aceasta procedura nu poate fi modificata.
Membrii rețelei sunt filtrați in permanență pentru a împiedica accese neautorizate la nivelele primare dar și pentru a monitoriza în general activitatea în rețea.
Reguli pentru parole. Stabilirea parolelor se face conform normelor de securitate tratate la cursurile de administrare a rețelei. De regula parolele au 12 caractere, este formată din caractere minuscule si majuscule si conțin minim 2-3 cifre. Pe stațiile obișnuite de lucru parolele la contul de administrator se schimbă cel puțin odată pe lună dacă nu sunt evenimente, iar la servere săptămânal. După 3 încercară nereușite de logare se consideră încercare de fraudare si se blochează automat contul. Deblocarea contului se face de către administratorul de rețea de pe contul de administrator. Parolele vechi sunt gestionate cu ajutorul unui program de gestionare a rețelei livrat de IBM: Netfinity Manager. Utilizatorii nu sunt forțați să schimbe parola la prima accesare pentru că parolele sunt elaborate așa cum s-a relatat mai sus si nu sunt stabilite de utilizatori.
Control asupra conturilor cu drepturi depline/utilitare de sistem. Dreptul de administrare pentru aplicațiile de bază are seful serviciului TI. Alocarea și autorizarea conturilor cu drepturi depline se face de către seful serviciului TI. Monitorizarea lor se face de către inginerul de sistem.
Acces IT. Programatorii au drepturi de acces la datele reale, dar nu au drept de a le modifica. Serviciul IT are drepturi de acces la datele celorlalte structuri ale DGFP Arad cu excepția nivelului de conducere
3.5.4. Conexiuni externe
Protejarea conexiunilor externe împotriva atacurilor informatice (viruși, acces neautorizat). Nici o stație cu acces la exterior (internet) nu este membră a rețelei de date interne. Practic este imposibil astfel să se acceseze o stație sau server din afara rețelei interne de date. Pericolul poate veni doar de la contribuabili care depun datele proprii în format electronic prin discheta. Astfel stațiile operatorilor care preiau date sunt verificate suplimentar pentru a preveni accesul vreunui virus în rețeaua proprie. Detectarea virușilor pe dischetele contribuabililor duce la refuzarea preluării datelor agentului respectiv până nu duce o discheta verificată. Accese neautorizate nu s-au detectat decât în mod accidental (neintenționat).
Proceduri de control al accesului de la distanță există numai la nivelele 1 (MFP) și 2 (DGFP).
Ca măsuri de securitate aplicate pentru a controla accesul de la distanță sunt utilizate parolele.
Capitolul 4
Evaluarea resurselor harware și software ale sistemului informatic din DGFP Arad
4.1. Soluția de implementare
Soluțiile de implementare a aplicațiilor sunt elaborate și dispuse de către DGTI – București , nivelele 2 și 3 de regulă nu pot interveni în soluții în momentul utilizării lor.
Pentru implementarea aplicațiilor de regulă sunt transmise nivelelor 2 și 3 documentații prin care sunt oferite explicații referitoare la conținutul aplicațiilor și procedurile de lucru. Cu toate acestea în cazul aplicației Oblig această documentație nu a fost transmisă de către DGTI- București utilizatorului DGFP Arad.
4.2. Arhitectura hardware și software
Platforma hardware utilizată este de tip client-server.
Sistemul de operare utilizat poate fi grupat în funcție de data dotării respectiv a caracteristicilor tehnice de funcționare, astfel :
Dotarea din 1998 de tip IBM:
Stații – Windows NT 4 workstation
Servere – Windows NT 4 server
Mainframe – AIX
Dotarea din 2003 – 2004
Stații-Windows 2000 profesional
Dotarea din 2004-2005
Stații Windows XP
Servere – Windows 2000 server
4.2.1. Structura hardware
Structurate pe configurații hardware și subunități organizatorice dotările TI se prezintă astfel :
a) Servere
Total instituție
– IBM Netfinity3000= 13 buc
– IBM P4 2,66Ghz= 12 buc
– IBM RS 6000= 1buc
Nivel 2 (DGFP Arad – Serviciul TI)
– IBM Netfinity3000= 1buc
– IBM P4 2,66Ghz= 1buc
Nivel 3
AF- municipiul Arad
– IBM RS 6000= 1buc
– IBM Netfinity3000= 1buc
8 AF orașe
– IBM Netfinity3000= 8buc
– IBM P4 2,66Ghz= 8buc
3 AF comune
– IBM Netfinity3000= 3buc
– IBM P4 2,66Ghz= 3buc
b) Stații de lucru
Total instituție
Laptop IBM= 2buc
LaptopHPCentrino= 4buc
LaptopTOSHIBA= 1buc
LaptopTOSHIBASATELITE= 1buc
Laptop COMPAQ2100= 1buc
LaptopLIFE= 1buc
IBM P4 2,66Ghz= 67buc
IBM P2 300GL= 246buc
P4 2,4Ghz= 19buc
P4 2,6Ghz= 53buc
P4 3Ghz= 15buc
486 133MHz= 15buc
Nivel 2 (DGFP Arad – Serviciul TI)
Laptop IBM= 2buc
LaptopHPCentrino= 4buc
LaptopTOSHIBA= 1buc
LaptopTOSHIBASATELITE= 1buc
Laptop COMPAQ2100= 1buc
LaptopLIFE= 1buc
IBM P4 2,66Ghz= 4buc
IBM P2 300GL= 88buc
P4 2,4Ghz= 16buc
P4 2,6Ghz= 8buc
P4 3Ghz= 12buc
486 133MHz= 10buc
Nivel 3
AF- municipiul Arad
IBM P2 300GL= 89buc
IBM P4 2,66Ghz= 9buc
IBM Netvista = 1buc
P4 2,4 Ghz= 3buc
P4 2,6 Ghz= 1buc
P4 3Ghz= 3buc
486 133MHz= 5buc
8 AF orașe
IBM 300GL= 54buc
IBM P4 2,66Ghz= 32buc
3 AF comune
IBM 300GL= 15buc
IBM P4 2,66Ghz= 12buc
c) imprimante
Total instituție
Imprimante diverse tipuri 149 buc
Nivel 2 (DGFP Arad – Serviciul TI)
Imprimante diverse tipuri 68 buc
Nivel 3
AF- municipiul Arad
Imprimante diverse tipuri 27 buc
8 AF orașe
Imprimante diverse tipuri 39 buc
3 AF comune
Imprimante diverse tipuri 15 buc
d) UPS
Total instituție 42 buc
Nivel 2 (DGFP Arad – Serviciul TI) 12 buc
Nivel 3
AF- municipiul Arad 1 buc
8 AF orașe 20 buc
3 AF comune 9 buc
e) Echipamente rețea
Total instituție
– Modem MultiTech= 3 buc
– Modem U.S.Robotics= 8 buc
– modem 11 buc
-HUB= 3 buc
– Switch= 37 buc
Nivel 2 (DGFP Arad – Serviciul TI)
– Modem MultiTech= 3 buc
– Modem U.S.Robotics= 8 buc
– HUB= 3 buc
– Switch= 15 buc
Nivel 3
AF- municipiul Arad
nu deține
8 AF orașe
Modem 8 buc
Switch 16 buc
3 AF comune
Modem 3 buc
Switch 6 buc
d) Alte echipamente
Total instituțe
Echipamente multifunctionale= 12 buc
scannere= 28 buc
copiatoare= 9 buc
Nivel 2 (DGFP Arad – Serviciul TI)
Echipamente multifunctionale= 1buc
scannere= 4buc
copiatoare= 8buc
Nivel 3
AF- municipiul Arad
scannere= 2buc
copiatoare= 1buc
8 AF orașe
Echipamente multifunctionale= 8buc
scannere= 16buc
3 AF comune
Echipamente multifunctionale= 3buc
scannere= 6buc
4.2.2. Structura software
Referitor la arhitectura software existentă în instituție, din constatările făcute cu ocazia desfășurării procedurilor de auditare, sunt instalate și utilizate pe tehnica de prelucrare a informațiilor numai software- uri pentru care există achiziționată licența de utilizare.
Structural aceste software-uri pot fi grupate în funcție tipul software-ului de locația în care sunt utilizate astfel :
a) Sisteme de operare server
Total instituție
IBM Aix= 3buc
Windows NT Server v4= 4buc
Windows NT Server= 11buc
Windows 2000 Server= 14buc
Nivel 2 (DGFP Arad – Serviciul TI)
IBM Aix = 2buc
Windows NT Server v4= 3buc
Windows 2000 Server= 3buc
Nivel 3
AF municipiul Arad
IBM Aix= 1buc
Windows NT Server v4=1buc
8 AF orașe
Windows NT Server= 8buc
Windows 2000 Server= 8buc
3 AF comune
Windows NT Server= 3buc
Windows 2000 Server= 3buc
b) Sisteme de operare stație de lucru
Total instituție
Windows NT v4= 246buc
Windows XP= 111buc
Windows 98= 15buc
Nivel 2 (DGFP-Serviciul TI)
Windows NT v4= 88buc
Windows XP= 50buc
Windows 98= 10buc
Nivel 3
AF municipiul Arad
Windows NT v4= 89buc
Windows XP= 17buc
Windows 98= 5buc
8 AF orașe
Windows NT v4= 54buc
Windows XP= 32buc
3 AF comune
Windows NT v4= 15buc
Windows XP= 12buc
Sisteme de gestiune a bazelor de date relaționate
Există licență pentru Oracle 8.0.5 la nivelul Ministerului Finanțelor Publice.
Accesul la Internet este permis doar unui număr limitat de stații(6 ) care sunt organizate într-o rețea separata de rețeaua de calculatoare a instituției
d) Altele
Nivel 2 DGFP Arad – Serviciul TI
Office Professional SmallEdition 2002=13buc
Office Professional 2002= 4buc
Nivel 3
AF municipiul Arad
Office Professional SmallEdition 2002=2buc
Office Professional 2002= 1buc
4.3. Resurse tehnologice și de personal
4.3.1. Resurse tehnologice
Așa cum rezultă din datele prezentate anterior, tehnica de calcul existentă la nivelul DGFP Arad este îmbătrânită și ea nu mai corespunde din punct de vedere al capacităților hard-urilor și al calității procesoarelor nevoilor actuale de prelucrare a informațiilor
4.3.2. Resurse de personal
Personalul IT nu cunoaște programele și limbajele de programare specifice bazelor date ORACLE deoarece nu a fost școlarizat în acest sens ( cu excepția unei singure persoane , șeful IT care a fost la un curs de SQL în anul 1999). Menționăm că totuși personalul IT cunoaște limbajul SQL, cu ajutorul căruia realizează în special diverse interogări pe tabele și extragere de diverse date. În funcție de necesitățile cerute de utilizatori , care nu sunt rezolvate de aplicațiile ORACLE, personalul IT dezvoltă aplicații în FOXPRO 2.6 sau Visual FoxPro.
Capitolul 5
Evaluarea aplicațiilor informatice din DGFP Arad
5.1. Aspecte privind administratorii și utilizatorii aplicațiilor, documentațiile aplicațiilor, prelucrarea datelor, situațiile de ieșire, salvăriile bazelor de date
Specialiștii IT asigură întreținerea și salvările bazelor de date, implemetarea, punerea în funcțiune, actualizarea aplicațiilor proiectate și distribuite de DGTI.
Utilizatorii aplicațiilor reprezintă intregul personal din DGFP care exploatează aceste aplicații în vederea scoaterii diverseleo situații necesare raportărilor spre conducerea DGFP sau MFP.
Aplicațiile informatice au fost proiectate de specialiștii din DGTI-MFP utilizând următoarele programe și limbaje de programare : ORACLE Developer , ORACLE Designer , PL/SQL, SQL, SQL Plus.
Personalul IT din cadrul DGFP Arad nu a fost pregătit de către instituție (prin cursuri organizate la nivelul MFP) privind cunoașterea acestor programe și limbaje de programare specifice bazelor date ORACLE . Există o singură excepție , șeful IT care a fost la un curs de SQL organizat de MFP în anul 1999.
Menționăm că totuși personalul IT cunoaște limbajul SQL, cu ajutorul căruia realizează în special diverse interogări pe tabele și extragere de diverse date. În funcție ne necesitățile cerute de utilizatori , care nu sunt rezolvate de aplicațiile ORACLE, personalul IT dezvoltă aplicații în FOXPRO 2.6 sau Visual FoxPro.
Accesul la programele și datele aplicațiilor este asigurat prin parole de sistem, parole pe aplicații, parole pe grupuri de utilizatori și parole pe fiecare utilizator, iar informațiile din baza de date ORACLE sunt codificate și supuse unor algoritmi de criptare. Pe toate serverele și stațiile de lucru parolele sunt create astfel încât să nu fie vizibile. Accesul utilizatorilor la aplicații se realizează în funcție de serviciile din care fac parte și atribuțiile care le revin prin aplicații , fiind definite grupuri de utilizatori cu drepturi specifice.
Documentațiile noilor aplicații proiectate în Oracle sunt elaborate de specialiștii DGTI-MFP. Aceste documentații cuprind următoarele module :
Mediu de implementare
Mediu de testare
Mediu de utilizare (operare)
Cu privire la partea de instalare, punere în funcțiune a aplicațiilor și implementare documentațiile sunt corespunzătoare, dar partea cuprinzând manualul utilizatorului nu este corespunzătore, nu conține informații și explicații suficiente pentru ca utilizatorul să se poată descurca singur în exploatarea aplicației. În general utilizatorii nu sunt mulțumiți de documentațiile ce cuprind exploatarea aplicațiilor : sunt prezentate cu caracter general, nu cuprind explicații necesare la diverse cazuri particulare ceea ce determină ținerea permanentă a legăturii cu proiectantul din DGTI ( telefonic sau e-mail ) și conduc la nerezolvarea la timp a solicitărilor contribuabililor.
Actualizările de aplicații făcute ulterior elaborării documentațiilor și nu sunt transmise la timp și utilizatorilor.
Activitatea utilizatorilor este supervizată de către însăși modul de derulare a aplicațiilor, precum și de persoanele responsabile cu aceasta din cadrul DGFP Arad.
Bazele de date ORACLE se salvează zilnic ( în fiecare noapte se declanșează o procedură automată de salvare stabilită de DGTI și personalul IT). Aceste salvări se păstrează pe stații de lucru, cel puțin o lună sau mai mult în funcție de importanța lor. De asemenea, se fac salvări săptămânale a tuturor bazelor de date ORACLE dar și a celorlate aplicații proprii din FOXPRO, cât și salvari lunare care mai includ și salvările de sistem de operare, acestea se păstrează cel puțin un an de zile pe CD-uri, harduri, benzi.
Datele sunt verificate înaintea introducerii în sistemul informatic de către aplicațiile de asistență contribuabili și apoi de aplicațiile informatice ale sistemului ORACLE precum și de utilizatorii aplicațiilor prin confruntarea documentelor pe suport hârtie depuse la serviciile sau compartimentele registrul contribuabililor
Machetele de culegere date din aplicațiile informatice sunt conform documentelor sursă, astfel încât prelucrarea datelor informatic nu prezintă probleme.
Documentele pe suport de hârtie sunt păstrate conform reglementărilor legale în vigoare.
Ecranele de preluare a datelor sunt în conformitate cu formularele.
Eventualele erori în ceea ce privesc datele de intrare care scapă la validările aplicațiilor informatice sunt corectate când acestea sunt depistate în situațiile de ieșire oferite de sistemul informatic.
In general SGBD Oracle și aplicațiile din cadrul sistemului informatic asigură o mare integritate a datelor, sistemul oferind informații concludente specialiștilor din cadrul STI atunci când datele sunt invalide sau sistemul prezintă depășiri ale resurselor alocate.
Situațiile de ieșire sunt furnizate de aplicațiile informatice proiectate de DGTI direct utilizatorilor, deci ele sunt distribuite în timp util beneficiarilor.
Aplicațiile informatice proiectate de DGTI în SGBD ORACLE nu oferă toate situațiile de ieșire pe care le solicită utilizatorii pentru diverse situații și raportări spre conducerea DGTI sau MFP.
Sunt situații de ieșire oferite de aplicații care potrivit utilizatorilor nu sunt eficiente și relevante sau nu oferă informațiile în structura în care aceștia sau conducerea le solicită.
Conform celor precizate mai sus sunt necesare rapoarte suplimentare, care au fost solicitate proiectanților din DGTI (la unele solicitări DGFP Arad a primit răspuns dar la altele nu ).
5.2. Evaluarea aplicațiilor informatice
5.2.1. Registrul contribuabililor persoane juridice
Subsistemul informatic Registrul contribuabililor persoane juridice este un sistem computerizat on-line la nivelul Ministerului Finanțelor Publice și a unităților subordonate cu terminal și la nivelul Ministerului Justiției, respectiv a Oficiului Național al Registrului Comerțului și a subunităților sale.
Scopul subsistemului "Registrul contribuabililor persoane juridice" este gestiunea declarațiilor de înregistrare fiscală și mențiuni.
Subsistemul permite utilizatorilor inițializarea în mod direct a funcțiilor: introducerea datelor, investigații, rapoarte de solicitare, actualizarea fișierelor principale.
Ca terminale sunt utilizate microcomputere din tipul terminalelor cu scop general.
Aceste dispozitive terminale sunt amplasate la distanță, pentru conectare folosesc telecomunicațiile.
Dispozitivele terminale în aplicația Cod Fiscal sunt utilizate de salariați ai compartimentelor DGFP Arad care au dreptul să consulte informații despre agenții economici, la subsistem având acces și utilizatori externi entității auditate respectiv salariați ai Oficiului Național al Registrului Comerțului.
În funcție de modul cum este introdusă informația în subsistem , de modul în care este procesată și momentul la care rezultatele sunt disponibile utilizatorilor, aplicația Cod fiscal este preponderent de tipul "Procesare de descărcare/încărcare on-line" și cu unele caracteristici minore ale "procesării on-line/de lot", așa cum sunt acestea definite de Standardul de audit financiar nr.1002.
Puncte slabe
Întrucât aplicația utilizează nomenclatoarele străzilor si arterelor de circulație, se întâmpină dificultăți la prelucrarea adreselor de sediu ale agenților economici, care nu se regăsesc în nomenclator, precum și la preluarea datelor transmise de ORC, instituție care nu lucrează cu aceste nomenclatoare;
Aplicația nu permite înregistrarea sediilor secundare fără cod fiscal;
Aplicația nu oferă posibilitatea efectuării de numărători statistice ale agenților economici, necesare in administrarea Registrului Contribuabililor;
Transmiterea și preluarea loturilor se realizează în intervale îndelungate de timp;
Imposibilitatea de a se prelucra în timp util declarațiile de mențiuni privind vectorul fiscal, datorită numărului limitat al înregistrărilor care pot fi transmise într-un lot și a faptului că modificările de vector fiscal trebuie operate și transmise în doua etape declarațiile fiind prelucrate astfel de doua ori;
Imposibilitatea de a radia codurile fiscale aparținând persoanelor fizice;
Transferurile de sediu in alt județ operate de O.R.C. nu se actualizează în evidenta fiscala;
În cazurile de radiere a codurilor fiscale pentru plătitorii de taxa pe valoarea adăugată, operate de ORC este necesara revenirea pe fiecare înregistrare pentru a fi operata scoaterea din evidența ca plătitor de TVA, în caz contrar agentul rămânând în evidența fiscală ca plătitor de TVA, cu obligații declarative pentru acest impozit;
Datele primite de la ORC privind vectorul fiscal declarat la înființare de către comercianți, nu sunt conforme cu realitatea, având înscrisă data luării în evidență ca plătitor de impozite și taxe anul 55555, fără posibilitatea de a fi corectate la nivelul organului fiscal;
Aplicația nu este corelata cu aplicația informatică ”INACTIVI”, pentru a oferi posibilitatea marcării agenților economici înscriși în evidența specială a contribuabililor inactivi, cu posibilitatea identificării exacte a contribuabililor activi, pe tipuri de impozite si taxe;
Nepreluarea unor înregistrări transmise de către ORC prin containere de informații, ceea ce conduce ca la nivelul DGFP să se opereze acelorași informații în mod repetat.
Puncte tari
Oferă organelor fiscale o evidență a persoanelor juridice încă de la momentul constituirii lor și până la momentul desființării juridice a acesora.
5.2.2. Gestiunea declarațiilor de impozite și taxe
Scopul sistemului Gestiunea declarațiilor de impozite și taxe (DECIMP) constă în gestionarea declarațiilor privind impozitele si taxele datorate bugetului de stat de către contribuabili.
Exploatarea sistemul DECIMP este organizată pe trei nivele funcționale și anume:
Nivelul 1 – DGTI din cadrul Ministerul Finanțelor Publice
Nivelul 2 – Direcțiile Generale ale Finanțelor Publice Județene și a municipiului București
Nivelul 3 – Unitățile operative : Administrațiile Financiare, Circumscripții Fiscale, Percepții Rurale.
Puncte slabe
Aplicația nu oferă posibilitatea generării unui centralizator al declarațiilor rectificative în funcție de perioada în care acestea au fost depuse, pentru a se putea urmării debitele suplimentare înregistrate de organul fiscal în fiecare perioadă de raportare;
Aplicația nu este corelata cu aplicația INACTIVI, respectiv cu aplicația VECTOR neoferind posibilitatea identificării exacte a contribuabililor activi, cu obligații declarative;
Aplicația nu oferă posibilitatea înregistrării agenților economici care au solicitat si beneficiază de regim derogatoriu pentru depunerea declarațiilor fiscale.
Neconcordanta între situația reală existentă a agenților economici care nu au depus declarații, și a celei extrase din programul informatic, datorită necorelării programului privind vectorul fiscal cu aplicația "decimp".
Centralizatorul cuprinzând declarațiile și deconturile TVA cu erori de declarare nu precizează la ce tip de impozit exista eroarea
Nu exista posibilitatea evidențierii societăților care beneficiază de regim derogatoriu de depunere a declarațiilor
Nu generează notificări pentru contribuabili cu erori în declarații, necorelări între aplicația Vector fiscal si aplicația Decimp
5.2.3. Vectorul fiscal al contribuabililor
Puncte slabe
Aplicația nu este corelată cu aplicația “ INACTIVI”, neoferind posibilitatea identificării exacte a contribuabililor activi, cu obligații declarative, pe categorii de impozite si taxe;
Aplicația nu oferă posibilitatea realizării unor situații nominale ale plătitorilor, în funcție de obligațiile declarative;
5.2.4. Evaluarea riscului pentru administrarea deconturilor negative cu opțiune de rambursare
Puncte slabe
Standardul Individual Negativ calculat prin aplicația informatică SERDN, are valoare unitară pentru contribuabilii care și-au mutat domiciliul fiscal în raza teritorială a altei unități fiscale, chiar dacă în baza de date a direcției generale a finanțelor publice județeană, societatea figurează cu toate declarațiile și situațiile financiare depuse în termenul legal. Menționăm că aplicația SERADN nu permite preluarea de la altă unitate fiscală a SIN-ului recalculat pentru noul an fiscal.
aplicația informatică SERADN, nu oferă posibilitatea emiterii unor noi decizii de rambursare, în cazul întocmirii de către Activitatea de Inspecție Fiscală, a unui nou raport de inspecție fiscală, ca urmare a reverificării, prin care se dispune rambursarea totală sau parțială a taxei pe valoarea adăugată contestată de către societate;
aplicatia nu ofera posibilitatea realizarii informatice a anexei nr.1 la O.M.F.P. nr. 515/2004, datorita faptului ca deconturile cu sume negative de TVA cu optiune de rambursare nu ofera suficiente informatii asupra motivatiei sumei solicitate la rambursare.
aplicatia nu ofera posibilitatea centralizarii a nivelul judetului a anexei nr. 6 la O.M.F.P. nr.338/2004, respectiv a anexelor nr. 1, 2 si 3 la O.M.F.P. nr. 515/2004;
nu permite selectarea si repartizarea pe inspectori al Deconturilor negative cu opțiune de rambursare (DNOR);
la elaborarea deciziilor de rambursare nu se preiau datele de identificare complete ale contribuabililor;
nu permite imprimarea fiselor SIN doar pentru DNOR-urile din luna de raportare, pentru listarea acestora fiind necesara intrarea pe fiecare cod fiscal.
în cadrul listelor pe care le editează (borderouri, evidenta cererilor de rambursare, recapitulare DNOR) ordonează societățile după gradul de risc, utilizatorul optând frecvent pentru o ordonare a acestora si in ordine alfabetica,opțiune inexistentă în aplicație.
s-au constatat situații în care sunt dublate sau sunt eliminate unele DNOR;
nu oferă o opțiune prin care să se poată stabili stadiul de rezolvare al unui DNOR.
borderoul de predare pentru control ulterior ( RISC MIC SI MEDIU SCAZUT) cuprinde si DNOR cu risc mediu scăzut sub 60 de puncte, rezolvate de compartimentul analiza DNOR . Acest borderou trebuie transmis pana la data de 1 a lunii următoare, pentru cuprinderea în programul de inspecție fiscala. Având în vedere faptul ca pana la data de 1 nu sunt soluționate toate DNOR de către serviciul de specialitate , acest borderou nu reflecta realitatea si nu poate fi folosit.
Puncte tari
A crescut considerabil numărul rambursărilor de TVA realizate în perioade optime de timp atât pentru contribuabil cât și pentru organul fiscal.
Evidența analitică pe plătitori
Pentru implementarea aplicației OBLIG "Evidența analitică pe plătitori" autorul acesteia DGTI București nu a transmis DGFP Arad documentația referitoare la aceasta.
Din rularea subsistemului Oblig la nivele 2 (DGFP Arad ) și 3 AF din subordinea DGFP Arad s-au constatat următoarele puncte slabe :
Aplicația rulează foarte încet
La obligația reprezentând TVA nu se pot efectua scăderi (pentru debitele anulate conform sentințelor judecătorești) ceea ce generează sold incorect pe plătitor
Nu se pot efectua corecții la debitări eronate
Deși se introduc în lucrarea de evidență analitică pe plătitor reorganizările judiciare, nu există opțiunea pentru raportarea sub formă de listă a plătitorilor pentru care s-a început reorganizarea judiciară și de asemenea nu există posibilitatea demarcării societăților pentru care nu s-a aprobat intrarea în reorganizarea judiciară
Emiterea și transmiterea privind obligațiile de plată la bugetul general consolidat conform Legii 161 din 2003 nu corespunde cu situația reală a agenților economici datorită operațiunii eronate conținută de aplicație privind stingere a plăților
Prezintă dificultăți în exploatarea aplicației și anume în cazul executării lucrării pe mai multe stații concomitent și ținând cont de numărul limitat de poziții care pot fi încărcate pentru salvare, la un moment dat aplicația întrerupe rularea fără vreo avertizare prealabila si fără a oferii informații referitoare la numărul de poziții care va fi salvat (s-au semnalat de către utilizatori situații când o bună parte din rânduri nu se salvează)
emiterea si transmiterea înștiințărilor de plata cf. OG 92/2003 nu se pot efectua informatic întrucât o înștiințare conține un număr mai mare de pagini( fiecărui tip de impozit si fiecărei scadențe fiindu-le atribuita o pagina), ajungându-se la o societate sa fie emise un număr de 200 de pagini
emiterea si transmiterea notificărilor privind obligațiile de plata la bugetul general consolidat conform Legii161/2003 nu corespunde cu situația reală a agenților economici datorita operațiunii de stingere conținută de aplicație și care nu este în corelație cu normele fiscale
sunt întâmpinate greutăți în întocmirea situațiilor privind creanțele bugetare întrucât acestea nu pot fi realizate prin preluarea datelor de la aplicația OBLIG de către aplicația Indicatori , raportările realizându-se în mod curent în afara aplicațiilor prin prelucrarea manuală a unor extracte din baza de date OBLIG
prin program nu pot fi realizate rapoarte necesare în activitatea fiscală care să cuprindă lista soldurilor pe agenți economici, pe clasificație bugetară, pe soldul unității fiscale,lista de rămășițe la sfârșitul anului
nerăspunderea aplicației OBLIG la cerințele de corelare cu, informațiile conținute de aplicația decimp si cu evidența trezoreriei în ceea ce privesc vărsămintele de la persoanele juridice pentru persoanele cu handicap neîncadrate, ceea ce conduce la solduri eronate la această creanță bugetară
nu pot fi realizate rapoarte cu privire la debite, altele decât cele din decimp (procese verbale de calcul accesorii, procese verbale de contravenție, etc.)
nu pot fi realizate rapoarte cu privire la suprasolvirile la sfârșit de an
din evidenta analitica pe plătitor, nu pot fi realizate rapoarte care să respecte prevederile OMF 531/2003 și anume : fișa recapitulativa cu privire la obligațiile bugetare restante in care se reflecta sintetic situația debitelor si accesoriilor aferente pe categorii de venituri; situația centralizatoare a obligațiilor restante pe organ fiscal teritorial; situația centralizatoare a veniturilor bugetare si modalitățile lor de stingere pe fiecare organ teritorial, pentru obligațiile bugetare cu termen de plata în anul curent și distinct pe obligații bugetare neachitate în anii precedenți.
5.2.6. Urmărirea la plată a obligațiilor restante la bugetul de stat (INLESNIRI)
Aplicația are ca scop urmărirea datelor privind achitarea înlesnirilor la plata pentru recuperarea arieratelor bugetare.
Principalele obiective ale aplicației sunt:
crearea unei baze da date privind achitările obligatorii lunare a ratelor eșalonate si a dobânzilor aferente.
integrarea în aceasta baza da date, a înlesnirilor la plata acordate de
Casele județene de pensii si asigurări Sociale
Casele județene de asigurări Sociale de Sănătate
direcțiile județene de dialog, familie si solidaritate sociala subordonate Min Muncii Solidarității Sociale si Familiei
crearea unui sistem vizibil transparent de acordare a punctajului pe fiecare dosar / cerere solicitata.
urmărirea periodică a respectării obligațiilor lunare, în ceea ce privește achitarea ratelor eșalonate.
5.2.7. Raportarea indicatorilor de performanță (INDICATORI)
Aplicația prezintă neajunsuri referitoare la modul de raportare a informațiilor și numărul mult prea limitat de al posibilităților de raportare.
Situația indicatorilor de performanță nu se poate transmite și raporta așa cum rezultă din rularea programelor deoarece conține foarte multe erori și neconcordante între informațiile preluate din aplicația oblig, vector fiscal si decimp (nu preia numărul real de notificări emise și transmise, număr de plătitori de impozite înregistrați în vectorul fiscal si numărul total de declarații depuse în termen, de asemenea neconcordanta privind plățile efectuate voluntar si în termen);
Rapoartele nu cuprind suficienți indicatori care să ofere informațiile necesare managementului nivelelor 2 și 3 , aceste lucrări fiind realizate manual, prin operațiuni extra-aplicații.
Capitolul 6
Concluzii și propuneri
6.1. Conformitatea sistemului cu reglementările în domeniu
Principalele neajunsuri ale aplicațiilor informatice în relația lor cu reglementările în domeniu se referă la :
transmiterea către utilizatori, în unele cazuri întârziere, a documentațiilor prin care se aduc modificări aplicațiilor ca urmare a celor intervenite în legislația din domeniu,
imposibilitatea cuprinderii în aplicații a tuturor spețelor rezultate în urma particularităților care intervin în cazul unor contribuabili ca urmare a aplicării actelor normative fiscale.
Propuneri :
crearea la nivelul MFP a unui colectiv operativ de lucru din salariați de la nivelul tuturor DGFP județene, a cărui atribuții să fie constatarea acestor anomalii, necorelații și care să propună soluții concrete de rezolvare a lor în termene optime de timp (cât mai reduse).
crearea pe lângă aplicația propriu-zisă a unor aplicații suplimentare prin care să se poată intervenii operativ în cazul constatării unor probleme accidentale.
6.2. Evaluarea riscurilor
Corespondența resurse – volum de muncă în compartimentele IT
Puse față în față capacitățile și performanțele tehnicii informatice ( harware-uri, servere, procesoare, subsisteme informatice ,etc.) cu numărul , calificarea și gradul de instruire a personalului din compartimentele IT s-au desprins următoarele concluzii:
personalul IT nu este suficient în raport cu volumul de muncă, datorită :
numărului mare de aplicații ce trebuiesc implementate și care nu este corelat cu capacitatea și performanțele tehnicii
realizarea "manuală" pe lângă rapoartele aplicației indicatori a numeroase rapoarte suplimentare, complementare solicitate atât pentru managementul instituției cât și pentru a fi raportate către MFP
asigurarea funcționării tuturor echipamentelor (servere, stații de lucru, imprimante, echipamente de comunicații) care să nu determine perturbări în funcționarea întregului sistem informatic,
timpul de muncă a personalul IT este supraîncărcat ca urmare a gradului de îmbătrânire a tehnicii (achiziționată în cea mai mare parte în anii 1998-1999 (aspect prezentat în macheta nr.1). În aceste condiții pentru actualizarea aplicațiilor acestea sunt lăsate să ruleze 24 de ore din 24 , chiar și după încheierea programului de lucru a salariaților.
Fluctuația personalului
În anul 2004 la nivelul personalului IT din întreaga instituție s-au vacantat 7 posturi care nu s-au ocupat până in prezent ( ele fiind blocate), astfel:
1 post consilier la DGFP
3 consilieri la AFP a Mun.Arad
1 post referent la AFP a Mun.Arad
1 post expert la AFP Curtici
1 post expert la AFP Sebiș
Nivelul de salarizare și de acordare a stimulentelor salariale este ușor peste media salariilor instituției respectiv pentru personalul IT nivelul mediu al veniturilor anuale din salarii realizate pe angajat, în anul 2004, a fost de 49.764 mii lei față de media pe angajați cu funcții de execuție de 38.947 mii lei. Situația este aceeași și în privința stimulentelor acordate din fondul special constituit la nivelul DGFP Arad salariaților IT media anuală care revine unui salariat IT este de 37.537 mii lei în timp ce media anuală ce revine unui salariat de execuție al DGFP este de 29.519 mii lei anual.
Principala cauză invocată de personalul specializat în IT la renunțarea la contractul de muncă încheiat cu DGFP Arad a fost nivelul de salarizare nesatisfăcător în raport cu propriile nevoi și lipsa perspectivei de creștere a lui în conjunctura legislativă respectivă.
Încrederea în IT
a) Modul în care sunt percepute și agreate aplicațiile informatice de către salariații DGFP Arad
Puncte slabe
aplicațiile fiind "standard" la nivel de MFP și subunități, iar accesibilitatea limitată acestea nu răspund întotdeauna unor situații excepționale, procedura rezolvării solicitând un anumit timp ;
pentru realizarea unor raportări individualizate se efectuează lucrări de prelucrare a informațiilor din baza de date în afara aplicațiilor, care însă ar putea fi realizate prin direcționarea informațiilor și către anumite locații de stocare accesibile pentru nivelele 2 și 3;
tehnica învechită îngreunează rularea aplicațiilor și de conduce la situații de inoperativitate;
transferul de informații de la o aplicație la alta este uneori perturbat, triggerele nesoluționând unele situații: De exemplu, în completarea machetei nr.2, Administrația Finanțelor Publice a municipiului Arad, precizează: "Situația indicatorilor de performanță nu se poate transmite si raporta așa cum rezultă din rularea programelor deoarece conține foarte multe erori si neconcordante între informațiile preluate din aplicația oblig, vector fiscal si decimp (nu preia numărul real de notificări emise și transmise, număr de plătitori de impozite înregistrați în vectorul fiscal si numărul total de declarații depuse în termen, de asemenea neconcordanta privind plățile efectuate voluntar și în termen).
Puncte tari
interfețe accesibile, care nu presupun ca utilizatorii (operatorii aplicațiilor) să posede cunoștințe de specialitate IT deosebite;
Propuneri
Îmbunătățirea aplicațiilor informatice , mai ales a celor de transfer al datelor;
Atașarea la aplicații a unor "apendice" care să permită personalizarea unor anumite rapoarte la nivelele 2 și 3 de utilitate locală;
Organizarea de pregătiri profesionale a unor salariați specialiști în IT care să constituie nuclee ale nivelului 2 de pregătire a salariaților IT din cadrul nivelelor 3;
Realizarea unor programe naționale de modernizare a tehnicii informatice (servere, terminale , etc. ) pentru a răspunde în condiții normale solicitărilor de sofware și procesare.
Realizarea unui program comun cu DGTI-București de atașare la aplicațiile informatice existente a unor "apendice" care să permită realizarea de rapoarte personalizate pentru nivelele 2 și 3;
Organizarea de pregătiri profesionale a salariaților specialiști în IT cât și a celorlalți utilizatori ai programelor de la nivelul 2 și nivelele3;
Includerea în bugetul instituției a unor sume la capitolul investiții pentru modernizarea dotărilor compartimentelor TI astfel încât acestea să răspundă în condiții normale solicitărilor de software și procesare.
b) Necesități curente comparativ cu funcționalitatea sistemului informatic
Sistemul informatic existent nu acoperă toate necesitățile activităților curente. Sunt activități pentru care MFP-DGTI , fie că nu a proiectat aplicații informatice sau cele existente nu satisfac toate cerințele utilizatorilor :
Colectare
Executare silita persoane juridice și fizice
Contabilitatea creanțelor bugetare
Activitatea de control fiscal
Propuneri
Realizarea unor colective de specialiști IT în care să fie incluși salariați ai tuturor DGFP-urilor județene precum și ai DGTI București care să realizeze în colaborare:
dezvoltarea și actualizarea permanentă a aplicațiilor informatice (corectarea aplicației de transfer a datelor între aplicații, crearea de triggere care să fie cu un grad mai ridicat de eficiență,
realizarea "apendicelor" la aplicații care să fie utilizate în personalizarea acestora prin crearea rapoartelor necesare managementului unităților din nivelele 2 și 3),
realizarea unor aplicații și pentru alte activități de o deosebită importanță in activitatea fiscală (colectare, executare silită a persoanelor juridice și fizice, contabilitatea creanțelor bugetare, activitatea de control fiscal)
6.3. Evaluarea hardware și software
Tehnica de calcul existentă la nivelul DGFP Arad este îmbătrânită și ea nu mai corespunde din punct de vedere al capacităților hard-urilor și al calității procesoarelor nevoilor actuale de prelucrare a informațiilor
Propuneri
se impune realizarea unei analize, respectiv a unui studiu privind starea TI și găsirea de soluții pentru efectuarea de dotări cu tehnică performantă.
se recomandă analizarea creări unui fond de investiție pentru TI prin realizarea unui act normativ care să precizeze destinația unei cote procentuale din încasările efective ale fiecărei DGFP județene în scopul stric al realizării dotărilor cu tehnică de calcul.
realizarea unui program permanent de instruire organizat de DGTI- București cel puțin pentru o parte din personalul IT de la nivelele 2 și 3, și care să aibă în vedere software-urile folosite și limbajele aplicațiilor implementate la aceste nivele..
Bibliografie
1) Aslău T., Bazele teoretice ale controlului finanaciar, ediția a-II-a revizuită, Editura Concordia, Arad, 2002.
2) Aslău T., Elemente și noțiuni introductive de audit contabil și financiar, 2003
3) Boulescu M., Ghiță M., Expertiză contabilă și audit financiar contabil, Editura didactică și pedagogică, București, 1999.
4) Brândaș C, Necesitatea și conținutul auditului sistemelor informaționale, Revista de Audit Financiar, nr. 3/2003.
5) Eden A., Riscurile de audit în condițiile utilizării sistemelor informatice de prelucrare a datelor; Revista de Audit Financiar, nr. 2/2003.
6) Gheorghe D., Impactul tehnologiilor informaționale asupra activităților de audit financiar, Revista de Audit Financiar, nr. 4/2003.
7) Ghiță M., Mareș V., Auditul performanței finanțelor publice, Editura CECCAR, București 2002.
8) Mitroi F., Auditul de performanță, Editura Adevărul S.A., București, 1999
9) Munteanu A., Auditul sistemelor informaționale contabile – cadru general, Editura Polirom, Iași, 2001.
10) *** Norme generale de organizare și funcționare a auditului public intern, OMF 332 /2000, MOF nr. 96 /2000.
11) *** Legea 672 privind auditul public intern, MOF 953 /2002.
12) *** Norme generale privind exercitarea activității de audit public intern, OMF nr. 38 /2003 /MOF 1364 /2003.
13) *** Codul privind conduita etică a auditorului intern – OMF 252 /MOF nr. 128 /2004.
14) *** Activitatea de audit financiar – OUG nr. 75 /1999 /R /MOF /598 /2003.
15) *** International Auditing Practice Statements (IAPS), EFAC, 2003.
16) *** International Standards on Auditing (ISA)t EFAC, 2003.
17) *** IS Standards, Guidelines and Procedures for Audit and Control Professionals,* ISACA, Roiling Meadows – Illinois, 2004.
18) *** Codul privind conduita etică a auditorului intern – OMF 252 /MOF nr. 128 /2004.
19) *** Modificări la OUG 75, privind auditul intern, aduse prin OG nr. 37 /2004, MOF nr. 91 /2004.
20) *** Norme proprii privind executarea auditului public intern în cadrul Ministerului Finațelor Publice – OMF nr. 445 /2004.
21) *** Hotărârea nr. 36 – Camera Auditorilor financiari din România – Asimilarea standardelor Internaționale de audit ale Institutului Internațional de audit. MOF nr. 1245 /2004.
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Auditarea Sistemului Informatic (ID: 149060)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.