Pag. 1 din 180 eg [614840]

Pag. 1 din 180 eg

GHIDUL DE AUDIT

AL

SISTEMELOR INFORMATICE

BUCUREȘTI
2012
2012

Pag. 2 din 180

Pag. 3 din 180 CUPRINS
Introducere ………………………….. ………………………….. ………………………….. ………………………….. ………… 6
Capitolul 1. Problematica generală ………………………….. ………………………….. ……………….. 8
1.1 Auditul sistemelor informatice ………………………….. ………………………….. ……………………. 8
1.1.1 Domeniul de aplicare ………………………….. ………………………….. ………………………….. …………….. 8
1.1.2 Documente de referință (reglementări) aplicabile în domeni ul auditului IS / IT
9
1.1.3 Etapele auditului sistemelor informatice ………………………….. ………………………….. ……. 10
1.1.4 Obiective generale și obiective specifice ale aud itului IT / IS ………………………….. 10
1.1.5 Criterii de evaluare generice ………………………….. ………………………….. …………………………. 11
1.1.6 Determinarea naturii și volumului procedurilor de audit ………………………….. ……. 11
1.1.7 Revizuirea controalelor IT în cadrul misiunilor de audit financiar …………………. 12
1.1.8 Evaluarea riscurilor ………………………….. ………………………….. ………………………….. ……………. 13
1.1.9 Tehnici și metode de audit ………………………….. ………………………….. ………………………….. … 15
1.1.10 Colectarea, inventarierea și documentarea probelor de audit …………………………. 15
1.1.11 Formularea constatări lor și recomandărilor ………………………….. ………………………….. 16
1.1.12 Elaborarea raportului de audit ………………………….. ………………………….. ……………………… 16
1.2 Probleme de audit asociate cu utilizarea sistemelor IT / I S ………………………….. 17
1.3 Evaluarea sistemelor informatice financiar -contabile ………………………….. ………. 19
1.3.1 Informații de fond privind sistemele IT / IS ale entități i auditate …………………… 22
1.3.2 Controale IT generale ………………………….. ………………………….. ………………………….. …………. 23
1.3.3 Evaluarea aplicației și evaluarea riscurilor zonei contabile ………………………….. …. 25
1.3.4 Sisteme în curs de dezvoltare ………………………….. ………………………….. ………………………… 31
1.3.5 Anomalii frecvente în operarea sistemului ………………………….. ………………………….. … 31
1.3.6 Documente și informații solicitate entității auditate ………………………….. …………….. 32
Capitolul 2. Proceduri de audit IT ………………………….. ………………………….. ………………. 34
2.1 Informații de fond privind si stemele IT ale entității auditate ………………………. 35
PROCEDURA A1 – Privire generală asupra entității auditate ………………………….. ……………. 35
PROCEDURA A2 – Principalele pr obleme IT rezultate din activitățile anterioare de
audit 36
PROCEDURA A3 – Dezvoltări informatice planificate ………………………….. ………………………… 36
PROCEDURA A4 – Configurația hardware (echipamente), software (programe
informatice) și personalul IT ………………………….. ………………………….. ………………………….. …………. 36
PROCEDURA A5 – Cerințe pentru specialiștii în auditul sistemului informatic …………. 37
PROCEDURA A6 – Activitatea necesară pentru evaluarea sistemelor …………………………. 37
PROCEDURA A7 – Contacte cheie ………………………….. ………………………….. ………………………….. ….. 37
2.2 Evaluarea mediului de control IT – Controale generale IT ………………………….. … 38
PROCEDURA B1 – Managementul sistemului informatic ………………………….. …………………… 39
PROCEDURA B2 – Separarea atribuțiilor ………………………….. ………………………….. …………………. 50
PROCEDURA B3 – Securitatea fizică și controalele de mediu ………………………….. ……………. 53
PROCEDURA B4 – Securitatea informației și a sistemelor ………………………….. …………………. 55
PROCEDURA B5 – Continuitatea sistemelor ………………………….. ………………………….. …………….. 66
PROCEDURA B6 – Externalizarea serviciilor IT ………………………….. ………………………….. ………. 75

Pag. 4 din 180 PROCEDURA B7 – Managementul schimbării și al dezvoltării de sistem ……………………. 76
PROCEDURA B8 – Auditul intern IT ………………………….. ………………………….. ………………………….. 82
2.3 Revizuirea controalelor aplicației și evaluarea riscurilor asociate ……………… 83
PROCEDURA CA1 – Înțelegerea sistemului informatic financiar – contabil ………………… 84
PROCEDURA CA2 – Posibilitatea de efectuare a auditului ………………………….. …………………. 86
PROCEDURA CA3 – Utilizarea tehnicilor de audit asistat de calculator (CAAT) ………… 86
PROCEDURA CA4 – Determinarea răspunderii ………………………….. ………………………….. ………. 88
PROCEDURA CA5 – Evaluarea documentației aplicației ………………………….. ……………………. 89
PROCEDURA CA6 – Evaluarea secu rității aplicației ………………………….. ………………………….. . 90
PROCEDURA CA7 – Evaluarea controalelor privind introducerea datelor ………………… 91
PROCEDURA CA8 – Evaluarea controale lor privind transmisia de date …………………….. 93
PROCEDURA CA9 – Evaluarea controalelor prelucrării ………………………….. …………………….. 94
PROCEDURA CA10 – Evaluarea controalelor privind datele de ieșire ………………………… 95
PROCEDURA CA11 – Evaluarea controalelor privind fișierele de date permanente … 97
PROCEDURA CA12 – Evaluarea conformității aplicațiilor cu legislația în vigoare …….. 98
PROCEDURA CA13 – Efectuarea testelor de audit ………………………….. ………………………….. ….. 99
2.3.1 Norme metod ologice ale Ministerului Finanțelor Publice privind criterii și
cerințe minimale pentru sistemele informatice financiar – contabilitate …………………… 101
2.3.2 Volumul de teste de control ………………………….. ………………………….. …………………………. 102
Capitolul 3. Riscuri IT ………………………….. ………………………….. ………………………….. …….. 104
3.1 Probleme cu impact semnificativ asupra riscului de audit ………………………….. 104
3.2 Riscurile generate de existența mediului informatizat ………………………….. ……. 106
3.2.1 Dependența de IT ………………………….. ………………………….. ………………………….. ………………. 106
3.2.2 Resurse și cunoștințe IT ………………………….. ………………………….. ………………………….. …… 107
3.2.3 Încrederea în IT ………………………….. ………………………….. ………………………….. …………………. 108
3.2.4 Schimbări în domeniul sistemelor IT / IS ………………………….. ………………………….. ….. 110
3.2.5 Externalizarea serviciilor IT ………………………….. ………………………….. ………………………… 111
3.2.6 Focalizarea pe afacere ………………………….. ………………………….. ………………………….. ………. 112
3.2.7 Securitatea informației ………………………….. ………………………….. ………………………….. …….. 113
3.2.8 Protecția fizică a sistemelor IT ………………………….. ………………………….. ……………………. 114
3.2.9 Operarea sistemelor IT ………………………….. ………………………….. ………………………….. …….. 115
3.2.10 Dezvoltări efectuate de utilizatorii finali ………………………….. ………………………….. …… 117
Capitolul 4. Evaluarea mediului informatizat în entitățile mici ……………………. 119
4.1 Eval uarea mediului informatizat cu calculatoare PC individuale ………………. 119
4.1.1 Particularitățile auditului în medii cu calculatoare individuale …………………….. 119
4.1.2 Efectul utilizării calculatoarelor individuale asupra sistemului financiar
contabil ………………………….. ………………………….. ………………………….. ………………………….. ………………… 122
4.1.3 Efectul unui mediu cu calculatoare individuale asupra procedurilor de audit
123
4.2 Efectul implementării și utilizării sistemelor de gestiune a bazelor de date
(SGBD) asupra sistemului financiar contabil ………………………….. ………………………….. … 123
4.2.1 Particularitățile controlului intern aferent mediului cu baze de date …………… 124
4.2.2 Efectul utilizării bazelor de date asupra sistemului financiar contabil ………… 126
4.2.3 Efectul utilizării bazelor de date asupra procedurilor de audit ……………………… 127
4.3 Utilizarea tehnicilor de audit asistat de calculator în mediile IT ale entitățilo r
mici 129

Pag. 5 din 180 Capitolul 5. Documente de lucru ………………………….. ………………………….. ……………….. 131
Referințe bibliografice ………………………….. ………………………….. ………………………….. ……………… 134
Anexa 1 – Glosar de termeni ………………………….. ………………………….. ………………………….. …….. 135
Anexa 2 – Lista documentelor ………………………….. ………………………….. ………………………….. ….. 143
Macheta 1 ………………………….. ………………………….. ………………………….. ………………………….. ………. 145
Macheta 2 ………………………….. ………………………….. ………………………….. ………………………….. ………. 146
Macheta 3 ………………………….. ………………………….. ………………………….. ………………………….. ………. 147
Macheta 4 ………………………….. ………………………….. ………………………….. ………………………….. ………. 149
Anexa 3 Lista de verificare pentru evaluarea controalelor generale …………………….. 151
Anexa 4 Lista de verificare pentru evaluarea riscuri lor ………………………….. ……………… 169
Anexa 5 Lista de verificare pentru evaluarea controalelor de aplica ție ……………….. 174

Pag. 6 din 180
Introducere

Ghidul de audit al sistemelor informatice constituie o extensie a Manualului de audit al
sistemelor informatice elaborat în cadrul Curții de Conturi a României (CCR) și detali ază
implementarea practic ă a procedurilor de audit în medii informatizate, transpunând la
nivel operațional elementele cu caracter metodologic prezentate în manual.

Manualul s e axează preponderent , pe descrierea celor mai noi concepte, metode, tehnici și
proceduri aferente conte xtului general al auditului sistemelor informatice, precum și pe
problematica auditului sistemelor informatice financiar -contabile .

In timp ce manualul s e concentr ează pe aspectele strict necesare înțelegerii conceptelor,
standardelor, metodologiilor și procedurilor asociate auditului IT /IS 1 fără de care un
auditor nu poate aborda corect acest domeniu , ghidul prezint ă în mod concret, activitățile,
procesele, tehnicile , procedurile și documentele specifi ce acestui tip de audit și furniz ează
auditorilor pu blici externi informații practice privind evaluarea mediului informatizat ,
facilit ând integrarea procedurilor proprii ale auditului IT /IS în contextul misiunilor de
audit în care auditorii publici externi sunt implicați.

În ceea ce privește tipul și conți nutul acțiunilor de verificare desfășurate de CCR (acțiuni
de control, misiuni de audit financiar și misiuni de audit al performanței), în condițiile
extinderii pe scară largă a informatizării instituțiilor publice, auditul IT/IS constituie o
componentă a misiunilor de audit ale CCR , având la bază cerințele Regulamentului privind
organizarea și desfășurarea activităților specifice Curții de Conturi, precum și valorificarea
actelor rezultate din aceste activități . În acest context, g hidul prezintă în detaliu
procedurile de audit specifice mediului informatizat pe care auditorii trebuie să le aplice
atunci când evaluează disponibilitatea, integritatea și confidențialitatea informațiilor care
provin din sistemul informatic financiar -contabil în scopul formulări i unei opinii în
legătură cu încrederea în acest ea.

Structura documentului
Documentul este structurat după cum urmează: un capitol introductiv, cinci capitole
dedicate problemelor de fond, o listă de referințe bibliografice și un număr de anexe
(glosar de termeni; lista documentelor specifice auditului IT/IS solicitate entității,
machete și liste de verificare)
Capitolul 1 cuprinde o sinteză a problematicii generale specifice auditului sistemelor
informatice, sunt prezentate probleme de audit asociate cu utilizarea sistemelor
informatice și aspectele specifice evaluării sistemelor informatice financiar -contabile.

Capitolul 2 prezintă în detaliu procedurile de audit IT pentru evaluarea mediului
informatizat : obținerea informațiilor de fond privind sistem ele IT ale entității auditate
(Procedurile A1 – A7), evaluarea controalelor generale IT (Procedurile B1 – B8),
evaluarea controalelor de aplicație (Procedurile CA1 – CA13). Aceste proceduri au fost

1 Information Technology / Information Systems

Pag. 7 din 180 prezentate la nivel teoretic în Manualul auditului sistem elor informatice2. Pentru aspectele
tehnice teoretice, în ghid se fac trimiteri la prezentările din manual.
Referitor la cazul particular al sistemelor informatice financiar -contabile , în Capitolul 2,
este prezentată o listă a criteriilor și cerințelor min imale formulate de Ministerul
Finanțelor Publice, pentru sistemele informatice financiar -contabile .

În Capitolul 3 este prezentată metodologia de evaluare a riscurilor generate de existența
mediului informatizat , precum și impactul semnificativ al acesto r sisteme atât asupra
activității entităților , cât și asupra riscului de audit.

Capitolul 4 prezintă metodologia de evaluare a sistemelor informatice pentru entități mici
(de exemplu, primării), care au în dotare, în multe cazuri, un singur calculator.

În Capitolul 5 se face o prezentare a documentelor de lucru specifice auditului IT/IS . Sunt
atașate modele relevante pentru machete și liste de verificare .

2 Ediția 2012

Pag. 8 din 180
Capitolul 1. Problematica generală

Prezentul capitol descrie într -o manieră sintetică problematica generală asociată
domeniului auditului sistemelor informatice, referitoare la utilizarea unui cadru
metodologic și procedural orientat pe fluxul activităților care se desfășoară în cadrul unei
misiuni de audit IT, misiune care are ca scop investigarea și evaluarea conformității
proceselor care au loc în cadrul unei entități cu cerințele unui cadru de reglementare,
respectiv un set de standarde, bune practici, legislație, metodologii. Rezultatele evaluărilor
se materializează în constatări și concluzii care reflectă opiniile auditorului prin prisma
obiectivelor misiunii de audit. În cazul constatării unor neconformități, auditorul
formulează recomandări pentru remedierea acestora și perfecționarea activității entității.

Subiectele abordate sunt următoarele:

a) problem atica generală specifică auditului IT ( domeniul de aplicare, documente de
referință (reglementări) aplicabile în domeniul auditului I T/IS, obiective generale și
obiective specifice ale auditului IT/IS, criterii de evaluare generice, determinarea
naturii și volumului procedurilor de audit, revizuirea controalelor IT în cadrul
misiunilor de audit în medii informatizate ),
b) evaluarea riscurilor generate de implementarea și utilizarea sistemelor
informatice ,
c) tehnici și metode de audit ,
d) colectarea, inventarierea ș i documentarea probelor de audit,
e) elaborarea raportului de audit.

1.1 Auditul sistemelor informatice

În concordanță cu cadrul de lucru INTOSAI și cu standardele asociate, în ceea ce privește
tipul și conținutul acțiunilor de verificare desfășurate de Curtea de Conturi a României
(acțiuni de control, misiuni de audit financiar și misiuni de audit al performanței), în
condițiile extinderii accentuate a informatizării instituțiilor publice, auditul sistemelor
informatice poate constitui o componentă a acestor a cțiuni sau se poate desfășura de sine
stătător , de regulă prin misiuni de audit al performanței implementării și utilizării de
sisteme, soluții informatice sau servicii electronice care fac obiectul unor programe
naționale sau proiecte complexe de impact p entru societate, având efecte în planul
modernizării unor domenii sau activități.
1.1.1 Domeniul de aplicare

Datorită extinderii misiunilor de audit și a acțiunilor de control care se desfășoară în
medii informatizate, se accentuează necesitatea asigurării convergenței metodelor și
standardelor de audit financiar cu metodele și standardele de audit IT. Pentru a verifica
satisfacerea cerințelor pentru informație ( eficacitate, eficiență, confidențialitate,
integritate, disponibilitate, conformitate și încredere), se are în vedere, auditarea
sistemului informatic care furnizează informația financiar -contabilă.

Pag. 9 din 180
Având în vedere contextul actual, în Regulamentul privind organizarea și desfășurarea
activităților specifice Curții de Conturi, precum și valorificarea act elor rezultate din aceste
activități, a fost inclus ă evaluarea sistemelor informatice financiar -contabile ca fiind o
componentă obligatorie pentru toate acțiunile de control și audit desfășurate în medii
informatizate. În acest cadru, este obligatorie cole ctarea informațiilor privind controalele
IT implementate în sistemul de control intern al entității auditate, prin intermediul
Chestionarului pentru evaluarea sistemului IT .

In cadrul acțiunilor de control și audit financiar desfășurate de către structuri le Curții de
Conturi, auditorii publici externi vor efectua evaluări ale sistemelor informatice existente
la entitățile auditate, pentru a determina dacă sistemele și aplicațiile furnizează informații
de încredere pentru acțiunile respective.
Constatările vor evidenția punctele tari și punctele slabe ale sistemului informatic și vor
menționa aspectele care trebuie remediate. Pe baza acestora se vor formula recomandări
privind perfecționarea structurii de procese, controale și proceduri IT existente.
Princip alele constatări, concluzii și recomandări formulate pe parcursul misiunii de audit
vor fi sintetizate și vor fi înaintate conducerii entității auditate, constituind obiectul
valorificării raportului de audit. Modul de implementare a recomandărilor și stad iul
implementării acestora vor fi revizuite periodic, la termene comunicate entității auditate.

În cadrul Curții de Conturi, auditul sistemelor informatice este un audit de tip
multidisciplinar cu caracter transversal, interdepartamental. Curtea de Contur i va
desfășura orice misiuni de audit IT menite să creeze condițiile optime pentru derularea
eficientă a celorlalte forme de control și audit și să ofere suportul tehnic pentru aceste
misiuni .

Extinderea utilizării tehnologiei informației în toate domenii le, inclusiv în cel al sistemelor
financiar -contabile, care presupune atât extinderea controalelor IT în cadrul sistemului de
control intern al entităților auditate/controlate, cât și existența unor programe și proiecte
de mare anvergură finanțate din fond uri publice, materializate în investiții IT cu valori
foarte mari, generează necesitatea perfecționării modelelor tradiționale de auditare și
extinderea auditului sistemelor informatice în activitatea Curții de Conturi.

Scopul generic al misiunilor de aud it al sistemelor informatice este obținerea unei
asigurări rezonabile asupra implementării și funcționării sistemului, în conformitate cu
prevederile legislației în vigoare, cu reglementările în domeniu, cu standardele
internaționale și ghidurile de bune p ractici, precum și evaluarea sistemului din punctul de
vedere al furnizării unor servicii informatice de calitate sau prin prisma performanței
privind modernizarea administrației și asigurarea încrederii în utilizarea mijloacelor
electronice.
1.1.2 Documente de referință (reglementări) aplicabile în domeniul
auditului IS /IT

Constituția României ;
Legea nr. 94/1992 privind organizarea și funcționarea Curții de Conturi , cu
modificările și completările ulterioare;
Regulamentul privind o rganizarea și desfășurarea a ctivităților specifice Curții de
Conturi, precum și valorificarea actelor rezultate din aceste activități ;

Pag. 10 din 180
Manualul de audit al sistemelor informatice , elaborat de Curtea de Conturi a
României, ediția 2012
Manualul de auditul performanței , elaborat de Curt ea de Conturi a României, ediția
2012 .
1.1.3 Etapele auditului sistemelor informatice

Etapele auditului sistemelor informatice sunt: planificarea auditului, efectuarea auditului,
raportarea și revizuirea auditului.

Acestea sunt detaliate în Manualul de audit al sistemelor informatice , elaborat de Curtea de
Conturi a României, ediția 2012.
1.1.4 Obiective generale și obiective specifice ale auditului IT / IS

Obiectivele misiunii de audit au un rol determinant în abordarea auditului, din acestea
decurgând cerințe și restricții privind desfășurarea activităților în toate etapele misiunii
de audit: planificarea auditului, efectuarea auditului, raportare și revizuire.

Abordarea generală a auditului IT/IS se bazează pe evaluarea riscurilor . Pentru auditul
performanței implementării și utilizării sistemelor informatice se asociază și abordarea pe
rezultate. Auditul se poate efectua pentru întreg ciclul de viață al sistemelor și aplicațiilor
informatice sau se poate raporta numai la anumite componente specificate sau la a numite
etape de dezvoltare a sistemului .

Pentru misiunile de audit IT/IS desfășurate de Curtea de Conturi, f ormularea obiectivelor
generale se face în funcție de scopul evaluării: audit în medii informatizate (formularea
unei opinii referitoare la încrede rea în informațiile furnizate de sistemul informatic
pentru o acțiune de control/misiune de audit financiar sau audit al performanței) sau
evaluarea performanței unei activități bazate pe tehnologia informației .

În funcție de tematica auditului, auditoru l public extern are sarcina de a clarifica
obiectivele auditului, de a identifica referențialul pentru efectuarea auditării (standarde,
bune practici, reglementări, reguli, proceduri, dispoziții contractuale, etc.) și de a examina
gradul în care cerințele care decurg sunt aplicate și contribuie la realizarea obiectivelor
entitățíi.

În principiu, există două categorii de probleme care pot constitui obiective generale ale
auditului:
stabilirea conformității rezultatelor entității cu un document de referință ,
conformitate asupra căreia trebuie să se pronunțe auditorul;
evaluarea efic acității cadrului procedural și de reglementare și a focalizării acestuia
pe obiectivele entității.

Pornind de la obiectivul general, se formulează obiective specifice care deter mină direcțiile
de audit, cerințele concrete și criteriile care vor sta la baza evaluărilor. Ca obiective
specifice generice, se vor avea în vedere:
 Evaluarea soluțiilor arhitecturale și de implementare a sistemului informatic;
 Evaluarea infrastructurii h ardware și software: echipamente, sisteme, aplicații;
 Evaluarea implicării managementului de la cel mai înalt nivel în perfecționarea
guvernanței IT;
 Evaluarea calității personalului utilizator al sistemelor și aplicațiilor informatice;

Pag. 11 din 180  Evaluarea securită ții sistemului informatic;
 Evaluarea disponibilității și accesibilității informațiilor;
 Evaluarea continuității sistemului;
 Evaluarea managementului schimbărilor și al dezvoltării sistemului;
 Evaluarea sistemului de management al documentelor;
 Evaluarea ut ilizării serviciilor electronice disponibile;
 Evaluarea schimbului de informații și a comunicării cu alte instituții;
 Conformitatea cu legislația în vigoare;
 Identificarea și analiza riscurilor decurgând din utilizarea sistemului informatic,
precum și a im pactului acestora;
 Evaluarea efectelor implementării și utilizării infrastructurii IT în modernizarea
activității entității auditate.
1.1.5 Criterii de evaluare generice

Misiunea de audit al sistemelor informatice are în vedere următoarele criterii de evaluare
generice:
 Dacă sistemul informatic asigură un cadru adecvat, bazat pe integrarea
tehnologiilor informatice pentru desfășurarea continuă a activității;
 Dacă activitățile desfășurate pe parcursul derulării proiectelor IT/IS sunt conforme
cu obiectivele și t ermenele de realizare, aprobate la nivel instituțional, la
fundamentarea acestora;
 Dacă pe parcursul proiectelor s -au înregistrat dificultăți tehnice, de implementare
sau de altă natură;
 Dacă implementarea proiectelor conduce la modernizarea activității e ntității,
contribuind la integrarea unor noi metode de lucru, adecvate și conforme cu noile
abordări pe plan european și internațional;
 Dacă este asigurată continuitatea sistemului;
 Dacă sistemul informatic funcționează în conformitate cu cerințele program elor și
proiectelor informatice privind integralitatea, acuratețea și veridicitatea, precum și
cu standardele specifice de securitate;
 Dacă soluția tehnică este fiabilă și susține funcționalitatea cerută în vederea
creșterii calității activității;
 Dacă pre gătirea utilizatorilor atinge nivelul performanței cerute de această nouă
abordare, analizată prin prisma impactului cu noile tehnologii;
 Dacă există și au fost respectate standarde privind calitatea suportului tehnic și
metodologic.

Criteriile de audit pot fi diferite de la un audit la altul, în funcție de obiectivele specifice ale
misiunii de audit.
1.1.6 Determinarea naturii și volumului procedurilor de audit

Natura și volumul procedurilor de audit necesare pentru evaluarea controalelor aferente
mediului i nformatizat variază în funcție de obiectivele auditului și de alți factori care
trebuie luați în considerare: natura și complexitatea sistemului informatic al entității,
mediul de control al entității, precum și conturile și aplicațiile semnificative pentr u
obținerea situațiilor financiare.

Auditorul public extern cu atribuții de evaluare a sistemului IT și auditorul public extern
cu atribuții de auditare a situațiilor financiar contabile trebuie să coopereze pentru a

Pag. 12 din 180 determina care sunt activitățile care vor fi incluse în procesul de revizuire. Când auditul
sistemului informatic este o parte din misiunea de audit financiar, evaluarea controalelor
IT face parte dintr -un efort consistent atât de evaluare a controalelor, cât și de evaluare a
fiabilității date lor financiare raportate.
1.1.7 Revizuirea controalelor IT în cadrul misiunilor de audit financiar

Misiunile de audit financiar au un rol central în furnizarea unor informații financiare mai
fiabile și mai utile factorilor de decizie și în perfecționarea sistem ului de control intern
pentru a fi adecvat cu sistemele de management financiar.
Controalele IT aferente mediului informatizat (controale IT generale) reprezintă un
factor semnificativ în atingerea acestor scopuri și în înțelegerea de către auditor a
stru cturii controlului intern al entității. Aceste obiective de control trebuie luate în
considerare pe ntru întregul ciclu de viață al sistemu lui. De asemenea, se va analiza modul
în care aceste controale afectează eficacitatea sistemului de control intern al entității.

Structurarea obiectivelor de control pe criteriul domenii -procese -activități
Cadrul de lucru COBIT reprezintă un referențial atât pentru management, cât și pentru
auditori, oferind un set extins de 210 obiective de control pentru evaluarea cont roalelor
generale IT , care se referă la toate activitățile legate de ciclul de viață al uni sistem
informatic agreg ate în 34 de procese conținute de cele patru domenii
(Planificare&Organizare, Achiziție&Implementare, Furnizare&Suport și
Monitorizare&Evalua re).

Structurarea obiectivelor de control pe criterii funcționale
Obiectivele de control conținute de cadrul COBIT pot fi structurate pe criterii funcționale
în următoarele categorii de controale generale:
1. Managementul funcției IT;
2. Securitatea fizică și controalele de mediu;
3. Securitatea informației și a sistemelor;
4. Continuitatea sistemelor;
5. Managementul schimbării și al dezvolt ării sistem ului;
6. Auditul intern.

În efectuarea evaluării mediului informatizat, structur area obiectivelor de control pe crite rii
funcționale este mai accesibilă pentru auditori, întrucât conține similitudini conceptuale cu
abordările aferente altor tipuri de audit. Din acest considerent, o recomandăm pentru a fi
adoptată în audit urile în medii informatizate desfășurate de Curte a de Conturi.
Prezentul ghid se raportează la această abordare , procedurile și listele de verificare fiind
proiectate și prezentate pentru cele 6 secțiuni menționate mai sus: Managementul funcției
IT; Securitatea fizică și controalele de mediu; Securitate a informației și a sistemelor;
Continuitatea sistemelor; Managementul schimbării și al dezvoltării sistemului; Auditul
intern.

De o importanță deosebită este revizuirea controalelor de aplicație care oferă
informații importante despre funcționarea și sec uritatea aplicației financiar -contabile și
ajută la formularea opiniei în legătură cu încrederea în datele și rezultatele furnizate de
sistemul informatic financiar -contabil , pentru misiunea de audit care se desfășoară în
mediul informatizat.

În cazul în care din evaluarea controalelor generale IT și a controalelor de aplicație rezultă
că sistemul nu pare a fi suficient de robust, auditorul trebuie să evalueze riscul

Pag. 13 din 180 funcționării necorespunzătoare a sistemului asupra obiectivelor misiunii de audit
financia r.

În cadrul entităților auditate, o categorie specială de controale IT se referă la
conformitatea sistemului informatic cu cerințele impuse de cadrul legislativ și de
reglementare . Cerințele legislative și de reglementare includ:
Legislația din domeniul finanțelor și contabilității;
Legislația privind protecția datelor private și legislația privind protecția datelor
personale;
Legislația privind utilizarea improprie a calculatoarelor, în sensul criminalității
informatice;
Reglementări financiare și banca re;
Legile cu privire la proprietatea intelectuală.
1.1.8 Evaluarea riscurilor

Pentru acțiunile de control și misiunile de audit, de o deosebită importanță este
identificarea riscurilor care rezultă din utilizarea unui sistem contabil bazat pe tehnologii
inform atice. Aceste riscuri măresc probabilitatea apariției unor prezentări semnificativ
eronate în situațiile financiare, fapt ce ar trebui luat în considerare de management și de
auditori.

Riscurile cheie specifice mediilor bazate pe tehnologii informatice s unt: dependența de
funcționarea echipamentelor și programelor informatice, vizibilitatea pistei de audit,
reducerea implicării factorului uman, erori sistematice versus erori incidentale, accesul
neautorizat, pierderea datelor, externalizarea serviciilor I T/IS, lipsa separării sarcinilor,
absența autorizării tradiționale, lipsa de experiență în domeniul IT. Aceste riscuri au la
bază o serie de vulnerabilități tipice:

slaba implicarea a managementului;
obiective neatinse sau îndeplinite parțial;
inițiative nefundamentate corespunzător;
sisteme interne de control organizate sau conduse necorespunzător;
controale fizice și de mediu slabe care generează pierderi importante cauzate de
calamități naturale, furturi, etc.;
lipsa încrederii în tehnologia informaț iei;
lipsa de interes față de planificarea continuității sistemului (proceduri de salvare a
datelor, securitatea sistemului informatic, recuperare a în caz de dezastru);
calitatea necorespunzătoare a serviciilor furnizate utilizatorilor sistemului;
cheltuie li nejustificate: intranet, Internet, resurse umane;
costuri și depășiri semnificative ale termenelor;
existența unor reclamații, observații, contestații.

Descrierea riscurilor identificate de auditorii publici externi trebuie să includă informații
privi nd cauzele și impactul posibil al acestora, precum și nivelul de risc (mic, mediu sau
mare) evaluat de auditorul public extern pe baza raționamentului profesional. Ca
instrument de lucru se poate utiliza matricea prezentată în T abel ul 1. Conținutul ariilor de
risc este detaliat în Anexa 4.

Pag. 14 din 180 Tabelul 1

Descrierea riscurilor

Arii de Risc Amenințări Vulnerabilități Probabilitate
de apariție Impact
Evenimente
nedorite Slăbiciuni ale
controalelor IT % Major (Mare)
Mediu
Scăzut (Mic)
Dependența de sistemu l
informatic
_
_
…

Resurse și cunoștințe IT
_
_
…

Încrederea în sistemul
informatic
_
_
…

Schimbările în sistemul
informatic
_
_
…

Externalizarea serviciilor
de tehnologia informației
_
_
…

Focalizarea pe activita te
_
_
…

Securitatea informației și a
sistemului
_
_
…

Managementul tehnologiei
informației
_
_
…

Pag. 15 din 180 1.1.9 Tehnici și metode de audit

Metodele și tehnicile utilizate pentru colectarea informațiilor pe parcursul misiunii de
audit sunt:
o Prezentări în cadrul unor discuții cu reprezentanții managementului entității
auditate;
o Realizarea de interviuri cu persoane cheie implicate în coordonarea,
monitorizarea, administrarea, întreținerea și utilizarea sistemului informatic;
o Utilizarea chestiona relor și machetelor și listelor de verificare ;
o Examinarea unor documentații tehnice, economice, de monitorizare și de
raportare: grafice de implementare, corespondență, rapoarte interne, situații de
raportare, rapoarte de stadiu al proiectului, registre de evidență, documentații de
monitorizare a utilizării, contracte, sinteze statistice, metodologii, standarde;
o Participarea la demonstrații privind utilizarea sistemului ;
o Utilizarea tehnicilor și instrumentelor de audit asistat de calculator ( IDEA sau alte
aplicații realiz ate în acest scop );
o Inspecții în spațiile alocate serverelor și stațiilor de lucru;
o Inspecții în spațiile alocate depozitelor de date sau locațiilor de depozitare a
copiilor de back -up;
o Consultarea legislației aferente tematicii;
o Documentar ea pe Internet în scopul informării asupra unor evenimente,
comunicări, evoluții legate de sistemul IT sau pentru consultarea unor
documentații tehnice.
1.1.10 Colectarea, inventarierea și documentarea probelor de
audit

Colectarea și inventarierea probelor de a udit se referă la constituirea fondului de date în
format electronic și /sau în format tipărit , pe baza machetelor, chestionarelor și a listelor
de verificare completate, precum și la organizarea și stocarea acestora.

Natura probelor de audit este dependen tă de scopul auditului și de modelul de auditare
utilizat. Deși modelele de auditare pot diferi în ceea ce privește detaliile, ele reflectă și
acoperă cerința comună de a furniza o asigurare rezonabilă că obiectivele și criteriile
impuse în cadrul unei mis iuni de audit (de exemplu, audit financiar) sunt satisfăcute.
Procedurile de obținere a probelor de audit sunt: interogarea, observarea, inspecția,
confirmarea, reconstituirea traseului tranzacției și a prelucrărilor (parcurgerea fluxului
informațional și de prelucrare) și monitorizarea.

Obținerea probelor de audit și înscrierea acestora în documentele de lucru reprezintă
activități esențiale ale procesului de audit. Documentele de lucru se întocmesc pe măsura
desfășurării activităților din toate etapele auditului. Documentele de lucru trebuie să fie
întocmite și completate cu acuratețe, să fie clare și inteligibile, să fie lizibile și aranjate în
ordine, să se refere strict la aspectele semnificative, relevante și utile din punctul de
vedere al auditului.
Aceleași cerințe se aplică și pentru documentele de lucru utilizate în format electronic.

Documentarea corespunzătoare a activității de audit are în vedere următoarele
considerente:

Confirmă și susține opiniile auditorilor exprimate în raportul de audi t;

Pag. 16 din 180
Îmbunătățește performanța activității de audit;
Constituie o sursă de informații pentru pregătirea raportului de audit sau pentru a
răspunde oricăror întrebări ale entității auditate sau ale altor părți interesate;
Constituie dovada respectării de către auditor a standardelor și a manualului de
audit;
Facilitează monitorizarea auditului;
Furnizează informații privind expertiza în audit.

Documentele de lucru, elaborate în format tipărit, vor fi organizate în dosare, iar
documentele elaborate în format el ectronic vor fi organ izate în colecții de fișiere și/ sau
baze de date.
Documentele trebuie să fie prezentate într -o manieră inteligibilă, coerentă, consistentă cu
obiectivele auditului.

Pentru descrierea sistemelor entității auditate se utilizează următo arele tipuri de
documente: diagrame de tip flowchart, prezentări narative, machete, chestionare și liste de
verificare. Alegerea acestor tehnici variază în funcție de practicile locale de audit, de
preferința personală a auditorului și de complexitatea sis temelor auditate.
1.1.11 Formularea constatărilor și recomandărilor

Evaluarea și revizuirea sistemului informatic se fac prin analiza constatărilor rezultate și
interpretarea acestora. În funcție de impactul pe care îl au neconformitățile constatate, se
formule ază recomandări pentru remedierea acestora și reducerea nivelului riscurilor.
Aceste recomandări reflectă opiniile auditorului asupra entității auditate prin prisma
obiectivelor misiunii de audit. Sintetic, constatările se vor referi la următoarele aspecte :
evaluarea complexității sistemelor informatice, evaluarea generală a riscurilor entității în
cadrul mediului IT, evaluarea riscurilor în cadrul fiecărei aplicații, precum și un punct de
vedere al auditorului privind fezabilitatea unui demers de audit baz at pe controale.
1.1.12 Elaborarea raportului de audit

Raportarea are ca scop punerea în evidență a punctelor slabe ale controalelor, identificate
de auditor și aducerea lor la cunoștința entității auditate prin intermediul raportului de
audit și al unei scris ori care conține sinteza principalelor constatări și recomandări.

Raportul de audit identifică aria de cuprindere, obiectivele, perioada, planificarea în timp
și aria de acoperire ale activității de auditare efectuate.

Raportul de audit este elaborat de auditorii publici externi pentru fiecare misiune de audit
și va include cele mai semnificative constatări, recomandări și concluzii care au rezultat în
cadrul misiunii de audit cu privire la stadiul și evoluția implementării și utilizării
sistemelor infor matice existente în entitatea auditată. Raportul va include, de asemenea,
opinia auditorilor cu privire la natura și extinderea punctelor slabe ale controlului intern
în cadrul entității auditate și impactul posibil al acestora asupra activității entității .

Raportul de audit al sistemelor informatice trebuie să fie obiectiv și corect, să cuprindă
toate constatările relevante, inclusiv cele pozitive, să fie constructiv și să prezinte
concluziile și recomandările formulate de echipa de audit.

În situația în care pe parcursul misiunii de audit se constată: erori / abateri grave de la
legalitate și regularitate, fapte pentru care există indicii că au fost săvârșite cu încălcarea

Pag. 17 din 180 legii penale sau nerealizarea obiectivelor propuse de entitate în legătură cu pr ogramul /
procesul/ activitatea auditat (ă) datorită nerespectării principiilor economicității, eficienței
și eficacității în utilizarea fondurilor publice și în administrarea patrimoniului public și
privat al statului/ unităților administrativ -teritoriale, s e întocmesc proces verbal de
constatare , precum și celelalte tipuri de acte prevăzute la pct. 354 din Regulamentul
privind organizarea și desfășurarea activităților specifice Curții de Conturi, precum și
valorificarea actelor rezultate din aceste activităț i, aceste acte constituind anexe la
raportul de audit al sistemelor informatice.

Detaliile referitoare la aspectele metodologice privind raportul de audit se regăsesc în
Manualul de audit al sistemelor informatice (CCR, 2012)

1.2 Probleme de audit asociate cu utilizarea sistemelor IT / IS

Auditul sistemelor/serviciilor informatice3 reprezintă o activitate de evaluare a
sistemelor informatice prin prisma optimizării gestiunii resurselor informatice
disponibile (date, aplicații, tehnologii, facilități, resu rse umane, etc.), în scopul atingerii
obiectivelor entității, prin asigurarea unor criterii specifice: eficiență, confidențialitate,
integritate, disponibilitate, siguranță în funcționare și conformitate cu un cadru de
referință (standarde, bune practici, cadru legislativ, etc.).

Prin utilizarea sistemelor informatice, se modifică abordarea auditului (care se desfășoară
în medii informatizate) datorită noilor modalități de prelucrare, stocare și prezentare a
informațiilor, furnizate de aplicațiile informat ice, fără a schimba însă obiectivul general și
scopul auditului.

Procedurile tradiționale de colectare a datelor și de interpretare a rezultatelor utilizate de
auditorii financiari sunt înlocuite, total sau parțial, cu proceduri informatizate. Existența
sistemului informatic poate afecta sistemele interne de control utilizate de entitate,
modalitatea de evaluare a riscurilor, performanța testelor de control și a procedurilor de
fond utilizate în atingerea obiectivului auditului.

Cu toate că prezența te hnologiei informației nu modifică obiectivele fundamentale ale
auditului, prin specificul lor, sistemele informatice pot influența opinia auditorului cu
privire la risc sau pot impune ca auditorul să adopte o abordare diferită a misiunii de
audit.
Principa lele aspecte implicate de auditarea în mediul informatizat , care pot induce
ambiguități sau erori pe parcursul auditului, sunt:
(a) se poate permite anonimatul prin depersonalizarea utilizatorului și, implicit, se
pot induce confuzii cu privire la răspunde re;
(b) se pot permite modificări neautorizate sau neautentificate ale datelor contabile;
(c) se poate permite duplicarea intrărilor sau a prelucrărilor;
(d) sistemele informatice sunt vulnerabile la accesul de la distanță și neautorizat;
(e) se pot ascund e sau se pot face invizibile unele procese;

3 În funcție de problematica referită, în cadrul prezentului document se folosesc și variantele distincte audit
IT/audit IS , cu semnificația corespunzătoare, respectiv auditul arhitecturilor și infrastructurilor IT
(hardware, software, comunicații și alte facilități utilizate pentru introducer ea, memorarea, prelucrarea,
transmiterea și ieșirea datelor, în orice formă), precum și auditul sistemelor, aplicațiilor și serviciilor
informatice .

Pag. 18 din 180 (f) se poate șterge sau ascunde pista de audit (traseul tranzacțiilor) ;
(g) se pot difuza date, în mod neautorizat, în sistemele distribuite;
(h) aplicațiile pot fi operate de contractanți externi, care utilizeaz ă standarde și
controale proprii sau pot altera informațiile în mod neautorizat.

În cazul auditului unui sistem informatic care furnizează informații relevante pentru o
misiune de audit financiar, evaluarea sistemului informatic se efectuează în scopul fu rnizării
unei asigurări rezonabile privind funcționarea sistemului, necesare auditului financiar la
care este supusă entitatea.

În cazul în care informațiile necesare auditului sunt furnizate de aplicații sau sisteme
complexe, este necesară consultarea sa u participarea în cadrul echipei de audit a unui
specialist care posedă cunoștințe și aptitudini specializate în domeniul auditului
sistemelor informatice, pentru a evalua sistemul. De asemenea, va colabora cu auditorii în
scopul înțelegerii semnificației și complexității procedurilor informatice, a prelucrării
datelor furnizate de sistemul informatic, precum și pentru înțelegerea sistemului de
control intern, în scopul planificării și abordării auditului, adecvate la noile tehnologii și va
formula recomand ări privind punctele slabe ale sistemului informatic, în vederea
remedierii anomaliilor constatate.
Evaluarea va avea ca rezultat formularea unei opinii privind încrederea pe care o asigură
sistemul informatic , în condițiile utilizării sale ca sursă de inf ormații sau ca suport pentru
audit (programe de audit asistat de calculator), în cadrul misiunii de audit.

Complexitatea sistemului informatic este conferită de o serie de caracteristici relative la:
volumul tranzacțiilor, procedurile de validare a datelo r sau a transferurilor de date între
aplicații, generarea automată a tranzacțiilor, comunicația cu alte aplicații sau sisteme
informatice, complexitatea algoritmilor de calcul, utilizarea unor informații provenite din
surse de date externe (existente la al te entități) fără validarea acestora .

Un mediu informatizat poate oferi auditorilor posibilitatea unor prelucrări adiționale, prin
furnizarea informațiilor solicitate în formate cerute de auditor, în scopul interpretării sau
al utilizării ca date de intr are pentru programe specializate de audit asistat de calculator.
Acest mod de lucru contribuie la creșterea performanței în efectuarea testelor de fond,
prin aplicarea unor proceduri analitice automatizate, precum și a performanței
procedurilor de audit, p rin utilizarea tehnicilor de audit asistat de calculator.

Sistemele informatice au unele caracteristici inerente care pot afecta atât abordarea
auditului, cât și evaluarea efectuată de auditor cu privire la riscul de audit. Unele
caracteristici ale sistem ului informatic sporesc acest risc și reclamă o atenție s pecială din
partea auditorului. Dintre acestea, cele mai importante sunt4:
stabilirea răspunder ii,
vulnerabilitatea la modificări,
ușurința copierii,
riscurile accesului de la distanță,
procesar e invizibilă,
existența unui parcurs al auditului,
distribuirea datelor,
încrederea în prestatorii de servicii IT ,
utilizarea înregistrărilor furnizate de calculator ca probă de audit.

4 Detalii în Manualul de audit al sistemelor informatice (CCR, 2012)

Pag. 19 din 180 1.3 Evaluarea sistemelor informatice financiar -contabile

În conformi tate cu standardul ISA 400, “Evaluarea Riscului și Controlului Intern”,
auditorul va analiza dacă mediul de control și procedurile de control aplicate de entitate
activităților proprii desfășurate în mediul informatizat, în măsura în care acestea sunt
rele vante pentru aserțiunile situațiilor financiare, este un mediu sigur. În cazul sistemelor
informatice, atunci când procedurile sunt automatizate, când volumul tranzacțiilor este
mare sau când probele electronice nu pot fi urmărite pe tot parcursul fluxului de
prelucrare, auditorul poate decide că nu este posibil să reducă riscul de audit la un nivel
acceptabil decât prin utilizarea testelor detaliate de audit. În astfel de cazuri sunt frecvent
utilizate tehnici de audit asistat de calculator .
De asemenea, pentru sistemele informatice financiar -contabile sunt deosebit de
importante următoarele aspecte ale controlului intern: (a) menținerea integrității
procedurilor de control în mediul informatizat și (b) asigurarea accesului la înregistrări
relevante pentru a satisface necesitățile entității, precum și în scopul auditului.
Auditorul va analiza exhaustivitatea, acuratețea și autorizarea informațiilor furnizate
pentru înregistrarea și procesarea înregistrărilor financiare ale entității (integritatea
tranzacție i). Natura și complexitatea aplicațiilor influențează natura și amploarea
riscurilor referitoare la înregistrarea și procesarea tranzacțiilor electronice.
Procedurile de audit referitoare la integritatea informației, aferente tranzacțiilor
electronice, se axează în mare parte pe evaluarea credibilității sistemelor utilizate pentru
prelucrarea tranzacțiilor. Utilizarea serviciilor informatice inițiază, în mod automat, alte
secvențe de prelucrare a tranzacției față de sistemele tradiționale. Procedurile de a udit
pentru sistemele informatice trebuie să se concentreze asupra controalelor automate
referitoare la integritatea tranzacțiilor, pe măsură ce acestea sunt înregistrate și apoi
procesate imediat.

Într-un mediu informatic, controalele referitoare la inte gritatea tranzacției sunt în
majoritatea cazurilor proiectate pentru a asigura, printre altele: validarea intrărilor și
prevenirea duplicării sau a omiterii tranzacțiilor.

În general, tranzacțiile electronice nu au asociate înregistrări scrise și pot fi mult mai ușor
de distrus sau de alterat decât cele scrise, fără a lăsa nici o urmă a distrugerii sau alterării.
Auditorul trebuie să stabilească dacă politicile de securitate a informației și controalele de
securitate ale entității sunt implementate adecv at pentru prevenirea modificărilor
neautorizate ale înregistrărilor contabile, ale sistemului contabil sau ale sistemelor care
furnizează date sistemului contabil. Aceasta se poate realiza prin testarea controalelor
automate, cum ar fi verificările de inte gritate a datelor, ștampile de dată electronică,
semnături digitale și controale de versiune în vederea stabilirii autenticității și integrității
probelor electronice. În funcție de estimările cu privire la aceste controale, auditorul
poate considera neces ară efectuarea unor proceduri suplimentare, cum ar fi confirmarea
detaliilor tranzacțiilor sau a soldurilor conturilor cu terțe părți5.
Utilizatorii sistemului informatic sunt, implicit, anonimi. Sistemele care nu pot identifica și
înregistra acțiunile uti lizatorilor individuali nu pot să -i facă ulterior răspunzători de
acțiunile lor. Utilizatorii sunt mult mai înclinați să efectueze activități informatice
neautorizate daca nu pot fi identificați și făcuți răspunzători.

5 ISA 505 – Confirmări Externe

Pag. 20 din 180 Riscul procesării de tranzacții nea utorizate poate fi redus prin prezența unor controale
care identifică utilizatorii individuali și întreprind acțiuni de contracarare a eventualelor
acțiuni ostile ale acestora. Riscul poate fi redus prin obligativitatea autentificării la
accesarea sistemul ui și prin introducerea unor controale suplimentare, sub formă de
semnături electronice.

Având în vedere faptul că datele tranzacțiilor electronice se regăsesc într -o formă
intangibilă pe diverse medii de stocare, acestea pot fi modificate fără a lăsa ni ci o urmă.
Auditorii trebuie să evalueze existența și efic acitatea controalelor care previn efectuarea de
modificări neautorizate . Controale neadecvate pot conduce la situația în care auditorul să
nu poată acorda încredere înregistrărilor din calculatoare sau integrității p istei de audit
(traseului tranzacțiilor) .

Programul de aplicație și datele tranzacției trebuie să fie protejate față de modificări
neautorizate prin utilizarea de controale adecvate ale accesului fizic și logic.

Plățile prin calculator, ca și transferurile electronice de fonduri, sunt mult mai ușor de
modificat decât instrumentele de plată pe hârtie și de aceea trebuie sa aibă o protecție
adecvată. Integritatea tranzacțiilor electronice poate fi protejată prin tehnici precum
criptarea da telor, semnături electronice sau prin utilizarea unui algoritm de dispersare a
datelor.

Dacă datele au valoare financiară, prevenirea dublării tranzacțiilor prin copiere este în
mod deosebit importantă. Sistemele utilizatorului trebuie să încorporeze con troale care să
detecteze și să prevină procesarea de tranzacții duble.
Controalele pot include atribuirea de numere secvențiale tranzacțiilor și verificarea de
rutină a totalurilor de control.

Fișierele pe hârtie pot fi ușor protejate față de accesul neau torizat prin implementarea
unor controale ale accesului fizic . Mijloace similare de protecție pot fi utilizate pentru
protecția dispozitivelor de stocare a datelor (CD -ROM, benzi magnetice și dischete). Dacă
datele sunt accesibile pe o rețea de calculatoar e, atunci apare un grad de incertitudine cu
privire la cine are acces la software și la fișierele de date. Conectarea sistemelor de
calculatoare la rețeaua globală Internet mărește substanțial riscul de acces neautorizat de
la distanță și de atacuri cu vir uși sau alte forme de alterare a informației sau de distrugere a
unor sisteme informatice. Protejarea rețelelor conectate la Internet poate fi dificil de
realizat și necesită controale de nivel înalt, specializate.

Unele sisteme de operare asigură contro ale ale accesului care limitează capacitatea
utilizatorilor de la distanță să vadă, să modifice, să șteargă sau să creeze date. Controalele
de acces ale sistemului de operare pot fi mărite prin controale suplimentare de
identificare și autorizare în cadrul fiecărei tranzacții. În ambele cazuri, efic acitate a
controalelor de acces depinde de proceduri de identificare și autentificare și de o bună
administrare a sistemelor de securitate .

Procesarea tranzacțiilor care are loc în interiorul calculatorului este invizibilă pentru
auditor. Auditorii pot vedea ceea ce intră și ceea ce iese, dar au puține informații cu privire
la ceea ce se întâmplă pe parcurs. Această slăbiciune poate fi exploatată de programe
neautorizate ascunse în programele autorizate. Amenința rea modificărilor neautorizate
poate fi redusă prin adoptarea de proceduri adecvate de control al modificărilor, inclusiv
controale eficiente de acces, activarea și revizuirea jurnalelor de operații, precum și o
separare eficientă a sarcinilor între actor ii implicați în sistem.

Pag. 21 din 180
În cazul tranzacțiilor electronice, în care pista de audit (parcursul tranzacțiilor) se
reconstituie din înregistrări stocate pe un calculator, auditorul trebuie să se asigure că
datele privind tranzacțiile sunt păstrate un ti mp suficient și că au fost protejate față de
modificări neautorizate. Capacitatea limitată de stocare a unor calculatoare poate
restricționa cantitatea de date istorice aferente tranzacțiilor care trebuie păstrate. În
aceste cazuri, auditorul trebuie să im pună arhivarea regulată a evidențelor contabile și
acestea să fie păstrate într -un mediu sigur. Auditorul poate, de asemenea, să analizeze
impactul posibil al regulilor de arhivare a datelor organizației atunci când planifică
auditul.

Calculatoarele în rețea au capacitatea de a stoca aplicații financiare și fișiere de date pe
orice dispozitive de stocare din rețea. Auditorul se poate afla în fața unui sistem care
rulează o aplicație financiară pe un calculator și stochează fișierele cu tranzacții procesa te
pe un calculator din altă sală, din altă clădire sau chiar din altă țară. Procesarea datelor
distribuite complică evaluarea de către auditor a controalelor de acces fizic și logic. Mediul
de control poate fi foarte bun într -un anumit loc, dar foarte sla b în alt loc, iar
eterogenitatea mediului informati zat crește riscul de audit.

Principiile referitoare la probele de audit nu se schimbă datorită faptului că auditul se
realizează într -un mediu informati zat. Înregistrările din calculator furnizează audit orului
o asigurare de audit. Auditorul poate, de asemenea, să genereze probe de audit utilizând
tehnicile de audit asistat de calculator.

O problemă deosebit de importantă generată de mediul informatizat o constituie
admisibilitatea înregistrărilor din ca lculator la o instanță de judecată . Din studiul literaturii
de specialitate, rezultă că sunt puține precedente care să ilustreze acest fapt. În cazurile în
care probele informatice au fost depuse în acțiuni judecătorești, instanțele au luat în
considerare o expertiză cu privire la eficiența mediului de control IT, înainte de a evalua
fiabilitatea datelor informatice.
Auditorul va avea în vedere faptul că tranzacțiile sau imaginile de documente provenind
de la calculator pot să nu fie admisibile ca probe în justiție dacă nu se poate demonstra că
există controale destul de puternice care să înlăture dubiul rezonabil privind
autenticitatea și integritatea datelor conținute în sistem. În ceea ce privește tranzacțiile
electronice, aceste controale sunt deosebit de complexe.

Evaluarea sistemelor IT cuprinde trei părți:

A – Colectarea informațiilor de fond privind sistemele IT ale entității auditate
permite auditorului cunoașterea sistemel or IT hardware și software ale acesteia ,
precum și a nivelului resurselor umane implicate în activități IT . Informații le
privind dimensiunea, tipul și complexitatea tehnică a sistemelor informatice
permit auditorilor să evalueze dacă este necesar sprijinul unui auditor IT specialist.
De asemenea, auditorul va identific a sistemel e financiare în curs de dezvoltare,
care necesită , în continuare , implicarea acestuia în formularea de cerințe privind
unele facilități de audit care să fie incluse în noua versiune . Colectarea informațiilor
de fond privind sistemele IT ale entității audit ate trebuie să fie finalizată înainte ca
auditorul să realizeze o evaluare a mediului de control IT sau a procedurilor de
control ale aplicației.

B – Evaluarea mediului de control IT și evaluarea riscului entității este
utilizată pentru a evalua controa lele și procedurile care operează în cadrul

Pag. 22 din 180 mediului de control IT. Punctele slabe identificate în mediul de control IT pot
submina eficacitatea procedurilor de control în cadrul fiecărei aplicații financiare.

C – Evaluarea controalelor aplicației și ev aluarea riscului zonei contabile :
auditorul trebuie să efectu eze evaluarea controalelor aplicației și evaluarea riscului
zonei contabile pentru a examina procedurile de control, sistemele de control
intern și riscurile de audit în cadrul fiecărei aplicații financiar -contabil e.

1.3.1 Informații de fond privind sistemele IT / IS ale entității auditate

Prima parte a evaluării sistemelor informatice se referă la colectarea informațiilor de fond
privind sistemele IT ale entității auditate. Această etapă va trebui s ă fie finalizată înainte
de evaluarea detaliată a controalelor IT, întrucât contribuie la cunoașterea sistemului de
către auditor care, pe baza informațiilor colectate, va realiza analiza mediului de control
IT și a contro alelor aplicației.

Pe baza ace stei analize, auditorul obține o înțelegere preliminară a situației cu care va fi
confruntat pe parcursul evaluării IT. De asemenea, sunt furnizate indicații cu privire la
documentațiile tehnice care trebuie consultate înainte de vizitarea entității audita te, de
exemplu documentații privind sistemele de operare și aplicațiile de contabilitate.

În funcție de concluziile acestei etape, referitoare la configurația și complexitatea
sistemului care face obiectul auditului, auditorul poate să stabilească dacă e ste oportun
sau nu să implice specialiști în audit IT în echipa de audit. Factorii care vor afecta această
decizie includ:

abilitățile și experiența IT a auditorului – auditorii nu trebuie să realizeze
evaluări IT dacă consideră că nu au abilitățile nece sare sau experiența
necesară;
dimensiunea (volumul) operațiilor entității auditate – operațiile informatice de
volume mari tind să fie mai complexe atât în ceea ce privește sistemele propriu –
zise, cât și din punctul de vedere al structurilor organizatorice ;
complexitatea tehnică a echipamentului IT și a rețelei – sistemele mai complexe,
care încorporează tehnologii noi, vor necesita asistența specialiștilor IT pentru
a identifica și a evalua riscurile de audit;
cazul în care utilizatorii sistemului dezvoltă și utilizează aplicații sau au
capacitatea de a modifica pachetele contabile standard – în general, există un
risc crescut de audit în situația în care utilizatorii dezvoltă sau personalizează
aplicațiile contabile . În multe cazuri, se personalizează apli cații contabile sau
structuri de date (extrase din bazele de date ale sistemului), pentru a satisface
unele cerințe ale auditorului ;
antecedente de probleme IT – în cazul în care auditorii au avut în trecut
probleme cu sistemele IT ale entității auditate , de exemplu, unde există
antecedente legate de erori ale utilizatorului, greșeli de programare, fraudă
informatică sau încălcări grave ale securității;
cazul în care sistemele informatice sau tranzacțiile pe care le procesează
furnizează informații sensibi le – implică amenințăr i crescute ;
sisteme în curs de dezvoltare – auditorul poate fi solicitat să formuleze puncte de
vedere cu privire la specificațiile și planurile de implementare ale noilor
sisteme financiare.

Pag. 23 din 180 În etapa de colectare a informațiilor d e fond privind sistemele IT ale entității auditate ,
sunt furnizate de asemenea detalii administrative, referitoare la personalul din cadrul
departamentelor financiar -contabil și IT ale entității auditate .
1.3.2 Controale IT generale

Controlul este definit ca t otalitatea politicilor, procedurilor, practicilor și a structurilor
organizaționale proiectate să ofere o asigurare rezonabilă asupra faptului că obiectivele
afacerii vor fi atinse și evenimentele nedorite vor fi prevenite sau detectate și corectate.

Cont roale le pot fi materializate sub următoarele forme sau acțiuni:
Afirmații declarative ale managementului privind creșterea valorii , reducerea
riscului , securitatea ;
Politici, proceduri, practici și structuri organizaționale;
Sunt concepute spre a asigura i n mod acceptabil faptul că obiectivele afacerii vor fi
atinse și evenimentele nedorite vor fi prevenite sau detectate și corectate;
Managementul organizației trebuie să facă unele alegeri privind obiectivele de
control: selectarea obiectivelor care sunt ap licabile, decizia privind controale le
care vor fi puse în practică;
Alegerea modului de a implementa controalele (frecvență, durată, grad de
automatizare etc.);
Acceptarea riscului neimplementării controalelor aplicabile.

Cerințele obiectivelor de control sunt de a defini: s copurile și obiectivele proceselor ;
răspunderea privind procesul ; repetabilitatea procesului ; roluri le și r esponsabilitaea;
politici, planuri și proceduri ; îmbunătățirea performanței procesului .
Implementarea unor controale eficace red uce riscul, crește probabilitatea obținerii de
valoare și îmbunătățește eficiența prin diminuarea numărului de erori și printr -o
abordare managerială consistentă.

Controalele IT generale se referă la infrastructura IT a entității auditate, la politicile IT
aferente, la procedurile și practicile de lucru. Acestea trebuie să se concentreze, din
punctul de vedere al auditorului, pe procesele specifice departamentului IT sau a le
compartimentului cu atribuții similare și nu sunt specifice pachetelor de program e sau
aplicațiilor.

În cadrul evaluării controalelor de nivel înalt, adoptate de management pentru a se
asigura că sistemele informatice funcționează corect și satisfac obiectivele afacerii,
auditorul poate determina dacă activitățile IT sunt controlate a decvat iar controalele
impuse de entitatea auditată sunt suficiente.
În cadrul evaluării este necesară examinarea următoarelor aspecte:
Detectarea riscurilor asociate controalelor de management neadecvate;
Structura organizațională IT;
Strategia IT și impl icarea managementului de vârf;
Politici de personal și de instruire;
Documentație și politici de documentare (politici de păstrare a
documentelor);
Politici de externalizare;
Implicarea auditului intern;
Politici de securitate IT;
Conformitatea cu reglemen tările în vigoare;
Separarea atribuțiilor.

Pag. 24 din 180 Politicile IT de nivel înalt, procedurile și standardele sunt foarte importante în stabilirea
unui cadru de control intern adecvat. Auditorul trebuie să fie capabil să identifice
componentele controlului intern, a ferente mediului informatizat, fiecare având obiective
diferite:
Controale operaționale: funcții și activități care asigură că activitățile
operaționale contribuie la obiectivele afacerii;
Controale administrative: asigură eficiența și conformitatea cu pol iticile de
management, inclusiv controalele operaționale.
Controalele de aplicație;

Obiectivele de control aferente mediului informatizat se axează pe: evaluarea calității
managementului, securitatea fizică și controalele de mediu, securitatea informației și a
sistemului IT, continuitatea sistemului, managementul schimbării și al dezvoltării
sistemului, funcționalitatea aplicațiilor, calitatea auditului intern cu privire la sistemul IT.

Există unele considerente speciale care trebuie avute în vedere atunc i când se realizează
evaluarea controalelor IT:

examinarea inițială a sistemelor IT ale entității auditate se realizează pe
zone contabile diferite, tranzacțiile procesate de o aplicație putând parcurge
diverse fluxuri de prelucrare în cadrul sistemului I T, fiecare dintre acestea
fiind supusă unor riscuri de audit diferite.
importanța sistemelor informatice în raport cu producerea situațiilor
financiare și cu contribuția la obiectivele afacerii.
aplicabilitatea și oportunitatea auditului bazat pe /asistat de calculator.
Aceasta va permite identificarea procedurilor de control ale aplicației și o
evaluare inițială a oportunității lor.
relația controalelor IT cu mediul general de control. Se va avea în vedere ca
existența controalelor manuale, care diminueaz ă punctele slabe ale
sistemului IT, să fie luată integral în considerare.

Evaluarea mediului de control IT

Evaluarea controalelor IT generale vizează identificarea punctelor tari, a punctelor slabe
și a riscurilor în cadrul mediului general de control I T. Riscurile identificate în mediul
general de control IT pot atenu a eficiența controalelor în aplicațiile care se bazează pe
acestea și deci pot fi descrise ca riscuri la nivelul entității. Evaluarea IT va fi utilizată de
auditor pentru a identifica extin derea și natura riscurilor generale de audit IT asociate cu
utilizarea de către entitatea auditată a sistemelor informatice în domeniul financiar –
contabil.

Evaluarea începe cu examinarea cadrul ui procedural im plementat de entitatea auditată,
care va permi te auditorului să formuleze un punct de vedere relativ la oportunitatea
strategiei IT, a managementului, auditului intern și politicilor de securitate ale acesteia .
Răspunsurile la întrebări le adresate în cadrul interviurilor vor da auditorului o vedere
preliminară rezonabilă asupra mediului de control IT. Experiența a arătat că entitățile cu
reguli IT puține sau necorespunzătoare nu sunt în măsură să aibă un mediu de control
intern adecvat.

Analiza include, de asemenea, o evaluare a controalelor general e în cadrul
departamentului IT, referitoare la configurația hardware, software și de comunicații,
precum și la resursele umane care au atribuții în domeniul IT: controlul privind accesul

Pag. 25 din 180 fizic, controlul privind accesul logic, controlul operațional, proced urile de management al
schimbărilor, planificarea recuperării după dezastru, utilizarea de prestatori externi de
servicii IT, controlul asupra aplicațiilor dezvoltate și rulate de utilizatorii înșiși, separarea
sarcinilor.

Punctele slabe identificate în m ediul general de control IT vor influența eficacitatea
tuturor controalelor din cadrul aplicațiilor care rulează pe configurația respectivă. De
exemplu, auditorul va acorda puțină încredere co ntroale lor de intrare pentru o tranzacție
rulată de aplicație în situația în care baza de date suport a fost neprotejată față de
modificările neautorizate.

Odată finalizată, analiza va permite auditorului să facă o evaluare a riscurilor în cadrul
mediului general de control IT al entității auditate . În general, pentru o entitate cu un
mediu de control IT insuficient, evaluarea riscurilor IT va conduce în mod normal la o
concluzie de risc înalt de audit . Dacă mediul general de control IT este evaluat ca
insuficient, poate fi încă posibil să se acorde o oarecare încreder e controalelor de
compensare sau controalelor foarte puternice în cadrul aplicațiilor. Este de asemenea
posibil ca o aplicație financiară să aibă controale foarte slabe cu toate că mediul de control
IT suport are controale puternice.
1.3.3 Evaluarea aplicației și evaluarea riscurilor zonei contabile

Controalele de aplicație

Aplicațiile reprezintă unul sau mai multe programe de calculator care realizează o
funcționalitate orientată către un scop precizat. Aplicațiile pot fi dezvoltate special pentru
o organizaț ie, respectiv sisteme la comandă, sau pot fi cumpărate sub formă de pachete/
soluții software de la furnizorii externi.

Cele mai răspândite pachete de aplicații întâlnite de auditorii financiari sunt: pachete
integrate de contabilitate, sisteme de state de plată , de personal , de pensii, registre de
active fixe, sisteme de management al împrumuturilor nerambursabile.

Toate aplicațiile financiare trebuie să conțină controale proprii care să asigure
integritatea, disponibilitatea și confidențialitatea, atât a datelor tranzacții lor, cât și a
datelor permanente. În realitate, sistemele nu conțin toate controalele posibile pentru
fiecare componentă. Entitatea trebuie să evalueze riscurile pentru fiecare aplicație și să
aibă i mplement ate controale adecvate, efic iente din punct de vedere al costurilor pentru a
reduce riscurile la un nivel acceptabil. Acest principiu trebuie avut în vedere când se
formulează recomandările auditului.

Controalele de aplicație sunt particulare pentru o aplicație și pot avea un impac t direct
asupra prelucrării tranzacțiilor individuale.

Ele se referă, în general, la acele controale incluse în aplicație pentru a asigura că numai
tranzacțiile valide sunt prelucrate și înregistrate complet și corect în fișierele aplicației,
precum și la controalele manuale care operează în corelație cu aplicația.

O mare parte a controalelor de aplicații sunt versiuni automatizate ale controalelor
manuale. De exemplu, autorizarea prin intermediul calculatorului de către supervizor este
similară cu utiliz area semnăturii pe documente tipărite.

Pag. 26 din 180 Există și controale de aplicație manuale, cum ar fi: analiza formatelor rapoartelor de
ieșire, inventarierea situațiilor de ieșire, etc..

Controalele de aplicație sunt proceduri specifice de control asupra aplicații lor, care
furnizează asigurarea că toate tranzacțiile sunt autorizate și înregistrate, prelucrate
complet, corect și la termenul stabilit. Controalele de aplicație pot fi constituite din
proceduri manuale efectuate de utilizatori (controale utilizator) și din proceduri automate
sau controale efectuate de produse software.

Încrederea în controalele de aplicație

În etapa de cunoaștere a entității , când sunt colectate informațiile de fond despre sistemul
IT, auditorul trebuie să obțină o înțelegere suficient ă a sistemului pentru a determina dacă
sistemul de control intern este de încredere și furnizează informații corecte despre
acuratețea înregistrărilor. În cazul în care sistemul nu pare a fi suficient de robust,
auditorul trebuie să testeze controalele pen tru a evalua riscul asupra obiectivelor
auditului.
În acest scop auditorul poate utiliza tehnici și metode de testare variate. Acestea pot fi
bazate pe programe de test al conformității care conțin informații privind: descrierea
controlului care va fi test at, proba de audit estimată pentru satisfacerea condițiilor, teste
extinse (inclusiv bazate pe eșantionare), descrierea funcționării eronate a controlului, câte
eșecuri pot fi tolerate. Probele de audit se colectează prin combinarea unor tehnici cum ar
fi observarea, interviul, examinarea și eșan tionarea, cu tehnici de audit asistat de calculator .

Problemele care pot apărea cu privire la încrederea în controalele de aplicație se pot
sintetiza astfel:

(a) Controalele IT nu furnizează un istoric al operării din cauza „scufundării ” lor în
corpul aplicației și, în consecință, nu furnizează probe de audit explicite.
(b) Perioada de timp în care acționează controalele de aplicație IT este limitată,
acestea acționând pe o durată foarte scurtă a ciclului de viață al tranzacției (de
exemplu, pe durata introducerii datelor).
(c) Rezervele auditorilor față de controalele de aplicație IT, datorate eventualității
ca acestea să fie alterate de către persoane interesate în inducerea în eroare a
auditorului.
(d) Rezervele auditorilor față de controlul preventiv asigurat, decurgând din natura
controalelor IT, care nu prezintă garanții privind funcționarea corectă.

Relația între controalele generale și controalele de aplicație

O modalitate de a privi relația dintre controal ele generale și cele de aplicație este aceea de
a aloca adecvat controalele generale pentru a proteja aplicațiile și bazele de date și pentru
a asigura resursele necesare funcționării continue.

Cele mai uzuale controale de aplicație

În cazul unei aplicaț ii financiar -contabile sistemul de controale are următoarele nivele:
Examinarea situațiilor financiare pentru a determina dacă reflectă corect
operațiile efectuate asupra tranzacțiilor: înregistrarea corectă în conturi a unor
tranzacții de test, reflectare a acestor tranzacții în situațiile contabile, respectarea
formatelor cerute de l ege pentru situațiile contabile etc.

Pag. 27 din 180
Controale ale ieșirilor, care au ca scop verificarea că fișierele temporare generate
pentru listare (în spooler) înaintea transmiterii căt re imprimantă sunt sau nu
sunt alterate, în lipsa unei protecții adecvate, înainte de a fi listate.
Controale ale prelucrărilor, care sunt implementate pentru verificarea prelucrării
corecte a ratelor de schimb, a comisioanelor, a aplicării unor cote de re gie, a
utilizării unor tarife, etc..
Controale ale intrărilor, care au ca scop verificarea că documentele contabile se
referă la perioada contabilă aferentă, că se utilizează corect planul de conturi, că
aplicația permite efectuarea automată a egalităților contabile, etc.
Prevenirea accesului neautorizat în sistem
Asigurarea că pe calculatoare este instalată versiunea corectă a programului de
contabilitate și nu versiuni netestate care pot conține erori de programare , sau
versiuni perimate .
Controale privin d sistemul de operare, care asigură verificarea că accesul la
aplicația financiar -contabilă este controlat și autorizat pentru utilizatorii care o
operează.
Controale ale accesului în rețea, care asigură că utilizatorii neautorizați nu pot
avea acces în si stemele conectate la rețea.
Auditarea sistemului de securitate al sistemelor și al conexiunilor la Internet, care
verifică existența și atribuțiile ofițerului de securitate al sistemelor, precum și
sistemul de controale specifice, în scopul identificării r iscurilor și al adoptării
unor măsuri de reducere a acestora la un nivel acceptabil.
Selecția și instruirea personalului, care furnizează asigurarea că procedurile de
selecție și de instruire a personalului reduc riscul erorilor umane.
Controalele fizice ș i de mediu, care asigură protejarea fizică a sistemelor de calcul.
Politicile de management și standardele; acestea se referă la toate categoriile de
controale.
Cele mai uzuale evaluări ale controalelor de aplicație se referă la următoarele aspecte:

 Exist ența procedurilor de generare automată de către aplicație a situațiilor de
ieșire;
 Existența funcției de export al rapoartelor în format electronic, în cadrul
sistemului;
 Validitatea și consistența datelor din baza de date a aplicației;
 Existența disconti nuităților și a duplicatelor;
 Existența procedurii de păstrare a datelor pe suport tehnic pe o perioadă
prevăzută de lege;
 Asigurarea posibilității în orice moment, de a reintegra în sistem datele
arhivate;
 Procedura de restaurare folosită;
 Existența proce durii de reîmprospătare periodică a datelor arhivate;
 Existența interdicției de modificare, inserare sau ștergere a datelor în condiții
precizate (de exemplu, pentru o aplicație financiar -contabilă, interdicția se
poate referi la ștergerea datelor contabil e pentru o perioadă închisă);
 Existența și completitudinea documentației produsului informatic;

Pag. 28 din 180  Contractul cu furnizorul aplicației din punctul de vedere al clauzelor privind
întreținerea și adaptarea produsului informatic;
 Organizarea gestiunii versiunilo r, modificărilor, corecturilor și schimbărilor de
sistem informatic, produse program și sistem de calcul;
 Reconcilierile făcute în urma migrării datelor, ca urmare a schimbării
sistemului de calcul sau a modului de prelucrare a datelor;
 Alte controale decu rgând din specificul aplicației.

O categorie specială de controale IT se referă la conformitatea sistemului informatic cu
cerințele impuse de cadrul legislativ și de reglementare.
Cerințele legislative și de reglementare variază de la o țară la alta. Aces tea includ:

Reglementări financiare și bancare;
Legislația privind protecția datelor private și legislația privind protecția datelor
personale;
Legislația privind utilizarea improprie a calculatoarelor, în sensul criminalității
informatice;
Legile cu pri vire la proprietatea intelectuală.

Testarea aplicației financiar -contabile

În ceea ce privește determinarea volumului de teste necesare pentru obținerea asigurării
privind funcționarea controalelor, auditorul își bazează decizia pe o combinație între
raționamentul profesional și o modelare statistică pe care o poate opera în acest scop.
Dacă auditorul își propune să planifice ca testele de control să se efectueze pe un număr
mare de tranzacții, atunci va aplica metoda eșantionării datelor și va stabili di mensiunea
eșantionului.

În ceea ce privește controlul asupra informațiilor de intrare, ieșire sau memorate în baza de
date, pentru o aplicație financiar -contabilă verificările uzuale privind satisfacerea
cerințelor legislative sunt:

Conformitatea conturi lor cu Planul de conturi ;
Denumirea în limba română a informațiilor conținute în documentele de intrare și
în situațiile de ieșire;
Interdicția deschiderii a două conturi cu același număr;
Interdicția modificării numărului de cont în cazul în care au fost înregistrate date în
acel cont;
Interdicția suprimării unui cont în cursul exercițiului curent sau aferent
exercițiului precedent, dacă acesta conține înregistrări sau sold;
Respectarea formatului prevăzut de lege pentru documentele și situațiile generate
de aplicația contabilă;
Acuratețea balanței sintetice, pornind de la balanța analitică; generarea balanței
pentru orice lună calendaristică;
Reflectarea corectă a operațiunilor în baza de date, în documente și în situații de
ieșire;
Existența și corectitu dinea situațiilor prevăzute de lege ca fiind obligatorii;
Alte controale decurgând din specificul aplicației.

Pag. 29 din 180 Analiza riscului într -un mediu informatizat

Mediul informatizat introduce riscuri noi, pe lângă alte categorii de riscuri cu care se
confrun tă organizația. În vederea asigurării protecției informațiilor și sistemelor IT este
necesară dezvoltarea unui flux continuu de activități privind identificarea, analiza,
evaluarea și gestionarea riscurilor specifice.

Erorile și omisiunile umane sunt cel e mai mari surse de probleme. Pentru reducerea
riscurilor cauzate de acestea, entitatea trebuie să implementeze controale și proceduri
care să contribuie la diminuarea /eliminarea efectelor generate de ignorarea unor aspecte
care determină modul de utilizar e a angajaților, calitatea acestora, motivarea în activitatea
desfășurată, fluctuația personalului, structura conducerii, volumul de muncă.

În cele mai multe cazuri entitatea nu deține o soluție integrată a sistemului informatic ,
acesta fiind constituit d in implementări de aplicații insularizate, dedicate unor probleme
strict focalizate (aplicația financiar -contabilă, aplicații dedicate activității de bază a
entității, etc.). Acest tip de arhitectură prezintă dezavantaje la nivelul utilizării, precum și
o serie de alte impedimente cum ar fi cele legate de dificultatea sau imposibilitatea
asigurării interoperabilității aplicațiilor sau de multiplicarea informațiilor. La aceasta se
adaugă și faptul că tranzacțiile sunt procesate în cadrul unor aplicații infor matice distincte
iar informațiile introduse în sistem sunt validate într -o manieră eterogenă: proceduri
automate combinate cu proceduri manuale, pentru a se asigura detectarea și corectarea
erorilor de intrare, precum și detectarea inconsistenței sau a red undanței datelor. Lipsa
unei soluții integrate se reflectă, de asemenea, în existența unor baze de date diverse ,
unele aparținând unor platforme hardware/software învechite, interfețe utilizator diferite
și uneori neadecvate, facilități de comunicație redu se și probleme de securitate cu riscuri
asociate.

Gradul ridicat de fragmentare a sistemului informatic implică acțiuni frecvente ale
utilizatorului în procesul de prelucrare și atrage efecte negative în ceea ce privește
respectarea fluxului documentelor, ceea ce crește foarte mult riscul de eroare.

În funcție de soluția arhitecturală implementată și de estimările inițiale privind
dimensiunea bazei de date și complexitatea prelucrărilor, un sistem poate "rezista" sau nu
la creșteri semnificative ale volum ului de tranzacții care pot rezulta din schimbări
majore în activitatea entității. Estimarea riscului ca, în viitorul apropiat, sistemul
informatic să nu poată suporta creșterea volumului de tranzacții (scalabilitate redusă)
implică decizii importante la n ivelul managementului, în sensul reproiectării sistemului,
și, implicit, privind alocarea unui buget corespunzător.

Schimbările configurațiilor de sisteme trebuie să fie autorizate, testate, documentate,
controlate.
Într-un mediu informatizat, amploarea r iscurilor capătă o altă dimensiune, natura
riscurilor fiind influențată de o serie de factori specifici utilizării tehnologiei informației:

a) Densitatea informației este mult mai mare decât în sistemele clasice, bazate pe
hârtie.
b) Absența documentelor de in trare – datele pot fi introduse în sistem fără a avea la
bază documente justificative – este cazul tranzacțiilor din sistemele on -line.
c) Lipsa unor “urme” vizibile ale tranzacțiilor – spre deosebire de prelucr area
manuală, unde orice tranzacție poate fi ur mărită plecând de la documentul primar,
apoi în registrele contabile și conturi, în prelucrarea automată , pe fluxul de

Pag. 30 din 180 prelucrare, o tranzacți e poate exista numai pe o perioadă limitată, în format
electronic.
d) Lipsa unor ieșiri vizibile – anumite tranzacț ii sau rezultate, în special când acestea
reprezintă detalii, se pot regăsi memorate doar în fișierele aplicației (nu și într -o
formă tipărită).
e) Transparența documentelor privind desfășurarea unor operațiuni. Dischetele,
discurile optice și alte suporturi moderne ce sunt utilizate pentru salvarea
volum ului mare de informații provenite din sistem (putând însum a zeci de mii de
pagini de hârtie ), pot fi sustrase mult mai discret , generând astfel fraude sau cel
puțin afectând confidențialitatea informații lor.
f) Autorizarea tranzacțiilor . Într -un mediu informatizat se poate include și
capacitatea calculatorului de a iniția și executa automat unele tranzacții , și, prin
modul de proiectare a aplicației informatice poate avea încorporate anumite
autorizări implicite și funcții de generare automată.
g) Procesarea uniformă a tranzacțiilor . O aplicație informatică procesează în mod
uniform tranzacții similare, pe baza acelorași instrucțiuni program. În felul acesta,
erorile de redactare a documentelor asociate unei proces ări manuale sunt în mod
virtual eliminate. În schimb, erorile de programare pot conduce la procesarea
incorectă sistematică a tranzacțiilor, ceea ce impune auditori lor să -și concentreze
atenția asupra acurateței și consistenței ieșirilor.
h) Accesul neautori zat la date și fișiere se poate efectua cu o mai mare ușurință, ceea
ce implică un mare potențial de fraudă și eroare.
i) Remanența suporturilor de memorare a datelor , după ce au fost șterse, poate
constitui o cale sigură ca persoane interesate, neautorizate să intre în posesia unor
informații de valoare.
j) Agregarea datelor . Noile sisteme de prelucrare automată a datelor, precum sunt
cele de asistare a deciziei, au condus la valorificarea unor informații importante ale
entității, generând prognoze și strategii într-un anumit domeniu. Astfel,
informațiile capătă valențe suplimentare.

Evoluția tehnologiei informației a cunoscut în ultimii ani un ritm accelerat, dar nu același
lucru se poate spune despre progresele înregistrate în domeniul securității datelor.
Integrarea puternică a sistemelor apare ca o consecință a îmbunătățirii formelor de
comunicație și a proliferării rețelelor de calculatoare. Aplicațiile de comerț electronic sunt
doar un exemplu în acest sens, dar se poate afirma că această evoluție a des chis și mai
mult apetitul “specialiștilor” în ceea ce privește frauda informațională .

Lipsa urmelor eventualelor atacuri criminale constituie un alt element îngrijorător al
noului mediu de lucru; în acest sens modificarea datelor, adăugarea sau chiar ște rgerea lor
au devenit operații mult mai ușor de realizat, dar, în același timp, destul de greu de
depistat.

Obiectivul unei analize a riscurilor informaționale (riscuri IT) este de a identifica
modalitățile prin care datele și, implicit, sistemul informa tic care le conține, sunt expuse la
risc. Elementele prezentate în paragraful anterior conduc la ideea că mediul informatizat
generează noi riscuri și că orice organizație, în vederea asigurării unei protecții eficiente a
informațiilor, este necesar să dez volte un proces complex de studiu și analiză a riscurilor.
Riscul implicat de utilizarea tehnologiei informației se manifestă prin intermediul
componentelor proprii ale acestei tehnologii: amenințări, vulnerabilități și impact.
Amenințările exploatează vu lnerabilitățile unui sistem cauzând impactul și, în esență,

Pag. 31 din 180 combinația celor trei elemente determină mărimea riscului. Riscul la nivelul unei
organizații nu poate fi eliminat, el va exista întotdeauna, managementul organizației fiind
responsabil de reducer ea acestuia la un nivel acceptabil.
1.3.4 Sisteme în curs de dezvoltare

Sistemele informatice financiar -contabile în curs de dezvoltare ale entității auditate nu
sunt susceptibile să aibă un impact asupra auditului situațiilor financiare curente. Însă, un
sistem financiar greșit conceput sau implementat ar putea conduce la un audit al
evidențelor informatizate scump sau imposibil de realizat în anii următori. Această
secțiune subliniază inportanța implic ării auditorilor externi în formularea unor cerințe
pentr u sistemele financiare care urmează să fie achiziționate de la furnizori sau dezvoltate
în cadrul entității.

Revine entității auditate, și în particular auditului intern, să stabilească dacă demersul de
dezvoltare propus de auditor este susceptibil să con ducă la un sistem care să satisfacă
necesitățile activității. Nu este rolul auditorilor să avizeze demersul sau aspectele
particulare ale acestuia. Trebuie, însă, ca auditorul intern să facă observații asupra
aspectelor demersului care ar putea duce la dif icultăți în emiterea unei opinii asupra
situațiilor financiare și pentru a putea evita dificultățile de audit extern ulterioare.

Auditul sistemelor financiare în curs de dezvoltare este o zonă cu caracter tehnic,
complexă și care comportă multe aspecte ca re necesită o analiză.
1.3.5 Anomalii frecvente în operarea sistemului

Cele mai frecvente efecte ale operării necorespunzătoare a sistemului pot avea ca sursă
disfuncționalități la nivelul infrastructurii IT sau pot fi generate de personalul care
gestionează s istemul sau de către terți, în cazul serviciilor externalizate.

 Aplicațiile nu se execută corect datorită operării greșite a aplicațiilor sau utilizării
unor versiuni incorecte, precum și datorită unor parametri de configurare incorecți
introduși de pers onalul de operare (de exemplu, ceasul sistemului și data setate
incorect pot genera erori în calculul dobânzilor, al penalităților, al salariilor etc.).
 Pierderea sau alterarea aplicațiilor financiare sau a fișierelor de date poate rezulta
dintr -o utiliza re greșită sau neautorizată a unor programe utilitare.
 Personalul IT nu știe să gestioneze rezolvarea /„escaladarea” problemelor sau
raportarea erorilor , iar încercarea de a le rezolva pe cont propriu poate provoca
pierderi și mai mari;
 Întârzieri și între ruperi în prelucrare din cauza alocării unor priorități greșite în
programarea sarcinilor;
 Lipsa salvărilor și a planificării reacției la incidentele probabile crește riscul de
pierdere a capacității de a continua prelucrarea în urma unui dezastru;
 Lipsa c apacității (resurselor) sistemului, acesta devenind incapabil de a prelucra
tranzacțiile din cauza supraîncărcării;
 Timpul mare al căderilor de sistem până la remedierea problemei ;
 Probleme ale utilizatorilor nerezolvate datorită funcționării defectuoase a facilității de
asistență tehnică ( Helpdesk) .

Pag. 32 din 180 1.3.6 Documente și informații solicitate entității auditate

În cadrul misiunii de audit IT, în mod uzual, se solicită următoarele documente și
informații privind sistemele, proiectele și aplicațiile existente în ca drul entității
auditate.

a) Referitor la managementul tehnologiei informației:

1. Structura organizațională. Fișe de post pentru persoanele implicate în proiectele
informatice;
2. Strategia IT și stadiul de implementare a acesteia;
3. Politici și proceduri inclus e în sistemul de control intern;
4. Legislație și reglementări care guvernează domeniul;
5. Documente referitoare la coordonarea și monitorizarea proiectelor IT;
6. Raportări către management privind proiectele IT;
7. Buget alocat pentru proiectele informatice;
8. Lista furnizorilor și copiile contractelor pentru hardware și software (furnizare,
service, mentenanță, etc.);
9. Rapoarte de audit privind sistemul IT în ultimii 3 ani;
10. Raportarea indicatorilor de performanță.

b) Referitor la infrastructura hardware /software și de securitate a sistemului

11. Infrastructura hardware, software și de comunicație. Documentație de prezentare;
12. Politica de securitate. Proceduri generale. Proceduri operaționale IT (back -up,
managementul capacității, managementul configurațiilor, management ul
schimbării proceselor, managementul schimbărilor tehnice, managementul
problemelor etc.);
13. Proceduri și norme specifice, inclusiv cele legate de administrare și securitate, în
vederea creșterii gradului necesar de confidențialitate și a siguranței în uti lizare, în
scopul bunei desfășurări a procedurilor electronice și pentru asigurarea protecției
datelor cu caracter personal;
14. Arhitectura de sistem. Categorii de servicii și tehnologii utilizate;
15. Arhitectura de rețea. Tipuri de conexiuni;
16. Personalul implica t în proiecte. Număr, structură, calificare;
17. Manuale, documentație de sistem și orice altă documentație referitoare la
aplicațiile informatice.

c) Referitor la continuitatea sistemului

18. Plan de continuitate a activității care face obiectul proiectelor IT;
19. Plan de recuperare în caz de dezastru.

d) Referitor la dezvoltarea sistemului

20. Lista aplicațiilor și proiectelor IT (scurtă prezentare a portofoliului de proiecte);
21. Stadiul actual, grafice de implementare și rapoarte de utilizare;
22. Perspective de dezvolt are.

Pag. 33 din 180 e) Referitor la sistemul de monitorizare și raportare

23. Raportări ale managementului IT referitoare la proiectele informatice;
24. Rapoarte de monitorizare a modului de implementare a proiectelor informatice.

Pag. 34 din 180

Capitolul 2. Proceduri de audit IT

În această secțiun e se prezintă cadrul procedural pentru evaluarea sistemelor informatice,
în general, cu exemplificări pentru sistemele financiar -contabile. Auditorii trebuie să
recurgă la raționamentul propriu pentru a stabili c are dintre controale ar fi rezonabile,
având în vedere mărimea, complexitatea și importanța sistemelor informatice financiar –
contabile ale entității auditate. În acest proces, selectarea obiectivelor de control
aplicabile din setul COBIT6 și utilizarea procedurilor de audit adecvate mediului
informa tizat auditat constituie o activitate deosebit de importantă.

Pentru entitățile mici, care utilizează calculatoare individuale (neinstalate în rețea), modul
de evaluare a mediului informatizat este prezentat în Capitolul 4 .

Structurarea cadrului procedur al este prezentată în tabelul următor.

Tabelul 2
Proceduri de audit IT

Secțiune

Denumirea secțiunii
Procedura

A
Informații de fond privind sistemele IT ale entității
auditate

Privire generală asupra entității auditate A1
Principalele prob leme IT rezultate din activitățile anterioare
de audit A2
Dezvoltări informatice planificate A3
Echipament informatic [hardware] și programe informatice
[software] A4
Cerințe pentru specialiștii în auditul informatic A5
Activitatea necesară pentru revizuirea sistemelor A6
Contacte cheie A7
B
Evaluarea mediului de control IT – Controale IT generale

Management IT B1
Separarea atribuțiilor B2
Securitatea fizică și controalele de mediu B3
Securitatea informației și a sistemelor B4
Continuitatea sistemelor B5
Externalizarea serviciilor IT B6
Managementul schimbării și al dezvoltării de sistem B7
Audit intern B8

6 Dome niile, procesele și obiectivele de control COBIT sunt prezentate în detaliu în
Manualul de audit al sistemelor informatice (CCR, 2012 )

Pag. 35 din 180
CA
Evaluarea controalelor de aplicație

Înțelegerea sistemului informatic CA1
Posibilitatea de efectuare a audi tului CA2
Utilizarea tehnicilor de audit asistat de calculator (CAAT) CA3
Determinarea răspunderii CA4
Evaluarea documentației aplicației CA5
Evaluarea securității aplicației CA6
Evaluarea controalelor la introducerea datelor CA7
Evaluarea cont roalelor transmisiei de date CA8
Evaluarea controalelor prelucrării CA9
Evaluarea controalelor datelor de ieșire CA10
Evaluarea controalelor fișierelor cu date permanente CA11
Evaluarea conformității cu legislația în vigoare CA12
Efectuarea teste lor de audit CA13

2.1 Informații de fond privind sistemele IT ale entității auditate

SCOP : Obține rea informații lor privind mărimea, tipul și complexitatea sistemelor
informatic e ale entității auditate . Pe baza acestora, a uditorul poate clasifica sistemele după
complexitate și poate aprecia dacă evaluarea IT trebuie realizată de un auditor IT
specialist.

Obținerea informațiilor de fond privind sistemele IT ale entității auditate îl ajută pe
auditor în următoarele activități:
identificarea configurațiil or hardware și a aplicațiile informatice implicate în
obține rea situațiilor financiare ale entității auditate;
evaluarea gradului de complexitate a l sistemului informatic;
evaluarea eficacității securității informației și sistemului;
identificarea riscuril or generate de mediul IT;
obținerea unei înțelegeri suficiente a sistemelor de controale IT interne pentru a
planifica auditul și a dezvolta o abordare de audit eficientă.
PROCEDURA A1 – Privire generală asupra entității auditate

Auditorul va obține info rmații privind natura activităților entității supuse auditului, pe
baza unei documentări preliminare sau utilizând informații din analizele anterioare
(rapoarte de audit, cunoștințe anterio are și fișiere de audit) . Pentru colectarea datelor se
poate folosi Macheta 1 .
De asemenea, se vor analiza următorii indicatori de bază:

– Plăți / cheltuieli anuale;
– Încasări / venituri anuale;
– Total active;
– Valoarea activelor IT;
– Bugetul anual IT.

Pag. 36 din 180 PROCEDURA A2 – Principalele probleme IT rezultate din activitățile
anterioa re de audit

Auditorul va obține informații din analizele anterioare, având următoarele surse : rapoarte
de audit sau referiri la informări către conducere, evaluări ale sistemelor contabile,
evaluări ale riscurilor și altele.
PROCEDURA A3 – Dezvoltări info rmatice planificate

Auditorul va lua în considerare identificarea și analiza aspectelor legate de dezvoltarea
sistemului informatic și/sau de schimbările tehnologice: determinarea direcției
tehnologice, examinarea portofoliului de proiecte IT, coordonarea și monitorizarea
proiectelor IT; normele metodologice și standardele în domeniu; stadiul de realizare a
proiectelor .

Adoptarea unei direcții tehnologic e în sprijinul afacerii necesită crearea unui plan al
infrastructurii tehnologice și al ocarea unor resp onsabilități care au ca obiectiv stabil irea și
administr area cu claritate și în mod realist a așteptărilor cu privire la ceea ce poate oferi
tehnologia informației în materie de produse, servicii , precum și la mecanisme le de
furniz are a acestora . Planul e ste actualizat periodic și înglobează aspecte cum ar fi:
arhitectura sistemului, direcția tehnologică, planuri de achiziție, standarde, strategii de
migrare și situațiile neprevăzute .

Auditorul va obține informații legate de principalele proiecte de dezvo ltare a sistemelo r IT
(când vor intra în exploatare, locul instalării, dacă au fost identificate probleme, ce efecte
ar putea avea noile sisteme asupra activității de audit prezente și viitoare ), precum și de
monitorizarea tendințelor viitoare și a regleme ntărilor . În situația în care apar probleme
tehnice dificil de înțeles și tratat, auditorul trebuie să aibă în vedere contactarea unui
auditor IT specialist (utilizat de regulă în faza de specificare a sistemelor sau înainte de
intrarea în funcție a sistem elor).
PROCEDURA A4 – Configurația hardware (echipamente), software (programe
informatice) și personalul IT

In faza de cunoaștere a entității, auditorul va lua în considerare identificarea și analiza
factorilor legați de c onfigurația hardware (echipament e), software (programe
informatice) și personalul IT care pot influența procesul de audit:
componentele sistemului informatic ;
arhitectura sistemului informatic : platforma hardware /software (soluții de
implementare, echipamente, arhitecturi de rețea, lic ențe, desfășurare în teritoriu,
locații funcționale, versiuni operaționale); fluxuri de colectare/transmitere/
stocare a informațiilor (documente text, conținut digital, tehnici multimedia);
arhitectura informațională : raționalizarea resurselor informațion ale în vederea
convergențe i cu strategia economică ( dezvoltarea dicționarului de date al
organizației cu regulile de sintaxă, cu schemele de clasificare a datelor și cu nivelele
de securitate ). Acest proces îmbunătățește calitatea procesului decizional
asigurând obținerea de informații de încredere și sigure, crește responsabilitatea
cu privire la integritatea și securitatea datelor și măr ește eficacitatea și controlul
asupra informațiilor partajate între aplicații și entități.
factorii care influențează fu ncționalitatea sistemului : complexitatea componentelor
software, sistemul de constituire, achiziție, validare, utilizare a fondului

Pag. 37 din 180 documentar (documente text, conținut digital, tehnici multimedia), operarea
sistemului, interfața utilizator, schimbul de da te între structuri, interoperabilitate,
anomalii în implementare, modalități de raportare și operare a corecțiilor,
siguranța în funcționare, rata căderilor, puncte critice, instruirea personalului
utilizator, documentație tehnică, ghiduri de operare, for me și programe de
instruire a personalului, asigurarea suportului tehnic.

Pentru colectarea datelor auditorul poate folosi Machetele 2, 3 și 4 care vor fi adaptate în
funcție de complexitatea și specificul sistemului informatic, întrucât în instituțiile p ublice
există o mare diversitate de configurații IT, pornind de la entități mici (de exemplu,
primării) care au în dotare un singur calculator și ajungând la entități cu sisteme complexe
și configurații mari, desfășurate la nivel național.

Auditorul va co lecta informații privind:
 Echipamentul informatic (hardware ) și de comunicații (topologie, cablare, protocol
de comunicații, modem -uri, gateways, routere);
 Programe informatice (software) : sistemul de operare, software de securitate,
software de gestionare a bazelor de date, software de audit, generatoarele de
rapoarte, software de programare și altele;
 Software de aplicație : denumire, prezentare generală, furnizor, versiune, platformă,
limbaj de programare/dezvoltare, număr de utilizatori, data instalării, pachet la
cheie sau dezvoltat la comandă, modu le, prelucrare offline/online ;
 Modelul arhitecturi i informaționale a organizației : dicționarul de date al
organizației și regulile de sintaxă a datelor, schema de clasificare a datelor ;
 Informații privind pers onalul implicat în proiectele IT .
PROCEDURA A5 – Cerințe pentru specialiștii în auditul sistemului informatic

Auditorii trebuie să decidă dacă ei înșiși au abilități IT și de audit IT necesare și suficiente
pentru a realiza evaluarea la un standard adecva t de competență. Factorii luați în
considerare în acest sens includ: mărimea departamentului IT care face obiectul auditului,
utilizarea rețelelor de comunicații în cadrul entității auditate, procesarea de date
distribuite, utilizarea de tehnologii noi, si steme în curs de dezvoltare, cunoașterea
problemelor IT anterioare ale entității auditate și dacă este de dorit o abordare a auditului
bazată pe controale.
PROCEDURA A6 – Activitatea necesară pentru evaluarea sistemelor

Auditorul va stabili gradul de co mplexitate al sistemului, va inventaria care sunt sistemele
/componentele /serviciile informatice care trebuie să fie evaluate în funcție de obiectivele
auditului , va decide asupra cerințelor pentru auditul IT și va estima resursele necesare
misiunii de au dit. De asemenea va stabili criteriile, tehnicile și metodele de audit, va
selecta sau va proiecta procedurile de audit adecvate, listele de verificare, machetele,
chestionarele, scenariile de test.
PROCEDURA A7 – Contacte cheie

Conducerea entității va st abili persoanele de contact din cadrul entității auditate, din
domeniile financiar și IT (nume, funcție, locație, nr. telefon), care vor colabora cu auditorul
pe parcursul misiunii de audit.

Pag. 38 din 180 2.2 Evaluarea mediului de control IT – Controale generale IT

SCOP : Identificarea naturii și impactului riscurilor generate de utilizarea de către entitate
a tehnologiei informației , asupra situațiilor financiare ale organizației, precum și a
capacității auditorilor de a le evalua. O evaluare a controalelor IT la nivelul entității este
realizată prin derularea unei evaluări a mediului informati zat în care funcționeaz ă
aplicațiile financiare. Punctele slabe ale mediului informati zat pot afecta negativ
integritatea și viabilitatea tuturor aplicațiilor informatice și a datelo r contabile prelucrate
de acestea.

Obiectivul unei evaluări a mediului de control IT este de a examina și de a evalua riscurile,
și controalele care există în cadrul mediului IT al unei entități. O evaluare a mediului de
control IT este focalizată pe c ontroalele care asigură integritatea și disponibilitatea
programelor și aplicațiilor financiare, în timp ce evaluarea unei aplicații se concentrează
pe integritatea și disponibilitatea tranzacțiilor procesate de respectiva aplicație.

Termenul de mediu de control IT se referă la configurația hardware, la programele
informatice de sistem, la mediul de lucru. Dimensiunea unei configurații IT poate varia de
la un sistem mare, amplasat într -o construcție special destinată, deservit de un personal
numeros, pâ nă la un simplu calculator personal (PC) din cadrul unui birou de
contabilitate.

Mediul de control IT trebuie să aibă controale adecvate pentru a asigura următoarele :
un mediu de procesare sigur și sistematic;
proteja rea aplicațiil or, fișierel or și bazel or de date față de acces, modificare sau
ștergere neautorizate;
că pierderea facilităților de calcul nu afectează capacitatea organizației de a
produce situații financiare care pot fi supuse auditului.

Auditorul trebuie să determine ce controale ar fi rezonabile în cadrul fiecărei configurații
de calcul. Când evaluează un mediu de control IT auditorul trebuie să aibă în vedere
diferiți factori, inclusiv natura activității entității , mărimea comparti mentului IT, istoricul
erorilor și încrederea ac ordată sistemelor informatice.

Auditorul poate obține informații privind mediul general IT prin interviuri și discuții cu
personalul implicat, prin analize ale documentației sistemului, precum și prin legătura cu
auditul intern și observația directă.

Pentru evaluarea controalelor IT generale se folosește Lista de verificare p entru evaluarea
controalelor generale IT (LV_Controale generale IT – Anexa 3), structurată după criterii
funcționale. Auditorul va elimina din listă întrebările referitoare la contro alele care nu
sunt aplicabile pentru sistemul supus evaluării sau va putea introduce întrebări
suplimentare, dacă o cere contextul.

În secțiunile următoare sunt prezentate proceduri le reprezentative pentru auditul
sistemelor informatice.
În funcție de complexitatea sistemului, în cadrul unei misiuni de audit, auditorul, pe baza
raționamentului profesional va decide utilizarea întregului set de proceduri sau le va selecta
pe cele care sunt aplicabile în cazul concret. De asemenea, va putea adopta evaluar ea unui
set restrâns de obiective de control din cadr ul fiecărei proceduri selectate sau, dacă situația
o cere, poate proiecta proceduri noi .

Pag. 39 din 180 PROCEDURA B1 – Managementul sistemului informatic

Când este evaluat acest domeniu, se verifică următoarele aspect e:

dacă strategia IT este aliniată la strategia afacerii ;
dacă managementul conștientizează importanța tehnologiei informației;
dacă organizația atinge un nivel optim de utilizare a resurselor disponibile ;
dacă obiectivele IT sunt înțelese de către toți m embrii organizației ;
dacă riscurile IT sunt cunoscute și gestionate ;
dacă nivelul de calitate al sistemelor IT răspunde în mod corespunzător nevoilor
afacerii.

Prin testarea controalelor implementate în cadrul entității se poate aprecia dacă utilizarea
tehnologiilor informației de către entitatea auditată se desfășoară în cadrul unei structuri
bine definite, dacă este efectuată o informare operativă a conducerii legată de activitatea
IT și conducerea este receptivă la schimbare, dacă funcționarea sistemulu i informatic este
eficientă din punct de vedere al costurilor și al gestionării resurselor umane, dacă riscurile
sunt monitorizate, dacă monitorizarea cadrului legislativ și a contractelor cu principalii
furnizori se desfășoară corespunzător.

B.1.1 Aspec tele care se iau în considerare atunci când se examinează controalele
privind managementul și organizarea departamentului IT al entității
(responsabilitatea de ansamblu, structura formală, organizarea și desfășurarea activității
IT, implicarea conducerii e ntității auditate în coordonarea activităților legate de
funcționarea sistemului informatic) .

Evaluarea se va face pe baza constatărilor și concluziilor rezultate în urma interviurilor cu
conducerea entității și cu persoanele implicate în coordonarea oper ativă a sistemului
informatic , precum și pe baza analizei documentelor privind : strategiile, politicile,
procedurile, declarații le de intenție, cadrul de referință pentru managementul riscurilor ,
întâlnirile organizate de conducerea entității (minute, pro cese verbale, adrese etc.).

Tabelul 3
Secțiunea Management IT – B.1.1

Direcții de
evaluare Obiective de control Documente de
lucru Surse p robe
de audit
MANAGEMENT IT

Implicarea
conducerii la cel
mai înalt nivel în
coordonarea
activităților
Implica rea conducerii în elaborarea și
implementarea unei politici oficiale,
consistente privind serviciile
informatice și în comunicarea acesteia
utilizatorilor

Stabilirea unei direcții unitare de
dezvoltare, cu precizarea clară a
obiectivelor, elaborarea unor linii
directoare

Elaborarea strategiilor și politicilor
bazată pe o evaluare a riscurilor (riscuri
în etapa de implementare, riscuri în
LV_ Controale
generale IT
Strategii
Politici
Registrul
riscurilor
Analize
Informări
Minute /
procese
verbale ale
ședințelor

Pag. 40 din 180 Direcții de
evaluare Obiective de control Documente de
lucru Surse p robe
de audit
etapa de furnizare a serviciilor
informatice)

Identificarea, planificarea și gestionarea
riscurilor implicate de imple mentarea
și utilizarea sistemului IT

Analiza beneficiilor potențiale

Implicarea conducerii instituției în
coordonarea activităților IT – întâlniri
regulate între conducerea instituției și
persoanele cu atribuții în
implementarea, administrarea și
întreț inerea sistemului

Analiza activităților față de strategia de
implementare

Definirea
proceselor IT, a
funcției și a
relațiilor

Definirea unei structuri funcționale IT,
luând în considerare cerințele cu
privire la personal, abilități, funcții,
responsabilități, auto ritate, roluri și
supraveghere

Structur a funcțională este inclusă într –
un cadru de referință al procesului IT
care asigură transparența și controlul,
precum și implicarea atât de l a nivel
executiv cât și general

Existența proceselor, politicilor
administrative și procedurilor, pentru
toate funcțiile, acordându -se atenție
deosebită controlului, asigurării
calității, m anagementului riscului,
securității informațiilor, identificării
responsabililor datelor și sistemelor și
sepa rării funcțiilor incompatibile

Implicarea funcției IT în procesele
decizionale relevante pentru asigurarea
suportului și susținerii cerințelor
economice

Stabilirea rolurilor și responsabilităților

Identificarea personalului IT critic,
implementarea politicilor și
procedurilo r pentru personalul
contractual

LV_ Controale
generale IT
Strategii
Politici
administrative
Proceduri
Organigrama
Fișe de post

Pag. 41 din 180 Direcții de
evaluare Obiective de control Documente de
lucru Surse p robe
de audit

Comunicarea
intențiilor și
obiectivelor
conducerii
Dezvoltarea de către conducere a unui
cadru de referință al controlului IT la
nivelul întregii organizații, definirea și
comunicarea politicil or

Sprijinirea realiz ării obiectivelor IT și
asigurarea gradul ui de conștientizare și
de înțelegere a riscurilor afacerii și a
riscurilor ce decurg din IT, a
obiectivelor și intențiilor conducerii,
prin intermediul comunicării .
Asigur area conformit ății cu leg ile și
reglementările relevante

LV_ Contro ale
generale IT
Politica IT
Declarații de
intenție

Organizarea
sistemului de
monitorizare a
activităților și
serviciilor IT
Stabilirea atribuțiilor privind
monitorizarea consecventă a stadiului
proiectelor IT (desemnarea unui
responsabil cu urmărirea i mplementării
și utilizării IT, evaluarea periodică a
performanței utilizatorilor sistemului,
instruirea periodică a personalului
implicat în proiectele IT pentru a
acoperi cerințele proceselor noului
model de activitate)
Existența fișelor de post semnate
pentru personalul implicat în proiectele
IT

LV_ Controale
generale IT
Organigrama
Fișe de post
Rapoarte de
evaluare
Rapoarte de
instruire

Estimarea și
managementul
riscurilor IT
Este creat și întreținut un cadru de
referință pentru managementul
riscu rilor care documentează un nivel
comun și convenit al riscurilor IT,
precum și strategiile de reducere a
riscurilor și de tratare a riscurilor
reziduale
Strategiile de reducere a riscurilor sunt
adoptate pentru a minimiza riscurile
reziduale la un nivel ac ceptat.
Este întreținut și monitorizat un plan de
acțiune pentru reducerea riscului
LV_ Controale
generale IT
Cadrul de
referință
pentru
managementul
riscurilor
Strategiile de
reducere și de
tratare a
riscurilor
Plan de
acțiune pentru
reducerea
riscului

Monitorizare și
evaluare
Este măsurată performanța sistemului
IT pentru a detecta la timp problemele
managementul asigură eficiența și
eficacitatea controlului intern.

LV_ Controale
generale IT
Rapoarte de
evaluare

Pag. 42 din 180 Direcții de
evaluare Obiective de control Documente de
lucru Surse p robe
de audit
Se efectuează evaluarea periodică a
proceselor IT, din perspectiva calității
lor și a conformității cu cerințele
controlului.

Serviciile IT sunt asigurate
corespunzător: sunt furnizate în
conformitate cu prioritățile afacerii,
costurile IT sunt optimizate, personalul
poate folosi sistemele IT în mod
productiv și în siguranță iar
confide nțialitatea, disponibilitatea și
integritatea sunt adecvate.

Auditorul va evalua soluția organizatorică prin prisma criteriilor menționate și va colecta
probe privind: subordonarea departamentului IT, n ivelele de monitorizare a proiectului,
existența unei politici de angajări, instruirea profesională și evaluarea periodică a
performanței personalului tehnic implicat proiect și a utilizatorilor sistemului, analiza
dependenței de persoanele cheie. Pentru p ersonalul implicat în activități legate de sistemul
informatic, va verifica existența fișelor de post semnate și dacă acestea conțin atribuțiile
specifice utilizării tehnologiilor informației . De asemenea pe baza analizei documentelor va
evalua: strategiil e, politicile, procedurile, declarații de intenție, c adrul de referință pentru
managementul riscurilor, întâlnirile organizate de conducerea entității (minute, procese
verbale, adrese etc.).

B.1.2 Aspectele care se iau în considerare atunci când se exami nează controalele
referitoare la planificarea activităților privind utilizarea tehnologiilor informației

Planificarea strategică a tehnologiilor informaționale este necesară pentru a administra și
a direcționa toate resursele IT în concordanță cu strategi a și prioritățile organizației.
Funcția IT și beneficiarii acesteia sunt responsabili pentru asigurarea realizării valorii
optime a proiectului și a portofoliului de servicii. Planul strategic urmărește să
îmbunătățească gradul și capacitatea de înțelegere din partea beneficiarilor în ceea ce
privește oportunitățile și limitările, stabilește nivelul de performanță curentă, identifică
cerințele privind capacitatea și necesarul de resurse umane și clarifică nivelul necesar de
investiții. Strategia organizație i și prioritățile trebuie să fie reflectate în portofolii și să fie
executate prin intermediul planurilor tactice, planuri ce specifică obiective conc rete,
planuri de acțiune și sarcini. Toate acestea trebuie să fie înțelese și acceptate de
organizați e și de comparti mentul IT.

Evaluarea se va face pe baza concluziilor rezultate în urma interviurilor cu conducerea
entității și cu persoanele implicate în coordonarea operativă a sistemului informatic, precum
și pe baza analizei documentelor privind planificar e activităților: planul strategic, planuri
tactice, rapoarte de evaluare.

Pag. 43 din 180 Tabelul 4
Secțiunea Management IT – B.1.2

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
MANAGEMENT IT

Planificarea
activităților IT
Existența unui plan corespunzător și
documentat pentru coordonarea
activităților legate de implementarea
și funcționarea sistemului informatic,
corelat cu strategia instituției
Documentarea în planificarea entității
a rezultatelor scontate/ țintelor și
etapel or de dezvoltare și
implementare a proiectelor
Întocmirea și aprobarea de către
conducere a unui plan strategic
adecvat prin care obiectivele cuprinse
în politică să aibă asociate acțiuni,
termene și resurse
Este realizat m anagementul valorii IT

Se e valu ează capabilități le și
performanțe le curente

LV_ Controale
generale IT
Plan strategic
Planuri tactice
Rapoarte de
evaluare

B.1.3 Aspectele care se iau în considerare atunci când se examinează controalele
privind m anagementul costurilor (managementul investițiilor IT, identificarea și alocarea
costurilor)

Auditorul va verifica dacă e ste stabilit și întreținut un cadru de referință pentru
managementul programelor de investiții IT, c are înglobează costuri, beneficii, prioritățile
în cadrul bugetului, un proces formal de bugetare oficial și de administrare conform
bugetului.

Construirea și utilizarea unui sistem care să identifice, să aloce și să raporteze costurile IT
către utilizatorii de servicii, implementarea u nui sistem just de alocare permite
man agementului să ia decizii mai bine întemeiate cu privire la utilizarea serviciilor IT , pe
baza unei măsurări cât mai exacte .
Tabelul 5
Secțiunea Management IT – B.1.3

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
MANAG EMENT IT

Managementul
investițiilor
Existența unui c adru de referință
pentru managementul financiar
LV_ Controale
generale IT
Cadrul de
referință
pentru

Pag. 44 din 180 Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
Stabilirea priorităților în cadrul
bugetului IT
Finanțarea IT
management
financiar
Documentații
și situații
privind
finanțarea IT,
managementul
costurilor și al
beneficiilor

Managementul
costurilor și al
beneficiilor
Definirea serviciilor IT și e laborarea
unei strategii de finanțare pentru
proiectele aferente serviciilor IT
Nivelele de finan țare sunt consistente
cu obiectivele
Existența unui buget separat pentru
investiții și cheltuieli legate de IT.
Stabilirea responsabilităților privind
întocmirea, aprobarea și urmărirea
bugetului
Implementarea sistemelor pentru
monitorizarea și calculul ch eltuielilor
(Contabilitatea IT)
Managementul beneficiilor

Efectuarea analizei activităților față de
Strategia IT a entității

LV_ Controale
generale IT
Documente
care reflectă
strategia de
finanțare
pentru
proiectele
aferente
serviciilor IT
Bugetul
pent ru
investiții și
cheltuieli
legate de IT
Situații
privind
managementul
costurilor și al
beneficiilor
Evidențe
contabile

Evaluarea se va face pe baza concluziilor rezultate în urma interviurilor cu persoanele
implicate în coordonarea operativă a sistem ului informatic , cu persoane din compartimentul
financiar -contabil și pe baza analizei documentelor privind modul de alocare și gestionare a
bugetului aferent proiect elor IT , în concordanță cu obiectivele și strategia entității , precum
și pe baza analizei documentelor privind managementul investițiilor și managementul
costurilor.

Urmărirea gestionării bugetului alocat proiectului se reflectă în evidențele operative ale
entității (procese verbale privind îndeplinirea sarcinilor furnizorilor, documente
conți nând rezultatele unor inspecții, documente privind analize și raportări periodice ale
activităților și stadiului proiectului, în raport cu strategia de implementare).

Pag. 45 din 180 B.1.4 Aspectele care se iau în considerare atunci când se examinează controalele
priv ind m anagementul programelor și al proiectelor, precum și raportarea către
conducerea instituției (cu scopul de a evalua problematica și de a întreprinde măsuri
corective pentru remedierea unor deficiențe sau de a efectua evaluări ale efectelor utilizării
sistemului în raport cu obiectivele activității entității)

În vederea realizării strategiei IT, soluțiile IT trebuie identificate, dezvoltate sau
achiziționate, dar și implementate și integrate în procesele afacerii. În plus, pentru a se
asigura continuit atea în atingerea obiectivelor economice pe baza soluțiilor IT, sunt
acoperite, prin acest domeniu, schimbările și mentenanța sistemelor deja existente.

Această abodare reduce riscul apariției unor costuri neașteptate și anularea proiectelor,
îmbunătățeș te comunicarea și colaborarea dintre organizație și utilizatorii finali, asigură
valoarea și calitatea livrabilelor proiectului, și maximizează contribuția lor în programele
de investiții IT.
Tabelul 6
Secțiunea Management IT – B.1.4

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
MANAGEMENT IT

Managementul
programelor și al
proiectelor.
Raportarea către
conducerea
instituției
Pentru toate proiectele IT este stabilit
un program și un cadru de referință
pentru manageme ntul proiectelor
care garantează o ierarhizare corectă
și o bună coordonare a proiectelor

Cadrul de referință include un plan
general, alocarea resurselor, definirea
livrabilelor, aprobarea utilizatorilor,
livrarea conform fazelor proiectului,
asigurarea calității, un plan formal de
testare, revizia testării și revizia post –
implementării cu scopul de a asigura
managementul riscurilor proiectului
și furnizare a de valoare pentru
organizație

Managementul portofoliilor de
proiecte
Managementul proiectelor este
cuprinzător, riguros și sistematic
Monitorizarea activităților și
progresului proiectelor în raport cu
planurile elaborate în acest domeniu
Nominalizarea unui colectiv și a unui
responsabil care supraveghează
desfășurarea activităților în
concordanță cu liniile directoare
LV_ Controale
generale IT
Docume ntația
proiectelor

Grafice de
realizare

Rapoarte de
stadiu

Situații de
raportare
către
conducere

Registrul
riscurilor
proiectelor IT

Planul calității
proiectelor

Controlul
schimbărilor
în cadrul
proiectelor

Situații de
raportare a
indicatorilor
de

Pag. 46 din 180 Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
Informarea personalului în legătură
cu politicile, reglementările,
standardele și procedurile legate de IT

Raportarea regulată către conducerea
instituției a activităților legate de
implementarea IT
performanță

Evaluarea se va face pe baza concluziilor rezultate în urma interviurilor cu persoanele
implicate în managementul proiectelor și pe baza analizei documentelor privind modul de
monitorizare și de gestionare a acestora . Auditorul va constata m odul în care se face
raportarea către management, prin colectarea unor probe care decurg din analiza
documentelor de raportare care oferă informații privind conținutul și periodicitatea
raportărilor, privind organizarea unor întâlniri între actorii implic ați în proiect pentru
semnalarea problemelor apărute și alegerea căilor de rezolvare a problemelor semnalate.
De asemenea, este evaluat modul în care sunt analizați și aduși la cunoștința conducerii
entității, în mod oficial, indicatorii de performanță ai sistemului informatic.

B.1.5 Aspectele care se iau în considerare atunci când se examinează controalele
privind c alitatea serviciilor furnizate utilizatorilor (care se reflectă în succesul
proiectului, un obiectiv important al conducerii, având efecte inc lusiv în planul încrederii
personalului în noile tehnologii)

Dezvoltarea și întreținerea unui Sistem de Management al Calității (SMC), incluzând
procese și standarde validate de dezvoltare și achiziție a sistemelor informatice asigură că
funcția IT oferă valoare afacerii, îmbunătățire continuă și transparență pentru beneficiari.
Nivelul calității serviciilor furnizate utilizatorilor interni se menționează într -un
document care prevede clauzele referitoare la acestea – SLA ( Service Level Agreement ).

Tabelu l 7
Secțiunea Management IT – B.1.5

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
MANAGEMENT IT

Managementul
calității
Este dezvoltat și întreținut un Sistem
de Management al Calității (SMC),
incluzând procese și s tandarde
validate de dezvoltare și achi ziție a
sistemelor informatice

Furnizarea de cerințe clare de calitate
formulate și transpuse în indicatori
cuantificabili și realizabili , proceduri
și politici

LV_ Controale
generale IT
Manualul SMC

Standarde și
practici de
calitate IT

Standarde de
dezvoltare și
achiziție

Evaluări ale
satisfaciei
clientului

Pag. 47 din 180 Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
Îmbunătățirea continuă se realizează
prin monitoriza re permanentă,
analiză și măsurarea abaterilor și
comunicarea rezultatelor către
beneficiari

Recla mații

Măsuri de
îmbunătățire
continuă

Documente
privind
măsurarea,
monitorizarea
și revizuirea
calității

Calitatea serviciilor
furnizate
utilizatorilor

Existența clauzelor cu privire la
calitatea serviciilor furnizate
utilizatorilor
LV_ Controale
generale IT
SLA ( Service
Level
Agreement )

Auditorul va face evaluarea pe baza concluziilor rezultate în urma interviurilor cu
persoanele implicate în managementul proiectelor și pe baza analizei documentelor privind
clauzele referitoare la asigurarea ca lității pentru întreg ciclul de viață al proiectului
(specificarea cerințelor, dezvoltarea sistemului, implementarea sistemului, elaborarea și
predarea documentației, instruirea personalului la toate nivelurile, întreținerea sistemului,
asigurarea suportul ui tehnic etc.), care trebuie să facă parte din contractele cu furnizorii.

B.1.6 Aspectele care se iau în considerare atunci când se examinează controalele
privind managementul resurselor umane IT

Pentru crearea și livrarea serviciilor IT în cadrul organ izației (afacerii) se constituie și se
mențin resurse umane cu competență ridicată . Acest lucru este realizat prin respectarea
unor practici definite și agreate care sprijină recrutarea, instruirea, evaluarea
performațelor, promovarea și rezilierea contrac tului de muncă. Acest proces este critic,
deoarece oamenii reprezintă active importante, iar guvernarea și mediul controlului
intern sunt puternic dependente de motivația și competența personalului.

Educarea eficientă a tuturor utilizatorilor, incluzând p e cei din departamentul IT, necesită
identificarea nevoilor de învățare a fiecărui grup de utilizatori. În afara definirii nevoilor,
procesul ar trebui să includă definirea și implementarea unei strategii de creare a unor
programe de învățare eficiente cu rezultate cuantificabile. Un program de instruire
eficient duce la eficientizarea folosirii tehnologiei prin reducerea erorilor cauzate de
utilizatori, crescând productivitatea și conformitatea cu controalele cheie, cum ar fi
măsurile de securitate.

Instr uirea utilizatorilor ca urmare a implement ării noilor sisteme impune elaborarea de
documentații și manuale pentru utilizatori și pentru personalul IT și necesită pregătire
profesională pentru a asigura utilizarea corectă și funcționarea aplicațiilor și a
infrastructurii.

Pag. 48 din 180 Tabelul 8
Secțiunea Management IT – B.1.6

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
MANAGEMENT IT

Managementul
resurselor umane IT

Existența unor practici definite și
agreate care sprijină men ținerea
resurselor umane cu competență
ridicată

Existența politicilor și procedurilor
referitoare la recrutarea și retenția
personalului

Stabilirea competențele personalului,
acoperirea rolurilor din punctul de
vedere al personalului, dependența
de perso anele critice

Evaluarea performanțelor angajaților

Implementarea p roceduri lor
referitoare la schimbarea locului de
muncă și rezilierea contractului de
muncă

LV_ Controale
generale IT
Politici și
proceduri
referitoare la
recrutarea și
retenția
persona lului

Fișe de
evaluare a
performanțel
or angajaților

Proceduri
privind
acoperirea
rolurilor din
punctul de
vedere al
personalului
și dependența
de persoanele
critice

Proceduri
referitoare la
schimbarea
locului de
muncă și
rezilierea
contractului
de muncă

Educarea și
instruirea
utilizatorilor și a
personalului IT

Identificarea nevoilor de învățare a
fiecărui grup de utilizatori

Definirea și implementarea unei
strategii de creare a unor programe
de învățare eficie nte cu rezultate
cuantificabile: redu cerea erorilor
cauzate de utilizatori, cre șterea
productivit ății și conformit ății cu
controalele cheie, c um ar fi măsurile
de securitate

Realizarea sesiunilor de instruire și
educare
LV_ Controale
generale IT

Politici
privind
instruirea
utilizatorilor

Programe de
instruire

Rapoarte de
evaluare

Pag. 49 din 180 Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit

Evaluarea instruirii

Autorizarea
operării și utilizării

Sunt disponibile cunostințe despre
noile sisteme.

Transferul cunoștințelor către
managementul afacerii

Transferul cunoștințelor către
utilizator ii finali

Transferul cunoștințelor către
personalul care operează și cel care
oferă suport

Documentații
și manuale
pentru
utilizatori și
pentru
personalul IT

Situații
privind
pregătirea
profesională
privind noile
sisteme

Evaluarea se va face pe baz a concluziilor rezultate în urma interviurilor cu conducerea
operativă a sistemului informatic, precum și pe baza analizei documentelor privind
managementul resurselor umane, educarea și instruirea personalului IT și a utilizatorilor.

B.1.7 Aspectele care se iau în considerare atunci când se examinează controalele
privind respectarea reglementărilor în domeniu și a cerințelor proiectului

Stabilirea responsabilității pentru asigurarea că sistemul implementat este actualizat în
conformitate cu ultima versiu ne furnizată, că pachetele software au fost furnizate conform
clauzelor contractuale, că au fost furnizate licențele în cadrul contractelor, că
documentația a fost furnizată conform contractului sunt deosebit de importante pentru
asigurarea continuității s istemului și pentru creșterea încrederii în informațiile furnizate
de sistemul informatic.
Tabelul 9
Secțiunea Management IT – B.1.7

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
MANAGEMENT IT

Respectarea
reglementă rilor în
domeniu și a
cerințelor
proiectului
Stabilirea responsabilității asigurării
că sistemul implementat este
actualizat în conformitate cu ultima
versiune furnizată, că pachetele
software au fost furnizate conform
clauzelor contractuale, că au fost
furnizate licențele în cadrul
contractelor, că documentația a fost
furnizată conform contractului

LV_ Controale
generale IT
Contractele cu
furnizorii

Existența
responsabilului

Grafice de
implementare

Documentația
tehnică

Pag. 50 din 180 Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
Licențe
software

Suport tehn ic

Auditorul va face evaluarea pe baza concluziilor rezultate în urma interviurilor cu
persoanele implicate în managementul proiectelor și pe baza analizei documentelor care se
referă la existența unor politici sau proceduri formale prin care se atribui e responsabilitatea
monitorizării mediului legislativ care poate avea impact asupra sistemelor informatice,
precum și a asigurării conformității cu clauzele contractuale privind:
Responsabilitatea asigurării că sistemul implementat este actualizat în confo rmitate
cu ultima versiune furnizată;
Respectarea termenelor privind distribuirea ultimelor versiuni de echipamente,
software, documentație;
Livrarea și instalarea configurațiilor hardware/software pe baza unui grafic,
conform clauzelor contractuale, pe et ape și la termenele stabilite ;
Respectarea obligațiilor privind instruirea și suportul tehnic, stabilite prin contract;
Furnizarea pachetelor software conform clauzelor contractuale. Verificarea
existenței și valabilității licențelor furnizate în cadrul co ntractului;
Asigurarea suportului tehnic (prin telefon, e -mail sau utilizând un portal care poate
avea secțiuni distincte pentru suport tehnic, specializat pe categorii relevante de
probleme / anomalii sau pentru instruirea continuă a utilizatorilor) ;
Exis tența unor proceduri scrise privind analiza și acceptarea produselor și serviciilor
furnizate în cadrul contractului, precum și recepția cantitativă și calitativă;
Furnizarea documentației tehnice conform contractului: conținutul (lista, numărul
manualelor , limba) și formatul (tipărit, în format electronic, on -line);
Existența specificațiilor funcționale, a manualelor de utilizare și administrare pentru
proiectele de dezvoltare software;
Existența manualelor de utilizare pentru echipamentele livrate .
PROCED URA B2 – Separarea atribuțiilor

Separarea atribuțiilor este o modalitate de a asigura că tranzacțiile sunt autorizate și
înregistrate și că patrimoniul este protejat. Separarea atribuțiilor are loc atunci când o
persoană efectuează o verificare privind a ctivitatea altei persoane. Se previne în acest fel
desfășurarea unei activități, de către aceeași persoană, de la început până la sfârșit, fără
implicarea altei persoane. Separarea atribuțiilor reduce riscul de fraudă și constituie o
formă de verificare a erorilor și de control al calității.
Separația atribuțiilor include:
separarea responsabilității privind controlul patrimoniului de responsabilitatea
de a menține înregistrările contabile pentru acesta;
separarea funcțiilor în mediul informatizat.

Separa rea atribuțiilor se aplică atât mediului controalelor generale, cât și programelor și
aplicațiilor specifice.

Pag. 51 din 180
În mediul controalelor generale, anumite funcții și roluri trebuie să fie separate. De
exemplu, un programator nu trebuie să aibă acces la mediul de producție pentru a -și
îndeplini sarcinile. Personalul care face programare nu trebuie să aibă autoritatea de a
transfera software nou între mediile de dezvoltare, testare și producție. Segregarea
atribuțiilor între programatori și personalul de operar e reduce riscul ca aceștia, cu
cunoștințele de programare pe care le dețin, să poată efectua modificări neautorizate în
programe. În multe cazuri activitatea departamentului IT se împarte în două tipuri
distincte: programare (sisteme și aplicații) și opera rea calculatoarelor. Personalul nu
poate avea atribuții care să se plaseze în ambele tipuri de activități. Personalul care face
programare nu trebuie să aibă acces la fișiere și programe din mediul de producție.
Sub presiunea reducerii costurilor funcțiilo r IT numărul de personal este de multe ori
redus, ceea ce limitează separarea atribuțiilor. În cazul limitării separării atribuțiilor,
auditorul trebuie să identifice controale compensatorii, care de obicei se plasează în sfera
securității sistemelor sau î n cea a reconcilierii utilizatorilor finali, pe care să le recomande
entității ( de ex. verificări și inspecții regulate ale conducerii, utilizarea parcursurilor de
audit și a controalelor manuale ).

Tabelul 10
Secțiunea Separarea atribuțiilor – B2

Direcți i de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
SEPARAREA ATRIBUȚIILOR

Cadrul organizatoric
și de implementare
privind separarea
atribuțiilor

Existența unei structuri
organizatorice formale / cunoașterea
de către personal a modului de
subordonare și a limitelor de
responsabilitate proprii și ale
celorlalți. Aceasta va face mai dificil să
se efectueze acțiuni n eautorizate fără
a fi detectate

Includerea cu claritate a atribuțiilor
personalului în fișa postului, în scopul
reducerii riscului efectuării de către
acesta a unor acțiuni dincolo de
limitele autorizate

Separarea sarcinilor realizată prin
intermediul sistemului informatic,
prin utilizarea de profile de securitate
individuale și de grup, preprogramate

Interdicția c a personalul care are
sarcini în departamentul IT, să aibă
sarcini și în departamentul financiar –
contabil sau personal

Existența unei separări fizice și
manageriale a atribuțiilor, pentru a
reduce riscul de fraudă.
LV_ Controale
generale IT
Fișe de post

Separarea
sarcinilor
realizată prin
intermediul
sistemului
informatic

Decizii ale
conducerii

Regulamente,
norme,
instrucțiuni,

Prevederi
contractuale
referitoare la
externalizarea
serviciilor

Pag. 52 din 180 Direcți i de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
Separarea funcțiilor IT de utilizatori
pentru a reduce riscul de efectuare de
către utilizatori a unor modificări
neautorizate ale softului sau ale
datelor financiar -contabile, având în
vedere că persoanele cu sarcini atât
în domeniul financiar -contabil, cât și
în domeniul IT au oportunități mai
mari de a efectua activități
neautorizate prin intermediul
aplicațiilor informati ce, fără a fi
depistați

Existența unui cadru formal de
separare a sarcinilor în cadrul
departamentului IT, pentru
următoarele categorii de activități:
Proiectarea și prog ramarea
sistemelor
Întreținerea sistemelor
Operații IT de rutină
Introducerea datelor
Securitatea sistemelor
Administrarea bazelor de date
Managementul schimbării și al
dezvoltării sistemului informatic

Separarea sarcinilor de administrator
de sistem d e cele de control al
securității sistemului

Asigurarea unei separări adecvate a
sarcinilor pentru a reduce riscurile ca
personalul cu cunoștințe
semnificative despre sistem să
efectueze acțiuni neautorizate și să
înlăture urmele acțiunilor lor

Existența unei separări eficiente a
sarcinilor între dezvoltatorii de
sisteme, personalul de operare a
calculatoarelor și utilizatorii finali

Interdicția ca programatorii să aibă
acces la mediul de producție
(introducere de date, fișiere
permanente date de ieșire, programe,
etc.) pentru a -și îndeplini sarcinile

Interdicția ca personalul care face
programare să aibă permisiunea de a
transfera software nou între mediile
de dezvoltare, testare și producție

Pag. 53 din 180 Direcți i de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
Interdicția ca personalul cu cunoștințe
de programare să aib ă atribuții de
operare care să permită efectuarea
modificări neautorizate în programe

Separarea responsabilității privind
operarea aplicației de control al
patrimoniului, de responsabilitatea de
a menține înregistrările contabile
pentru acesta

Utilizarea separării sarcinilor ca
formă de revizie, detectare a erorilor
și control al calității

Conștientizarea personalului

Auditorul trebuie să determine prin interviu, prin observare directă și prin analiza
documentelor relevante (organigramă, fișa postului, decizii ale co nducerii, contracte etc.)
dacă personalul IT are responsabilități în departamentele utilizatorilor, dacă funcțiile IT
sunt separate de funcțiile de utilizare (financiar, gestiunea stocurilor, etc.) pentru a nu se
opera schimbări neautorizate, de obicei dif icil de detectat, dacă alte funcții incompatibile,
potrivit aspectelor menționate mai sus, sunt separate.

PROCEDURA B3 – Securitatea fizică și controalele de mediu

Obiectivul controalelor fizice și de mediu este de a preveni accesul neautorizat și
interf erența cu serviciile IT în scopul diminuării riscului deteriorării accidentale sau
deliberate sau a furtului echipamentelor IT și al informațiilor. Aceste controale trebuie să
asigure, pe de o parte, protecția împotriva accesului personalului neautorizat, iar pe de
altă parte, protecția în ceea ce privește deteriorarea mediului în care funcționează
sistemul (cauzată de foc, apă, cutremur, praf, căderi sau creșteri bruște ale curentului
electric).

B.3.1 Aspectele care se iau în considerare atunci când se e xaminează controalele
privind controlul accesului fizic
Restricționarea accesului la sistemul de calcul se poate realiza pe baza a două tipuri de
controale, privitoare la accesul fizic și, respectiv, la accesul logic.

Controale fizice:
Asigurarea securit ății zonei (delimitarea clară a perimetrului afectat facilităților IT
și informarea personalului în legătură cu "granițele" acestuia);
Accesul în aria securizată trebuie controlat pe nivele de control, prin controale
fizice explicite: chei, card -uri de ac ces, trăsături biometrice (amprentă, semnătură,
voce, imagine, etc.), coduri de acces sau implicite : atribuții specificate în fișa
postului, care necesită prezența în zona de operare IT.

Pag. 54 din 180 Controalele administrative:
Uniforma personalului sau utilizarea ecu soanelor;
Ștergerea drepturilor de acces la plecarea persoanei din organizație și informarea
personalului care asigură paza în legătură cu acest lucru. Pentru această situație
trebuie să existe proceduri de identificare a celor care pleacă și de asigurare că
accesul fizic al acestora în zona de operare IT nu mai este permis;
Identificarea vizitatorilor și primirea acestora;
Proceduri pentru evenimente neașteptate: plecarea temporară din birou a unor
salariați pentru a lua masa, sau la o solicitare expresă. Măsurile pentru aceste
situații pot include: încuierea laptop -urilor în sertare sau dulapuri, blocarea
tastaturii, încuierea suporților tehnici care conțin date.

Tabelul 11

Secțiunea Controale privind securitatea fizică și controalele de mediu – B.3.1

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
CONTROALE PRIVIND SECURITATEA FIZICĂ ȘI CONTROALELE DE MEDIU

Controlul accesului
fizic
Alocarea unor spații adecvate pentru
camera serverelor

Implementarea unor procedur i
formale de acces în locațiile care
găzduiesc echipamente IT importante
care să stabilească: persoanele care au
acces la servere, modul în care se
controlează accesul la servere (ex.
cartele de acces, chei, registre),
procedura de alocare a cartelelor
către utilizatori și de monitorizare a
respectării acesteia, cerința ca
vizitatorii să fie însoțiți de un
reprezentant al entității
Existența unor măsuri pentru a
asigura că se ține o evidență exactă a
echipamentului informatic și a
programelor informatice (m arcarea
sau etichetarea echipamentele pentru
a ajuta identificarea), pentru a
preveni pierderea intenționată sau
neintenționată de echipamente și a
datelor conținute în acestea

LV_ Controale
generale IT
Regulamente ,
norme,
instrucțiuni

Planuri de
amp lasare

Proceduri de
acces

Evidențe
privind
accesul

Evidențe
referitoare la
echipamente
și la software

Inspecție,
observație
(probe de
audit fizice )

Auditorul trebuie să determine prin interviu și prin observare directă (inspecție în sălile în
care su nt amplasate echipamentele) dacă există dotările necesare pentru asigurarea
controlului accesului fizic în zona de securitate definită. De asemenea, trebuie să verifice
existența și modul de implementare a procedurilor asociate.

Pag. 55 din 180 B.3.2 Aspectele care se iau în considerare atunci când se examinează controalele
privind protecția mediului
Asigurarea că în camera serverelor există dotările necesare pentru protecția mediului:
sisteme de prevenire a incendiilor; dispozitive pentru controlul umidității; aer condiți onat;
dispozitive UPS; senzori de mișcare; camere de supraveghere video.

Asigurarea că serverel e și elementel e active ale rețelei sunt amplasarea în rackuri speciale
și cablurile de rețea sunt protejate și eticheta te.

Tabelul 12

Secțiunea Controale priv ind securitatea fizică și controalele de mediu – B.3.2

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
CONTROALE PRIVIND SECURITATEA FIZICĂ ȘI CONTROALELE DE MEDIU
Protecția mediului

Asigurarea că în camera serverelor
există dotările necesare pentru
protecția mediului:
– sisteme de prevenire a
incendiilor
– dispozitive pentru controlul
umidității
– aer condiționat
– dispozitive UPS
– senzori de mișcare
– camere de supraveghere video

Amplasarea în rackuri speciale și
protejarea se rverelor, protejarea
elementelor active ale rețelei și a
cablurilor de rețea, etichetarea
cablurilor

LV_ Controale
generale IT
Regulamente ,
norme,
instrucțiuni

Planuri /
scheme de
amplasare

Evidențe
referitoare la
echipamente
pentru
protecția
mediului

Inspecție,
observație
(probe de
audit fizice )

Auditorul trebuie să determine prin interviu și prin observare directă (inspecție în sălile în
care sunt amplasate echipamentele) dacă există dotările necesare pentru protecția mediului
(sisteme de prevenir e a incendiilor, dispozitive pentru controlul umidității, aer condiționat,
dispozitive UPS, senzori de mișcare, camere de supraveghere video). De asemenea, trebuie să
verifice existența și modul de implementare a procedurilor asociate.
PROCEDURA B4 – Secur itatea informației și a sistemelor

Nevoia de menținere a integrității informațiilor și protejarea bunurilor IT necesită un
proces de management al securității. Securitatea informației și a sistemelor se realizează
prin implementarea unor proceduri care să prevină obținerea accesului neautorizat la
date sau programe critice și să asigurare confidențialitatea, integritatea și credibilitatea în
mediul în care aceste sisteme operează. Acest proces include stabilirea și menținerea
rolurilor de securitate IT și a responsabilităților, politicilor, standardelor și procedurilor.

Pag. 56 din 180 Gestionarea securității mai include și efectuarea monitorizărilor periodice de securitate,
testarea periodică și implementarea acțiunilor corective pentru identificarea punctelor
slabe în se curitate și a incidentelor. Gestionarea eficientă a securității protejează toate
bunurile IT pentru minimizarea impactului vulnerabilităților asupra afacerii.
Obiective de control referitoare la sistemul de management al securității sunt: Politica de
secu ritate IT , managementul identității , managementul conturilor utilizatorilor , testarea
securității, inspecția și monitorizarea , definirea incidentelor de securitate , protecția
tehnologiei de securitate , managementul cheilor criptografice , prevenirea, detect area și
neutralizarea software -ului rău -intenționat , securitatea rețelei , transfer ul datelor sensibile

Desemnarea unei persoane cu atribuții privind administrarea securității ,
desemnarea unui responsabil (ofițer) pentru securitate și definirea în mod form al a
atribuțiilor acestora , asigurarea segregării responsabilităților pentru aceste funcții,
asigurarea că politicile de securitate acoperă toate activitățile IT într -un mod
consistent.
Controlul accesului logic (administrarea utilizatorilor, existența și implementarea
regulilor pentru parole, controlul asupra conturilor cu drepturi depline, existența
unor utilitare de sistem cu funcții specializate, accesul IT, revizuirea jurnalelor de
operații).
Revizuirea jurnalelor de operații (log -uri) presupune monito rizarea și analiza
periodică a jurnalelor de operații, alocarea responsabilităților și specificarea
metodelor care se aplică.
Administrarea utilizatorilor are asociate proceduri formale privind administrarea
drepturilor utilizatorilor, acordarea, modificar ea și revocarea drepturilor de acces.
Regulile pentru parole. Se stabilesc proceduri formale care implementează
controale relative la: lungimea parolei, existența unor reguli referitoare la
conținutul parolei, stabilirea unei perioade de valabilitate a pa rolei, numărul de
încercări prevăzute până la blocarea contului, existența unei persoane cu atribuții
în deblocarea conturilor blocate, numărul de parole reținute de către sistem,
schimbarea parolei la prima accesare.
Controlul asupra conturilor cu dreptur i depline/utilitare de sistem . Se au în vedere
controale privind: stabilirea dreptului de administrare a sistemului, de alocare și
autorizare a conturilor cu drepturi depline, de monitorizare a activităților
utilizatorilor cu drepturi depline.
Acces IT. Se au în vedere controale privind: drepturile de acces ale programatorilor
la mediile de producție, drepturile de acces ale departamentului IT la datele
celorlalte departamente.
Conexiuni externe . Controalele se referă la: protejarea conexiunilor externe
împ otriva atacurilor informatice, existența unor proceduri de control al accesului
de la distanță, măsurile de securitate aplicate pentru a controla accesul de la
distanță.

B.4.1 Aspectele care se iau în considerare atunci când se examinează controalele
priv ind Politica de securitate
Politica de securitate a informației asigură orientarea generală din partea managementului
și acordarea sprijinului pentru securitatea informației în conformitate cu cerințele
afacerii, legislație și reglementările aplicabile.

Pag. 57 din 180 Aceasta se reflectă în existența unui document formal (distribuit tuturor utilizatorilor , cu
semnătura că au luat cunoștință), în existența unei persoane care are responsabilitatea
actualizării acestei politici, precum și în aplicarea măsurilor pentru a cre ște
conștientizarea în cadrul entității cu privire la securitate (cursuri, prezentări, mesaje pe
e-mail ).

Politica de securitate se exprimă într -o formă concisă, narativă, este aprobată de
managementul de vârf, trebuie să fie disponibilă pentru toți funcț ionarii responsabili cu
securitatea informației și trebuie să fie cunoscută de toți cei care au acces la sistemele de
calcul.

Politica de securitate trebuie să conțină următoarele elemente:
O definiție a securității informației, obiectivele sale generale și scopul;
O declarație de intenție a managementului prin care acesta susține scopul și
principiile securității informației;
O detaliere a politicilor, principiilor și standardelor specifice privind
securitatea, precum și a cerințelor de conformitate cu ac estea:
1. conformitatea cu cerințele legale și contractuale;
2. educație și instruire în domeniul securității;
3. politica de prevenire și detectare a virușilor;
4. politica de planificare a continuității afacerii.
O definire a responsabilităților generale și specific e pentru toate aspectele
legate de securitate;
O descriere a procesului de raportare în cazul apariției incidentelor privind
securitatea.
Entitatea trebuie să implementeze metode de monitorizare a conformității cu politica de
securitate și să furnizeze asi gurarea că politica este de actualitate. Responsabilitatea
pentru securitatea IT este asignată unei funcții de administrare a securității.

Tabelul 13
Secțiunea Securitatea informației și a sistemelor – B.4.1

Direcții de evaluare Obiective de control Docu mente
de lucru Surse p robe
de audit
SECURITATEA INFORMAȚIEI ȘI A SISTEMELOR
Politica de
securitate

Existența unei politici de securitate
IT formale

Se verifică dacă aceasta este
distribuită tuturor utilizatorilor, dacă
utilizatorii semnează că au luat
cunoștin ță de politica de securitate IT

Aplicarea unor măsuri pentru a crește
conștientizarea în cadrul entității cu
privire la securitate (cursuri,
prezentări, mesaje pe e-mail )

Se analizează conținutul
documentului pentru a evalua
domeniile acoperite de politica de
securitate și cadrul procedural asociat
LV_ Controale
generale IT
Politica de
securitate

Măsuri

Tabele de
luare la
cunoștință sau
mesaje e -mail

Proceduri
asociate

Pag. 58 din 180 Direcții de evaluare Obiective de control Docu mente
de lucru Surse p robe
de audit

Se verifică dacă politica de securitate
este actualizată periodic și dacă este
alocată responsabilitatea cu privire la
actualizarea politicii de securitate

Auditorul trebuie să determine prin interviu, prin analiza politicii de securitate și a
procedurilor asociate și prin observare directă dacă Politica de securitate e ste distribuită
tuturor utilizatorilor , dacă utilizatorii au semnat că au luat cunoștință de politica de
securitate IT, dacă există o persoană care este responsabilă de actualizarea acestei politici,
dacă s -au aplicat măsuri pentru a crește conștientizarea în cadrul entității cu privire la
securitate (cursuri, prezentări, mesaje pe e -mail).

B.4.2 Controlul accesului logic

O problemă deosebit de importantă în cadrul unui sistem de management al securității
este protejarea informațiilor și a resurselor afer ente sistemelor IT, care nu pot fi
controlate ușor numai prin intermediul controalelor fizice. Problema este cu atât mai
complicată, cu cât calculatoarele sunt conectate în rețele locale sau în rețele distribuite
geografic.

Controalele logice de acces pot exista atât la nivelul sistemului, cât și la nivelul aplicației.
Controalele la nivelul sistemului pot fi utilizate pentru restricționarea accesului
utilizatorilor la anumite aplicații și date și pentru a restricționa folosirea neautorizată a
utilităților sistemelor. Controalele logice de acces sunt adesea utilizate împreună cu
controalele fizice de acces pentru a reduce riscul modificării neautorizate a programelor și
a fișierelor de date. Monitorizarea continuă a documentelor (jurnalelor) care înregistre ază
evenimentele care se referă la accesul logic constituie un factor de creștere a eficienței
controalelor implementate. Eficiența rapoartelor către conducere și a registrelor produse
de calculatoare este semnificativ redusă dacă nu sunt analizate și veri ficate regulat de
către conducere.

Controalele accesului logic se vor detalia pe baza declarațiilor de nivel înalt cuprinse în
politica de securitate IT a entității.
Tabelul 14

Secțiunea Securitatea informației și a sistemelor – B.4.2

Direcții de evalu are Obiective de control Documente
de lucru Surse p robe
de audit
SECURITATEA INFORMAȚIEI ȘI A SISTEMELOR

Controlul
accesului logic
Revizuirea logurilor
Asigurarea că logurile aplicațiilor
importante monitorizate și analizate
periodic ( cine, când, cum, dovezi )
Administrarea utilizatorilor
Existența unei proceduri pentru
LV_ Controale
generale IT
Politica de
securitate

Măsuri
Regulamente,
Norme

Pag. 59 din 180 Direcții de evalu are Obiective de control Documente
de lucru Surse p robe
de audit
administrarea drepturilor
utilizatorilor. Se verifică modul de
implementare

Includerea în procedura de mai sus a
măsurilor ce trebuie luate în cazul în
care un angajat pleacă din cadrul
instituției

Existența unui document (formular pe
hârtie sa în format electronic) pentru
crearea și ștergerea conturilor de
utilizator și pentru acordarea,
modificarea și revocarea drepturilor
de acces care să fie aprobat de
conducere

Acordarea tuturor dr epturilor de
acces, în baza acestui formular

Verificarea periodică a utilizatorilor
activi ai sistemului în concordanță cu
lista de angajați furnizată de
departamentul Resurse Umane
Reguli pentru parole
Definirea regulilor pentru parole
pentru accesul în subsistemele IT
Trebuie avute în vedere următoarele:
– lungimea parolei
– reguli referitoare la conținutul
parolei
– perioada de valabilitate a
parolei
– numărul de încercări până la
blocarea contului
– cine poate debloca un cont
– numărul de parole precedente
reținute de către sistem
– utilizatorii sunt forțați să
schimbe parola la prima
accesare?
Control asupra conturilor cu
drepturi depline/utilitare de sistem
Alocarea dreptului de administrare
pentru aplicațiile /subsistemele de
bază

Alocarea și autorizarea contu rilor cu
drepturi depline

Monitorizarea activităților
utilizatorilor cu drepturi depline Declarații
privind
securitatea

Tabele de
luare la
cunoștință sau
mesaje e -mail

Proceduri
asociate

Jurnale de
operații
(log -uri)

Pag. 60 din 180 Direcții de evalu are Obiective de control Documente
de lucru Surse p robe
de audit
Acces IT
Verificarea drepturilor de acces la
datele reale pentru programatori

Verificarea drepturilor de acces la
datele celorlalte structuri ale entității
pentru compartimentul IT

Auditorul trebuie să d etermine prin consultarea documentelor, prin interviu și prin
observare directă (la stațiile de lucru) dacă este implementat cadrul procedural pentru
asigurarea controlului accesului logic și modul de monitorizare a acestuia:
va verific a modul de implemen tare a regulamentului de control al accesului și dacă
acesta este documentat și actualizat.
va evalu a măsurile de acces logic existente pentru a restricționa accesul la sistemul
de operare, la fișierele de date și la aplicații și să aprecieze dacă acestea sunt
corespunzatoare: meniuri restricționate pentru utilizatori, coduri unice de
identificare și parole pentru utilizator, revizuirea drepturilor de acces ale
utilizatorului, profilul utilizatorului și al grupului.
va evalua cât de adecvate sunt regulil e privind parolele ale entității (lungimea
parolei, durata / datele de expirare, procedurile de modificare, componența parolei,
dezafectarea codului de identificare al celor ce pleacă din instituție, criptarea parolei,
înregistrarea și alocarea de parole n oilor utilizatori, punerea în aplicare a regulilor
privind parolele.
va efectua teste privind modul de implementare a unor tipuri suplimentare de
controale de acces logic: jurnale de operații, restricționarea încercărilor de acces,
proceduri și registre de acces, acces specific în funcție de terminal, registre de
încercări neautorizate, limitarea acceselor multiple, timp automat de expirare, acces
restricționat la utilități și înregistrarea folosirii utilităților sistemului și a
instrumentelor de audit, con trolul stațiilor de lucru neutilizate.
va evalua măsurile pentru restricționarea accesului personalului de dezvoltare a
sistemului la datele reale (din mediul de producție) și la mediul de producție
(programatori, firma dezvoltatoare de software).
va eva lua modul de alocare, autorizare, control și monitorizare a utilizatorilor
privilegiați (administratori, ingineri de sistem și programatori de sistem și de baze de
date).

Pag. 61 din 180 B.4.3 Aspectele care se iau în considerare atunci când se examinează controal ele
privind administrarea securității
Tabelul 15
Secțiunea Securitatea informației și a sistemelor – B.4.3

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
SECURITATEA INFORMAȚIEI ȘI A SISTEMELOR
Administrarea
securități i

Alocarea responsabilității cu privire la
administrarea securității IT și
definirea în mod formal a sarcinilor
administratorului securității

Asigurarea separării
responsabilităților pentru
administratorul securității

Se verifică dacă aplicarea politic ilor de
securitate acoperă toate activitățile IT
într-un mod consistent
LV_ Controale
generale IT
Politica de
securitate

Măsuri
Regulamente,
Norme

Proceduri

Jurnale de
operații
(log -uri)

Responsabili

Auditorul trebuie să determine, prin consulta rea documentelor și prin interviu, dacă este
implementat cadrul procedural pentru asigurarea controlului administrării securității
(examinarea documentelor din care rezultă responsabilitățile și sarcinile cu privire la
administrarea securității IT, separar ea atribuțiilor, reflectarea acestora în politica de
securitate).
B.4.4 Aspectele care se iau în considerare atunci când se examinează controalele
privind conexiuni externe
Controale de acces slabe măresc riscul atacurilor din partea hackerilor, al viermi lor și al
virușilor care afectează integritatea și disponibilitatea evidențelor financiare.
Managementul inadecvat al rețelei poate expune organizația amenințărilor interne și
externe cu privire la integritatea datelor. O rețea slab securizată poate, de ex emplu, să fie
vulnerabilă la difuzarea virușilor informatici.
Tabelul 16
Secțiunea Securitatea informației și a sistemelor – B.4.4

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
SECURITATEA INFORMAȚIEI ȘI A SISTEMELO R
Conexiuni externe

Existența unei persoane desemnate
pentru administrarea rețelei IT

Măsurile luate pentru monitorizarea
rețelei din punct de vedere al
securității și performanței
LV_ Controa le
generale IT
Politica de
securitate

Măsuri
Regulamente,
Norme

Pag. 62 din 180 Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit

Modul de protejare a conexiunilor
externe împotriva atacurilor
informa tice (viruși, acces neautorizat)

Dacă este permis accesul la sistem
unor organizații externe (ex. Internet,
conexiuni on -line)

Se verifică existența unor proceduri
de control privind accesul de la
distanță și măsurile de securitate
aplicate
Proceduri

Jurnale de
operații
(log -uri)

Auditorul trebuie să determine, prin consultarea documentelor și prin interviu, dacă este
implementat cadrul procedural pentru asigurarea con trolului rețelei: existența unei
persoane desemnate pentru administrarea rețelei IT, măsurile luate pentru monitorizarea
securității rețelei, pentru protejarea conexiunilor externe împotriva atacurilor informatice
(viruși, acces neautorizat), reglementarea accesului la sistem din partea unor organizații
externe (de exemplu, Internet, conexiuni on -line), existența unor proceduri de control privind
accesul de la distanță și măsurile de securitate aplicate.

B.4.5 Aspectele care se iau în considerare atunci câ nd se examinează controalele de
rețea și de utilizare a Internetului

Extinderea rețelei Internet a scos în evidență și a impus cerințe, concepte și riscuri noi,
care au avut consecințe privind securitatea sistemelor și controalele asociate.
Întrucât conec tarea sistemelor în rețele comportă riscuri specifice, rețeaua trebuie
controlată astfel încât să poată fi accesată numai de către utilizatorii autorizați, iar datele
transmise să nu fie pierdute, alterate sau interceptate.

Cele mai relevante controale de rețea și de utilizare a Internetului, pe care entitățile
trebuie să le implementeze, sunt:
a) Controalele privind erorile de transmisie și de comunicație: se referă la erorile
care pot să apară în fiecare stadiu al ciclului comunicației, de la introducere a
datelor de către utilizator, continuând cu transferul până la destinație.
b) Controalele de rețea
c) Controalele de utilizare a Internet ului

Implicațiile privind securitatea și controlul, care decurg din conectarea la Internet a unei
entitățí sunt:

a) Implicațiile privind securitatea decurg din: caracterul anonim al unor utilizatori
care vor să contravină principiilor accesului în Internet, vulnerabilitatea
confidențialității prin interceptarea parolei cu ajutorul unor programe specializate
în cursul înre gistrării pe anumite site -uri, acțiunile hackerilor, pirateria și
pornografia, software rău intenționat (viruși, programe "cal troian").
b) Protecția securității : educarea utilizatorilor proprii privind consecințele unui
comportament neadecvat sau ale neglijă rii unor precauții legate de utilizarea

Pag. 63 din 180 rețelei Internet, utilizarea serviciilor unui provider în locul conexiunii fizice la
Internet, în scopul evitării expunerii directe a sistemului de calcul propriu la
atacuri din rețeaua Internet.
Tabelul 17
Secțiunea Securitatea informației și a sistemelor – B.4.5

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
SECURITATEA INFORMAȚIEI ȘI A SISTEMELOR

Controale privind
erorile de
transmisie și de
comunicație

Se verifică implemen tarea
controalelor pentru fiecare stadiu al
ciclului comunicației în parte, de la
introducerea datelor de către
utilizator, continuând cu transferul
până la destinație

LV_ Controale
generale IT
Politica de
securitate

Măsuri
Regulamente,
Norme

Procedur i

Jurnale de
operații
(log -uri)

Controale de rețea
Elaborare și implementarea Politicii
de securitate a rețelei, care poate
face parte din politica generală de
securitate IT

Existența standardelor de rețea, a
procedurilor și instrucțiunilor de
oper are, care trebuie să se bazeze pe
politica de securitate a rețelei și a
documentației aferente

Existența documentației rețelei care
descrie structura logică și fizică a
rețelei

Existența cadrului procedural
privind controalele accesului logic:
procedura de conectare, reguli
privind parolele, permisiile de acces
la resursele sistemului, restricțiile
privind utilizarea resurselor externe
(de exemplu este restricționat
accesul în rețeaua Internet)

Rețeaua trebuie să fie controlată și
administrată de person al cu
instruire și experiență adecvate,
monitorizat de management;

Implementarea unei proceduri
pentru întreținerea jurnalelor de
operații de către sistemul de operare
LV_ Controale
generale IT
Politica de
securitate a
rețelei și
procedurile
asociate
Standarde de
rețea,
proceduri și
instrucțiuni de
operare

Documentația
rețelei

Jurnale de
operații

Documentații
tehnice

Probe de audit
fizice:
observare,
demonstrații,
teste

Pag. 64 din 180 Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
al rețelei, precum și pentru
revizuirea periodică în scopul
depistării activităților ne autorizate

Utilizarea unor instrumente utilitare
pentru managementul și
monitorizarea rețelei (pachete
software sau echipamente
hardware), disponibile pentru
administratorii de rețea. Acestea pot
monitoriza utilizarea rețelei și a
capacității acesteia și pot inventaria
produsele software utilizate de către
fiecare utilizator;

Monitorizarea accesului furnizorilor
de servicii și al consultanților

Restricționarea terminalelor prin
intermediul codurilor de terminal
sau a al adresei de rețea

Implementarea un or algoritmi de
încriptare a datelor pentru
protejarea în cazul interceptării în
rețea

Utilizarea liniilor private sau
dedicate pentru reducerea riscului
de intercepție

Controale de bază
în rețeaua Internet
Implementarea unui cadru procedural
pentru minimizarea consecințelor
negative generate de conexiunea
directă la Internet care presupune:
– Izolarea fizică a calculatorului legat
la Internet, de sistemul de calcul al
entității;
– Desemnarea unui administrator cu
experiență și de încredere pen tru
supravegherea calculatoarelor cu
acces la Internet;
– Prevenirea accesului anonim sau,
dacă trebuie să fie permis,
eliminarea efectelor negative ale
acestuia;
– Ștergerea tuturor datelor și
programelor care nu sunt necesare,
de pe calculatorul cu acces la
Internet;
– Monitorizarea atacurilor prin
înregistrarea lor;
– Crearea unui număr cât mai mic
LV_ Controale
generale IT
Politica de
securitate și
procedurile
asociate

Măsuri
Regulamente,
Norme

Documentații
tehnice
privind soluția
Internet

Jurnale de
operații
(log -uri)

Respo nsabili

Pag. 65 din 180 Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
posibil de conturi de utilizator pe
calculatorul cu acces la Internet și
schimbarea regulată a parolelor;

Includerea în configurație a unei
protecții de tip "firewall" pentru a
facilita controlul traficului între
rețeaua entității și Internet și pentru a
stopa penetrarea pachetelor externe
neautorizate

Implementarea unei politici adecvate
privind parolele pentru securitatea
calculatoarelor conectate la Intern et
care să prevadă: utilizarea parolelor
ascunse, utilizarea unui algoritm
nestandard de încriptare a parolelor,
etc.

Încriptarea informațiilor transmise în
rețeaua Internet

Utilizarea unor servicii de poștă
electronică perfecționate, dezvoltate
pentru a asigura confidențialitatea și
integritatea mesajelor transmise, prin
încriptare și prin semnare electronică

Utilizarea unor instrumente de
evaluare a securității utilizate pentru
analiza și evaluarea securității
rețelelor, raportând slăbiciunile
acestora în ceea ce privește controlul
accesului sau regulile pentru parole

Auditorul trebuie să determine, prin consultarea documentelor și prin interviu, dacă este
implementat cadrul procedural pentru asigurarea că rețeaua este controlată astfel încât să
poată fi accesată numai de către utilizatorii interni sau exter ni autorizați, iar datele
transmise să nu fie pierdute, alterate sau interceptate : implementarea unei politici de
securitate a rețelei, utilizarea standardelor de rețea, a procedurilor și a instrucțiunilor de
operare asociate acestei politici, existența și disponibilitatea documentației aferente
cadrului procedural și a documentației rețelei (care descrie structura logică și fizică a
rețelei), implementarea controalelor accesului logic (procedura de conectare, reguli privind
parolele, permisiile de acces la resursele sistemului), stabilirea unor reguli privind utilizarea
resurselor externe, existența unui personal cu instruire și experiență adecvate, înregistrarea
automată în jurnalele de operații și revizuirea periodică a acestora pentru a se depista
activi tățile neautorizate, utilizarea unor instrumente software/hardware pentru
managementul și monitorizarea rețelei, monitorizarea accesului furnizorilor de servicii și al
consultanților, criptarea datelor.

Pag. 66 din 180 Auditorul trebuie să determine, prin consultarea doc umentelor și prin interviu, dacă este
implementată o politică pentru minimizarea consecințelor negative generate de conexiunea
directă la Internet, care să abordeze aspectele prezentate mai sus : protecție firewall,
administrator cu experiență și de încrede re pentru supravegherea calculatoarelor cu acces
la Internet, politica privind parolele, încriptarea, Instrumentele de evaluare a securității
utilizate, serviciile de poștă electronică perfecționate, monitorizarea atacurilor.
PROCEDURA B5 – Continuitatea s istemelor

Managementul continuității sistemelor are ca obiectiv principal menținerea integrității
datelor entității prin intermediul unor servicii operaționale și al unor facilități de
prelucrare și, dacă este necesar, furnizarea unor servicii temporare p ână la reluarea
serviciilor întrerupte.

În scopul eliminării riscului unor defecțiuni majore generate de sistemul IT, trebuie
implementate controale adecvate, astfel încât entitatea să poată relua în mod eficient
operațiunile, într -o perioadă de timp rezo nabilă, în cazul în care funcțiile de prelucrare nu
mai sunt disponibile. Aceasta presupune, în principal, întreținerea și gestionarea copiilor
de siguranță ale datelor și sistemelor, implementarea unor politici pentru managementul
datelor și al problemelo r, planificarea continuității, protecția împotriva virușilor.

B.5.1 Menținerea copiilor de siguranță (backup) ale datelor și sistemelor și
managementul datelor

Menținerea copiilor de siguranță e ste o cerință esențială pentru asigurarea continuității
sistemelor informatice, întrucât deteriorarea fondului de date sau a programelor ar
compromite întregul sistem și, implicit, activitățile care se bazează pe rezultatele furnizate
de acesta. Pentru eliminarea acestui risc este necesară elaborarea și aplicarea u nei
proceduri formale de salvare / restaurare, și de conservare a copiilor, care să precizeze:
conținutul copiei, tipul suportului, frecvența de actualizare, locul de stocare. De asemenea,
se impune elaborarea unor proceduri de testare a copiilor de rezerv ă și de recuperare a
sistemului în caz de incident, precum și evaluarea timpului necesar restaurării datelor /
sistemelor în caz de incident.

Managementul eficient al datelor presupune: identificarea cerințelor de date, stabilirea
procedurilor eficiente p entru a gestiona colecțiile de date, copiile de siguranță/backup și
recuperarea datelor precum și distribuirea eficientă a acestora pe suporturile de
informații. Un management eficient al datelor ajută la asigurarea calității, aranjării
cronologice și disp onibilității datelor.
Tabelul 18
Secțiunea Continuitatea sistemelor – B.5.1

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
CONTINUITATEA SISTEMELOR

Copii de siguranță
(back -up) ale
datelor, aplicațiilor
și sistemelor

Implementarea unei proceduri
formale de salvare (back -up) care să
specifice:
– tip de copie
(automată/manuală)
LV_ Controale
generale IT
Proceduri de
salvare/
restaurare,
testare a
copiilor de
siguranță

Pag. 67 din 180 Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
– frecvența copiilor de siguranță
– conținutul copiei (date,
aplicații, sisteme,
complet/incremental)
– locul de stocare a
copiei/copiilor
– tipul de su port
– alte comentarii.

Existența unei proceduri de testare a
copiilor de siguranță. Frecvența și
modul de evidențiere

Implementarea unei proceduri de
recuperare / restaurare

Efectuarea de către entitate a unor
analize cu privire la timpul necesar
restau rării datelor /aplicațiilor/
sistemului
Măsuri
Regulamente,
Norme

Probe de audit
fizice:
observare,
Inspecție,
demonstrații

Scenarii de
testare

Managem entul
datelor
Au fost identificate cerințel e de date,
sunt stabilite proceduri eficiente
pentru a gestiona colecțiile de date,
copiile de siguranță/backup și
recuperarea datelor , precum și
distribuirea eficientă și aranjarea
cronologică a acestora pe supo rturile
de informații

Sunt stabilite a ranjamente privind
depozitarea și păstrarea datelor

Este reglementat s istemul de
management al bibliotecii media

Sunt stabilite proceduri referitoare la
eliminarea datelor perimate

Sunt stabilite c erințe și procedu ri de
securitate pentru managementul
datelor

LV_ Controale
generale IT
Proceduri
pentru
managementul
datelor

Probe de audit
fizice:
observare,
inspecție,
demonstrații,
teste

Auditorul va examina procedurile și modul de implementare a controalelor r eferitoare la
următoarele obiective de control:
Implementarea unei proceduri formale de salvare (back -up) care să specifice:
Existența unei proceduri de testare a copiilor de siguranță. Frecvența și modul de
evidențiere;
Implementarea unei proceduri de re cuperare / restaurare;

Pag. 68 din 180
Implementarea unor proceduri formale pentru managementul datelor;
Efectuarea de către entitate a unor analize cu privire la timpul necesar restaurării
datelor / aplicațiilor / sistemului.

B.5.2 Managementul capacității

Nevoia de a gestiona performanța și capacitatea resurselor IT necesită un proces de
revizuire periodică a performanței actuale și a capacității resurselor IT. Acest proces
include previziunea nevoilor viitoare bazate pe volumul de prelucrare, stocare și cerințele
de urgență. Acest proces oferă siguranța că resursele informaționale care susțin cerințele
afacerii sunt disponibile continuu.
Managementul capacității se bazează pe analiza capacității configurației disponibile de a
face față cerințelor sistemelor sau aplica țiilor prin prisma unor criterii de performanță
stabilite. Concluziile formulate constituie suport pentru decizii privind: măsuri referitoare
la eliminarea îngustărilor de trafic, optimizarea configurării rețelelor și / sau sistemelor,
reproiectări ale flu xurilor, elaborarea unor grafice de utilizare, extinderea configurațiilor
sau înlocuirea acestora.

Tabelul 1 9
Secțiunea Continuitatea sistemelor – B.5.2

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
CONTINUITATEA SIST EMELOR
Managementul
performanței și al
capacității

Entitatea a implementat un cadru
procedural referitor la: planificarea
performanței și capacității, evaluarea
performanței și capacității actuale și
viitoare, monitorizare și raportare
Efectuarea de căt re entitate a unor
analize privind capacitatea pentru
hardware și pentru rețea cu o
periodicitate stabilită
Efectuarea de către entitate a unor
analize privind performanța și
capacitatea aplicațiilor IT. Indicatori
avuți în vedere
Efectuarea de către entit ate a unor
analize privind gâtuirile de trafic.
Detalii

LV_ Controale
generale IT
Proceduri
referitoare la:
planificarea
performanței
și capacității,
evaluarea
performanței
și capacității
actuale și
viitoare,
monitorizare
și raportare
Scenarii de
testar e

Responsabili

Auditorul va examina procedurile și modul de implementare a controalelor referitoare la
următoarele obiective de control:
Implementarea unui cadru procedural referitor la: planificarea performanței și
capacității, evaluarea performanței și capacității actuale și viitoare, monitorizare și
raportare;

Pag. 69 din 180
Efectuarea de către entitate a unor analize privind capacitatea pentru hardware și
pentru rețea, precum și periodicitatea acestor analize;
Efectuarea de către entitate a unor analize privind p erformanța și capacitatea
aplicațiilor IT și indicatorii avuți în vedere;
Efectuarea de către entitate a unor analize privind gâtuirile de trafic. Detalierea
problemelor.

B.5.3 Managementul problemelor

Managementul eficace al problemelor cere identifica rea și clasificarea problemelor,
analiza cauzelor primare și a soluțiilor propuse pentru acestea. Procesul de management
al problemelor include de asemenea formularea recomandărilor pentru îmbunătățire,
păstrarea inregistrărilor cu privire la probleme și a naliza stării acțiunilor corective. Un
management eficace al problemelor maximizează disponibilitatea sistemului,
îmbunătățește nivelul serviciilor, reduce costurile și sporește confortul și satisfacția
clienților.

Managementul problemelor are ca scop dep istarea și soluționarea problemelor apărute în
funcționarea sistemului informatic pe întreaga durată de viață a acestuia prin asigurarea
unui cadru procedural care să impună:
(a) modul de detectare, semnalare, comunicare, înregistrare, rezolvare și urmări re a
problemelor, (b) analiza și verificarea modului de rezolvare, etapele care se parcurg,
precum și (c) documentele utilizate (registrul problemelor, lista problemelor rămase
deschise sau care se repetă frecvent).

Pentru a răspunde la timp și eficient c erințelor utilizatorilor din IT este nevoie de un
proces bine structurat de management al incidentelor și de suport tehnic. Acest proces
include stabilirea unei funcțiuni de Service Desk / Help Desk pentru înregistrarea
incidentelor, analiza tendinței și c auzelor problemelor, precum și pentru rezolvarea lor.
Beneficiile obținute includ creșterea productivității prin rezolvarea mai rapidă a
cerințelor utilizatorilor. Mai mult, se pot evidenția cauzele problemelor (cum ar fi lipsa de
instruire) , printr -o rapo rtare eficientă.

Tabelul 20

Secțiunea Continuitatea sistemelor – B.5.3

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
CONTINUITATEA SISTEMELOR
Managementul
problemelor

Implementarea unui cadru procedural
care să tr ateze următoarele aspecte:
– Modul în care se semnalează
compartimentului IT apariția
problemelor;
– Cum se ține evidența problemelor
în cadrul compartimentului IT
(registru al problemelor sau o altă
LV_ Controale
generale IT
Proceduri
refe ritoare la
managementul
problemelor

Proceduri
referitoare la
Service Desk/
Help Desk:

Pag. 70 din 180 Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
formă de evidență);
– Implementarea funcției Helpdesk;
– Etapele care trebuie urmate
pentru rezolvarea problemelor;
– Verificarea și analiza listei de
probleme de către conducere;
– Implementarea unei proceduri de
urmărire a problemelor rămase
deschise;
– Implementarea unei proceduri
pentru situația nerezolvării
problemei;
– Responsabilitatea documentării și
aducerii la cunoștința celor direct
implicați a acestor proceduri

Integrarea managementului
configurației, incidentelor și al
problemelor
înregistrarea
cerințelor
clienților,
înregistrarea
incidentelor,
închiderea
unui incident,
raportarea și
analiza
tendințelor

Auditorul va examina procedurile și modul de implementare a controalelor referi toare la
următoarele obiective de control:
Implementarea unui cadru procedural care să trateze următoarele aspecte:
– Modul în care se semnalează compartimentului IT apariția problemelor;
– Cum se ține evidența problemelor în cadrul compartimentului IT (regist ru al
problemelor sau o altă formă de evidență);
– Implementarea funcției Service Desk/ Help Desk ;
– Etapele care trebuie urmate pentru rezolvarea problemelor;
– Verificarea și analiza listei de probleme de către conducere;
– Implementarea unei proceduri de urmări re a problemelor rămase deschise;
– Implementarea unei proceduri pentru situația nerezolvării problemei .
Responsabilitatea documentării și aducerii la cunoștința celor direct implicați a
acestor proceduri.
Integrarea managementului configurației, incidentelo r și al problemelor.

B.5.4 Planificarea continuității

Nevoia asigurării continuității serviciilor IT necesită dezvoltarea, menținerea și testarea
planurilor de continuitate IT, utilizarea amplasamentelor externe de stocare a copiilor de
backup și oferire a unui plan de instruire continuu. Un proces eficient de asigurare a
continuității serviciilor reduce probabilitatea și impactul unei întreruperi majore a
serviciilor IT asupra funcțiilor și proceselor cheie ale afacerii.

Pag. 71 din 180 Planificarea continuității proces elor IT presupune existența unui astfel de plan ,
documentat corespunzător , de continuitate a afacerii și, în particular, a operațiunilor IT.
Planul de continuitate a a ctivității reprezintă un control corectiv semnificativ .
Pentru elaborarea unui plan exten siv, care să răspundă gamei largi de probleme asociate
continuității proceselor IT sunt necesare atât aptitudini cât și disponibilitatea unei
metodologii care să ofere cadrul procedural pentru toată problematica abordată: definirea
obiectivelor, agrearea b ugetului, definirea proceselor, alocarea resurselor, stabilirea
termenelor și a responsabilităților, aprobare.

Elaborarea planului are la bază o analiză detaliată a impactului pe care l -ar genera lipsa
sistemului IT asupra afacerii, în scopul reducerii ri scurilor. Sunt examinate, de asemenea,
măsurile de prevenire a dezastrului pentru a opera perfecționarea acestor măsuri. Pe baza
analizelor și informațiilor preliminare, se realizează dezvoltarea planului de continuitate,
care va fi implementat, testat pri n simulări periodice și actualizat în funcție de schimbările
impuse de rezultatele simulărilor.
Planul de continuitate trebuie să fie făcut cunoscut personalului implicat în procesele IT.

Conținutul unui plan de continuitate poate varia în funcție de circ umstanțe, dar, în
general, include următoarele secțiuni: secțiunea administrativă, contracte suport, operarea
calculatoarelor privind recuperarea proceselor cheie IT, infrastructura IT necesară
recuperării și procedurile asociate, locația de back -up, ident ificarea locului unde sunt
stocate arhivele cu suporți tehnici care conțin salvările și procedura de obținere a accesului
la acestea, personalul implicat în procesul de recuperare în caz de dezastru (personal
propriu sau extern), stabilirea sediului provi zoriu (pentru cazul în care dezastrul a fost
extensiv și a necesitat evacuări), revenirea la normal (lista detaliată a responsabilităților
echipelor implicate în restabilirea condițiilor normale de activitate).

Tabelul 21
Secțiunea Continuitatea sistemelo r – B.5.4

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
CONTINUITATEA SISTEMELOR
Planificarea și
asigurarea
continuității
serviciilor

Existența unui cadru de referință
pentru continuitatea IT
Stabilirea resurselor I T critice
Întreținerea planului de continuitate
IT
Implementarea unui plan privind
asigurarea continuității activității
entității și, în particular, a
operațiunilor IT
Testarea cu regularitate a planului de
continuitate. Periodicitate
Instruirea privind p lanul de
continuitate IT
Recuperarea și reluarea serviciilor IT
Stocarea externă a copiilor de
LV_ Controale
generale IT
Cadrul de
referință
pentru
continuitatea
IT

Planul de
continuitate a
activității

Cadrul
procedural
referitor la
continuitatea
IT

Pag. 72 din 180 Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
siguranță
Revizia post -reluare

Auditorul va examina procedurile și controalele privind la cadrul de referință pentru
continuitatea IT, la existența, implementarea, urmărirea și testarea cu regularitate a
planului privind asigurarea continuității activităț ii entității și, în particular, a operațiunilor
IT.

B.5.5 Managementul operațiunilor IT

Procesarea completă și exactă a datelor necesită un management eficient al procedurilor
de prelucrare a datelor și o întreținere temeinică a hardware -ului. Acest pr oces include
definirea politicilor de operare și a procedurilor pentru gestionarea eficientă a
prelucrărilor programate, protejând datele de ieșire sensibile, monitorizând performanța
infrastructurii și asigurând întreținerea preventivă a hardware -ului. Ge stionarea eficientă
a operațiunilor ajută la menținerea integrității datelor și reduce întârzierile și costurile de
exploatare IT.
Procedurile operaționale IT furnizează asigurarea că sistemele de aplicații sunt disponibile
la momentele programate, opereaz ă în concordanță cu cerințele, iar rezultatele
prelucrărilor sunt produse la timp.
Controalele operaționale reduc riscurile adoptării unor practici de lucru
necorespunzătoare într -un departament IT. Practicile de lucru necorespunzătoare pot
afecta auditul financiar întrucât utilizarea calculatorului constituie baza pentru întocmirea
situațiilor financiare. Punctele slabe din mediul de operare ar putea fi exploatate pentru a
rula programe neautorizate și a efectua modificări ale datelor financiare. Operare a pe
calculator trebuie să asigure o procesare exactă, corespunzătoare a datelor financiare.
Controlul neadecvat asupra operatorilor la calculator crește riscul acțiunilor neautorizate.
Operatorii nesupravegheați pot face uz de utilitățile sistemului pent ru a efectua modificări
neautorizate ale datelor financiare.
Experiența și pregătirea neadecvată a personalului mărește riscul comiterii de greșeli în
departamentul IT. Greșelile pot conduce la orice efect, de la căderea sistemului, până la
ștergerea date lor unei perioade.
Întreținerea neadecvată a echipamentului informatic poate cauza probleme de
disponibilitate a aplicațiilor, iar disfuncțiile sistemului pot conduce la date eronate.
Registrele de procesare pot reduce riscurile unei activități neautor izate. Pot fi utilizate de
asemenea pentru determinarea extensiei erorilor de procesare.
Documentația slabă sau lipsa acesteia pot cauza probleme cum ar fi: indisponibilitatea
sistemului, pierderea integrității datelor sau întârzieri în recuperarea acest ora după
eliminarea defectelor din sistem.

Pag. 73 din 180 Tabelul 2 2
Secțiunea Continuitatea sistemelor – B.5.5

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
CONTINUITATEA SISTEMELOR
Managementul
operațiunilor IT
Proceduri operaționale IT
Implementarea unui cadru procedural
care să conțină următoarele proceduri
operaționale:
– Proceduri la început de zi / sfârșit
de zi, dacă e cazul
– Proceduri de recuperare sau
restaurare
– Instalare de software și hardware
– Raportarea incidente lor
– Rezolvarea problemelor
Stabilirea unui responsabil cu
actualizarea procedurilor
operaționale IT
Protecția împotriva virușilor
Implementarea unei proceduri
privind utilizarea unei soluții
antivirus care să ofere asigurarea
privind:

Aplicarea soluției a ntivirus
tuturor serverelor și stațiilor
de lucru;
Actualizarea fișierului de
definiții antivirus
Interdicția dezactivării
software -ul antivirus de către
utilizatori la stația lor de
lucru;
Software -ul antivirus scanează
toate fișierele (pe server și
stați ile de lucru) automat în
mod periodic

LV_ Controale
generale IT
Planul de
continuitate a
activității

Cadrul
procedural
pentru
managementul
operațiunilor
IT

Procedur a
privind
utilizarea unei
soluții
antivirus

Auditorul va examina procedurile și modul de implementare a controalelor privind
operațiunile IT: existența unui manager de rețea, existența unui acord privind nivelul de
servicii între departamentul informatică și restul organizației, respectiv cu utilizatorii
sistemului (care să acopere disponi bilitatea serviciilor, standardele de servicii etc.), existența
unor proceduri și măsuri de supraveghere a personalului de operare a calculatoarelor și
care asigură suport tehnic, pregătirea și experiența personalului de operare, modalitatea și
calitatea î ntreținerii calculatoarelor (întreținere prin mijloace poprii sau de către furnizori

Pag. 74 din 180 externi), existența, utilizarea și monitorizarea jurnalelor de operații (pentru a detecta
activități neuzuale sau neautorizate sau pentru a monitoriza utilizarea facilităț ilor
sistemului de operare), documentarea adecvată a procedurilor (proceduri de supraveghere,
proceduri de procesare, proceduri de operare, managementul incidentelor, managementul
suporților de memorare (benzi, discuri, CD, DVD).
Auditorul va examina soluț ia de implementare a protecției antivirus .

B.5.6 Managementul configurațiilor IT

Managementul configurațiilor presupune asigurarea contextului hardware / software
stabil care să susțină funcționalitatea continuă a sistemului informatic și, implicit,
activitățile entității auditate. Se verifică dacă este prevăzută și este operațională
menținerea configurațiilor echipamentelor IT și ale aplicațiilor, în mod formal, în alte
locații decât sediul sistemelor.
Tabelul 2 3
Secțiunea Continuitatea sistemelor – B.5.6

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
CONTINUITATEA SISTEMELOR
Managementul
configurațiilor IT

Menținerea în mod formal a
configurațiilor echipamentelor IT și
ale aplicațiilor, și în alte locații decât
sistemele de producție; Utilizarea
unor măsuri de protecție

Implementarea unor proceduri care
să ofere asigurarea că sunt îndeplinite
următoarele condiții:
– Configurațiile sunt actualizate,
comprehensive și complete;
– Manualele de
instalare/utilizare sunt
actualizate în concordanță cu
ultima versiune de sistem;
– Se realizează o gestiune a
versiunilor programelor și
documentației, iar personalul
utilizator știe care sunt cele
mai noi versiuni ale
programelor și ale
documentației
LV_ Controale
generale IT
Plan ul de
continuitate a
activității

Cadrul
procedural
referitor la:
configurații,
documentația
tehnică de
instalare /
utilizare,
gestiunea
versiunilor
programelor și
documentației,
personalul
utilizator

Auditorul va examina procedurile și controalele pri vind existența și implementarea
procedurilor specifice managementului configurațiilor:
Menținerea în mod formal a configurațiilor echipamentelor IT și ale aplicațiilor și în
alte locații decât sediul sistemelor de producție; utilizarea unor măsuri de prot ecție;

Pag. 75 din 180
Implementarea unor proceduri care să ofere asigurarea că sunt îndeplinite condiții le
referitoare la : configurații, documentația tehnică de instalare / utilizare , gestiunea
versiunilor programelor și documentației, personalul utilizator.
PROCEDURA B 6 – Externalizarea serviciilor IT

Nevoia de siguranță că serviciile de la terți (furnizori, vânzători și parteneri) satisfac
cerințele afacerii implică un proces efectiv de management al părții terțe. Acest proces
este realizat prin definirea clară a rolu rilor, reponsabilităților și așteptărilor în acordurile
cu părțile terțe, precum și prin revizuirea și monitorizarea acestor acorduri în vedera
asigurării eficacității și conformității. Managementul efectiv al serviciilor de la terți
minimizează riscul afa cerii asociat furnizorilor neperformanți.

Având în vedere că activitatea IT nu este activitatea principală într -o entitate și că
managementul se concentrează în primul rând pe obiectivele afacerii, tendința principală
privind asigurarea serviciilor IT est e de a utiliza furnizori externi de servicii IT, soluție
care în majoritatea cazurilor contribuie și la reducerea costurilor.
Necesitatea unor colaborări, a furnizării unor servicii de tehnologia informației (Internet,
instruire, asistență tehnică, întreț inere, etc.) determină externalizarea acestor activități
prin încheierea de contracte semnate cu furnizorii acestor servicii. Având în vedere că
astfel de relații contractuale sunt purtătoare de riscuri (atât sub aspect valoric, cât și la
nivelul funcționa lității și securității sistemului), auditorul trebuie să evalueze implicațiile
ce decurg din clauzele contractuale privind confidențialitatea, formele de asigurare a
suportului și asistenței tehnice, valorile contractuale pentru asistență tehnică și
întreț inere, dependența față de furnizor, ținând seama de natura serviciilor.
Tabelul 2 4
Externalizarea serviciilor IT – B6

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
EXTERNALIZAREA SERVICIILOR IT

Externalizarea
servic iilor IT
Există o politică de externalizare a
activităților IT (existența unor
colaboratori, furnizori de servicii IT,
etc.) bazată pe: i dentificarea relațiilor
cu toți furnizorii, managementul
relațiilor cu furnizorii, managementu l
riscului asociat furni zorilor
Includerea de clauze de tip SLA
(Service Level Agreement ) în
contractele cu furnizorii de servicii
Includerea clauzelor de
confidențialitate în contractele cu
furnizorii de servicii
Este monitorizată performanța
furnizorului

Se e fectu ează o analiz ă privind nivelul
de dependență față de furnizor
LV_ Controale
generale IT
Politică de
externalizare a
activităților IT

Contractele cu
furnizorii IT

Rapoarte de
evaluare

Pag. 76 din 180 Auditorul va examina în primul rând politicile și procedurile care asigură sec uritatea
datelor entității. Clauzele existente în contractele semnate cu furnizorii oferă o primă
imagine privind eventualitatea apariției unor riscuri în cazul neincluderii unor controale
adecvate.
De asemenea, auditorul va evalua politica de externalizar e a activităților IT, precum și
modul în care organizația monitorizează prestația furnizorilor externi de servicii, atât în
ceea ce privește aspectele legate de securitate, cât și cele legate de calitatea serviciilor.
Monitorizarea neadecvată mărește riscu l ca procesarea inexactă sau incompletă să rămână
nedetectată.
Examinarea contractelor de prestări servicii va acoperi toate problemele importante:
performanța (SLAs), securitatea, proprietatea asupra datelor, accesul la datele clientului,
disponibilitate a serviciului, planificarea pentru situațiile de urgență.
Auditorul trebuie să obțină asigurarea că furnizorul extern de servicii IT a realizat o
procesare exactă și completă. Auditorul va putea obține asigurarea prin inspecție personală
sau prin obținerea asigurării unei terțe părți independente.

PROCEDURA B7 – Managementul schimbării și al dezvoltării de sistem

Managementul schimbării și al dezvoltării sistemului are ca obiectiv important
implementarea unor politici, proceduri și controale în scopul asigurării că sistemele sunt
disponibile când sunt necesare, funcționează conform cerințelor, sunt fiabile, controlabile
și necostisitoare, au un control sigur al integrității datelor și satisfac nevoile utilizatorilor.

Controalele schimbării sunt necesar e pentru a asigura continuitatea sistemului în
conformitate cu cerințele impuse și pot varia considerabil de la un tip de sistem la altul.

Când este evaluat acest domeniu, se pun următoarele întrebări:
Dacă există perspective ca noile proiecte să ofere so luții care să răspundă nevoilor
afacerii ;
Dacă noile proiecte au șanse să fie duse la bun sfârșit, în timpul și cu bugetul
prevăzute ;
Dacă noile sisteme vor funcționa după implementare ;
Dacă este posibil ca schimbările să aibă loc fără a perturba activităț ile curente ale
afacerii/organizației .

Schimbările se referă la hardware (calculatoare, periferice, rețele), la software (sisteme de
operare, utilitare) și la aplicațiile individuale. Scara schimbărilor poate diferi considerabil:
de la proceduri aferente unor funcții dedicate, la instalarea unor versiuni noi de aplicații
sau sisteme de operare. Indiferent de mărimea sau scara schimbărilor, efectele asupra
operării sistemului trebuie să fie minime pentru a nu perturba activitatea curentă a
entității.

Contr oalele managementului schimbărilor sunt implementate pentru a se asigura că
modificările aduse unui sistem informatic sunt corespunzător autorizate, testate,
acceptate și documentate. Controalele slabe pot antrena din schimbări care pot conduce la
modifică ri accidentale sau de rea credință aduse programelor și datelor. Schimbările de
sistem insuficient pregătite pot altera informațiile financiare și pot întrerupe parcursul de
audit.

Schimbarea sistemului presupune p rocurarea resurselor . Resursele IT, inclu zând
echipamente hardware, software, servicii și personal , trebuie să fie achiziționate. Acest

Pag. 77 din 180 lucru necesită definirea și punerea în aplicare a procedurilor de achiziții, selectarea
distribuitorilor, configurarea aranjamentelor contractuale, precum și ach iziția în sine. Se
asigură astfel obținerea de către organizație a tuturor resursele IT într -un timp util și în
mod eficient.

Toate schimbările, incluzând cele de întreținere urgentă și pachetele, referitoare la
infrastructura și aplicațiile din mediul de producție sunt administrate formal și într -o
manieră controlată. Schimbările (inclusiv acelea ale procedurilor, proceselor, sistemelor și
parametrilor de servicii) sunt înregistrate, evaluate și autorizate înainte de implementare
și revizuite în comparați e cu rezultatul așteptat după implementare. Aceasta asigură
reducerea riscurilor care afectează stabilitatea și integritatea mediului de producție.

Noile sisteme trebuie să devină operaționale odată ce dezvoltarea lor este completă. De
aceea, sunt necesar e următoarele: testare adecvată într -un mediu dedicat, cu date de test
relevante; definirea instrucțiunilor de distribuție și migrare; planificarea pachetelor de
distribuție și promovarea în producție, precum și o revizuire post -implementare. Astfel se
asigură că sistemele operaționale răspund așteptărilor și rezultatelor agreate.

Aplicațiile sunt puse la dispoziție în conformitate cu cerințele afacerii. Acest proces ia în
considerare arhitectura aplicațiilor, includerea corectă a cerințelor de control și securitate
ale aplicației precum și dezvoltarea și configurarea în conformitate cu standardele. Acest
proces permite organizațiilor să susțină în mod corespunzător operațiunile economice cu
ajutorul aplicațiilor automatizate potrivite.

Organizațiile au pr ocese pentru achiziția, implementarea și actualizarea infrastructurii
tehnologice. Aceasta necesită o abordare planificată pentru achiziția, întreținerea și
protecția infrastructurii, în conformitate cu strategiile tehnologice agreate și pregătirea
mediilo r de dezvoltare și testare. Acest proces asigură existența unui suport tehnic
continuu pentru aplicațiile economice.
Tabelul 25
Secțiunea Managementul schimbării și al dezvoltării de sistem – B7

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
MANAGEMENTUL SCHIMBĂRII ȘI AL DEZVOLTĂRII DE SISTEM
Politici privind
schimbarea sau
dezvoltarea
sistemului și
procedurile
asociate
Implementarea unor politici,
proceduri și controale în scopul
asigurării că sistemele sunt
disponi bile când sunt necesare,
funcționează conform cerințelor, sunt
fiabile, controlabile și necostisitoare,
au un control sigur al integrității
datelor și satisfac nevoile
utilizatorilor
Managementul schimbării
proceselor afacerii
– Inițierea modificării sau d ezvoltării
sistemului IT,
– Alocarea corectă a investițiilor în
hardware, software și servicii IT,
– Asigurarea că se realizează
LV_ Controale
generale IT

Politici privind
schimbarea /
dezvoltarea
sistemului și
procedurile
asociate

Standardele și
procedurile
pentru
schimbare

Contractele cu
furnizorii IT

Rapoarte de
evaluare

Pag. 78 din 180 Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
armonizarea necesităților afacerii cu
schimbările IT,
– Documentarea procedurilor și a
activităților (formular pentru cereri,
– Evidența modificărilor efectua te) și
competențele de aprobare

Managementul schimbărilor tehnice
– Integrarea de componente noi,
– Înlocuirea unor componente,
– Schimbarea versiunii sistemului
– Implementarea schimbărilor tehnice
în mediul de test, d e producție, de
dezvoltare
– Implementarea modificărilor
solicitate în regim de urgență

Metodologia de dezvoltare
– Procedurile trebuie să se aplice într –
un mod consistent tuturor proiectelor
de dezvoltare, având atașate și cazuri
predefinite de testare. Lipsa unei
metodologii de dezvoltare a
proiectelor implică un risc ridicat
asupra sistemului

Managementul proiectelor
– Metodologia de management al
proiectelor utilizată,
– Existența procedurilor specifice
proiectelor IT,
– Monitorizarea periodică a stadiului
proiectelor IT

Implicarea utilizatorilor în etapele
procesului de dezvoltare a
proiectului
– Specificarea cerințelor,
– Testarea programelor,
– Acceptarea sistemului,
– Instruirea personalului,
– Elaborarea documentației, etc..

Managementu l calității
– Are un impact semnificativ asupra
componentelor informatice
dezvoltate, asupra sistemului în
general și, implicit , asupra activității
entității

Documentarea procedurilor și a
funcționării sistemului
– Facilitatea operării de către
utilizato ri la nivel de aplicație, cât și

Pag. 79 din 180 Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
pentru asigurarea funcționalității la
nivel de sistem. Existența manualelor
de utilizar e reprezintă o cerință
minimală

Implementarea unor proceduri de
control al schimbării
– Proceduri privind autorizarea de
către managem ent;
– Testarea software -ului modificat
înainte de a fi utilizat în mediul de
producție;
– Examinări din partea
managementului ale efectelor
schimbărilor;
– Întreținerea unor evidențe adecvate;
– Pregătirea unui plan de recuperare,
chiar dacă sistemul func ționează
corect;
– Elaborarea și implementarea
procedurilor de control privind
schimbările de urgență
– Procedu rile de control al versiunilor
utilizează pe scară largă instrumente
automate de control al versiunilor
pentru a înregistra schimbările
succesiv e efectuate asupra
programelor sursă ;
– Proceduri pentru migrarea datelor în
noul sistem ;
– Actualizarea documentației în
concordanță cu schimbările operate

Efectuarea unei analize cu privire
la efectele schimbării , pentru a
determina:
Dacă schimbarea s -a finalizat cu
rezultatele planificate;
Dacă utilizatorii sunt mulțumiți
în ceea ce privește modificarea
produsului;
Dacă au apărut probleme sau
efecte neașteptate;
Dacă resursele cerute pentru
implementarea și operarea
sistemului actualizat au fost cele
planificate

Implementarea unor controale
specifice care să stabilească:
– Cine inițiază modificarea sau
dezvoltarea aplicațiilor
– Dacă există un formular pentru

Pag. 80 din 180 Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
cereri și cine trebuie să îl aprobe
– Dacă există o procedură pentru a se
asigura că investiți ile în hardware,
software și servicii IT sunt evaluate
corespunzător
– Dacă au fost adoptate metodologii și
instrumente standard pentru
dezvoltarea unor aplicații pe plan
local și dacă utilizarea acestei
metodologii este transpusă în
proceduri documentate
– Cum se asigură conducerea de
armonizarea necesităților activității
cu schimbările IT
– Dacă există o evidență a tuturor
modificărilor efectuate
– Dacă există o separație a mediilor de
producție (operațional), de test și de
dezvoltare
– Dacă există o proc edură de
implementare a schimbărilor tehnice
în mediul operațional
– Dacă sunt permise în cadrul
instituției modificările de urgență
– Dacă există o etapizare privind
documentarea, abordarea
retrospectivă, testarea
– Cine inițiază, cine aprobă, cine
efectu ează, cine monitorizează aceste
modificări
– Dacă există o evidență clară a acestor
modificări
– Dacă se testează modificările de
urgență
– Dacă sunt stabilite măsuri de control
pentru ca numai modificările
autorizate să fie transferate din
mediul de test în cel de producție

Procurarea
resurselor
Este i mplementat un cadru de c ontrol
al achizițiilor , se realizează
managementul contractelor cu
furnizorii , există politici pentru
selectarea furnizorilor și
achiziționarea resurselor

LV_ Controale
generale IT
Cadrul de
control al
achizițiilor

Contractele c u
furnizorii

Politici și
proceduri

Instalarea și
acreditarea
soluțiilor și
schimbărilor
Instruire a pesonalului pentru
utilizarea noului sistem

Au fost elaborate documente privind:
LV_ Controale
generale IT
Program de
instruire

Pag. 81 din 180 Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
Planul de testare , Planul de
implementare

Există proceduri privind: m ediul de
test, conversia sistemului și a datelor ,
testarea schimbărilor , testul final de
acceptare , promovarea în producție ,
revizia post -implementare
Plan de testare

Plan de
implementare

Proceduri
Ach iziția și
întreținerea
aplicațiilor software
A fost asigurat cadrul pentru
desfășurarea următoarel or activități
și satisfacerea următoarelor cerințe :
– Proiectarea de nivel înalt
– Proiectarea detaliată
– Controlul și auditabilitatea
aplicațiilor
– Securitatea și disponibilitatea
aplicațiilor
– Configurarea și implementarea
aplicațiilor software achiziționate
– Actualizări majore ale sistemelor
existente
– Dezvoltarea aplicațiilor software
– Asigurarea calității software
– Managementul cerințelor
aplicațiilor
– Întreținerea aplicațiilor software

LV_ Controale
generale IT
Proiecte
Cadrul de
securitate

Cadrul
procedural

Contractele cu
furnizorii

Politici și
proceduri

Documentații
tehnice

Achiziția și
întreținerea
infrastructurii
tehnologice
A fost asigurat cadrul pent ru
desfășurarea următoarelor activități
și satisfacerea următoarelor cerințe:
– Planul de achiziție a infrastructurii
tehnologice
– Protecția și disponibilitatea
resurselor infrastructurii
– Întreținerea infrastructurii
– Mediul de testare a fezabilității

LV_ Co ntroale
generale IT
Planul de
achiziție a
infrastructurii
tehnologice

Contracte

Documentații
tehnice

Detalii te oret ice referitoare la PROCEDURA B 7 se regăsesc în Manualul de audit al
sistemelor informatice (CCR, 2012) .

Auditorul va examina următoarel e aspecte:

Politicile și procedurile de autorizare existente pentru modificarea aplicațiilor
financiare: cine autorizează modificările, dacă se folosesc studii de fezabilitate
pentru a determina impactul potențial al modificărilor, cum este monitorizată ș i
analizată derularea proiectului de către conducere, reacțiile generate, metodologii și
instrumente standard de dezvoltare adoptate, documentații referitoare la modificare,
analiza post -modificare;

Pag. 82 din 180
Modul de gestionare a următoarelor categorii de actuivită ți: procurarea resurselor,
instalarea și acreditarea soluțiilor și schimbărilor, achiziția și întreținerea aplicațiilor
software, achiziția și întreținerea infrastructurii tehnologice;
În ce măsură sunt testate actualizările sistemului și ale aplicației î nainte de
transferul în mediul operațional (de producție);
Dacă procedurile de testare sunt adecvate, independente și documentate;
Implicarea utilizatorilor în testarea dezvoltării, achiziției și recepției sistemelor
informatice;
Dacă evidențele modificări lor sunt la zi, cuprinzătoare și complete;
Dacă manualele de utilizare sunt actualizate și este disponibilă cea mai recentă
versiune a documentației;
Efectuarea modificărilor de urgență;
Controale existente pentru a asigura că numai modificările autorizate sunt
transferate din mediul de testare în mediul de producție;
Modul de tratare a deficiențele de funcționare a software -ului și a problemelor
utilizatorilor (funcție help -desk, statistici help -desk disponibile, rezolvarea practică a
incidentelor);
Contro ale pentru prevenirea accesului persoanelor neautorizate la programele din
biblioteca sursa de programe pentru a face modificări.

PROCEDURA B8 – Auditul intern IT

Responsabilitatea managementului privind implementarea sistemului de controale
interne se reflectă în politicile și procedurile implementate. Asigurarea că sistemul de
controale este implementat corespunzător și reduce în mod rezonabil riscurile identificate
este furnizată de auditorii interni care examinează politicile, procedurile și controal ele
implementate și efectele funcționării acestora asupra activității entității.

Auditorii externi privesc funcția de audit intern a entității ca fiind o parte din structura
generală de control a acesteia, o evaluează și formulează o opinie privind încred erea în
activitatea auditului intern.

De asemenea, auditorii externi evaluează dacă personalul din structura de audit intern
este capabil să efectueze evaluări competente ale sistemului de calcul al entității, dacă
utilizează metodologii sau standarde de audit IT adecvate.

Structura mediului de control IT al unei entități conține controale specifice IT care se
referă la următoarele categorii de elemente:
Mediul controalelor generale : include controalele asociate politicilor de
nivel înalt, valorilor e tice, culturii afacerii și resurselor umane.
Evaluarea riscurilor : presupune evaluarea amenințărilor, vulnerabilităților și
a impactului acestora asupra afacerii.
Informație și comunicații : constau în controale care permit personalului să
primească și să controleze informațiile legate de afacere.
Activități de control : asigură că afacerea continuă să opereze în maniera
așteptată de managementul de vârf.
Monitorizare : asigură că politicile și procedurile continuă să funcționeze și
sunt adecvate.

Pag. 83 din 180
Tabelul 26

Secțiunea Auditul Intern – B8

Direcții de evaluare Obiective de control Documente
de lucru Surse p robe
de audit
AUDIT INTERN IT

Audit intern IT
Modul în care se reflectă preocuparea
pentru auditarea infrastructurii IT, în
planificarea acțiunilor de audit intern
ale entității
Măsurile întreprinse pentru
asigurarea funcția de audit intern
privind domeniul IT în cadrul
instituției
Pregătirea profesională a auditorilor
interni în domeniul IT
Metodologia pentru audit IT folosită
de auditorii interni
Ritmicitatea elaborării unor rapoarte
de audit IT. Modul de valorificare a
constatărilor

LV_ Controale
generale IT

Planul de audit
intern

Rapoarte de
audit

Metodologia
pentru audit
IT

Auditul intern trebuie să se concentreze asupra existenței și efica cității controalelor
specializate IT pentru toate categoriile menționate mai sus, în concordanță cu specificul
activității și în scopul evitării expunerii afacerii la riscuri nejustificate.
Specializarea unor auditori în domeniul auditului IT și utilizare a unor metodologii adecvate
sau includerea unor experți în domeniu în echipa de audit, în situații în care se justifică
prezența acestora, reprezintă o cerință pentru evaluarea unor sisteme informatice
complexe.

2.3 Revizuirea controalelor aplicației și eva luarea riscurilor
asociate

Secțiunile următoare se referă la problematica specifică aplicațiilor informatice financiar –
contabile, din perspectiva auditului.

SCOP : Să consolideze cunoștințele privind sistemul informatic al entității auditate , obținute
prin evaluarea controalelor generale aferente mediului informatizat, să permită auditorului
financiar să identifice, să documenteze și să evalueze orice proceduri și controale care
operează în cadrul fiecărei aplicații financiare, să permită auditorului să evalueze nivelul
general al riscului de audit asociat fiecărei aplicații și să identifice riscurile specifice care pot
influența realizarea conformității și riscurile asociate programelor informatice.

Pag. 84 din 180 Cele mai importante obiective de control specifice ap licațiilor7 sunt:

1. Pregătirea și autorizarea surselor de date: asigură faptul că documentele sursă sunt
pregătite de personal autorizat și calificat, folosind proceduri anterior stabilite,
demonstrând o separare adecvată a îndatoririlor cu privire la ge nerarea și aprobarea
acestor documente. Erorile și omisiunile pot fi minimizate printr -o bună proiectare a
intrărilor. Detectează erorile și neregulile spre a fi raportate și corectate.
2. Colectarea surselor de date si introducerea în sistem: stabilește f aptul că intrările (datele
de intrare) au loc la timp, fiind făcute de către personal autorizat și calificat. Corectarea și
retrimiterea datelor care au intrat în sistem în mod eronat trebuie să aibă loc fără a trece
peste nivelurile inițiale de autorizare privind tranzacțiile (intrările). Când este nevoie să
se reconstituie intrarea, trebuie reținută sursa inițială pentru o perioadă suficientă de
timp.
3. Verificări privind: acuratețea, completitudinea și autenticitatea: asigură faptul că
tranzacțiile sunt precise (exacte), complete și valabile. Validează datele introduse și le
editează sau le trimite înapoi spre a fi corectate cât mai aproape posibil de punctul de
proveniență.
4. Integritatea și validitatea procesului: menține integritatea și validitatea d atelor de -a
lungul ciclului de procesare. Detectarea tranzacțiilor compromise din punct de vedere al
erorilor nu întrerupe procesarea tranzacțiilor valide.
5. Revizuirea rezultatelor, reconcilierea și tratarea erorilor: stabilește procedurile și
responsabi litățile asociate pentru a asigura că rezultatul este utilizat într-o manieră
autorizată, distribuit destinatarului potrivit și protejat în timpul transmiterii sale, precum
și faptul că se produc : verificarea, detectarea și corectarea exactității rezultatu lui și că
informația oferită în rezultatul procesării este utilizată .
6. Autentificarea și integritatea tranzacțiilor: înainte de a transmite datele tranzacției de la
aplicațiile interne către funcțiile operaționale ale afacerii (sau către exteriorul
organ izației), trebuie verificate: destinația, autenticitatea sursei și integritatea
conținutului. Menține autenticitatea și integritatea transmiterii sau ale transportului.

Pentru evaluarea controalelor de aplicație se utilizează Lista de verificare privind
evaluarea controalelor de aplicație.
Aspectele teoretice referitoare la evaluarea riscurilor sunt tratate în Capitolul 4. Pentru
evaluarea riscurilor se utilizează Lista de verificare privind evaluarea riscurilor (Anexa 4 .

PROCEDURA CA1 – Înțelegerea siste mului informatic financiar – contabil

Auditorul trebuie să înțeleagă toate etapele pe care le parcurg tranzacțiile, de la inițiere și
până la reflectarea lor în situațiile financiare. În foarte multe cazuri, când activitatea este
parțial informatizată, ap licațiile informatice reflectă parțial fluxul unei tranzacții,
prelucrarea fiind completată prin proceduri manuale. În acest context, auditorul este cel
care trebuie să reconstituie parcursul tranzacției, de la inițiere până la includerea în
situațiile fin anciare.

În cadrul evaluării aplicațiilor, auditorul trebuie să identifice toate echipamentele
informatice asociate mediului IT implicate în introducerea, prelucrarea, stocarea sau
producerea rezultatelor de ieșire aferente sistemului informatic financiar -contabil.

7 Conform cadrului de lucru COBIT

Pag. 85 din 180 De asemenea, va identifica toate aplicațiile IT care contribuie la obținerea situațiilor
financiare.

Pentru fiecare aplicație financiară auditorul trebuie să prezinte în documentele de lucru,
sub forma de schemă logică sau descriptivă, următo arele elemente:

interfețele dintre operațiile manuale și operațiile informatizate;
echipamentele și aplicațiile informatice care contribuie la obținerea situațiilor
financiare verificate;
valoarea și volumul tranzacțiilor procesate de fiecare aplicație;
modulele de introducere, prelucrare, ieșire și stocare ale aplicațiilor relevante;
fluxul tranzacțiilor de la inițierea tranzacției până la reflectarea acestora în
situațiile financiare.

Creșterea gradului de complexitate a sistemelor informatice prin int egrarea aplicațiilor la
nivelul sistemului informatic al entității, permite procesarea mai multor tipuri de
tranzacții, provenind din aplicații diferite: aplicații care procesează tranzacții privind
veniturile, tranzacții de cheltuieli, state de plată luna re, evidența stocurilor, costul
lucrărilor și activele fixe și altele. Este deci posibil ca o aplicație să proceseze tranzacții din
zone contabile diferite.

La definirea zonelor contabile, auditorul va trebui să identifice fluxul principal de
tranzacții d in fiecare aplicație și să reconstituie parcursul prelucrării în funcție de
aplicația analizată. De asemenea, trebuie să detecteze și să reconstituie fluxurile care apar
în situația transferului de informații între aplicații.
Tabelul 27
Descrierea aplicaț iei

Cod
procedură Controale de
aplicație
Documente de
lucru Revizuiri / Teste

CA1
Descrierea
aplicației
LV_Controale
Aplicație
Funcțiile pe care le realizează aplicația

Arhitectura aplicației (platforma hardware /
software, produsele software de t ip
instrument, sistemul de gestiune a bazelor de
date, sistemul de comunicație)

Desemnarea administratorului aplicației

Care este numărul utilizatorilor? Cine sunt
utilizatorii?

Volumul și valoarea tranzacțiilor procesate
lunar de aplicația financiar co ntabilă

Puncte slabe sau probleme cunoscute

Auditorul trebuie să evalueze riscul de audit în cadrul fiecărui proces, utilizând următorii
trei factori:
(a) amenințările la adresa integrității și disponibilității informațiilor financiare;
(b) vul nerabilitatea informațiilor financiare la amenințările identificate;
(c) impactul posibil în ceea ce privește obiectivele auditului.

Pag. 86 din 180
Auditorul va colecta informații referitoare la aplicația financiar -contabilă: descrierea
aplicației, funcțiile pe care le realizează aplicația, arhitectura aplicației (platforma
hardware / software, produsele software de tip instrument, sistemul de gestiune a bazelor de
date, sistemul de comunicație), proprietarul aplicației, administratorul aplicației, numărul
utilizator ilor aplicației și cine sunt aceștia, volumul și valoarea tranzacțiilor procesate lunar
de aplicația financiar -contabilă, puncte slabe sau probleme cunoscute.
PROCEDURA CA2 – Posibilitatea de efectuare a auditului

Posibilitatea efectuării auditului pe baz a sistemului informatic financiar -contabil depinde
de posibilitatea colectării unor probe suficiente și competente, pentru efectuarea
auditului.
Tabelul 28
Posibilitatea de efectuare a auditului

Cod
procedură Controale de
aplicație
Documente de
lucru Revizuiri / Teste

CA2
Posibilitatea
de efectuare
a auditului
LV_Controale
Aplicație
Evidențele tranzacțiilor să fie stocate și să fie
complete pentru întreaga perioadă de raportare

Evidențierea unei tranzacții să conțină suficiente
informații pentr u a stabili un parcurs de audit

Totalurile tranzacțiilor să se regă sească în
situațiile financiare

Dacă oricare din tre aceste revizuir i nu primește un răspuns afirmativ, auditorul , pe baza
raționamentului profesional, trebuie să decidă dacă sistemul infor matic oferă încredere în
situațiile financiare generate de acest sistem. În condițiile în care concluzia auditorului
este că nu poate avea încredere în sistemul informatic, auditorul trebuie să analizeze ce
măsuri trebuie luate pentru a continua misiunea d e audit financiar.

Auditorul trebuie să constate dacă există evidențe contabile alternative manuale și dacă este
posibil să se efectueze auditul pe baza acestora (pe lângă sistemul informatic).

PROCEDURA CA3 – Utilizarea tehnicilor de audit asistat de c alculator (CAAT)

Tehnicile de auditare asistată de calculator utilizate cel mai frecvent în auditul financiar se
împart în două categorii:

(a) tehnici pentru regăsirea datelor
prin interogarea fișierelor de date;
prin utilizarea unor module de audit incluse în sistemul in formatic auditat.

(b) tehnici pentru verificarea controalelor sistemului
utilizarea datelor de test;
utilizarea facilităților de testare integrate;
simulare paralelă;

Pag. 87 din 180
compararea codului programului;
revizuirea codului programului.

Tabelul 29
Utilizarea tehnicilor de audit asistat de calculator (CAAT)

Cod
procedură Controale de
aplicație
Documente de
lucru Revizuiri / Teste

CA3
Utilizarea
tehnicilor de
audit asistat
de calculator
(CAAT)
LV_Controale
Aplicație
Identificarea in formațiilor care vor fi necesare
pentru prelucrare în scopul obținer ii probelor de
audit

Obținerea datelor într -un format adecvat pentru
a fi prelucrate

Stocarea datelor într -o structură care să permită
prelucrările i mpuse de necesitățile auditului

Obținerea asigurării privind versiunea de
programe utilizată și cor ectitudinea surselor de
date
Înțelegerea modului în care operează sistemul
(identificarea fișierelor care conțin datele de
interes și a structurii acestora)
Cunoașterea structurii înregistrări lor, pentru a
le putea des crie în programul de interogare
Formularea interogărilor asupra fișierelor /
bazelor de date
Cunoașterea modului de operare a sistemului
Determinarea criteriilor de selecție a
înregistrărilor în funcție de metoda de
eșantiona re și de tipurile de prelucrări
Interogarea sistemului și obținerea probelor de
audit. Trebuie adoptată cea mai adecvată formă
de prezentare a rezultatelor

Datele trebuie să fie furnizate într -o formă care să permită utilizarea lor în mod direc t de
către progr amul de audit asistat de calculator sau într -un format standard compatibil cu
versiunea sofware utilizată de auditor (fișiere Windows, Lotus, Excel, mdb , text cu
separatori , etc.);

Datele trebuie să fie furnizate în format electronic, pentru a permite imp ortul direct în
baza de date a auditorului, pe suport magnetic, optic sau prin rețea (Internet, intranet). In
toate cazurile trebuie analizate implicațiile infectării cu viruși.

In cazul auditului financiar, sunt oferite facilități specifice pentru preluc rarea și analiza
unor colecții mari de date, prin efectuarea unor teste și utilizarea unor proceduri
adecvate, cum ar fi:

Pag. 88 din 180
Teste ale detaliilor tranzacțiilor și soldurilor (recalcularea dobânzii, extragerea din
înregistrările bazei de date a entității a fac turilor care depășesc o anumită valoare
sau dată calendaristică sau care îndeplinesc alte condiții);
Proceduri analitice (identificarea neconcordanțelor sau a fluctuațiilor
semnificative);
Teste ale controalelor generale (testarea setării sau a configurări i sistemului de
operare, verificarea faptului că versiunea programului folosit este versiunea
aprobată de conducere);
Programe de eșantionare pentru extragerea datelor în vederea efectuării testelor
de audit;
Teste ale controalelor aplicațiilor (testarea c onformității aplicației cu condițiile
impuse de legislația în vigoare);
Refacerea calculelor efectuate de sistemele contabile ale entității.

Pentru a obține probe de audit de calitate și pentru efectuarea unor prelucrări adiționale ,
auditorul poate efectu a investigații privind informațiile generate de calculator, prin
utilizarea tehnicilor de audit asistat de calculator, în particular, utilizarea programului
IDEA.
Acest mod de lucru contribuie la creșterea performanței în efectuarea testelor de fond, prin
aplicarea unor proceduri analitice automatizate, precum și a performanței procedurilor de
audit.

Auditor ul poate folosi testarea datelor pentru:
verificarea controalelor specifice în sistemele informatice, cum ar fi controale de
acces la date, parole;
prelucrarea tranzacțiilor selectate dintre cele prelucrate de sistemul informatic sau
create de auditor pentru a testa facilitățile aplicațiilor informatice ale entității,
separat de datele procesate în mod obișnuit de entitate;
prelucrarea tranzacțiilor de t est în timpul execuției normale a programului de
prelucrare, de către auditorul integrat în sistem ca fiind un utilizator fictiv. In acest
caz, tranzacțiile de test trebuie să fie eliminate ulterior din înregistrările contabile
ale entității.
PROCEDURA CA4 – Determinarea răspunderii

Pentru a determina răspunderea utilizatorilor în ceea ce privește operațiile efectuate
asupra tranzacțiilor, sistemele informatice trebuie să fie capabile să identifice ce utilizator
a efectuat o anumită operație și când .
Tabelul 30
Determinarea răspunderii

Cod
procedură Controale de
aplicație
Documente
de lucru Revizuiri / Teste

CA4
Determinarea
răspunderii
LV_Controale
Aplicație
Implementarea unor controale care identifică
și raportează acțiunile utilizatorilor și
înregistrează informațiile într -un registru de
audit
Conducerea examinează în mod regulat
rapoartele de excepții extrase din registrul de
audit și ia măsuri de urmărire ori de câte ori

Pag. 89 din 180 Cod
procedură Controale de
aplicație
Documente
de lucru Revizuiri / Teste
sunt identi ficate discrepanțe
Există controale adecvate pentru a as igura că
personalul care introduce sau procesează
tranzacții nu poate să modifice și înregistrările
aferente activităților lor, înscrise în registrul de
audit
Integritatea registrelor de audit este asigurată
prin criptarea datelor sau prin copierea
registr ului într -un director sau fișier protejat

Auditorul va verifica dacă există controale adecvate pentru a asigura că personalul care
introduce sau procesează tranzacții nu poate să modifice și dacă sunt înregistrate
activităților lor.
PROCEDURA CA5 – Eval uarea documentației aplicației

O bună documentație a aplicației reduce riscul comiterii de greșeli de către utilizatori sau
al depășirii atribuțiilor autorizate. Documentația trebuie să fie cuprinzătoare, actualizată
la zi, pentru ca examinarea acesteia s ă ajute auditorul să obțină o înțelegere a modului în
care funcționează fiecare aplicație și să identifice riscurile particulare de audit.
Documentația trebuie să includă:

prezentarea generală a sistemului;
specificația cerințelor utilizatorului;
descrier ea și listingul programului sursă (după caz);
descrierile intrărilor / ieșirilor;
descrierea conținutului fișierelor;
manualul utilizatorului;
instrucțiuni de operare.
Tabelul 31
Documentația aplicației

Cod
procedură Controale de
aplicație
Documente
de lucru Revizuiri / Teste

CA5
Documentația
aplicației
LV_Controale
Aplicație
Se va evalua :
dacă documentația aplicației este
adecvată, cuprinzătoare și actualizată;
dacă personalul îndreptă țit are copii ale
documentației relevante sau acces la
acea sta;
dacă există instrucțiuni de lucru pentru
procedurile zilnice și pentru rezolvarea
unor probleme frecvente;
dacă se păstrează copii de rezervă ale
documentației aplicației în scopul
recuperării după dezastru și al reluării
rapide a procesării.

Pag. 90 din 180 Audito rul va evalua dacă documentația aplicației este adecvată, este cuprinzătoare și
actualizată, dacă personalul îndreptă țit are copii ale documentației relevante sau acces la
aceasta, dacă există instrucțiuni de lucru pentru procedurile zilnice și pentru rez olvarea
unor probleme frecvente, dacă se păstrează copii de rezervă ale documentației aplicației în
scopul recuperării după dezastru și al reluării rapide a procesării.

PROCEDURA CA6 – Evaluarea securității aplicației

După evaluarea controalelor gene rale IT, auditorul va trebui să obțină o înțelegere a
controalelor asupra accesului la calculatoarele pe care funcționează aplicațiile, în
condițiile în care utilizatorii selectează o aplicație anume. O analiză a securității aplicației
ia în considerare controalele de acces ca fiind o fază anterioară operării aplicației și
vizează modul în care sunt controlați utilizatorii când accesează o anumită aplicație. De
exemplu, tot personalul din departamentul finanțe va avea acces, prin controalele
sistemului, la aplicația financiară online. Pentru controlul accesului la diferite categorii de
informații (la registrul de vânzări, la registrul de cumpărări, la statele de plată etc.) se
introduc controalele de aplicație suplimentare care reglementează drepturile de ac ces la
fiecare categorie în parte.
Tabelul 32
Securitatea aplicației

Cod
procedură Controale de
aplicație
Documente de
lucru Revizuiri / Teste

CA6
Securitatea
aplicației:
acces fizic și
logic
LV_Controale
Aplicație
Se vor evalua protecțiile fizice în vigoare pentru
a preveni accesul neautorizat la aplicație sau la
anumite funcții ale acesteia, în funcție de
atribuții, pentru punerea în aplicare a separării
sarcinilor și a respectării atribuțiilor
Se vor testa controalele logice de acces utilizate
pentru a restricționa accesul la aplicație sau la
anumite funcții ale acesteia pentru punerea în
aplicare a separării sarcinilor și a respectării
atribuțiilor
Se vor testa controalele logice existente pentru
restricționarea activității utilizatorilor după c e a
fost obținut accesul la o aplicație (de exemplu,
meniuri restricționate)
Evaluarea controalelor existente în cadrul
aplicației pentru identificarea acțiunilor
utilizatorilor individuali (utilizarea de
identificări unice, jurnale de operații, utilizarea
semnăturii electronice)

Auditorul va evalua protecțiile fizice în vigoare pentru a preveni accesul neautorizat la
aplicație sau la anumite funcții ale acesteia, în funcție de atribuții, pentru punerea în
aplicare a separării sarcinilor și a respectării atribuțiilor. De asemenea, va evalua
controalele existente în cadrul aplicației pentru identificarea acțiunilor utilizatorilor

Pag. 91 din 180 individuali (utilizarea de identificări unice, jurnale de operații, utilizarea semnăturii
electronice).

Auditorul va testa contr oalele logice de acces utilizate pentru a restricționa accesul la
aplicație sau la anumite funcții ale acesteia pentru punerea în aplicare a separării sarcinilor
și a respectării atribuțiilor, precum și controalele logice existente pentru restricționarea
activității utilizatorilor după ce a fost obținut accesul la o aplicație (de exemplu, meniuri
restricționate).

PROCEDURA CA7 – Evaluarea controalelor privind introducerea datelor

În vederea prelucrării, datele pot fi introduse într -o varietate de forma te. Pe lângă
informațiile introduse direct de la tastatură, aplicațiile informatice acceptă pe scară din ce
în ce mai largă documente electronice provenind din prelucrări anterioare în alte sisteme
sau create prin utilizarea dispozitivelor electronice de r ecunoaștere a caracterelor.

Controalele fizice și logice de acces trebuie să ofere asigurarea că numai tranzacțiile
valabile sunt acceptate pentru introducere.

Controalele fizice de acces includ mecanisme de acces protejate la ușile către biroul
finan ciar și terminalele calculatorului (închidere cu mecanisme de blocare sau cu cheia).

Controalele logice de acces se referă la capacitatea sistemelor informatice de a identifica
utilizatorii individuali și de a raporta identitatea lor față de o listă pre determinată de
funcții pe care fiecare dintre aceștia este autorizat să le execute.

După identificare și autentificare , aplicația poate fi în măsură să controleze drepturile
fiecărui utilizator . Aceasta se realizează pe baza profilului și a drepturilor ș i privilegiilor
de acces necesare pentru fiecare utilizator individual sau grup de utilizatori. De exemplu,
unui utilizator i se poate atribui profilul de operator în registrul de vânzări și ca atare
acestuia îi va fi interzis să realizeze activități în re gistrul de cumpărări sau în orice alt
modul din cadrul aplicației.

O asigurare suplimentară poate fi obținută prin separarea sarcinilor impusă prin
calculator . Utilizatorii pot avea un profil care să asigure că sistemul va procesa datele
introduse numai după ce au fost autorizate de un alt membru nominalizat al personalului.
Profilul utilizatorului trebuie să fie suficient de detaliat pentru a asigura că un membru al
personalului nu poate accesa sau procesa o tranzacție financiară de la început la sfârșit .

Asigurarea că introducerea datelor este completă poate fi obținută prin gruparea
tranzacțiilor pe loturi și verificarea numărului și valorii tranzacțiilor introduse cu
totalurile calculate independent.

Dacă aplicațiile nu utilizează controalele de lot pentru a introduce tranzacții, auditorul
trebuie să caute alte dovezi ale completitudinii. Se poate include o examinare a
documentelor sursă pentru a se confirma că acestea au dat naștere datelor de intrare.

Aplicațiile pot confirma validitatea intrării prin compararea datelor introduse, cu
informații deja deținute in sistem (de obicei din nomenclatoare sau cataloage). De
exemplu, un sistem utilizat de validare a adreselor dintr -un registru de vânzări sau
cumpărări implică introducerea numărului clădirii și a codului poștal. Calculatorul va

Pag. 92 din 180 căuta adresa în fișierele sale și apoi operatorul o compară cu adresa din documentele de
intrare.

Numerele de cont și alte câmpuri cheie pot încorpora cifre de control. Cifrele de control
sunt calculate prin aplicarea unui algoritm la conținutul câmpului și pot fi utilizate pentru
a verifica dacă acel câmp a fost introdus corect.

Câmpurile financiare pot face obiectul verificării unui set de date pentru a evita
introducerea de sume neautorizate sau nerezonabile. Datel e introduse care încalcă
limitele prestabilite vor fi respinse și evidențiate într -un registru de audit.

Utilizarea numerelor de ordine ale tranzacțiilor poate releva tranzacțiile lipsă, ajută la
evitarea tranzacțiilor duble sau neautorizate și asigură u n parcurs de audit.

Controalele precizate mai sus nu sunt valide în condițiile în care este posibil ca acestea să
fie ocolite prin acțiuni de introducere sau modificare a datelor, din afara aplicației.

Tabelul 33
Controale privind introducerea datelor

Cod
procedură Controale de
aplicație
Documente
de lucru Revizuiri / Teste

CA7
Controale
privind
introducerea
datelor

LV_Controale
Aplicație
Evaluarea procedurilor/controalelor existente care
să asigure că introducerea dat elor este autorizată și
exactă
Evaluarea controalelor care asigură că toate
tranzacțiile valabile au fost introduse (verificări de
completitudine si exactitate), că există proceduri
pentru tratarea tranzacțiilor respinse sau eronate
Evaluarea controalelor care asigură că toate
tran zacțiile sunt valabile
Evaluarea controalelor care asigură că toate
tranzacțiile sunt autorizate
Evaluarea controalelor care asigură că toate
tranzacțiile sunt înregistrate în perioada financiară
corectă
Verificarea acțiunilor care se întreprind de către
conducere pentru monitorizarea datelor de intrare

Auditorul trebuie să urmărească existența unor verificări automate ale aplicației care să
detecteze și să raporteze orice modificări externe ale datelor, de exemplu modificări
neautorizate efectuate de per sonalul de operare al calculatorului, direct în baza de date
aferentă aplicației. Auditorul trebuie să examineze și rezultatele analizelor efectuate de
sistem, pentru a se asigura că utilizarea facilităților de modificare ale sistemului, precum
editoarele, este controlată corespunzător.

Auditorul va evalua procedurile / controalele existente care să asigure că introducerea
datelor este autorizată și exactă, precum și controalele care asigură că toate tranzacțiile

Pag. 93 din 180 valabile au fost introduse (verificări de completitudine și exactitate), că există proceduri
pentru tratarea tranzacțiilor respinse sau eronate. Va verifica acțiunile care se întreprind de
către conducere pentru monitorizarea datelor de intrare.

PROCEDURA CA8 – Evaluarea controalelor privind tra nsmisia de date

Sistemele informatice sunt conectate fie la rețeaua locală, fie la alte rețele externe (LAN
sau WAN), care le permit să primească și să transmită date de la calculatoare aflate la
distanță. Cele mai utilizate medii de transmitere a datelor includ liniile telefonice,
cablurile coaxiale, unde infraroșii, fibre optice și unde radio. Indiferent de mijloacele de
transmisie utilizate, trebuie să existe controale adecvate care să asigure integritatea
datelor tranzacției transmise.

Aplicați ile care transmit informații prin rețele pot fi supuse următoarelor riscuri:
datele pot fi interceptate și modificate fie în cursul transmisiei, fie în cursul
stocării în site -uri intermediare;
în fluxul tranzacției se pot introduce date neautorizate utili zând conexiunile de
comunicații;
datele pot fi deformate în cursul transmisiei.

Auditorul trebuie să se asigure că există controale care să prevină și să detecteze
introducerea de tranzacții neautorizate. Aceasta se poate realiza, de exemplu, prin
controlul asupra proiectării și stabilirii legăturilor de comunicații, sau prin atașarea
semnăturilor digitale la fiecare transmisie.

Integritatea datelor transmise poate fi compromisă datorită defectelor de comunicație.
Auditorul trebuie să se asigure că f uncționează controale adecvate, fie în cadrul rețelei, fie
în aplicațiile financiare, pentru detectarea datelor deformate. Este posibil ca protocolul de
comunicații al rețelei, respectiv regulile predeterminate care determină formatul și
semnificația date lor transmise, să încorporeze facilități automate de detecție și corecție.

Având în vedere ușurința interceptării datelor transmise în rețelele locale sau în alte
rețele externe, protecția neadecvată a rețelei mărește riscul modificării, ștergerii și
dubl ării neautorizate a datelor. Există un număr de controale care pot fi utilizate pentru a
trata aceste probleme:

se pot utiliza semnături digitale pentru a verifica dacă tranzacția provine de la
un utilizator autorizat și conținutul tranzacției este intact ;
se pot utiliza tehnici de criptare a datelor pentru a preveni interpretarea și /
sau modificarea tranzacțiilor interceptate;
secvențierea tranzacțiilor poate ajuta la prevenirea și detectarea tranzacțiilor
dublate sau șterse și pot ajuta la identificarea tranzacțiilor neautorizate.
Tabelul 34
Controale ale transmisiei de date

Cod
procedură Controale
de aplicație
Documente
de lucru Revizuiri / Teste

CA8
Controale
privind
transmisia
de date
LV_Controale
Aplicație
Asigurarea că transferul de date în rețea este atât
complet, cât și exact (utilizarea semnăturii digitale,
criptarea datelor, secvențierea tranzacțiilor)

Pag. 94 din 180 Cod
procedură Controale
de aplicație
Documente
de lucru Revizuiri / Teste
Identificarea și tratarea riscurilor asociate
transferului de date în rețea

Auditorul va evalua controalele implementate pentru asig urarea că transferul de date în
rețea este atât complet cât și exact (utilizarea semnăturii digitale, criptarea datelor,
secvențierea tranzacțiilor), precum și metodele de identificare și tratare a riscurilor asociate
transferului de date în rețea (adoptat e de organizație).

PROCEDURA CA9 – Evaluarea controalelor prelucrării

Controalele prelucrării în cadrul unei aplicații informatice trebuie să asigure că se
utilizează numai date și versiuni de program valabile, că procesarea este completă și
exactă ș i că datele prelucrate au fost înscrise în fișierele corecte.

Asigurarea că prelucrarea a fost completă și exactă poate fi obținută prin efectuarea unei
comparații a totalurilor deduse din tranzacțiile introduse cu totalurile din fișierele de date
menținu te de calculator. Auditorul trebuie să se asigure că există controale pentru
detectarea procesării incomplete sau inexacte a datelor de intrare.

Procesele aplicației pot să efectueze și alte validări ale tranzacției, prin verificarea datelor
cu privire la dublarea unor tranzacții și la concordanța cu alte informații deținute de alte
componente ale sistemului. Procesul poate să verifice integritatea datelor pe care le
păstrează prin utilizarea sumelor de verificare deduse din date. Scopul acestor controale
este de a detecta modificările externe aduse datelor datorită anomaliilor sistemului sau a
utilizării neautorizate a unor facilități de modificare ale sistemului, precum editoarele.

Sistemele informatice financiar -contabile trebuie să mențină un regist ru al tranzacțiilor
procesate. Registrul de tranzacții, care poate fi denumit fișierul parcursului de audit ,
trebuie să conțină informații suficiente pentru a identifica sursa fiecărei tranzacții și fluxul
de prelucrare al acesteia.

În mediile care se pre lucrează loturi de date, erorile detectate în cursul procesării trebuie
să fie aduse la cunoștința utilizatorilor. Loturile respinse trebuie înregistrate și înapoiate
expeditorului. Sistemele online trebuie să încorporeze controale de monitorizare și
rapor tare a tranzacțiilor neprocesate sau neclare (precum facturi plătite parțial). Trebuie
să existe proceduri care să permită conducerii să identifice și să examineze toate
tranzacțiile neclarificate peste un anumit termen.

Aplicațiile trebuie sa fie proiec tate pentru a face față perturbațiilor, precum cele cauzate
de defecte de alimentare cu curent electric sau de echipament (salvarea stării curente în
caz de incident). Sistemul trebuie sa fie capabil să identifice toate tranzacțiile incomplete
și să reia p rocesarea acestora de la punctul de întrerupere.

Pag. 95 din 180 Tabelul 35
Controalele prelucrării

Cod
procedură Controale
de aplicație
Documente
de lucru Revizuiri / Teste

CA9
Controalele
prelucrării

LV_Controale
Aplicație
Evaluarea controalelor existen te care să asigure că
toate tranzacțiile au fost procesate, pentru a reduce
riscul de procesare a unor tranzacții incomplete,
eronate sau frauduloase

Evaluarea controalelor existente care să asigure că
sunt procesate fișierele corecte (controalele pot fi de
natură fizică sau logică și previn riscul de procesare
necore spunzătoare a unor tranzacții)

Se va verifica existența controalelor pentru a asigura
exactitatea procesării și a controalelor pentru
detectare a / prevenirea procesării duble

Se va verifica existența controalelor pentru a asigura
că toate tranzacțiile sunt valabile

Se va verifica existența controalelor pentru a asigura
că procesele din calculator sunt auditabile

Se va verifica modul în care aplicația și personalu l
tratează erorile de proce sare

Auditorul va evalua controalele existente care să asigure că toate tranzacțiile au fost
procesate, pentru a reduce riscul de procesare a unor tranzacții incomplete, eronate sau
frauduloase, controalele existente care să asigure că sunt procesate f ișierele corecte
(controalele pot fi de natură fizică sau logică și previn riscul de procesare
necorespunzătoare a unor tranzacții), precum și existența controalelor care să asigure
exactitatea procesării și a controalelor pentru detectarea / prevenirea p rocesării duble.
Se va verifica, de asemenea, modul în care aplicația și personalul tratează erorile de
procesare.

PROCEDURA CA10 – Evaluarea controalelor privind datele de ieșire

Implementarea controalelor datelor de ieșire trebuie să asigure că re zultatele furnizate de
sistemul informatic îndeplinesc următoarele condiții:
sunt complete;
sunt exacte;
au fost distribuite corect.

Pentru a obține o asigurare că avut loc o prelucrare completă și exactă, se implementează
un mecanism de raportare a tutu ror mesajelor de eroare detectate în cursul procesării sau
de furnizare a unor totaluri de control care să se compare cu cele produse în cursul

Pag. 96 din 180 introducerii, pus la dispoziția persoanelor responsabile cu introducerea și autorizarea
datelor tranzacției. Ace asta poate lua forma unui registru de operații .

Completitudinea și integritatea rapoartelor de ieșire depinde de restricționarea capacității
de modificare a ieșirilor și de încorporarea de verificări de completitudine, cum ar fi
numerotarea paginilor, și de prezentarea unor sume de verificare.

Fișierele de ieșire trebuie să fie protejate pentru a reduce riscul modificărilor
neautorizate. Motivații posibile pentru modificarea datelor de ieșire includ acoperirea
procesării neautorizate sau manipularea rezu ltatelor financiare nedorite. De exemplu,
fișierele de ieșire neprotejate în cadrul unui sistem de plată a notelor de plată ar putea fi
exploatate prin alterarea sumelor cecurilor sau a ordinelor de plată și a detaliilor
beneficiarului. O combinație de con troale fizice și logice poate fi utilizată pentru
protejarea integrității datelor de ieșire.

Datele de ieșire dintr -un sistem IT pot constitui date de intrare în alt sistem, înainte ca
acestea să fie reflectate în situațiile financiare; de exemplu, datele de ieșire dintr -un
sistem care transferă statele de plată, ca date de intrare, în registrul general. Acolo unde se
întâlnește acest caz, auditorul trebuie să verifice existența controalelor care să asigure că
datele de ieșire sunt transferate exact de la o fază de procesare la alta. Un alt exemplu ar fi
în cazul în care datele de ieșire dintr -o balanță de verificare sunt utilizate ca date de
intrare într -un pachet de procesare de tabele care reformatează datele pentru a produce
situațiile financiare.

Tabelul 36
Controalele privind datele de ieșire

Cod
procedură Controale
de
aplicație
Documente
de lucru Revizuiri / Teste

CA10
Controale
privind
datele de
ieșire

LV_Controale
Aplicație
Se va verifica existența controalelor care să asigure că
rezulta tele furnizate de sistemul informatic sunt
complete, sunt exa cte; au fost distribuite corect
Se va verifica existența controalelor care să asigure că
ieșirile de la calculator sunt stocate corect și atunci
când sunt transm ise acestea ajung la destinație
Se va verifica existența controalelor corespunzăt oare
privind licențele software
Se va verifica existența controalelor privind caracterul
rezonabil, exactitatea și completitudinea ie șirilor

Auditorul va verifica existența controalelor care să asigure că i eșirile de la calculator sunt
stocate corect și, atunci când sunt transmise, acestea ajung la destinație, va verifica
existența controalelor corespunzătoare privind caracterul rezonabil, exactitatea și
completitudinea ieșirilor.

Pag. 97 din 180 PROCEDURA CA11 – Evaluarea controalelor privind fișierele de date
permanente

Implementarea controalelor privind fișierele de date permanente trebuie să ofere
asigurarea că: modificările aduse datelor sunt autorizate; utilizatorii sunt răspunzători de
modificări; integritatea este păstrată.

Controalele de acces, de identificare și autentificare puternice, pot sta la baza asigurării că
datele permanente sunt create, modificate, recuperate sau șterse numai de personal
autorizat. Aceste controale sunt foarte eficiente atunci când sun t implementate în sistemul
de operare, deoarece vor preîntâmpina utilizarea neautorizată a facilităților sistemului
pentru a modifica datele în afara mediului de control al aplicației.

Fișierele de date permanente trebuie să fie protejate pentru a evita ca tranzacții valabile
să fie procesate incorect. De exemplu, modificarea unor detalii referitoare la furnizori
poate conduce la situația ca o plata valabilă să fie efectuată unui beneficiar neautorizat.
Controalele de acces trebuie să asigure că există o separare a sarcinilor între cei care
păstrează datele permanente și cei care introduc tranzacții. Registrele de audit trebuie să
înregistreze informații, precum data și ora la care s -a făcut modificarea, identificarea
persoanei responsabile și câmpurile de date afectate. Fișierele importante de date
permanente trebuie să aibă copii de rezervă ori de câte ori se fac modificări importante.

Aplicațiile care controlează permisiunile de acces ale utilizatorului stochează detalii ale
acestor permisiuni în fișie rele de date permanente. Aceste fișiere trebuie să fie protejate la
modificări neautorizate. Conducerea trebuie să probeze că se realizează verificări
independente, care să asigure că administratorul sistemului de control al accesului
aplicației nu abuzeaz ă de privilegiile sale. Organizațiile pot lista periodic conținutul
fișierelor de date permanente (de exemplu profilele de securitate ale utilizatorilor) pentru
verificări operative.
Tabelul 3 7
Controalele privind fișierele de date permanente

Cod
proce dură Controale
de aplicație
Documente
de lucru Revizuiri / Teste

CA11
Controale
privind
fișierele de
date
permanente

LV_Controale
Aplicație
Se va verifica existența și se vor testa controalele
privind autorizarea accesului și a m odificărilor
datelor permanente
Se va obține asigurarea că datele permanente sunt
create, modificate, recuperate sau ște rse numai de
personal autorizat
Verificări operative prin listarea periodică a
conținutulu i fișierelor de date permanente
Fișierele importante de date perma nente au copii de
rezervă ori de câte o ri se fac modificări importante
Conducerea trebuie să probeze că se realizează
verificări independente, care să asigure că
administratorul sistemului de control al accesului
aplicației nu abuzează de privilegiile sale

Pag. 98 din 180
Auditorul va verifica existența controalelor și va testa controalele privind autorizarea
accesului și a modificărilor datelor permanente.

PROCEDURA CA12 – Evaluarea conformității aplicațiilor cu legislația în
vigoare

În cadrul entităților auditate, sistemele informatice care fac obiectul evaluării sunt
utilizate ca suport pentru asistarea deciziei, constituind sisteme IT utilizate pentru
evidența, prelucrarea și obținerea de rezultate, situații operative și sintetice la toate
nivelele de raportare.
Din acest motiv, o categorie specială de controale IT se referă la conformitatea sistemului
informatic cu cerințele impuse de cadrul legislativ și de reglementare .

Cerințele legislative și de reglementare variază de la o țară la alta. Acestea includ:
Legislația privind protecția datelor private și legislația privind protecția datelor
personale;
Legislația privind utilizarea improprie a calculatoarelor, în sensul criminalității
informatice;
Reglementări financiare și bancare;
Legile cu privire la propriet atea intelectuală.
Tabelul 38
Evaluarea conformității aplicațiilor cu legislația în vigoare

Cod
procedură Controale de
aplicație
Documente
de lucru Revizuiri / Teste

CA12
Conformitatea
aplicațiilor cu
legislația în
vigoare

LV_Controale
Aplicație
Existența unor politici sau proceduri formale prin
care se atribuie responsabilitatea monitorizării
mediului legislativ care poate avea impact asupra
sistemelor informatice
Este alocată responsabilitatea asigurării
conformității aplicațiilor cu clauzele con tractuale
privind:
asigurarea că sistemul implementat este
actualizat în conformitate cu ultima versiune
furnizată;
respectarea termenelor privind distribuirea
ultimelor versiuni de echipamente, software,
documentație;
livrarea și instalarea configurațiilo r hardware
/ software pe baza unui grafic, conform
clauzelor contractuale, pe etape și la termenele
stabilite;
respectarea obligațiilor privind instruirea și
suportul tehnic, stabilite prin contract;
furnizarea pachetelor software conform
clauzelor contrac tuale. Verificarea existenței și
valabilității licențelor furnizate în cadrul
contractului;

Pag. 99 din 180 Cod
procedură Controale de
aplicație
Documente
de lucru Revizuiri / Teste
asigurarea suportului tehnic (prin telefon, e –
mail sau utilizând un portal; portalul poate
avea secțiuni distincte foarte utile pentru
suport tehnic specializat pe categorii relevante
de probleme / anomalii sau pentru instruirea
continuă a utilizatorilor;
furnizarea documentației tehnice conform
contractului: conținutul (lista, numărul
manualelor, limba) și formatul (tipărit, în
format electronic, on -line);

Existenț a unor proceduri scrise privind analiza și
acceptarea produselor și serviciilor furnizate în
cadrul contractului, precum și rec epția cantitativă
și calitativă

Existența specificațiilor funcționale, a manualelor
de utilizare și administrare pentru pr oiecte le de
dezvoltare software

Existența manualelor de utilizare pentru
echipamentele livrate

PROCEDURA CA13 – Efectuarea testelor de audit

În etapa de studiu preliminar, auditorul trebuie să obțină o înțelegere suficientă a
sistemului pentru a determina d acă sistemul de controale interne este de încredere și
furnizează informații corecte despre acuratețea înregistrărilor. În cazul în care sistemul de
controale interne nu pare a fi suficient de robust, auditorul trebuie să testeze controalele
pentru a evalu a riscul asupra obiectivelor auditului.
În acest scop, auditorul poate utiliza tehnici și metode de testare variate. Acestea pot fi
bazate pe programe de test al conformității care conțin informații privind: descrierea
controlului care va fi testat, proba de audit estimată pentru satisfacerea condițiilor, teste
extinse (inclusiv bazate pe eșantionare), descrierea funcționării eronate a controlului, câte
eșecuri pot fi tolerate. Probele de audit se colectează prin combinarea unor tehnici
tradiționale, cum ar fi observarea, interviul, examinarea și eșantionarea, cu tehnici de
auditare asistată de calculator.
Tabelul 39
Efectuarea testelor de audit

Cod
procedură Controale de
aplicație
Documente
de lucru Revizuiri / Teste

CA13
Efectuarea
testelor de
audit

LV_Controale
Aplicație
Se va verifica existența evidențelor complete ale
tranzacțiilor aferente aplicației

Se va evalua fezabilitatea colectării probelor de
audit relevante și suficiente

Pag. 100 din 180 Cod
procedură Controale de
aplicație
Documente
de lucru Revizuiri / Teste

Se va evalua dacă parcursul (pista) de audit se
poate reconstitu i din fluxul de prelucrare

Se va evalua dacă aplicația este disponibilă atunci
când este nevoie, funcționează conform cerințelor,
este fiabilă și are implementate controale sigure
asupra integrității datelor

Se va detalia procedura de actualizare a aplic ației în
concordanță cu modificările legislative

Se va evalua aplicația din punct de vedere al
gestionării resurselor informatice disponibile (date,
funcționalitate, tehnologii, facilități, resurse umane,
etc.)

Se va evalua cunoașterea funcționării aplic ației de
către utilizatori

Se vor efectua teste de verificare a parametrilor și
funcționalității aplicației din punct de vedere
operațional și al conformității cu legislația în
vigoare

Se vor efectua teste de verificare la nivel de funcție
pentru proced urile critice din punctul de vedere al
performanței ( lansarea, derularea și abandonarea
procedurilor, accesul la informații în funcție de
perioada de înregistrare/raportare, restaurarea
bazei de date )

Se vor efectua teste privind corectitudinea
încărcării / actualizării informațiilor în baza de
date. Se vor menționa metodele de depistare și
rezolvare a erorilor. Se vor testa funcțiile de
regăsire și analiză a informației

Se va evalua interoperabilitatea aplicației cu
celelalte aplicații din sistemul infor matic

Se vor evalua: sistemul de raportare propriu
aplicației și sistemul de raportare global

Se vor efectua teste privind modul de accesare a
aplicației la nivel de rețea, la nivelul stației de lucru
și la nivel de aplicație

Se vor testa funcțiile de conectare ca utilizator final
și de operare în timp real, pe tranzacții de test

Se va evalua funcționalitatea comunicării cu
nivelele superior și inferior

Pag. 101 din 180 Cod
procedură Controale de
aplicație
Documente
de lucru Revizuiri / Teste
Se va analiza soluția de gestionare a documentelor
electronice

Se va efectua verificarea prin tes te a protecțiilor
aferente aplicației

Problemele care pot apărea cu privire la încrederea în controalele de aplicație se pot
sintetiza astfel:

(a) Controalele IT nu furnizează un istoric al operării din cauza scufundării lor în corpul
aplicației și, î n consecință, nu furnizează probe de audit explicite.
(b) Perioada de timp în care acționează controalele de aplicație IT este limitată, acestea
acționând, în general, pe o durată foarte scurtă a ciclului de viață al tranzacției (de
exemplu, pe durata intr oducerii datelor).
(c) Rezervele auditorilor față de controalele de aplicație IT datorate eventualității alterării
acestora de către persoane interesate în inducerea în eroare a auditorului.
(d) Rezervele auditorilor față de controlul preventiv asigurat, d ecurgând din natura
controalelor IT, care nu prezintă garanții privind funcționarea corectă.

Majoritatea organizațiilor folosesc produse informatice pentru gestiune și contabilitate. Ca
urmare a cerințelor impuse informației contabile de către utilizatori i acesteia, produsele
informatice trebuie să îndeplinească, la rândul lor, o serie de cerințe specifice.
2.3.1 Norme metodologice ale Ministerului Finanțelor Publice
privind criterii și cerințe minimale pentru siste mele informatice
financiar – contabilitate

În România există o multitudine de dezvoltări ale unor astfel de produse, care ar trebui să
se raporteze la o serie de criterii și cerințe minimale reglementate, în principal, prin
norme metodologice ale Ministerului Finanțelor Publice. Aceste norme se referă în
principal la următoarele aspecte:

a) Pentru controlul intern

b) Actualizările sistemului informatic în concordanță cu modificările legislative;
c) Cunoașterea funcționării sistemului informatic de către utilizatori (personalul de
operare);
d) Accesul la date (co nfidențialitate, utilizare de parole de acces la date și la sistem);
e) Opțiuni pentru alegerea tipului de suport magnetic pentru copiile de siguranță;
f) Posibilități de depistare și rezolvare a erorilor.

a) Pentru controlul extern

a) Posibilități de verificare com pletă sau prin sondaj a procedurilor de prelucrare;
b) Posibilități de verificare completă sau prin sondaj a operațiunilor înregistrate în
contabilitate;

Pag. 102 din 180 c) Posibilități de verificare completă sau prin sondaj a fluxului de prelucrări prin teste
de control.

c) Criterii minimale pentru produsele informatice de gestiune și contabilitate

a) Concordanța cu legislația în vigoare;
b) Precizarea tipului de suport care să asigure prelucrarea în siguranță a
informațiilor;
c) Identificarea completă a fiecărei informații înregistra te;
d) Respectarea criteriului cronologic în liste, cu imposibilitatea actualizării ulterioare
a listei;
e) Transferul automat al soldurilor precedente pentru perioada curentă;
f) Conservarea datelor (arhivarea) conform Legii contabilității nr. 82/1991;
g) Posibilitat ea restaurării datelor arhivate;
h) Imposibilitatea actualizării datelor pentru perioadele de gestiune precedente;
i) Preluarea informațiilor esențiale pentru identificarea operațiunilor: dată,
denumire jurnal, număr pagină sau număr înregistrare, număr document ;
j) Acces parolat;
k) Identificarea în liste a unității patrimoniale, a paginării cronologice, a tipului de
document, a perioadei de gestiune, a datei de listare și a versiunii de produs
progam;
l) Listarea documentelor de sinteză necesare conducerii întreprinderi i;
m) Respectarea conținutului informațional pentru formularele cu regim special;
n) Asigurarea concordanței între cartea mare a fiecărui cont și jurnalul de
înregistrare;
o) Să respecte cerințele de normalizare a bazelor de date cu privire la conturi și
documente;
p) Să existe posibilitatea actualizării conturilor fără afectarea situațiilor patrimoniale
și a celei de gestiune;
q) Să existe documentație tehnică asociată caracteristicilor produselor program
(mono / multi post, mono / multi societate, portabilitatea fișiere lor, arhitectura de
rețea, aplicații) care să permită utilizarea optimă a produselor informatice în
cauză;
r) Stabilirea tipului de organizare pentru culegerea datelor (pe loturi cu control
ulterior, în timp real cu control imediat, combinat);
s) Să nu fie limit at volumul informațiilor contabile;
t) Să asigure securitatea datelor și fiabilitatea;
u) Să existe clauze de actualizare a procedurilor de prelucrare a informațiilor
financiar -contabile;
v) Să asigure continuitatea sistemului în cazul încetării activității de dezv oltare
software, inclusiv arhivarea și restaurarea datelor;
w) Să funcționeze gestiunea versiunilor.
2.3.2 Volumul de teste de control

În ceea ce privește determinarea volumului de teste necesare pentru obținerea asigurării
privind funcționarea controalelor, audit orul își bazează decizia pe o combinație între

Pag. 103 din 180 raționamentul profesional și o modelare statistică pe care o poate efectua în acest scop.
Dacă auditorul își propune să planifice ca testele de control să se efectueze pe un număr
mare de tranzacții, atunci va aplica metoda eșantionării datelor și va stabili dimensiunea
eșantionului.

Auditorul va efectua următoarele teste:
Va verifica criteriile și cerințe minimale reglementate, în principal, prin normele
metodologice ale Ministerului Finanțelor Publice;
Va verifica existența evidențelor complete ale tranzacțiilor aferente aplicației;
Va evalua fezabilitatea colectării probelor de audit relevante și suficiente;
Va evalua dacă parcursul (pista) de audit se poate reconstitui din fluxul de
prelucrare;
Va evalua dacă aplicația este disponibilă atunci când este nevoie, funcționează
conform cerințelor, este fiabilă și are implementate controale sigure asupra
integrității datelor;
Va detalia procedura de actualizare a aplicației în concordanță cu modificările
legisla tive;
Va evalua aplicația din punct de vedere al gestionării resurselor informatice
disponibile (date, funcționalitate, tehnologii, facilități, resurse umane etc.);
Va evalua cunoașterea funcționării aplicației de către utilizatori;
Va efectua teste de ve rificare a parametrilor și funcționalității aplicației din punct de
vedere operațional și al conformității cu legislația în vigoare;
Va efectua teste de verificare la nivel de funcție pentru procedurile critice din punctul
de vedere al performanței (lansar ea, derularea și abandonarea procedurilor, accesul
la informații în funcție de perioada de înregistrare / raportare, restaurarea bazei de
date);
Se vor efectua teste privind corectitudinea încărcării / actualizării informațiilor în
baza de date. Se vor men ționa metodele de depistare și rezolvare a erorilor. Se vor
testa funcțiile de regăsire și analiză a informației;
Va evalua interoperabilitatea aplicației cu celelalte aplicații din sistemul informatic;
Va evalua sistemul de raportare propriu aplicației și sistemul de raportare global;
Se vor efectua teste privind modul de accesare a aplicației la nivel de rețea, la nivelul
stației de lucru și la nivel de aplicație;
Se vor testa funcțiile de conectare ca utilizator final și de operare în timp real, pe
tran zacții de test;
Se va evalua funcționalitatea comunicării cu nivelele superioare și inferioare;
Se va analiza soluția de gestionare a documentelor electronice;
Se va efectua verificarea prin teste a protecțiilor aferente aplicației.

Această listă nu este exhaustivă. În funcție de obiectivele auditului și de specificul
sistemului / aplicației auditate, auditorul poate decide efectuarea și a altor teste care pot
furniza concluzii relevante pentru formularea unei opinii corecte.

Pag. 104 din 180 Capitolul 3. Riscuri IT

Riscul IT este o componentă a universului general al riscurilor organizației . Alte categorii
de riscuri cu care se confruntă o întreprindere includ: riscul strategic, riscul de mediu,
riscul de piață, riscul de credit, riscul operațional și riscul de conformitate . Riscul legat de IT
poate fi considerat, în același timp, ca find o componentă a riscului operațional, sau a
riscul ui strategic.

Riscul IT este un risc specific al afacerii, asociat cu utilizarea, proprietatea, operarea,
implicarea, influența și adoptarea IT în cadrul unei organizați i. Se compune din
evenimente legate de IT și din condiții care ar putea avea impact potential asupra afacerii.
Acesta poate apărea cu frecvență și amploare incerte, și poate să creeze probleme în
atingerea obiectivelor strategice și a obiectivelor.

Riscurile IT pot fi clasificate în diferite moduri:
Riscuri privind beneficiile/valoarea generate de IT : tehnologia ca suport pentru ;
inițiativele de afaceri noi, tehnologia ca suport pentru eficientizarea operațiunilor
Riscuri privind li vrarea programelor și proiectelor IT : calitatea proiectului, relevanța
proiectului, perturbări în derularea proiectului ;
Riscuri privind operarea și livrarea serviciilor IT : stabilitatea în funcționare,
disponibilitatea, protecția și recuperarea serviciilo r, probleme de securitate,
cerințe de conformitate.

Multe probleme legate de riscul IT pot apărea din cauza problemelor generate de terți
(furnizarea de servicii, dezvoltarea de soluții), parteneri IT și parteneri de afaceri. Prin
urmare, buna gestionare a riscurilor IT impune dependențe semnificative care urmează să
fie cunoscute și bine înțelese.
Datorita importanței IT pentru organizați e (afacere), riscurile IT ar trebui să fie tratate la
fel ca alte riscuri cheie ale afaceri i, cum ar fi riscul strateg ic, riscul de mediu, riscul de
piață, riscul de credit, riscurile operaționale și riscul de conformitate, toate acestea având
impact major asupra îndeplinirii obiectivelor strategice.
În acest sens, în conformitate cu OMF nr. 946/2005 pentru aprobarea Cod ului controlului
intern, cuprinzând standardele de management/control intern la entitățile publice și pentru
dezvoltarea sistemelor de control managerial, instituțiile publice sunt obligate să
întocmescă și să actualizeze periodic un registru al riscurilor care va avea o secțiune
dedicată riscurilor IT .

Riscul IT nu este doar o problemă tehnică. Deși experții în IT sunt interesați să înțeleagă și
să gestioneze aspectele legate de riscurile IT, managementul este cel mai important dintre
părțile interesate.

3.1 Probleme cu impact semnificativ asupra riscului de audit
În cazul informatizării unei părți semnificative a activității entității, se impune evaluarea
influenței utilizării sistemului informatic asupra riscurilor auditului (inerent și de control),
având în vedere aspectele legate de relevanța și credibilitatea probelor de audit. Vom
prezenta în continuare o serie de probleme tipice cu impact semnificativ asupra riscului
de audit.

Pag. 105 din 180 (a) Complexitatea fluxurilor de prelucrare poate genera lipsa formelor intermedi are
pe care le parcurge tranzacția, generându -se în cele mai multe cazuri numai o
formă finală și uneori numai în format electronic sau disponibilă numai pentru o
perioadă scurtă de timp. În lipsa unor proceduri de validare adecvate, erorile pot fi
dificil de detectat prin proceduri manuale, proba de audit fiind neconcludentă.
(b) Alterarea probelor de audit poate fi cauzată de existența unor anomalii sau erori
sistematice ale funcționării programelor, care afectează prelucrarea întregului
fond de date și duc l a obținerea unor rezultate eronate, greu de corectat prin
proceduri manuale, având în vedere volumul mare al tranzacțiilor și complexitatea
algoritmilor de prelucrare.
(c) Concentrarea operării unor proceduri cu funcționalitate incompatibilă la nivelul
aceluia și individ, proceduri care, potrivit legislației sau reglementărilor interne
privind separarea atribuțiilor, ar trebui operate de către persoane diferite,
generează executarea unor funcții incompatibile și posibilitatea accesului și
alterării conținutului informațional în funcție de interese personale. O cerință
importantă legată de operarea sistemului informatic este distribuirea aplicațiilor
în cadrul entității și alocarea drepturilor de utilizare în conformitate cu necesitatea
separării atribuțiilor, im pusă de legislație.
(d) Datorită intervenției umane, care nu are întotdeauna asociate protecții stricte
privind autorizarea accesului și intervenția asupra fondului de date, în
dezvoltarea, întreținerea și operarea sistemului informatic, există un potențial
foarte mare de alterare a fondului de date fără o dovadă explicită.
(e) Ca urmare a gestionării automate a unui volum mare de date, fără implicare
umană, există riscul nedetectării pentru o perioadă lungă de timp a unor erori
datorate unor anomalii de proiectare sau de actualizare a unor componente
software.
(f) În cazul unor proceduri sau tranzacții executate în mod automat, autorizarea
acestora de către management poate fi implicită prin modul în care a fost proiectat
și dezvoltat sistemul informatic și pentru mod ificările ulterioare, ceea ce
presupune lipsa unei autorizări similare celei din sistemul manual, asupra
procedurilor și tranzacțiilor.
(g) Eficacitatea procedurilor manuale de control este afectată de eficacitatea
controalelor IT în situația în care procedur ile manuale se bazează pe documente și
rapoarte produse în mod automat de sistemul informatic.
(h) Extinderea structurii de control intern cu controale specializate, bazate pe
utilizarea tehnologiei informației, are efecte în planul monitorizării activității
entității prin utilizarea unor instrumente analitice oferite de sistemul informatic.
(i) Efectuarea testelor de control asupra unui volum mare de date, prin utilizarea
tehnicilor și instrumentelor de audit asistat de calculator, este facilitată de
existența uno r proceduri de prelucrare și analiză oferite de sistemul informatic.
(j) Evaluarea riscurilor în cazul misiunilor de audit în mediu informatizat trebuie să
aibă în vedere probabilitatea obținerii unor informații eronate cu impact

Pag. 106 din 180 semnificativ asupra auditului ca rezultat al unor deficiențe în fun cționarea
sistemului informatic . Aceste deficiențe pot fi legate atât de calitatea infrastructurii
hardware și/sau software, de dezvoltarea și întreținerea aplicațiilor, de operarea
sistemului, de securitatea sistemului și a informațiilor, de calitatea personalului
implicat în funcționarea sistemului, de calitatea documentației tehnice, cât și de
intervențiile neautorizate asupra aplicațiilor, bazelor de date sau de condițiile
procedurale impuse în cadrul sistemului.
În proiectarea procedurilor de audit, se vor lua în considerare restricțiile impuse de mediul
informatic și se vor alege soluții care să reducă riscul de audit: proceduri manuale de audit,
tehnici de audit asistat de calculator, o soluție mixtă, în scopul obț inerii unor probe de audit
de încredere.

3.2 Riscurile generate de existența mediului informatizat

Înțelegerea aspectelor legate de infrastructura IT, de managementul serviciilor IT, precum
și a procedurilor de evaluare și management al riscurilor este funda mentală în efectuarea
auditului.

Evaluarea riscurilor generate de funcționarea sistemului informatic, prin analiza unor arii
de risc cu impact în desfășurarea activității entității auditate, respectiv: dependența de IT,
resurse și cunoștințe IT, încredere a în IT, schimbări în IT, externalizarea IT, securitatea
informației, respect area legislației în vigoare , este esențială.

3.2.1 Dependența de IT

Dependența de tehnologiile informației este un factor cheie în condițiile în care tendința
actuală este de a se ge neraliza utilizarea calculatoarelor în toate domeniile economice și
sociale.
În scopul evaluării dependenței conducerii de tehnologiile informației, auditorul va
examina următoarele aspecte relevante: gradul de automatizare al entității, complexitatea
sistemelor informatice utilizate și timpul de supraviețuire al entității în lipsa sistemului IT.

Tabelul 40

Dependența de IT

Arii de risc
Factori de risc Documente
de lucru

Gradul de automatizare
Numărul și importanța sistemelor informatice sau
aplica țiilor care funcționează și sunt utilizate în
cadrul entități i pentru conducerea proceselor

Ponderea activităților informatizate în totalul
activităților entității

Gradului de acoperire a necesităților în
compartimentele funcț ionale și la nivelul conduce rii

LV_Riscuri

Pag. 107 din 180 Arii de risc
Factori de risc Documente
de lucru

Complexitatea
sistemului IT

Volumul tranzacțiilor gestionate de fiecare din
aplicațiile informatice (subsisteme) și forma de
prezentare (alfanumerică, multimedia, analogică)
Tehnologia utilizată, pentru fiecare din
subsistemele siste mului informatic
Modul de operare (în timp real sau în loturi)
Volumul tranzacțiilor generate automat de către
aplicații
Modul de preluare a datelor: în format electronic
sau manual (suport hârtie), în timp real sau pe
loturi
LV_Riscuri

Timpul de supra viețuire
fără IT

Consecințele asupra activității curente în
eventualitatea întreruperii funcționării sistemului
informatic sau a unui subsistem
Sistemul prelucrează un volum mare de tranzacții,
are la bază algoritmi și modele complexe a căror
rezolvare n u se poate efectua manual
Întreaga activitate este informatizată iar
substituirea procedurilor automate prin proceduri
manuale este foarte costisitoare sau imposibilă
Posibilitatea limitată de refacere a funcționalității,
costurile, intervalul de timp nece sar pentru
reluarea funcționării, impact economic, social, de
imagine, etc.
LV_Riscuri

3.2.2 Resurse și cunoștințe IT

Politica de personal și de instruire

Erorile și omisiunile umane sunt cele mai mari surse de probleme. Pentru reducerea
riscurilor cauzate de greșelile umane, entitatea trebuie să implementeze controale și
proceduri în cadrul unor politici de personal adecvate: o structură organizațională clară,
forma lizată în organigrama entității, descrierea posturilor , planificarea personalului,
instrui rea și dezvoltarea personalului, politici de angajare/concediere (inclusiv coduri de
conduită) , evaluarea person alului (promovare/retrogradare), contracte speciale , rotația
personalului , concediile personalului.
Tabelul 41
Resurse și cunoștințe IT

Arii de r isc
Factori de risc Documente
de lucru

Aptitudini curente

Structura profesională a angajaților din compartimentul IT
(organigramă, număr, stat funcțiuni, fișe de post etc.)
LV_Riscuri

Pag. 108 din 180 Arii de r isc
Factori de risc Documente
de lucru
Nivelul de pregătire al angajaților IT în raport cu
necesitățile activității c urente
Anumite cunoștințe IT concentrate la nivelul unui număr
restrâns de personal
Metodele de evaluare a personalului IT

Resurse
comparate cu
volumul de muncă
Numărul personalului IT în raport cu volumul de muncă
Supraîncărcarea personalul ui IT
Activitatea personalului IT nu este una specifică exclusiv
domeniului IT
LV_Riscuri

Fluctuația
personalului

Fluctuația personalului IT în ultima perioadă (de exemplu,
3 ani)
Insatisfacția profesională
Moralul personalului IT ( nivel de salarizare , stimulente,
posibilități de promovare, stagii de pregătire și de
perfecționare etc.).
LV_Riscuri

3.2.3 Încrederea în IT

Încrederea actorilor implicați în utilizarea sistemelor informatice sau în valorificarea
rezultatelor furnizate de acestea în cadrul un ei entități (management, utilizatori, auditori)
este determinată atât de calitatea informațiilor obținute, cât și gradul în care se asigură
utilizarea tehnologiilor informatice ca instrumente accesibile și prietenoase în activitatea
curentă.
Tabelul 42
Încrederea în IT

Arii de risc
Factori de risc Documente
de lucru

Complexitatea
sistemului și
documentația
aplicațiilor
informatice

Încrederea conducerii de vârf și a personalul implicat în
proiectele legate de implementarea serviciilor IT, în
implemen tarea programelor și proiectelor
Percepția privind complexitatea calculelor și a proceselor
controlate de către sistemele IT, prin amploarea
automatizării activităților desfășurate în cadrul entității, prin
calitatea și varietatea interfețelor, prin inform ațiile
documentare aferente utiliz ării aplicațiilor și sistemului
Cum este apreciată complexitatea sistemului de către
personalul implicat în coordonare, administrare, întreținere
și utilizare
În ce constau și cum sunt apreciate documentația și suportul
metodologic (calitatea slabă generează practici de lucru
LV_Riscuri

Pag. 109 din 180 Arii de risc
Factori de risc Documente
de lucru
neautorizate adoptate de personalul IT, creșterea numărului
de erori produse de personalul IT, dificultatea întreținerii
sistemului, precum și dific ultatea diagnosticării erorilor
Politici neadecvate în ceea ce privește existența și
calitatea documentației, păstrarea și utilizarea
documentației actualizate la ultima versiune și păstrarea
unei copii a documentației într -un loc sigur în afara
sediului entității
Asistența, cum ar fi cea de tip helpdesk nu este furnizată pe
tot intervalul în care este necesară utilizatorilor

Integrarea /
fragmentarea
aplicațiilor
Entitatea nu deține o soluție integrată a sistemului informatic,
acesta fiind constituit din implementări de aplicații
insulariza te, dedicate unor probleme punctuale (aplicația
financiar -contabilă, aplicații dedicate activității de bază a
entității, etc.)
Dficultatea (sau chiar imposibilitatea) de a asigura
interoperabilitatea aplicațiilor și a evita multiplicarea
informațiilor
Validarea într -o manieră eterogenă, respectiv prin proceduri
automate combinate cu proceduri manuale, pentru a se
asigura detectarea și corectarea erorilor de intrare, precum și
detectarea inconsistenței sau redundanței datelor
Existența unor baze de date dive rse, unele instalate pe
platforme hardware/software învechite
Existența unor interfețe utilizator diferite și uneori
neadecvate
Existența unor facilități de comunicație reduse și a unor
probleme de securitate cu riscuri asociate
Existența unor probleme de securitate cu riscuri asociate
LV_Riscuri

Competența și
încrederea
personalului în
dezvoltare,
implementare și
suport
Personalul este informat despre necesitatea și beneficiile care
decurg din utilizarea sistemului IT
Personalul înțelege ce roluri va j uca și ce așteptări sunt de la
acesta
Cum este apreciată receptivitatea utilizatorilor
Utilizatorii consideră utilă implementarea sistemului
Utilizatorii consideră dificilă utilizarea sistemului
Cultura organizațională permite o forță de muncă mobilă,
flexibilă și adaptabilă

LV_Riscuri

Pag. 110 din 180 Arii de risc
Factori de risc Documente
de lucru

Erori
sistematice/
intervenții
manuale

Erori raportate în cadrul utilizării sistemului
Calitatea slabă a suportului tehnic pentru analiza și
corectarea erorilor în mediul de producție
Numărul, frecvența și tipul erori lor constatate în cazul
fiecărei aplicații în parte
Lipsa procedurilor de semnalare a anomaliilor, erorilor sau
incidentelor și a modalităților de corectare/rezolvare
Măsura în care datele generate de aplicații suferă prelucrări
manuale ulterioare din part ea utilizatorilor
Gradul ridicat de fragmentare a aplicațiilor informatice
implică acțiuni frecvente ale utilizatorului în procesul de
prelucrare și influențe în ceea ce privește respectarea fluxului
documentelor
Există probleme de reconciliere între diver sele aplicații sau
chiar în cadrul aceleiași aplicații
LV_Riscuri

Scalabilitate
Măsura în care sistemul poate suporta diversificarea
aplicațiilor
Soluția arhitecturală implementată și de estimările inițiale
privind dimensiunea bazei de date și complexi tatea
prelucrărilor nu permit creșteri semnificative ale volumului
de tranzacții generate de schimbări majore în activitatea
entității
LV_Riscuri

Sisteme
depășite

Tehnologia folosită nu este de ultimă generație
Dificultatea sau imposibilitatea adecvăr ii ritmului
schimbărilor sistemelor informatice cu nivelul tehnologic
Lipsa unor politici de înlocuire a sistemelor depășite și de
creștere continuă a nivelului tehnologic
LV_Riscuri

3.2.4 Schimbări în domeniul sistemelor IT / IS

Cu toate că în urma proces ului de dezvoltare un sistem nou a fost acceptat, pe durata sa
de viață el trebuie întreținut, sch imbat sau modificat, fapt care poate afecta
funcționalitatea de bază a acestuia. Revizuirea controalelor schimbării și adapt area
acestora sunt necesare pentru a asigura continuitatea sistemelor în ceea ce privește
funcționalitatea și modul de operare.

Pag. 111 din 180 Tabelul 4 3
Schimbări în domeniul IT / IS

Arii de risc
Factori de risc Documente de
lucru

Dezvoltarea
de aplicații
informatice

Lipsa unei metodologii de dezvoltare internă a aplicațiilor
informatice
Schimbări neautorizate accidentale sau deliberate ale
sistemelor
Termene depășite pentru rezolvarea unor probleme:
Raportări și prelucrări eronate:
Dificultăți de întreținere
Utilizarea de hardware și softw are neautorizate
Probleme privind schimbările de urgență
Reputația furnizorilor externi IT și a sistemelor folosite
LV_Riscuri

Noi tehnologii

Dacă schimbările în sistemele IT au în vedere tehnologii de
ultima generație

LV_Riscuri

Modificări ale
proceselor
activității

În ce măsură se vor impune în viitorul apropiat modificări
structurale ale proceselor activității care să atragă modificări
ale sistemul informatic

Dacă este pregătit cadrul legal în acest sens

LV_Riscuri

3.2.5 Externalizarea servicii lor IT

Externalizarea serviciilor se referă la furnizarea unor servicii IT, sau conexe acestora, de
către o organizație independentă de entitatea auditată, prin următoarele forme: contract
cu o terță parte pentru furnizarea completă a serviciilor IT cătr e entitatea auditată
(outsourcing ), contract cu o terță parte pentru utilizarea curentă și întreținerea
echipamentelor și a aplicațiilor care sunt în proprietatea entității auditate, precum și
contractarea unor servicii punctuale pe criterii de performanță în funcție de necesități și
de costurile pieței, asociată cu diminuarea sau eliminarea anumitor părți din structura
departamentului IT, în cazul în care externalizarea funcțiilor aferente acestora este mai
eficientă.

Opțiunea privind externalizarea servi ciilor IT trebuie să se bazeze pe o bună cunoaștere a
pieței în scopul alegerii celei mai adecvate soluții privind: reputația furnizorilor, costurile
corelate cu calitatea serviciilor.

Pag. 112 din 180 Tabelul 4 4
Externalizarea serviciilor IT

Arii de risc
Factori de risc
Documente de
lucru

Externalizarea

Nivelul externalizării, incluzând suportul tehnic, operare,
dezvoltare, suport utilizatori etc.
Drepturi de acces în auditul extern
Controlul privind securitatea sistemului
Pierderea flexibilității
Costul sch imbărilor
Pierderea specialiștilor interni proprii și a expertizei în
domeniu
Rezistența personalului
LV_Riscuri

Furnizorii IT

Riscurile care decurg din contractele cu furnizorii
Dependența de furnizorul de servicii IT
LV_Riscuri

Dezvoltarea de
aplicații
informatice de
către utilizatori

În ce măsură aplicațiile informatice sunt dezvoltate intern
Lipsa unui suport metodologic adecvat
Lipsa specialiștilor IT
LV_Riscuri

3.2.6 Focalizarea pe afacere

Lansarea unor investiții în IT, efectuată la început ul unei afaceri sau schimbările necesare
pe parcursul acesteia vor fi supuse unor analize privind obiectivele investițiilor IT,
configurațiile necesare, personalul IT implicat în proiecte, soluțiile de achiziție sau de
dezvoltare, finanțarea proiectelor, e tc.

Deciziile luate de managementul de vârf al entității în legătură cu direcțiile de dezvoltare
în domeniul IT trebuie formalizate și documentate într -un document denumit Strategia IT
în care se identifică toate proiectele și activitățile IT care vor fa ce obiectul finanțărilor.

Deciziile și schimbările planificate specificate în strategia IT sunt preluate și detaliate în
planurile anuale ale departamentului IT.
Deși strategia are un efect minimal pentru auditul efectuat pentru o perioadă de un an, ea
oferă o imagine în legătură cu o perspectivă mai îndelungată (următorii ani) și îl
avertizează pe auditor în ceea ce privește problemele care pot să apară în viitor.

Pag. 113 din 180 Tabelul 45
Focalizarea pe afacere

Arii de risc
Factori de risc
Documente
de lucr u

Corelația între
strategia IT și
strategia
întregii afaceri
Obiectivele departamentului IT nu sunt consistente c u
obiectivele întregii afaceri
Planificarea anuală a departamentului IT este realizată pe
baza prevederilor strategiei
LV_Riscuri

Conștie ntizarea
conducerii
privind
riscurile IT

În ce măsura conducerea este conștientă de importanța
sistemelor IT și a riscurilor conexe
LV_Riscuri

Necesități
curente
comparativ cu
funcționalitatea
sistemului
informatic
Dacă sistemul informatic acoperă n ecesitățile activității
curente
Flexibilitatea și adaptabilitatea sistemelor IT
Investițiile IT nu constituie cheltuieli care se justifică prin
efectele pe care le au asupra afacerii
LV_Riscuri

3.2.7 Securitatea informației

Poziția entității referitoare la securitatea informației trebuie exprimată în Politica de
securitate IT , care stabilește cu claritate politicile, principiile și standardele specifice
privind securitatea, precum și cerințele de conformitate cu acestea, controalele detaliate
privind securi tatea, responsabilitățile și sarcinile personalului în ceea ce privește
securitatea IT, modalitățile de raportare în caz de incidente.

Tabelul 46
Securitatea informației

Arii de risc
Factori de risc
Documente
de lucru

Motivația
pentru fraudă/
infra cțiuni
(internă și
externă)
Tipurile de informații gestionate de către fiecare din aplicațiile
(subsistemele) informatice

Dezvăluiri neautorizate prin acces la informații confidențiale

Măsura în care ar fi afectată reputația instituției în caz de
fraudă

LV_Riscuri

Sensibilitatea
datelor

Cât de confidențiale sunt datele gestionate de către aplicațiile
informatice

Interesul manifestat pentru informațiile confidențiale
Deteriorarea imaginii
LV_Riscuri

Pag. 114 din 180
Arii de risc
Factori de risc
Documente
de lucru

Pierderi financiare

Legislație și
regulamen te

Domeniul de activitate este puternic reglementat

Dezvăluirea neautorizată a informațiilor confidenți ale,
accidentală sau deliberată

Contravenții la legislația privind drepturile de proprietate
intelectuală și de protecție a datelor private

Caracter ul anonim al unor utilizatori care vor să contravină
principiilor accesului în Internet
acțiunile hackerilor, pirateria și pornografia;
acțiunea unui software rău intenționat (viruși,
programe de tip "cal troian")

LV_Riscuri

3.2.8 Protecția fizică a sistemel or IT

Managementul entității are responsabilitatea de a asigura existența controalelor adecvate
pentru protejarea bunurilor și a resurselor afacerii. În acest scop trebuie să se implice în
identificarea amenințărilor asupra sistemelor, a vulnerabilității componentelor sistemului
și a impactului pe care îl pot avea aceste incidente asupra afacerii, să identifice măsurile
adecvate pentru a reduce riscul la un nivel acceptabil. De asemenea, va balansa riscurile
identificate cu costul implementării controalelo r.
Politica de securitate a entității trebuie să includă considerații privind riscurile accesului
fizic și ale deteriorării mediului în care funcționează sistemele de calcul.

Tabelul 47
Protecția fizică a sistemelor IT

Arii de risc
Factori de risc
Documente
de lucru

Protecția
fizică
Măsuri pentru a preveni distrugerea sau deteriorarea
accidentală sau intenționată din partea personalului
(personalul IT, personalul care asigură curățenia, personalul
care asigură securitatea, alți salariați)
Măsuri p entru a preveni furtul calculatoarelor sau al
componentelor
Măsuri pentru a preveni efectele vârfurilor sau căderilor de
curent electric care pot produce deteriorarea componentelor
și pierderea sau alterarea informațiilor
Implementarea controalelor accesul ui logic (parole de acces),
având acces fizic la server
Accesul la informații "sensibile" sau confidențiale
LV_Riscuri

Pag. 115 din 180
Arii de risc
Factori de risc
Documente
de lucru

Asigurarea
condițiilor de
mediu Măsuri pentru a preveni distrugeri provocate de foc, apă sau
de alte dezastre naturale
Măsuri pentru a preveni căderi ale sistemului datorate
creșterilor sau scăderilor de temperatură sau umiditate
peste/sub limitele normale admise
LV_Riscuri

3.2.9 Operarea sistemelor IT

Rolul și îndatoririle privind operarea sistemelor IT se reflectă în următoarele activită ți:
1. Planificarea capacității : asigurarea că sistemele de calcul vor continua să asigure
servicii cu nivel de performanță satisfăcător pe o perioadă mare de timp. Aceasta
implică: personal de operare IT, capacitate de calcul și de memorare, capacitate de
încărcare a rețelei.
2. Monitorizarea performanței : monitorizarea zilnică a performanței sistemului în
termenii măsurării timpului de răspuns.
3. Încărcarea inițială a programelor : inițializarea sistemelor sau instalarea de software
nou.
4. Managementul suporților t ehnici : include controlul discurilor, al benzilor, al
discurilor compacte (CD ROM), al dischetelor, etc.
5. Programarea proceselor de calcul : include programarea proceselor care se
desfășoară în paralel cu programele curente și efectuează în principal actual izări de
fișiere. Acestea se execută în general periodic (zilnic, săptămânal, lunar, trimestrial
sau anual).
6. Salvări și recuperări în caz de dezastru : salvarea datelor și a programelor se
efectuează regulat de către personalul de operare.
7. Asigurarea supor tului (Helpdesk) și managementul problemelor : helpdesk reprezintă
modalitatea de a face legătura între utilizatori și personalul din departamentul IT,
ori de câte ori apar probleme în operarea calculatorului. Problemele pot să apară în
programe individuale (aplicații și sisteme), hardware, sau telecomunicații.
8. Întreținerea : se referă atât la hardware, cât și la software.
9. Monitorizarea rețelei și administrare : majoritatea calculatoarelor utilizate în afaceri
sau în administrație funcționează în rețea. Funcți a de operare IT presupune
responsabilitatea asigurării că legăturile de comunicație sunt întreținute și
furnizează utilizatorilor accesul în rețea la nivelul aprobat. Rețelele sunt în mod
special importante când organizația utilizează schimburi electronice de date.

Pag. 116 din 180 Tabelul 4 8
Operarea sistemelor IT

Arii de risc
Factori de risc
Documente
de lucru

Managementul
operațiilor
Planificarea capacității pentru asigurarea că sistemele de
calcul vor continua să furnizeze servicii cu nivel de
performanț ă satisfăcător pe o perioadă mare de timp:
personal de operare IT, capacitate de calcul și de memorare,
capacitate de încărcare a rețelei
Monitorizarea zilnică a performanței sistemului în termenii
măsurării timpului de răspuns
Încărcarea inițială a progra melor: inițializarea sistemelor sau
instalarea de software nou
Managementul suporților tehnici: controlul discurilor, al
benzilor, al discurilor compacte (CD ROM), al dischetelor, etc.
Programarea proceselor de calcul: programarea proceselor
care se desfăș oară în paralel cu programele curente și
efectuează în p rincipal actualizări de fișiere, periodicitate
Salvări și recuperări în caz de dezastru: salvarea datelor și a
programelor se efectuează regulat de către personalul de
operare
Asigurarea suportului ( Helpdesk) și managementul
problemelor: helpdesk
Întreținerea: se referă atât la hardware, cât și la software.
Monitorizarea rețelei și administrare: responsabilitatea
asigurării că legăturile de comunicație sunt întreținute și
furnizează utilizatorilor ac cesul în rețea la nivelul aprobat

LV_Riscuri

Operarea
sistemelor IT
Aplicațiile nu se execută corect din cauza operării greșite a
aplicațiilor sau a utilizării unei versiuni incorecte, a unor
parametri de configurare incorecți introduși de personalul
de operare
Pierderea sau alterarea aplicațiilor financiare sau a fișierelor
de date datorată utilizării greșite sau neautori zate a unor
programe utilitare
Personalul IT nu știe să gestioneze rezolvarea problemelor
sau raportarea erorilor din lipsa instrui rii sau documentației
Întârzieri și întreruperi în prelucrare datorate alocării unor
priorități gr eșite în programarea sarcinilor
Lipsa salvărilor și a planificării incidentelor probabile crește
riscul incapacității de a continua prelucrarea în u rma unui
dezastru
Lipsa capacității (resurselor) siste mului din cauza
supraîncărcării
LV_Riscuri

Pag. 117 din 180
Arii de risc
Factori de risc
Documente
de lucru
Timpul mare al căderilor de sistem până la remedierea erorii
Probleme ale utilizatorilor nerezolvate datorită funcționării
defectuoase a facilității Helpdesk.

3.2.10 Dezvolt ări efectuate de utilizatorii finali

Dezvoltările efectuate de utilizatori într -un mediu informatizat este o activitate dificil de
controlat, întrucât utilizatorii nu adoptă standardele sau bunele practici utilizate de
specialiștii din departamentul IT. Acest mediu necontrolat poate conduce la consum de
timp, efort și costuri suplimentare, precum și la riscuri majore în cazul în care utilizatorii
care dezvoltă programe prelucrează și tranzacții financiare.

În ceea ce privește dezvoltarea de sisteme infor matice de către utilizatori, auditorul va
evalua riscurile care decurg din dezvoltarea internă a sistemelor informatice (resurse de
dezvoltare / implementare / școlarizare, etc.). Se vor trata diferențiat cazurile în care
entitatea are un departament IT c are are ca atribuții dezvoltarea de sisteme și aplicații, de
cele în care dezvoltările se fac ad -hoc, fără utilizarea unui suport metodologic adecvat și
fără participarea unor specialiști cu atribuții definite în acest domeniu.

Tabelul 50
Dezvoltări efectuate de utilizatori

Arii de risc
Factori de risc
Documente
de lucru

Dezvoltări
efectuate de
utilizatori

Amploarea aplicațiilor dezvoltate de către utilizatori
Dezvoltarea programelor de către utilizatori este realizată de
personal lipsit de exp eriență, neinstruit în dezvoltarea de sisteme
software și lipsit de asistență de specialitate din partea
departamentului IT
Protejarea informațiilor față de accesul utilizatorilor
Datele extrase din aplicațiile de baza sunt supuse unor prelucrări
manuale u lterioare
Duplicarea efortului rezultă din efectuarea unor sarcini care se
execută și în departamentul de informatică pentru rezolvarea
aceleiași probleme, în lipsa unei coordonări unitare

Inconsistența datelor datorită utilizării sistemului distribuit ca re
prelucrează date inconsis tente din departamente diferite

Creșterea costurilor de utilizare a serviciilor IT (cerințele de
instruire suplimentare; o mai mare solicitare a serviciilor
helpdesk ; alte costuri adiționale ascunse aferente timpului
suplimenta r pe care utilizatorul îl folosește pentru rezolvarea
problemelor, comparativ cu specialiștii IT, sistemele dezvoltate
de utilizatori au tendința de a utiliza mai puțin eficient resursele
de calcul)
LV_Riscuri

Pag. 118 din 180
Arii de risc
Factori de risc
Documente
de lucru

Conformitatea cu legislația. În lipsa unei legături cu
departamentul IT, utilizatorii riscă să nu respecte legislația
asociată domeniului IT (utilizarea calculatoarelor, memorarea
informațiilor cu caracter personal sau secrete, drepturile de
proprietate intelectuală) și sunt tentați să utilizez e software
neauto rizat

Pierderea datelor se poate datora următoarelor motive: virusarea
calculatoarelor , securi tatea accesului logic sau fizic

Conducerea nu este conștientă de riscurile dezvoltărilor efectuate
de utilizatori

Pag. 119 din 180
Capitolul 4. Evaluarea mediului infor matizat
în entitățil e mici

4.1 Evaluarea mediului informatizat cu calculatoare PC
individuale

Calculatoare le individuale, nein stalat e în rețea pot fi utilizate pentru procesarea
tranzacțiilor contabile și obținerea de rapoarte care sunt esențiale pentru înto cmirea
situațiilor financiare. Pe aceste calculatoare poate fi operațional întregul sistem financiar
contabil sau numai o parte a acestuia.

Având în vedere complexitatea redusă, mediile IT în care sunt utilizate calculatoare
individuale nein stalat e în re țea sunt diferite de mediile IT complexe, prin faptul că
anumite controale și măsuri de securitate care sunt folosite pentru sistemele mari pot să nu
fie aplicabile în cazul calculatoarelor individuale .
Pe de altă parte, anumite tipuri de controale intern e devin mai importante datorită
particularităț ilor implementării și utilizării calculatoarelor în mod individual și anume:

Calculatoarele nein stalat e în rețea pot fi operate de un singur utilizator sau de mai
mulți utilizatori la momente diferite, care ac cesează același program sau programe
diferite de pe același calculator.
Utilizatorul unui calculator neinclus în rețea care procesează aplicații contabile
desfășoară , în multe situații , activități care în mod normal necesită separare de
atribuții (de exem plu, introducerea de date și operarea programelor de aplicații).
Deși, în mod normal, utilizatorii nu au cunoștințe de programare, ei pot utiliza
pachete de programe proprii sau furnizate de terți, cum ar fi foi de lucru
electronice sau aplicații de baze d e date , și, implicit, pot altera informațiile din
aplicația financiar -contabilă .
Structura organizațională în cadrul căreia este utilizat un calculator neinclus în
rețea este importantă pentru evaluarea riscurilor și a dimensiunii controalelor
cerute pent ru reducerea acelor riscuri. Eeficiența controalelor asociate unui
calculator neinclus în rețea utilizat în cadrul unei organizații mai mari poate
depinde de o structură organizatorică ce separă în mod clar responsabilitățile și
restricționează utilizarea calculatorului respectiv pentru anumite funcții specifice ,
în timp ce pentru o organizație mică, separarea atribuțiilor la nivelul utilizării
calculatorului, nefiind posibilă .
Multe calculatoare pot fi folosite ca parte a unei rețele sau în mod individual . În
primul caz , auditorul ia în considerare riscurile suplimentare induse de acces ul în
rețe a.
4.1.1 Particularitățile a uditul ui în medii cu calculatoare individuale

Calculatoarele personale (PC) sunt orientate spre utilizatori finali individuali. Gradul de
acuratețe și credibilitatea informațiilor financiare depind, parțial, de controalele interne
pe care utilizatorul le adoptă fie voluntar, fie pentru că au fost prescrise de către
conducere. Procedurile de control implementate sunt corelate cu complexitatea mediului

Pag. 120 din 180 de afaceri în care operează calculatoarele personale , acesta fiind mai puțin structurat
decât un mediu IT complex, și, în consecință, nivelul controalelor generale fiind mai
scăzut.

Auditul în medii cu calculatoare individuale se va axa pe următ oarele direcții:

a) Evaluarea p roceduri lor și politici lor organizaționale
Pentru obținer ea unei înțelegeri a mediului de control IT pentru calculatoarele nein stalat e
în rețea, auditorul ia în considerare structura organizatorică a entității și, în special ,
alocarea responsabilităților referitoare la pr elucr area datelor. Politicile și procedurile
eficiente de achiziție, implementare, operare și întreținere a calculatoarelor neincluse în
rețea pot îmbunătăți mediul de control general. Lipsa unor astfel de po litici poate conduce
la utilizarea de către entitate a programelor expirate și la erori în datele și informațiile
generate de astfel de programe, ducând în același timp și la un risc crescut de apariție a
fraudei. Astfel de politici și proceduri includ urm ătoarele:
Standarde referitoare la achiziție, implementare și documentare;
Programe de pregătire a utilizatorilor;
Recomandări cu privire la securitate, copii de back -up și stocare;
Gestiunea parolelor;
Politici privind utilizarea personală;
Standarde refe ritoare la achiziționarea și utilizarea produselor software;
Standarde de protecție a datelor;
Întreținerea programului și suport tehnic;
Un nivel corespunzător de se parare a sarcinilor și responsabilităților;
Protecție împotriva virușilor.

b) Evaluarea protecți ei fizice a echipamente lor
Din cauza caracteristicilor lor fizice, calculatoarele nein stalat e în rețea și mediile lor de
stocare sunt susceptibile de furt, deteriorare fizică, acces neautorizat sau utilizare greșită.
Prote cția fizic ă se realizează prin următoarele metode :
Închiderea lor într -o cameră, într -un dulap de protecție sau într -un înveliș
protector;
Utilizarea unui sistem de alarmă care este activat ori de câte ori calculatorul este
deconectat sau deplas at de la locul lui;
Fixarea calculat orului de o masă;
Politici care să menționeze procedurile corecte care trebuie urmate atunci când se
călătorește cu un laptop sau când acesta se folosește în afara biroului;
Criptarea fișierelor cheie;
Instalarea unui mecanism de închidere pentru a contr ola accesul la întrerupătorul
de pornire/oprire al calculatorului . Acesta nu poate să prevină furtul
calculatorului, dar poate preveni folosir ea neautorizat ă a acestuia ;
Implementarea controalelor de mediu pentru prevenirea daunelor de pe urma
dezastrelor naturale, cum ar fi incendii, inundații etc.

c) Evaluarea p rotecți ei fizic e a medii lor portabile și fixe
Programele și datele instala te pe un calculator pot fi stocate pe medii de stocare portabile
(dischet ă, CD, stik ) și fixe (hard -disk) . În plus, compo nentele interioare ale multor
calculatoare, în special ale laptop -urilor sunt ușor accesibile. Atunci când un calculator

Pag. 121 din 180 este folosit de mai multe persoane, este mai probabil ca mediile de stocare să fie pierdute,
modificate fără autorizare sau distruse.
Este responsabilitatea utilizatorului să protejeze mediile portabile de stocare, de exemplu
prin păstrarea copiilor de rezervă curente ale acestora , într -o altă locație protejată .
Această situație se aplică în mod egal sistemului de operare, programelor de aplicații și
datelor.

d) Evaluarea s ecurit ății programelor și a datelor
Atunci când calculatoarele sunt accesibile mai multor utilizatori, există riscul ca sistemul
de operare, programele și datele să poată fi modificate fără autorizare, sau ca utilizat orii
să își instaleze propriile versiuni ale programelor, dând naștere unor potențiale probleme
legate de licenț ele software .
Gradul de control și restricți ile de securitate prezente în sistemul de operare al unui
calculator pot să varieze. Deși unele sist eme de operare evoluate conțin proceduri
complexe de securitate încorporate, cele utilizate la calculatoarele individuale nu conțin
astfel de protecți i. Cu toate acestea, există tehnici care oferă asigurarea că datele sunt
procesate și citite numai în mod autorizat și că distrugerea accide ntală a datelor este
prevenită, limitând accesul la programe și date doar personalului autorizat:
1. Folosirea parolelor este o tehnică de control eficientă care se bazează pe utilizarea
profilelor și a parolelor, care contro lează accesul permis unui utilizator. De exemplu,
unui utilizator i se poate atribui un profi l protejat de o parolă, care să permită doar
introducerea de date, iar calculator ul poate fi configurat astfel încât să solicite parol a
înainte de putea fi accesa t.
2. Implementarea unui pachet de control al accesului poate furniza un control eficient
asupra accesului și utilizării sistemelor de operare, programelor și fișierelor de date.
De exemplu, numai unui anumit utilizator i se poate acorda accesul la fișierul c u parole
sau i se poate permite să instaleze programe. Astfel de pachete pot, de asemenea, să
examineze cu regularitate programele existente pe calculator pentru a detecta dacă
sunt utilizate programe sau versiuni ale programelor neautorizate.
3. Utilizarea mediilor de stocare portabile pentru programele sau fișierele de date
esențiale sau sensibile poate furniza o protecție sporită prin depozitarea acestora în
locații protejate și sub control independent atât cât este necesar. De exemplu, datele
referitoare la salarii pot fi păstrate pe un mediu portabil și utilizate numai atunci când
este necesară procesarea acestora .
4. Folosirea de fișiere și directoare ascunse . Salvarea programelor și a datelor din
calculatoarele care dispun de medii portabile de stocare (d e exemplu, dischete, CD -uri
și stik-uri) constituie o modalitate eficientă de păstrare a acestora în condiții de
securitate. Mediile de stocare sunt apoi depozitate în custodia bibliotecarilor de fișiere
sau a utilizatorilor responsabili pentru datele sau programele respective.
5. Criptografia este o tehnică folosită, în general, atunci când date sensibile sunt
transmise pe linii de comunicație, dar poate fi folosită și în cazul informației stocate pe
un calculator individual .
e) Evaluarea c ontinuit ății siste mului
Într-un mediu cu calculatoare neinstalate în rețea , conducerea se bazează, în mod
obișnuit, pe utilizator pentru a asigura disponibilitatea continuă a sistemelor în caz de

Pag. 122 din 180 nefuncționare, pierdere sau distrugere a echipamentului, sistemului de operare ,
programelor sau datelor. Acest lucru presupune :
(a) Păstrarea de către utilizator a copiilor sistemelor de operare, programelor și
datelor, depozitând cel puțin o copie într -un loc sigur, departe de calculator; și
(b) Un acces disponibil la un echipament alterna tiv într -un interval de timp rezonabil,
având în vedere utilizarea și importanța sistemului de bază.
4.1.2 Efectul utilizării calculatoarelor individuale asupra sistemului
financiar contabil

Efectul utilizării calculatoarelor individuale asupra sistemului financiar contabil , precum
și riscuril e asociate vor depinde în general de următoarele aspecte :
(a) Măsura în care calculatorul este folosit pentru a procesa aplicațiile financiar
contabile;
(b) Tipul și importanța tranzacțiilor financiare care sunt procesate; și
(c) Natura programelor și a datelor utilizate în aplicații.

Particularitățile controalelor generale și ale controalelor aplicațiilor aferente mediului
informatizat decurg, în acest context, din următoarele considerente :

a) Controale generale IT

Cel mai important aspect îl reprezintă separarea sarcinilor , care într -un mediu de
calculatoare individuale este greu de realizat având în vedere amploarea redusă a
sistemului și numărul redus de personal implicat în activități IT (instalare, administrare,
operare, întrețin ere etc.), în cele mai multe cazuri, aceeași persoană îndeplinind toate
aceste sarcini. De asemenea, utilizatorii pot derula în sistemul financiar contabil, în
general, două sau mai multe dintre următoarele funcții:
(a) Inițierea de documente sursă;
(b) Autorizare a de documente sursă;
(c) Introducerea de date în sistem;
(d) Procesarea datelor introduse;
(e) Schimbarea programelor și a fișierelor de date;
(f) Folosirea sau distribuirea rezultatelor;
(g) Modificarea sistemelor de operare.
Mai mult decât atât, în foarte multe cazuri, a ceste activități sunt îndeplinite de persoane
din afara entității. Din din aceste motive, multe erori pot să tracă neobservate și se poate
permite comiterea și ascunderea fraudelor.

b) Controale ale aplicațiilor

Existența și folosirea controalelor de acces adecvate asupra programelor și fișierelor de
date, combinate cu controlul asupra intrărilor, procesării și ieșirilor de date poate, în
conformitate cu politicile conducerii, să compenseze unele dintre carențele controalelor
generale în mediile de calculat oare. Implementarea unor c ontroalele eficiente la acest
nivel (proceduri manuale sau automate, reguli, norme, instrucțiuni) contribuie la
creșterea eficacității sistemului de control al mediului informatizat și se poate realiza prin
următoarele tehnici :
proceduri de control programate ;

Pag. 123 din 180
utilizarea și monitorizarea u nui sistem de jurnale ale tranzacțiilor, incluzând
urmărirea și soluționarea oricăror excepții;
supravegherea directă, de exemplu, o analiză a rapoartelor;
reconcilierea numărătorilor înregistră rilor sau utilizare a totalurilor de control .

În acest context, c ontrolul se poate implementa prin desemnarea unei persoane căreia i se
va aloca o funcți e independentă cu următoarele atribuții :
(a) Va primi toate datele pentru procesare;
(b) Va asigura că toate da tele sunt autorizate și înregistrate;
(c) Va urmări toate erorile detectate în timpul procesării;
(d) Va verifica distribuirea corespunzătoare a rezultatelor obținute;
(e) Va limita accesul fizic la programele de aplicații și la fișierele de date.
4.1.3 Efectul unui mediu cu calculatoare individuale asupra
procedurilor de audit

Într-un mediu informatizat cu calculatoare individuale poate să nu fie practicabil sau
rentabil pentru conducere să implementeze controale suficiente pentru a reduce riscurile
erorilor nedetectate la un nivel minim. În astfel de situații, după obținerea înțelegerii
sistemului contabil și a mediului de control8, auditorul , pe baza raționamentului
profesional, poate considera că este mai rentabil să nu efectueze o analiză suplimentară a
controalelor generale sau a controalelor aplicațiilor, și poate adopta una dintre
următoarele abordări:
– Efectuarea auditului situațiilor financiare în manieră tradițională (manuală), în
cazul în care consideră ca informațiile furnizate de sistemul informatic nu sunt d e
încredere;
– Utilizarea unei abordări mixte (metode manuale combinate cu proceduri automate),
caz în care își va concentr a eforturile asupra procedurilor de fond . Aceasta poate
determina o examinare fizică și o confirmare suplimentară a activelor, mai mult e
teste ale tranzacțiilor, mărimi mai mari ale eșantioanelor și folosirea într -o măsură
mai mar e a tehnicilor de audit asistat de calculator.
Dacă nivelul controalelor generale pare a fi adecvat, auditorul poate decide adoptarea
unei abordări diferite , stabilind proceduri care reduc riscul de control.
Calculatoarele nein stalat e în rețea se întâlnesc în mod frecvent în entitățile mici. Pe baza
unei analize preliminare a controalelor, planul de audit ar putea include testări ale
controalelor pe care auditoru l intenționează să se bazeze.

4.2 Efectul implementării și utilizării sistemelor de gestiune a
bazelor de date (SGBD) asupra sistemului financiar contabil

Gestionarea resurselor de date creează un control organizațional esențial pentru
asigurarea integrită ții și compatibilității datelor. Într -un mediu cu baze de date metodele
de control informațional și utilizare se schimbă de la o abordare orientată pe aplicații
către o abordare organizațională extinsă. În contrast cu sistemele tradiționale în care
fieca re aplicație este un sistem separat cu propria raportare și propriile controale, într -un

8 cerută de ISA 400 „Evaluarea riscurilor și controlul intern”

Pag. 124 din 180 mediu de bază de date, multe controale pot fi centralizate iar baza de date este proiec tată
pentru a servi necesităților informaționale integrale ale organizației.
Utilizarea acelorași date de către diferite programe de aplicații subliniază importanța
coordonării centralizate a utilizării și definirii datelor precum și a menținerii integrității,
securității, exhaustivității și exactității acestora. Gestionarea resursel or de date este
necesară pentru a promova integritatea datelor și include o funcție de administrare a
bazei de date care se ocupă în principal cu implementarea tehnică a bazei de date, cu
operațiunile zilnice precum și cu politicile și procedurile care guv ernează accesarea
acesteia și utilizarea zilnică. În general, administrare a bazei de date este responsabilă cu
definirea, structurarea, securitatea, controlul operațional și eficientizarea ba zelor de date,
inclusiv definire a regulilor de accesare și stocar e a datelor.
4.2.1 Particularitățile controlului intern aferent mediului cu baze de
date

Pentru m enținerea integrității, exhaustivității și securității datelor este necesară
proiectarea, implementarea și impunerea reglementărilor p rivind integrit atea ,
exhaustiv itatea și a accesul la informații . Aceste responsabilități includ:
– Stabilirea persoanei responsabile cu monitorizarea datelor și a modului în care se
va desfășura această monitorizare;
– Stabilirea celor care au acces la date și a modului în care este reali zat accesul (de
exemplu, cu ajutorul parolelor și a tabelelor de autorizare);
– Prevenirea includerii de date incomplete sau eronate;
– Detectarea absenței datelor;
– Securizarea bazei de date față de accesul neautorizat sau distrugeri;
– Monitorizarea și urmărire a incidentelor de securitate precum și realizarea regulată
de back -up-uri;
– Asigurarea unei recuperări totale în caz de pierderi de date.

Particularitățile controlului intern aferent mediului informatizat decurg din următoarele
considerente:

1. Deoarece i nfrastructura de securitate a unei entități joacă un rol important în
asigurarea integrității informațiilor produse, auditorii iau în considerare acest
factor, înaintea examinării controalelor generale și ale aplicațiilor. În general,
controlul intern înt r-un mediu cu bază de date solicită controale eficiente ale bazei
de date, ale SGBD -ului și ale aplicațiilor. Efic acitatea controalelor interne depinde
în mare măsură de natură administrarea bazei de date .
2. Într-un sistem de baze de date , controalele gener ale privind baza de date, SGBD și
administr area bazei de date au un efect esențial asupra aplicații lor. Aceste
controale pot fi clasificate după cum urmează :
(a) Utilizarea unei m etode standard pentru dezvoltarea și menținerea
programelor de aplicații;
(b) Proiect area unui m odel al datelor și stabilirea proprieta rilor datelor;
(c) Stabilirea a ccesul ui la baza de date;
(d) Separarea sarcinilor;
(e) Gestionarea date lor;
(f) Implementarea procedurilor privind s ecuritatea datelor și recuperarea
datelor.

Pag. 125 din 180
a) Metoda standard pentru dezvol tarea și menținerea programelor de aplicații

Utilizarea unei metode standard pentru a dezvolta fiecare nou program de aplicații și
pentru a modifica programele de aplicații existente, poate crește eficiența controlului.
Aceasta va include o metodă formal izată, pas cu pas, pe care fiecare persoană în parte
trebuie să o urmeze atunci când dezvoltă sau modifică un program de aplicații. De
asemenea include analiza efectelor tranzacțiilor noi sau existente asupra bazei de date de
fiecare dată când este necesa ră o modificare, a naliz ă din care vor rezulta efectele
modificării asupra securității sau integrității bazei de date.
Implementarea unei metode standard pentru a dezvolta sau modifica programele de
aplicații este o tehnică care ajută la îmbunătățirea acu rateț ii, exhaustivității și integrității
bazei de date . Cele mai relevante controale , specifice pentru atingerea acestui scop , sunt :
Definirea s tandardel or de conformitate pentru monitoriza re;
Stabilirea și implementarea procedurilor de b ack-up al datelor și de
recuperare pentru a asigura disponibilitatea bazei de date;
Stabili rea diferite lor niveluri de control al e accesului pentru date, tabele și
fișiere pentru a se preveni accesul neadecvat și neautorizat;
Stabili rea controale lor pentru a asigura acurat ețea, încrederea și
exhaustivitatea date lor. În multe cazuri, proiectarea sistemului poate să nu
furnizeze întotdeauna utilizatorilor controale care să dovedească
exhaustivitatea și acuratețea datelor și astfel poate apărea un risc crescut
ca SGBD să nu i dentifice întotdeauna coruperea datelor;
Implementarea p roceduril or privind reproiectare a bazei de date , ca urmare
a modificări lor logice, fizice și procedurale.

b) Modelul datelor și proprietatea datelor

Într-un mediu cu bază de date, unde mai multe persoa ne pot utiliza programe pentru a
introduce și modifica date, administratorul bazei de date trebuie să se asigure că există o
repartizare clară și definită a responsabilității pentru asigurarea acurateței și integrității
date lor pentru fiecare categorie de informații . Responsabilitatea pentru definirea
accesului și a regulilor de securitate, cum ar fi de exemplu, drepturile de utilizare a datelor
(accesul) și funcțiile pe care le poate executa (securitatea) trebuie alocată unei singure
persoane . Desemnarea unor responsabilități specifice pentru deținerea datelor ajută la
asigurarea integrității bazei de date. Dacă diferite persoane pot lua decizii care afectează
acuratețea și integritatea datelor respective, probabilitatea ca datele să fie altera te sau
utilizate impropriu, crește. Controalele asupra profilului utilizatorilor sunt de asemenea
importante atunci când se utilizează un sistem cu bază de date, nu doar pentru a stabili
accesul autorizat dar și pentru a detecta violările și tentativele de violare a protocoalelor
de securitate .
c) Accesarea bazei de date

Accesul utilizatorilor la baza de date poate fi restricționat prin controalele de acces.
Aceste restricții se aplică persoanelor, terminalelor și programelor. Pentru ca parola să fie
eficientă, sunt necesare anumite proceduri adecvate pentru modificarea parolelor,
menținerea secretului parolelor și revizuirea sau investigarea încercărilor de violare a
protocoalelor de securitate. Conexarea parolelor cu anumite stații de lucru , programe sau
date este necesară pentru a asigura accesul, modific area sau ștergerea datelor doar de
către persoane autorizate. Utilizarea tabelelor de autorizare generate pentru securizarea

Pag. 126 din 180 bazei de date poate asigura un control în plus asupra accesării diferitelor informații de
către utilizator. Implementarea improprie a procedurilor de acces poate avea ca rezultat
accesul neautorizat la baza de date.

d) Separarea sarcinilor

Responsabilitățile pentru efectuarea diferitelor activități necesare pentru a proiecta,
implementa și opera o bază de date sunt divizate între personalul tehnic, proiectant,
administrativ și utilizator. Îndatoririle acestora includ proiectarea sistemului, proiectarea
bazei de date, administrarea și operarea. Menținerea unei separări adecvate a acestor
îndatoriri este absolut necesară pentru asigurarea integrității, exhaustivității și acurateței
bazei de date. De exemplu, persoanele responsabile cu modificare a programelor de baze
de date care conțin informații despre personal , nu vor fi aceleași persoane care sunt
autorizate să efectueze modificări individuale ale plăților salariale în baza de date.
e) Securitatea datelor și recuperarea bazei de date

Există o probabilitate crescută ca bazele de date să fie utilizate de diferiți utilizatori în
diferite z one a le operațiunilor entității, ceea ce însemnă că aceste zone din cadrul entității
vor fi afectate în cazul în care datele nu sunt accesibile sau conțin erori. De aici decurge
nivelul înalt de importanță al controalel or generale privind securit atea datelor ș i
recuper area bazelor de date.
4.2.2 Efectul utilizării bazelor de date asupra sistemului financiar
contabil

Efectul utilizării bazelor de date asupra sistemului financiar contabil, precum și riscurile
asociate vor depinde în general de următoarele aspecte:
Măsura în care este utilizată baza de date de aplicațiile contabile;
Tipul și importanța tranzacțiilor financiare care sunt procesate;
Natura și structura bazei de date, SGBD;
Administr area bazei de date și a aplicațiilor ;
Controalele generale referitoare l a baza de date și ale aplicațiilor.

Sistemele cu baze de date oferă în mod obișnuit o mai mare credibilitate a datelor față de
aplicațiile bazate pe fișiere de date . În astfel de sisteme, controalele generale au o
importanță mai mare decât controalele ap licațiilor, ceea ce implică reducerea riscului de
fraudare sau eroare în sistemele contabile în care sunt utilizate bazele de date. Următorii
factorii, în combinație cu controalele adecvate, contribuie la o credibilitate sporită a
datelor.
Este asigurată o c oeren ță crescută a datelor deoarece acestea sunt
înregistrate și actualiz ate o singură dată, și nu stocate în mai multe fișiere și
actualizate de mai multe ori de către diferite programe.
Integritatea datelor va fi îmbunătățită de utilizarea eficientă a facilităților
incluse în SGBD ( rutine de recuperare / restartare, editare generalizată ,
rutine de validare, caracteristici de control și securitate.
Alte funcții disponibile în cadrul SGBD pot facilita procedurile de control și
audit (generatoare de rapoa rte, care pot fi utilizate pentru a crea rapoarte

Pag. 127 din 180 bilanțiere, și limbaje de investigare care pot fi utilizate pentru a identifica
inconsecvențele din date ).
Riscul denaturării poate crește în cazul în care sistemele baze de date sunt utilizate fără
un cont rol adecvat. Într -un mediu cu fișiere de date, controalele efectuate de către
utilizatori individuali pot compensa slăbiciunile controlului general. Într -un sistem cu
baze de date, utilizatorii individuali nu pot compensa întotdeauna controalele neadecvat e
ale administrării bazei de date. De exemplu, personalul responsabil cu creanțele nu poate
exercita un control efic ace al datelor din conturile de creanțe dacă restul personalului nu
are restricție privind modifica rea soldurile conturilor de creanțe din baza de date.
4.2.3 Efectul utilizării bazelor de date asupra procedurilor de audit

Procedurile de audit într -un mediu cu baze de date vor fi afectate în principal de măsura
în care sistemul contabi l utilizează informații din bazele de date . În cazul în care ap licații le
financiar contabil e utilizează o bază de date comună, auditorul poate considera că este
eficient din punctul de vedere al costului să utilizeze unele din tre procedurile prezentate
în continuare .
a) Când planifică un audit financiar, p entru a înțe lege mediul de control al bazei de date și
fluxul de tranzacții, auditorul este posibil să ia în considerare efectul următor ilor factori,
asupra riscului de audit.
Controalele de acces relevante . Este posibil ca baza de date să fie utilizată de
persoane d in afara sistemului contabil tradițional și astfel auditorul va trebui să ia
în considerare controlul accesului asupra datelor contabile și al tuturor celor care
ar fi putut avea acces la acestea.
SGBD și aplicațiile contabile importante care utilizează ba za de date . Este posibil ca
alte aplicații din cadrul entității să genereze sau să altereze date utilizate de
aplicațiile contabile. Auditorul va evalua modul în care SGBD controlează aceste
date.
Standardele și procedurile pentru dezvoltarea și menținer ea programelor de aplicații
care utilizează baza de date. Bazele de date, mai ales cele care se găsesc pe
calculatoa re individuale, pot fi adesea proiectate și implementate de persoane din
afara departamentului IT sau a celui contabil. Auditorul va evalu a modul în care
entitatea controlează dezvoltarea acestor baze de date.
Funcția de gestionare a date lor. Această funcție joacă un rol important în
menținerea integrității informațiilor stocate în baza de date.
Fișele posturilor, standardele și procedurile pentru persoanele responsabile cu
suportul tehnic, proiectarea, administrarea și operarea bazei de date. Este posibil
ca în cazul sistemelor cu baze de date , un număr sporit de persoane să aibă
responsabilități majore legate de informații și date, spre de osebire de sistemele cu
fișiere tradiționale .
Procedurile utilizate pentru a asigura integritatea, securitatea și exhaustivitatea
informațiilor financiare conținute în baza de date.
Disponibilitatea facilităților de audit din cadrul SGBD utilizat .
Procedur ile utilizate pentru introducerea noilor versiuni de baze de date în cadrul
sistemului .

b) La determinarea gradului de încredere acordat controalelor interne privitoare la
utilizarea bazelor de date în sistemul contabil, auditorul va lua în considerare mo dul în

Pag. 128 din 180 care acestea sunt utilizate. Dacă ulterior auditorul decide să se bazeze pe aceste
controale, el va proiecta și efectua teste corespunzătoare.
c) Atunci când auditorul decide efectuarea unor teste ale controalelor sau teste detaliate
de audit privi toare la sistemul cu bază de date, în cele mai multe cazuri va fi mai eficient ă
realizarea acestora cu ajuto rul tehnicilor de audit asistat de calculator. Faptul că datele
sunt stocate integral într -un singur loc și organizate într -o manieră structurată f ace ca
extragerea probelor să fie mai simplă. De asemenea, este posibil ca bazele de date să
conțină date generate în afara funcției contabile, ceea ce va face ca efectuarea aplicației
procedurilor analitice să fie mult mai eficientă.
d) Procedurile de au dit pot include utilizarea funcțiilor SGBD pentru rezolvarea
următoarelor probeme, după ce, în prealabil , s-a verifica t dacă acestea funcționează
corect :
– Testarea controalelor de acces;
– Generarea datelor de testare;
– Furnizarea unui proces de audit;
– Verificarea integrității bazei de date;
– Furnizarea accesului la informațiile din baza de date sau a unei copii a părților
relevante din baza de date , pentru a face posibilă utilizarea de produselor software
de audit;
– Obținerea informațiilor necesare auditului.

e) În cazul în care controalele privind administr area bazei de date sunt neadecvate, este
posibil ca auditorul să nu poată compensa aceste controale slabe indiferent de cât de
multă muncă va depune. Prin urmare, atunci când devine clar că nu s e poate baz a pe
controalele din sistem, auditorul va lua în considerare necesitatea de a efectua teste
detaliate de audit asupra tuturor aplicațiilor contabile importante care utilizează baza de
date și va decide dacă aceste proceduri sunt suficiente pent ru atingerea obiectivelor
auditului. În cazul în care auditorul nu poate compensa slăbiciunile din mediul de control
prin teste detaliate pentru a reduce riscul de audit la un nivel cât mai redus, acceptabil,
standardul ISA 700 solicita ca auditorul să em ită o opinie cu rezerve, sau să se declare în
imposibilitatea de a exprima o opinie.
f) Caracteristicile sistemelor cu baze de date pot face mai eficientă pentru auditor
efectuarea unor revizuiri pre -implementare a noilor aplicații contabile decât revizuir ea
aplicațiilor după ce acestea au fost instalate. Aceste revizii pre-implementare și revizii ale
procesului de modificare a gestionării pot furniza auditorului oportunitatea de a solicita
noi funcții, cum ar fi rutine încorporate sau controale adiționale în proiectarea aplicației.
De asemenea, poate oferi suficient timp auditorului pentru a dezvolta și testa proceduri de
audit înaintea utilizării sistemului.
În cazul mediilor informatizate cu calculatoare individuale, controalele se pot implementa
prin de semnarea unei persoane căreia i se va aloca o funcție independentă cu atribuții
legate de definirea accesului și a regulilor de securitate, sau, în cazul în care nu există
personal suficient, aceste sarcini vor fi atribuite persoanei desemnate cu gestionar ea
sistemului informatic.

Pag. 129 din 180 4.3 Utiliz area tehnicilor de audit asistat de calculator în mediile
IT ale entităților mici

Tehnicile de audit asistat de calculator pot fi utilizate în executarea unor proceduri, cum
ar fi:
Testarea detaliilor tranzacțiilor și bal anțelor ;
Procedure de revizuire analitică;
Teste de conformitate a controalelor IT generale;
Teste de conformitate a controalelor de aplicație;
Teste de penetrare.

Luarea deciziei de a utiliza tehnici de audit asistat de calculator se bazează pe o serie d e
factori care sunt luați în considerare:
Cunoștințele, expertiza și experiența auditorului IT;
Disponibilitatea unor programe de audit asistat de calculator și a facilităților IT
necesare;
Eficiența și eficacitatea utilizării tehnicilor de audit asistat d e calculator față de
tehnicile manuale;
Restricțiile de timp;
Integritatea sistemului informatic și a mediului IT;
Nivelul riscului de audit.

Pașii principali care trebuie întreprinși de către auditor în cazul utilizării tehnicilor de
audit asistat de cal culator sunt:
(a) Stabilirea obiectivului aplicației de audit asistat de calculator ;
(b) Determinarea conținutului și a accesibilității la fișierele entității;
(c) Identificarea fișierelor sau bazelor de date specifice care urmează a fi
examinate:
(d) Înțelegerea relațiil or dintre tabelele de date, acolo unde urmează să fie
examinată o bază de date;
(e) Definirea testelor sau a procedurilor specifice, precum și a tranzacțiilor și
soldurilor aferente afectate;
(f) Definirea cerințelor cu privire la ieșirile de date;
(g) Stabilirea împr eună cu utilizatorul și cu personalul IT, dacă este cazul, a
modalității de efectu are și a formatului unor copii ale fișierelor și bazelor de
date relevante la o dată și un moment adecvate (corelate cu separarea
exercițiilor );
(h) Identificarea personalului ca re poate participa la proiectarea și aplicarea
procedurilor de audit asistat de calculator ;
(i) Perfecționarea estimărilor costurilor și beneficiilor;
(j) Asigurarea că utilizarea programelor de audit asistat de calculator este
controlată și documentată corespunză tor;
(k) Organizarea activităților administrative, inclusiv cu privire la aptitudinile
necesare și facilitățile informat izate;
(l) Reconcilierea datelor care vor fi utilizate pentru programul de audit asistat de
calculator cu înregistrările contabile;
(m) Executarea a plicației de audit asistat de calculator;
(n) Evaluarea rezultatelor.

Pag. 130 din 180 În cazul mediilor IT existe nte în entitățile mici , nivelul controalelor generale poate fi scăzut,
astfel încât auditorul se va baza mai puțin pe sistemul de control intern. Această situați e va
avea ca rezultat un accent mai mare pus pe teste ale detaliilor tranzacțiilor și soldurilor și
pe procedurile analitice de revizuire, care pot crește eficacitatea tehnicilor de audit asistat
de calculator .
În cazul în care sunt procesate volume mici d e date, metodele manuale pot fi mai
rentabile.
În multe cazuri, s -ar putea ca auditorul să nu aibă la dispoziție asistența tehnică adecvată
din partea entității, în cazul unei entități mai mici, acest lucru făcând imposibilă folosirea
tehnicilor de audit a sistat de calculator .
Anumite pachete de programe de audit ar putea să nu funcționeze pe c alculatoa re mici,
limitându -se astfel alegerea tehnicilor de audit asistat de calculator de către auditor. În
astfel de situații, dacă este posibil, f ișierele de dat e ale entității pot fi copiate și procesate pe
un alt c alculato r corespunzător.

Pag. 131 din 180
Capitolul 5. Documente d e lucru

Pentru obținerea probelor de audit se vor utiliza liste de verificare, machete și, după caz,
chestionare și se vor realiza interviuri cu: persoane din c onducerea instituției auditate,
personalul de specialitate IT, utilizatori ai sistemelor / aplicațiilor.

Machetele constituie suportul pentru colectarea informațiilor cantitative referitoare la
infrastructura IT. Acestea sunt transmise entității auditate, spre completare.

În condițiile în care se colectează informații care reflectă performanța sistemului, se
utilizează chestionare proiectate de auditor, pe baza cărora, în urma centralizării și
prelucrărilor statistice vor rezulta informații legate de sat isfacția utilizatorilor,
modernizarea activității, continuitatea serviciilor, creșterea calității activității ca urmare a
informatizării și altele.

Machetele și chestionarele completate vor fi semnate de conducerea entității și predate
echipei de audit.
Machetele propus e pentru colectarea datelor referitoare la infrastructura IT și la
personalul IT sunt următoarele:

Macheta 1 – Bugetul privind investițiile IT;
Macheta 2 – Sisteme / aplicații utilizate;
Macheta 3 – Evaluarea infrastructurilor hardware, sof tware și de comunicație;
Macheta 4 – Informații privind personalul i mplicat în proiectele IT.

Acestea pot fi modificate de auditor în funcție de contextul specific.

Listele de verificare constituie un suport valoros pentru realizarea interviurilor. Aces te
documente de lucru, respectiv listele de verificare, nu se pun la dispoziția entității
auditate. Unul dintre motive este legat de creșterea veridicității probelor de audit având în
vedere caracterul spontan al interviului, care nu permite celui intervi evat să dea explicații
prin corelarea prealabilă a întrebărilor din lista de verificare. În acest caz, probele de audit
vor avea un grad de încred ere mai ridicat .
Un alt motiv îl constituie faptul că, prin interviu se vor detalia aspecte pe care, de obice i,
cel care ar completa lista, le -ar formula într -un stil laconic. Pe parcursul interviului,
auditorul consemnează răspunsurile celui intervievat, precum și comentarii personale și
alte constatări.

Completarea listelor de verificare de către entitatea aud itată reduce încrederea în probele
de audit obținute în această manieră.

Un model pentru o listă de verificare a controalelor generale IT este prezentat în Anexa 3,
Lista de verificare pentru evaluarea controalelor generale IT (LV_Controale generale) , care
conține următoarele secțiuni:
1. managementul funcției IT;
2. securitatea fizică și controalele de mediu;
3. securitatea informației și a sistemelor;
4. continuitatea sistemelor;

Pag. 132 din 180 5. managementul schimbării și dezvoltarea de sistem;
6. auditul intern.

Această listă nu exclude adăugarea altor categorii de probleme considerate semnificative
de către auditor, în funcție de obiectivele specifice ale auditului.

Pentru evaluarea riscurilor, un model de listă de verificare este prezentat în Anexa 4, Lista
de verificare pen tru evaluarea riscurilor (LV_Riscuri).
Această listă nu exclude adăugarea altor categorii de probleme considerate semnificative
de către auditor, în funcție de obiectivele specifice ale auditului.

Un model pentru o listă de verificare a controalelor de a plicație este prezentat în Anexa 5,
Lista de verificare pentru evaluarea controalelor de aplicație (LV_Controale Aplicație) care
includ e următoarele categorii de controale de aplicație:

controale privind integritatea fișierelor;
controale privind securita tea aplicației;
controale ale datelor de intrare;
controale de prelucrare;
controale ale ieșirilor;
controale privind rețeaua și comunicația;
controale ale fișierelor cu date permanente.

Această listă nu exclude adăugarea altor categorii de probleme consi derate semnificative
de către auditor, în funcție de obiectivele specifice ale auditului sau în condițiile în care
sunt necesare teste de audit suplimantare.

Aceste liste de verificare sunt aplicabile pentru auditul în medii informatizate, în cadrul
misiu nilor de audit financiar sau de audit al performanței, pentru evaluarea controalelor
generale IT și a riscurilor generate de funcționarea sistemului informatic. În cazul
misiunilor de audit financiar, care presupun evaluarea sistemului informatic financiar –
contabil, pentru a formula o opinie privind încrederea în informațiile furnizate de sistemul
informatic auditorul public extern va utiliza lista de verificare pentru testarea
controalelor IT specifice aplicației financiar -contabile.

În cazul în care sist emul nu pare a fi suficient de robust, auditorul trebuie să evalueze riscul
funcționării necorespunzătoare a sistemului asupra obiectivelor misiunii de audit financiar.

În cadrul entităților auditate, sistemele informatice care fac obiectul evaluării sunt
utilizate ca suport pentru asistarea deciziei, constituind sisteme IT/IS utilizate pentru
evidența, prelucrarea și obținerea de rezultate, situații operative și sintetice la toate
nivelele de raportare. Din acest motiv, o categorie specială de controale I T se referă la
conformitatea sistemului informatic cu cerințele impuse de cadrul legislativ și de
reglementare .

Cerințele legislative și de reglementare decurg din următoarele categorii de legi :
Legislația din domeniul finanțelor și contabilității;
Legisl ația privind protecția datelor private și legislația privind protecția datelor
personale;
Legislația privind utilizarea improprie a calculatoarelor, în sensul criminalității
informatice;

Pag. 133 din 180
Reglementări financiare și bancare;
Legislația cu privire la propriet atea intelectuală.

În cazul sistemelor complexe sau desfășurate la scară națională (de exemplu,
Sistemul Electronic Național) se folosesc liste de verificare specializate :

– Lista de verificare pentru evaluarea guvernării IT, personalizată pentru sistemele de
tip e -guvernare;
– Lista de verificare pentru evaluarea portalului web;
– Lista de evaluare a perimetrului de securitate;
– Liste de verificare pentru evaluarea serviciilor electronice;
– Liste de verificare pentru evaluarea cadrului de interoperabilitate,
precum și alte liste de verificare a căror necesitate decurge din obiectivele auditului.

Auditul performanței implementării și utilizării sistemelor informatice va lua în
considerare următoarele aspecte:
Modul în care funcționarea sistemului contribuie la mo dernizarea activității
entității;
Modul în care managementul adecvat al configurațiilor IT contribuie la creșterea
valorii adăugate prin utilizarea sistemului informatic, reflectat în economii privind
costurile de achiziție și creșterea calității serviciil or;
Creșterea semnificativă a productivității unor activități de rutină foarte mari
consumatoare de timp și resurse, care, transpuse în proceduri electronice
(tehnoredactare, redactarea automată a documentelor, căutări în arhive
electronice, reutilizarea unor informații, accesarea pachetelor software legislative),
se materializează în reduceri de costuri cu aceste activități;
Scurtarea timpului de prelucrare prin reducerea numărului de erori și evitarea
reluării unor proceduri pentru remedierea acestora;
Eliminarea paralelismelor și integrarea proceselor care se reflectă în eficientizarea
activității prin eliminarea redundanțelor;
Scăderea costurilor serviciilor, creșterea disponibilității acestora și scăderea
timpului de răspuns;
Creșterea gradului de inst ruire a personalului în utilizarea noilor tehnologii și
dezvoltarea de noi aptitudini;
Reducerea costurilor administrative.

Pentru evaluarea gradului în care implementarea și utilizarea sisemului informatic a
produs efecte în planul modernizării activităț ii, în creșterea calității serviciilor publice și
în ceea ce privește satisfacția utilizatorilor se pot proiecta și utiliza chestionare prin
intermediul cărora se vor colecta informații care să reflecte reacțiile actorilor implicați
(management, funcționar i publici, utilizatori, personal IT, cetățeni).

Pag. 134 din 180
Referințe bibliografice

[1] Regulamentului privind organizarea și desfășurarea activităților specifice
Curții de Conturi, precum și valorificarea actelor rezul tate din aceste activități.

[2] Manual de audit al sistemelor informatice , Curtea de Conturi a României,
București, 2012

[3] OMF nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinzând
standardele de management/control intern la entitatile p ublice și pentru
dezvoltarea sistemelor de control managerial
[4] ISACA, IS Standards, Guidelines and Procedures for Auditing and Control
Professionals , ediția februarie 2010, www.isaca.org

[5] ITGI, COBIT Control Object ives, Ediția 4.0, www.isaca.org

[6] ITGI, IT Assurance Guide using COBIT, www.isaca.org

[7] ITGI, IT Assurance Guide: Using COBIT

[8] ITGI, Val IT Framework 2.0, www.isaca.org

[9] Best practice – Why IT Projects Fail , www.nao.gov.uk/intosai/edp

[10] INTOSAI, INTOSAI GOV 9100 Guidelines for Internal Control Standards for
the Public Sector, 2004

[11] ISA, Declarația internațională privind practica de audit 1008 – Evaluarea
riscurilor și controlul intern – caracteristici și considerente privind CIS

[12 ISA, Declarația internațională privind practica de audit 1009 – Tehnici de
audit asistat de calculator

Pag. 135 din 180 Gl osar d e termeni

Acceptarea riscului – Decizie luată de management de acceptare a unui risc.

Analiza riscului – Utilizarea sistematică a informației pentru a identifica amenințările și
pentru a estima riscu l.

Aria de aplicabilitate a unui audit – Domeniul acoperit de procedurile de audit care, în
baza raționamentului auditorului și a Standardelor Internaționale de Audit, sunt
considerate ca proceduri adecvate în împrejurările date pentru atingerea obiectiv ului
unui audit.

Asigurare rezonabilă (în contextul unei misiuni de audit) – Un nivel de asigurare adecvat,
ridicat dar nu absolut, reflectat în raportul auditorului ca fiind o asigurare rezonabilă cu
privire la faptul că informațiile auditate nu conțin greșeli semnificative.

Audit extern – Un audit efectuat de un auditor extern.

Autenticitate – Proprietate care determină că inițiatorul unui mesaj, fișier, etc. este în
mod real cel care se pretinde a fi.

Audit online – Auditare prin consultarea onlin e a bazelor de date ale entităților auditate,
aflate la distanță.

Audit continuu – Tip de auditare în care auditorul are acces permanent la sistemul
informatic al entității auditate, diferența de timp între momentul producerii
evenimentelor urmărite de au ditor și obținerea probelor de audit fiind foarte mică.

Autentificare – Actul care determină că un mesaj nu a fost schimbat de la momentul
emiterii din punctul de origine. Un proces care verifică identitatea pretinsă de un individ.

Autoritate de certific are – O organizație investită pentru a garanta autenticitatea unei
chei publice (PKI). Autoritatea de certificare criptează certificatul digital.

Backup – O copie (de exemplu, a unui program software, a unui disc întreg sau a unor
date) efectuată fie în s copuri de arhivare, fie pentru salvarea fișierelor valoroase pentru a
evita pierderea, deteriorarea sau distrugerea informațiilor. Este o copie de siguranță.

Browser – Prescurtare pentru Web Browser , program care permite utilizatorilor să
navigheze pe We b. Cele mai populare browsere sunt Microsoft Internet Explorer, Opera,
Mozilla.

BSI (British Standards Institution) – Instituția care a publicat standardele naționale
britanice care au constituit baza evoluției standardelor ISO 9001 (BS5750 – sisteme de
management al calității ) și ISO 17799 (BS 7799 – managementul securității informației ).

Pag. 136 din 180 CAAT – Computer Assisted Audit Techniques (Tehnici de audit asistat de calculator ) –
Software care poate fi utilizat pentru interogarea, analiza și extragerea de fișie re de date și
pentru producerea de probe de tranzacții pentru testele de detaliu.

CISA ( Certified Information Systems Auditor ) – Auditor de Sisteme Informatice Certificat ) –
calificare profesională oferită de Information Systems Audit and Control Associa tion
(ISACA) (Asociația de Audit și Control al Sistemelor Informatice).

Cloud Computing (configurație de nori ) – Stil de utilizare a calculatoarelor în care
capabilitățile IT se oferă ca servicii distribuite și permit utilizatorului să acceseze servicii
bazate pe noile tehnologii, prin intermediul Internetului, fără a avea cunoștințe, expertiză
sau control privind infrastructura tehnologică suport a acestor servicii.

Confidențialitate – Proprietate a informației care asigură că aceasta nu este făcută
disp onibilă sau dezvăluită persoanelor, entităților sau proceselor neautorizate.

Continuitatea afacerii – Un plan formal sau un set de planuri integrate, proiectate pentru
a permite proceselor cheie ale afacerii să continue operarea în urma unor căderi major e
sau dezastre.
Controale generale în sistemele informaționale computerizate – Politici și proceduri
care se referă la sistemele informatice și care susțin funcționarea eficientă a controalelor
aplicațiilor contribuind astfel la asigurarea unei funcționăr i adecvate și continue a
sistemelor informatice. Controalele informatice generale includ , în mod obișnuit ,
controale asupra securității accesului la date și rețele, precum și asupra achiziției,
întreținerii și dezvoltării sistemelor informatice.

Controlu l accesului – Proceduri proiectate să restricționeze accesul la echipamente,
programe și datele asociate. Controlul accesului constă în autentificarea utilizatorului și
autorizarea utilizatorului . Autentificarea utilizatorului se realizează, în general, pr in
intermediul unui nume de utilizator unic, al unei parole, al unui card de acces , al datelor
biometrice. Autorizarea utilizatorului se referă la regulile de acces pentru a determina
resursele informatice la care poate avea acces fiecare utilizator.

Con trol intern – Procesul proiectat și efectuat de cei care sunt însărcina ți cu guvernarea,
de către conducere și de alte categorii de personal, pentru a oferi o asigurare rezonabilă în
legătură cu atingerea obiectivelor entității cu privire la credibilitatea raportării financiare,
la eficacitatea și eficiența operațiilor și la respectarea legilor și reglementărilor aplicabile.
Controlul intern este compus din următoarele elemente: (a) Mediul de control; (b)
Procesul de evaluare a riscurilor entității; (c) Sis temul informatic, inclusiv procesele de
afaceri aferente, relevan te pentru raportarea financiară și comunicare; (d) Activitățile de
control; și (e) Monitorizarea controalelor.

Controale de aplicație în sistemele informatice – Proceduri manuale sau automa te care
operează de obicei la nivelul proceselor întrepri nderii. Controalele de aplicație pot fi de
natură preventivă sau de detectare și sunt proiectate să asigure integritatea informațiilor.
În mare parte, controalele de aplicație se referă la proceduril e folosite pentru a iniția,
înregistra, procesa și raporta tranzacțiile sau alte date financiare.

Pag. 137 din 180 Controlul dezvoltării programelor – Proceduri menite să prevină sau să detecteze
modificările inadecvate aduse programelor informatice care sunt accesate cu ajutorul
terminalelor conectate online. Accesul poate fi restricționat prin controale cum ar fi
folosirea unor programe operaționale separate sau a unor pachete de programe
specializate dezvoltate special pentru acest scop. Este important ca modificările e fectuate
online asupra programelor să fie documentate, controlate și monitorizate în mod adecvat.

CRAMM ( The CCTA Risk Analysis and Management Method ) – Metodă de management și
analiză a riscului – este o metodă structurată pentru identificarea și justif icarea măsurilor
de protecție care vizează asigurarea unui nivel adecvat de securitate în cadrul sistemelor
IT.

Criptare (criptografie) – Procesul de transformare a programelor și informațiilor într -o
formă care nu poate fi înțeleasă fără accesul la alg oritmi specifici de decodificare (chei
criptografice).

Certificat digital – Conține semnături digitale și alte informații care confirmă identitatea
părților implicate într -o tranzacție electronică, inclusiv cheia publică.

Declarație de aplicabilitate – Declarație documentată care descrie obiectivele de control
și măsurile de securitate care sunt relevante și aplicabile SMSI al organizației. Obiectivele
de control și măsurile sunt bazate pe rezultatele și concluziile analizei de risc și pe
procesele de tr atare a riscului, cerințe legale sau de reglementare, obligații contractuale și
cerințele afacerii organizației pentru securitatea informației.

Determinarea riscului – Pprocesul global de analiză și evaluare a riscului

Disponibilitate – Capacitatea de a accesa un sistem, o resursă sau un fișier atunci când
este formulată o cerere în acest scop. Proprietatea informației de a fi accesibilă și
utilizabilă la cerere de către o entitate autorizată
Documentarea misiunii de audit – Înregistrarea procedurilor de audit aplicate, a
probelor de audit relevante, precum și a concluziilor la care a ajuns auditorul (termen
cunoscut uneori și ca „documente de lucru” sau „foi de lucru”). Documenta ția unei misiuni
specifice este colectată într -un dosar de audit.

Documente le de lucru – Materialele întocmite de auditor și pentru uzul auditorului, sau
obținute și păstrate de acesta, în corelație cu derularea auditului. Documentele de lucru
pot fi pe suport de hârtie, pe film, pe suport magnetic, electronic sau pe alte tipuri de
suport pentru stocarea datelor.

e-audit – Tip de audit pentru care prezența fizică a auditorului nu este necesară la
entitatea auditată, acesta având la dispoziție toate informațiile oferite de o infrastructură
ITC pentru audit.

EDI – Electronic Data Interchange este termenul generic pentru transmisia structurată a
tranzacțiilor sau informațiilor comerciale de la un sistem la altul.

e-guvernare – Schimbul online al informației autorităților publice și a guvernului cu , și
livrarea serviciilor către: cetățeni, mediul de afaceri și alte agenții guvernamentale.

Pag. 138 din 180 Guvernarea electronică presupune furnizarea sau obținerea de informații, servicii sau
produse prin mijloace electronice către și de la agenții guvernamentale, în orice moment
și loc, oferind o valoa re adăugată pentru părțile participante.

e-sisteme – Sisteme bazate pe Internet și tehnologii asociate care oferă servicii electronice
cetățenilor, mediului de afaceri și administrației: e-government, e -health, e -commerce, e –
learning , etc .

EFT – Electron ic Funds Transfer systems (sisteme electronice de transfer de fonduri) sunt
utilizate pentru a transfera fonduri dintr -un cont bancar în alt cont bancar utilizând
echipamente electronice în locul mediilor pe hârtie. Sistemele uzuale EFT includ BACS
(Banker s’ Automated Clearing Services) și CHAPS (Clearing House Automated Payment
System).

Eșantionarea în audit – Aplicarea procedurilor de audit la mai puțin de 100% din
elementele din cadrul soldului unui cont sau al unei clase de tranzacții, astfel încât toa te
unitățile de eșantionare să aibă o șansă de selectare. Aceasta îi va permite auditorului să
obțină și să evalueze probe de audit în legătură cu unele caracteristici ale elementelor
selectate pentru a formula o concluzie sau a ajuta la formularea unei co ncluzii în legătură
cu populația din care este extras eșantionul. Eșantionarea în audit poate utiliza fie o
abordare statistică, fie una n onstatistică.

Evaluarea riscului – Proces de comparare a riscului estimat cu criteriile de risc agreate în
vederea s tabilirii importanței riscului.

Eveniment de securitate a informațiilor – situație identificată în legătură cu un sistem,
un serviciu sau o rețea care indică o posibilă încălcare a politicii de securitate a
informațiilor, un eșec al măsurilor de protecție sau o situație ignorată anterior, dar
relevantă din punct de vedere al securității.

Firewall – Combinație de resurse informatice, echipamente sau programe care protejează
o rețea sau un calculator personal de accesul neautorizat prin intermediul Internet ului,
precum și împotriva introducerii unor programe sau date sau a oricăror alte programe de
calculator neautorizate sau care produc daune.

Frequently Asked Questions (FAQ) – Un termen care se referă la o listă de întrebări și
răspunsuri furnizată de com panii referitoare la produsele de software, web site, etc.

Frauda – Act intenționat întreprins de una sau mai multe persoane din cadrul conducerii,
din partea celor însărcinați cu guvernarea, a angajaților sau a unor terțe părți, care implică
folosirea u nor înșelătorii pentru a obține un avantaj ilegal sau injust.

Gateway – Interconexiunea între două rețele cu protocoale de comunicare diferite.

Guvernare (guvernare corporativă) – Descrie rolul persoanelor cărora le este
încredințată supervizarea, contro lul și conducerea unei entități. Cei însărcinați cu
guvernarea sunt, în mod obișnuit, răspunzători pentru asigurarea îndeplinirii obiectivelor
entității, pentru raportarea financiară și raportarea către părțile interesate. În cadrul celor
însărcinați cu gu vernarea se include conducerea executivă doar atunci când aceasta
îndeplinește astfel de funcții.

Pag. 139 din 180
Guvernarea electronică – Schimbul online al informației guvernului cu , și livrarea
serviciilor către: cetățeni, mediul de afaceri și alte agenții guvername ntale (definiție
INTOSAI).

HelpDesk – Punctul principal de contact sau interfața dintre serviciile sistemului
informatic și utilizatori. Help desk este punctul unde se colectează și se rezolvă
problemele utilizatorului.

Home Page – Pagina prin care un utilizator intră în mod obișnuit pe un web site. Aceasta
conține și legăturile (linkurile) cele mai importante către alte pagini ale acestui site.

Hypertext – Un sistem de scriere și de afișare a textului care permite ca textul să fie
accesat în moduri m ultiple, să fie disponibil la mai multe nivele de detaliu și care conține
legături la documente aflate în relație cu acesta.

Hypertext Mark -Up Language (HTML) – Limbajul utilizat pentru generarea
documentelor de tip hipertext (inclusiv pentru scrierea pa ginilor pentru http://www).
Acest limbaj permite textului sa includă coduri care definesc font -ul, layout -ul, grafica
inclusă și link -urile de hypertext.

Internet – Un ansamblu de calculatoare conectate în rețea (la scară mondială) care
asigură servicii de știri, acces la fișiere, poșta electronică și instrumente de căutare și
vizualizare a resurselor de pe Internet.

Internet Service Provider (ISP) – Un furnizor comercial al unei conexiuni la Internet.

Incident – Un eveniment operațional care nu face p arte din funcționarea standard a
sistemului.

Incident privind securitatea informației – un eveniment sau o serie de evenimente de
securitate a informației care au o probabilitate semnificativă de a compromite activitățile
organizației și de a aduce ameni nțări la securitatea informației.

Integritate – Proprietatea de a păstra acuratețea și deplinătatea resurselor.

Instituția Supremă de Audit – Organismul public al unui stat care, indiferent de modul în
care este desemnat, constituit sau organizat în aces t scop, exercită în virtutea legii cea mai
înaltă funcție de audit în acel stat.

Intranet – Versiunea privată a Internetului, care permite persoanelor din cadrul unei
organizații să efectueze schimburi de date, folosind instrumentele obișnuite ale
Intern etului, cum sunt browserele.

Log (jurnal de operații) – O evidență sau un jurnal al unei secvențe de evenimente sau
activități.

Pag. 140 din 180 Managementul configurației – Procesul de identificare și definire a componentelor de
configurație într -un sistem, de înregi strare și raportare a stării componentelor din
configurație și a solicitărilor de modificare și verificare a integrității și corectitudinii
componentelor de configurație.

Managementul riscului – Activități coordonate pentru îndrumarea și controlul unei
organizații luând în considerare riscurile.

Managementul schimbărilor – Procesul de control și gestionare a solicitărilor de
modificare a oricărui aspect al sistemului informatic (hardware, software, documentație,
comunicații, fișiere de configurare a sis temului). Procesul de management al schimbărilor
va include măsuri de control, gestionare și implementare a modificărilor aprobate.

Mediu de control – Include funcțiile de guvernare și de conducere, precum și atitudinile,
conștientizarea și acțiunile ce lor însărcinați cu guvernarea și conducerea entității
referitoare la controlul intern al entității și la importanța acestuia în entitate. Mediul de
control este o componentă a controlului intern.

Mediu informatizat – Politicile și procedurile pe care ent itatea le implementează și
infrastructura informatică (echipamente, sisteme de operare etc.), p recum și programele
de aplicație utilizate pentru susținerea operați unilor întreprinderii și realizarea
strategiilor de afaceri. Se consideră că un astfel d e med iu există în cazul în care în
procesarea de către entitate a informațiilor financiare semnificative pentru audit este
implicat un calculator, de orice tip sau dimensiune, indiferent dacă acest calculator este
operat de către entitate sau de o terță parte.

Metode biometrice – Metode automate de verificare sau de recunoaștere a unei persoane
bazate pe caracteristici comportamentale sau fizice (de exemplu, amprente digitale,
scrisul de mână și geometria facială sau retina), utilizate în controlul accesului f izic.

Modem – O piesă de echipament utilizată pentru convertirea unui semnal digital dintr -un
calculator, în semnal analog pentru transmiterea într -o rețea analogică (precum sistemul
public de telefoane). Un alt modem aflat la capătul de primire converteș te semnalul analog
în semnal digital.

Networks [rețele] – Interconectarea prin facilități de telecomunicație a calculatoarelor și
a altor dispozitive.

Ofițer de securitate – Persoana responsabilă să asigure că regulile de securitate ale
organizației su nt implement ate și funcționează.

Pista de audit – Un set cronologic de înregistrări care furnizează în mod colectiv proba
documentară a prelucrării, suficientă pentru a permite reconst ituirea, revizuirea și
examinarea unei activități.
Planificarea continu ității – Planificarea efectuată pentru a asigura continuitatea
proceselor cheie ale afacerii după dezastre, căderi majore ale sistemelor sau în cazul
imposibilității procesărilor de rutină.

Pag. 141 din 180 Politica de securitate – Setul de reguli și practici care regleme ntează modul în care o
organizație gestionează, protejează și distribuie informațiile sensibile.

Probe de audit – Totalitatea informațiilor folosite de auditor pentru a ajunge la
concluziile pe care se bazează opinia de audit.

Protocol – Standarde și re guli care determina înțelesul, formatul și tipurile de date care
pot fi transferate între calculatoarele din rețea.

Resurse – Orice prezintă valoare pentru organizație.

Risc rezidual – Riscul care rămâne după tratarea riscului.

Rețea de arie largă (WA N) – O rețea de comunicații care transmite informații pe o arie
extinsă, cum ar fi între locații ale întreprinderii, orașe sau țări diferite. Rețelele extinse
permit, de asemenea, accesul online la aplicații, efectuat de la terminale situate la distanță.
Mai multe rețele locale (LAN) pot fi interconectate într -o rețea WAN.

Rețea locală (LAN) – O rețea de comunicații care deservește utilizatorii dintr -o arie
geografică bine delimitată . Rețelele locale au fost dezvoltate pentru a facilita schimbul de
inform ații și utilizarea în comun a resurselor din cadrul unei organizații, inclusiv date,
programe informatice, depozite de date , imprimante și echipamente de telecomunicații.
Componentele de bază ale unei rețele locale sunt mijloacele de transmisie și programe le
informatice, stațiile de lucru pentru utilizatori și echipamentele periferice utilizate în
comun.

Router – Un dispozitiv de rețea care asigură că datele care se transmit printr -o rețea
urmează ruta optimă.

Sectorul public – Guvernele naționale, guvern ele regionale (spre exemplu, cele la nivel de
stat, provincie sau teritoriale), administrațiile locale (spre exemplu, la nivel de oraș,
municipiu) și entitățile guvernamentale aferente (spre exemplu, agenții, consilii, comisii și
întreprinderi).

Secure S ocket Layer (SSL) – O tehnologie bazată pe web care permite unui calculator să
verifice identitatea altui calculator și permite conexiunile securizate.

Securitatea informației – Păstrarea confidențialității, integrității și a disponibilității
informației; în plus, alte proprietăți precum autenticitatea, responsabilitatea, non –
repudierea și fiabilitatea pot fi de asemenea implicate.

Server – O unitate de calcul plasată într -un nod al rețelei care asigură servicii specifice
utilizatorilor rețelei (de exempl u, un print server asigură facilități de imprimare în rețea,
iar un file server stochează fișierele utilizatorului).

Service level agreements – Acorduri sau contracte scrise între utilizatori și prestatorii de
servicii, care documentează livrarea convenit ă a serviciilor IT. Acestea includ , de obicei ,
orele pentru prestarea serviciului, disponibilitatea serviciului, produsul, timpii de
răspuns, restricții și funcționalitate.

Pag. 142 din 180 Sistem de management al securității informației (SMSI) – Partea din întreg sistemu l de
management, bazată pe o abordare a riscului afacerii, folosită pentru a stabili,
implementa, funcționa, monitoriza, revizui, menține și îmbunătăți securitatea informației.
Sistemul de management include structuri organizaționale, politici, activități de
planificare, responsabilități, practici, proceduri, procese și resurse.

Sisteme informaționale relevante pentru raportarea financiară – O componentă a
controlului intern care include sistemul de raportare financiară și constă din procedurile
și înregis trările stabilite pentru a iniția, înregistra, procesa și raporta tranzacțiile entității
(precum și evenimentele și condițiile) și pentru a menține responsabilitatea pentru
activele, datoriile și capitalurile proprii aferente.

Software social – Software de tip social ( social networking, social collaboration, social
media and social validation ) este avut în vedere de organizații în procesul integrării
întreprinderii.

t-guvernare – Utilizarea tehnologiei comunicării informației pentru a asigura (a
permite ) transformarea modului de lucru al guvernului, într -o manieră centrată pe client.

Teh nologii informatice « verzi » (ecologice) – Sunt asociate cu evoluția blade server,
prin reorientarea către produse din ce în ce mai eficiente care pot permite funcționa rea în
manieră ecologică, având în vedere impactul asupra rețelei electrice și a emisiilor de
carbon.

Test de parcurgere – Un test de parcurgere implică urmărirea câtorva tranzacții pe
parcursul întregului sistem de raportare.

TCP/IP – Transmission Cont rol Protocol/Internet Protocol [Protocol de control al
transmisiei / Protocol Internet]: un standard utilizat pe larg pentru transferul de date
între calculatoarele în rețea, inclusiv cele conectate la Internet.

Tratarea riscului – Proces de selecție și implementare a unor măsuri în vederea reducerii
riscului.
Trojan horse (cal troian) – Program de calculator care realizează aparent o funcție utilă,
dar realizează și funcții ascunse neautorizate (de exemplu, un program neautorizat care
este ascuns într -un program autorizat și exploatează privilegiile de acces ale acestuia).

User profile (profilul utilizatorului) – O listă de drepturi de acces ale unui anumit
utilizator al sistemului.

Virus – Sunt programe de calculator rău intenționate, autopropagabile c are se atașează
programelor executabile gazdă.

Worms (viermi) – Viermii sunt programe de calculator rău intenționate, care se pot
replica fără ca programul gazdă să poarte infecția. Rețelele sunt vulnerabile la atacurile
viermilor, un vierme care intra î n nodul unei rețele cauzează probleme locale în nod și
trimite copii ale sale nodurilor vecine.

Pag. 143 din 180 Anexa 2 – Lista d ocumentel or

a) Referitor la manag ementul tehnologiei informației

1. Structura organizațională. Fișe de post pentru persoanele implicate în proi ectele
informatice
2. Strategia IT și stadiul de implementare a acesteia
3. Politici și proceduri incluse în sistemul de control intern
4. Legislație și reglementări care guvernează domeniul
5. Documente referitoare la coordonarea și monitorizarea proiectelor IT
6. Rapor tări către management privind proiectele IT
7. Buget alocat pentru proiectele informatice
8. Documente referitoare la coordonarea și monitorizarea proiectelor informatice
9. Lista furnizorilor și copiile contractelor pentru hardware și software (furnizare,
service, mentenanță, etc.)
10. Rapoarte de audit privind sistemul IT din ultimii 3 ani
11. Raportarea indicatorilor de performanță

b) Referitor la infrastructura hardware / software și de securitate a sistemului

12. Infrastructura hardware, software și de comunica ție. Docum entație de prezentare
13. Politica de securitate. Proceduri generale. Proceduri operaționale IT (back -up,
managementul capacității, managementul configurațiilor, managementul
schimbării proceselor, managementul schimbărilor tehnice, managementul
problemelor et c.)
14. Proceduri și norme specifice, inclusiv cele legate de administrare și securitate, în
vederea creșterii gradului necesar de confidențialitate și a siguranței în utilizare, în
scopul bunei desfășurări a procedurilor electronice și pentru asigurarea prote cției
datelor cu caracter personal
15. Arhitectura de sistem. Categorii de servicii și tehnologii utilizate
16. Arhitectura de rețea. Tipuri de conexiuni
17. Personalul implicat în proiecte. Număr, structură, calificare
18. Manuale, docu mentație de sistem și orice alte do cumentații referitoare la aplicațiile
informatice

c) Referitor la continuitatea sistemului

19. Plan de continuitate a activității care face obiectul proiectelor IT
20. Plan de recuperare în caz de dezastru

d) Referitor la dezvoltarea sistemului

21. Lista aplica țiilor și proiectelor IT (scurtă prezentare a portofoliului de proiecte)
22. Stadiul actual, grafice de implementare și rapoarte de utilizare
23. Perspective de dezvoltare

Pag. 144 din 180 e) Referitor la sistemul de monitorizare și raportare

24. Raportări ale managementului IT referitoare la proiectele informatice
25. Rapoarte de monitorizare a modului de implementare a proiectelor informatice

Pag. 145 din 180 Macheta 1
Instituția publică ______________ __
Localitatea ___________________ _
Județul ______________________ _

BUGET PRIVIND INVESTI ȚIILE IT PENTRU ANUL _______

Nr.
crt. Proiect / Sistem / Aplicație Specificație Număr Valoare

Servere
Calculatoare PC
Echipamente de rețea
Licen țe
Aplicații
Personal
Întreținere
Alte cheltuieli
Notă: Se vor adăug a linii distincte pentru fiecare proiect / sistem / aplicație.
TOTAL VALOARE

Aprobat / Confirmat , Intocmit ,

Pag. 146 din 180 Macheta 2
Instituția publică _____________
Localitatea __________________
Județul _____________________
Sisteme / aplicații uti lizate

Cod
serviciu
informati c Denumire
sistem /
aplicație Categorie
sistem/
aplicație Stadiul Producător
/
Furnizor Arhitectura Tehnologia SGBD /
Platforma Mediu de
proiectare
și
dezvoltare
1 – aplicație
2 – sistem
informatic
integrat
3 –
management ul
documentelor
4 – arhiva
electronică
5 – altele 1 – în curs de
implementare
2 – neoperațional
3 – operațional 1 – aplicație
independentă
2 – client -server
3 – aplicație
web

1-nouă
2-perimată
Cod
Serviciul
informatic
#1 Aplicația 1
Aplicați a 2
….
Cod
Serviciul
informatic
#2 Aplicația …..

Aprobat / Confirmat , Intocmit ,

Pag. 147 din 180 Macheta 3

Instituția publică _________
Localitatea _____________
Județul ________________

EVALUAREA INFRASTRUCTURILOR
HARDWARE, SOFTWAR E ȘI DE COMUNICA ȚIE

ECHIPAMENTE HARDWARE
Nr. crt. Tip echipament Număr
1 Servere (total)
2 Servere securizate
3 Calculatoare personale desktop (total)
4 Calculatoare personale desktop legate în rețea
5 Calculatoare portabile (laptop)
6 Imprimante
7 Scannere
8 Alte tipuri de echipamente

Pag. 148 din 180 LICENȚE SOFTWARE
Nr. crt. Denumire Număr
1 Licențe sistem de operare Windows XP
2 Licențe sistem de operare Windows 2000 Profes sional
3 Licențe sistem de operare Vista, Windows 7 etc.
*) Se vo r adăuga linii în funcție de numărul sistemelor de operare

4 Licențe pentru aplicații de birotică
CONECTARE LA INTERNET
Nr. crt Tip conexiune Număr
1 Conectate prin linie telefonic ă (dial-up)
2 Conectate prin linie închiriată
3 Conectate prin ra dio
4 Conectate prin linie de cablu TV
5 Conexiune de banda largă
6 Conectare prin telefoane mobile cu acces la Internet

Aprobat / Confirmat , Intocmit ,

Pag. 149 din 180 Macheta 4
Instituția publică ________
Localitatea _____________
Județul _________ _______

INFORMAȚII PRIVIND PERSONALUL
IMPLICAT ÎN PROIECTELE IT

Nr.
crt.
Categorii de activități IT
Număr
personal
1 Personal cu
studii
superioare
care
efectuează
activități IT
Dezvoltare de programe
Consultanță în domeniul har dware
Consultanță și furnizare de produse software
Prelucrarea informatică a datelor
Activități legate de baze de date
Activități legate de asigurarea securității sistemului
Între ținerea și repararea echipamentelor
Suport tehnic
Telecomunicații (transmisie de date, acces Internet, etc.)
Consultanță și management de proiect informatic
TOTAL ( studii superioare)

Pag. 150 din 180 2 Personal cu
studii medii Operare
TOTAL PERSONAL
1 Ponderea personalului ocupat al instituției care utiliz ează tehnica de calcul (%)
2 Ponderea personalului ocupat din instituție care utilizează PC cu conectare Internet
(%)
3 Ponderea personalului ocupat care utilizează munca la distanță (teleworking) (%)

Aprobat / Confirmat , Intocmit ,

Pag. 151 din 180
Anexa 3
Lista de verificare pentru evaluarea controalelor generale IT

Domeniul de evaluare
Comentarii/Constatări/Recomandări

I. Managementul IT

Implicarea conducerii entității în
coordonarea activității IT

a) În ce măsură este implicată
conducerea ent ității în coordonarea
activităților IT?
b) Au loc întâlniri periodice între
reprezentanții compartimentului IT și
conducere? (modalitate, raportări,
procese verbale ale întâlnirilor,
minute)

Comunicarea intențiilor și obiectivelor
conducerii

a) Conducere a dezvoltat unui cadru de
referință al controlului IT la nivelul
întregii organizații, a definit și a
comunicat politicile?

b) Conducerea s prijin ă realiz area
obiectivelor IT și asigur ă
conștientizare a și înțelegerea
riscurilor afacerii și a riscurilor ce
decur g din IT, a obiectivelor și
intențiilor sale , prin intermediul
comunicării?

Raportarea către conducerea entității
a) Există o raportare periodică a
activităților IT către conducere?
b) Ce indicatori de performanță IT sunt
aduși la cunoștința conducerii, în mod
formal?

Pag. 152 din 180

Definirea proceselor IT, a funcției și a
relațiilor

a) A fost d efini tă o structură funcțional ă
IT, luând în considerare cerințele cu
privire la personal, abilități, funcții,
responsabilități, auto ritate, roluri și
supervizare?
b) Această structur ă funcțională este
inclusă într -un cadru de referință al
procesului IT care asigură
transparența și controlul, precum și
implicarea atât de l a nivel executiv cât
și general?
c) Sunt implementate procese, politici
administrative și proceduri , pentru
toate func țiile, acordându -se atenție
deosebită controlului, asigurării
calității, managementului riscului,
securității informațiilor, identificării
responsabililor datelor și sistemelor și
separării funcțiilor incompatibile.

d) Care este i mplicarea funcției IT în
procesele decizionale relevante pentru
asigurarea suportului și susținerii
cerințelor economice.

e) Au fost stabilite rolurile și
responsabili tățile?

f) A fost i dentifica t personalului IT critic,
au fost implementa te politicil e și
proceduril e pentru personalul
contractual ?

Cadrul organizatoric și de
implementare privind separarea
atribuțiilor

a) Există o structură organizatorică
formală în care sunt cunoscute de
către personal: modul de subordonare
și limitele de responsabilitate proprii
și ale celorlalți?

b) Sunt incluse cu claritate a atribuțiilor
personalului în fișa postului, în scopul

Pag. 153 din 180
reducerii riscului efectuării de către
acesta a unor acțiuni dincolo de
limitele autorizate?

c) Se utilizeazepararea sarcinilor
realizată prin intermediul sistemului
informatic , prin utilizarea de profile de
securitate individuale și de grup,
preprogramate

d) Există i nterdicția ca personalul care
are sarcini în departamentul IT, să
aibă sarcini și în departamentul
financiar -contabil sau personal ?

e) Exist ă o separ are fizic ă și manag erial ă
a atribuțiilor, pe ntru a reduce riscul de
fraudă?

f) Sunt s epara te funcțiil IT de cele ale
utilizatori lor pentru a reduce riscul de
efectuare de către utilizatori a unor
modificări neautorizate ale softului
sau ale datelor financiar -contabile,
având în vedere că persoanele cu
sarcini atât în domeniul financiar –
contabil, cât și în domeniul IT au
oportunități mai mari de a efectua
activități neautorizate prin
intermediul aplicațiilor i nformatice,
fără a fi depistați?

g) Exist ă un cadru formal de separare a
sarcinilor în cadrul departamentului
IT, pentru următoarele categorii de
activități:
Proiectarea și programarea
sistemelor
Întreținerea sistemelor
Operații IT de rutină
Introducerea datelor
Securitatea sistemelor
Administrarea bazelor de date
Managem entul schimbării și al
dezvoltării sistemului informatic ?

h) Este realizată s epararea sarcinilor de
administrator de sistem de cele de
control al securității sistemului ?

Pag. 154 din 180
i) Este a sigura tă separ area adecvată a
sarcinilor pentru a reduce riscurile ca
personalul cu cunoștințe semnificative
despre sistem să efectueze acțiuni
neautorizate și să înlăture urmele
acțiunilor lor ?

j) Exist ă o separ are eficient ă a sarcinilor
între dezvoltatorii de sisteme,
personalul de operare a
calculatoarelor și utilizatorii finali ?

k) Există i nterdicția ca programatorii să
aibă acces la mediul de producție
(introducere de date, fișiere
permanente date de ieșire, programe,
etc.) pentru a -și îndeplini sarcinile ?

l) Există i nterdicția ca personalul care
face programare să aibă permisiunea
de a transfera software nou între
mediile de dezvoltare, testare și
producție ?

m) Există i nterdicția ca personalul cu
cunoștințe de programare să aibă
atribuții de operare care să permită
efectuarea modificări neautorizate în
programe ?

n) Este s epara tă responsabil itatea
privind operarea aplicației de control
al patrimoniului, de responsabilitatea
de a menține înregistrările contabile
pentru acesta ?

o) Este u tiliza tă separ area sarcinilor ca
formă de revizie, de detectare a
erorilor și control al calității ?

p) S-au într eprins măsuri pentru
conștientizarea personalului ?

Organizarea sistemului de
monitorizare a activităților și
serviciilor IT

a) Au fost s tabili te atribuțiil e privind
monitorizarea consecventă a stadiului

Pag. 155 din 180
proiectelor IT (desemnarea unui
responsabil cu urm ărirea
implementării și utilizării IT,
evaluarea periodică a performanței
utilizatorilor sistemului, instruirea
periodică a personalului implicat în
proiectele IT pentru a acoperi
cerințele proceselor noului model de
activitate) ?
b) Exist ă fișe de post semnat e pentru
personalul implicat în proiectele IT ?

Estimarea și managementul riscurilor
IT

a) Este creat și întreținut un cadru de
referință pentru managementul
riscurilor care documentează un nivel
comun și convenit al riscurilor IT,
precum și strategiile de reducere a
riscurilor și de tratare a riscurilor
reziduale?
b) Este întreținut și monitorizat un plan
de acțiune pentru reducerea riscului?

Monitorizare și evaluare

a) Este măsurată performanța sistemului
IT pentru a detecta la timp
problemele?

b) Manageme ntul asigură eficiența și
eficacitatea controlului intern?

c) Se efectuează evaluarea periodică a
proceselor IT, din perspectiva calității
lor și a conformității cu cerințele
controlului?

d) Serviciile IT sunt asigurate
corespunzător: sunt furnizate în
conform itate cu prioritățile afacerii,
costurile IT sunt optimizate,
personalul poate folosi sistemele IT în
mod productiv și în siguranță iar
confidențialitatea, disponibilitatea și
integritatea sunt adecvate?

Pag. 156 din 180

Managementul investițiilor /
managementul costuril or

a) Există în entitate un cadru de referință
pentru managementul financiar?
b) Există un buget separat pentru
investiții și cheltuieli legate de IT?
c) Dacă da, este acesta urmărit periodic?
d) Cine urmărește bugetul, cum se
întocmește, cine îl aprobă?
e) Se face o an aliza a activităților față de
Strategia IT a entității?
f) Au fost stabilite priorități în cadrul
bugetului IT?
g) Este asigurată finanțarea IT?

Managementul programelor și al
proiectelor

a) Pentru toate proiectele IT este stabilit
un program și un cadru de r eferință
pentru managementul proiectelor care
garantează o ierarhizare corectă și o
bună coordonare a proiectelor ?

b) Include cadrul de referință un plan
general, alocarea resurselor, definirea
livrabilelor, aprobarea utilizatorilor,
livrarea conform fazelo r proiectului,
asigurarea calității, un plan formal de
testare, revizia testării și revizia post –
implementării cu scopul de a asigura
managementul riscurilor proiectului și
furnizarea de valoare pentru
organizație.

c) Se realizează m onitorizarea
activitățil or și progresului proiectelor
în raport cu planurile elaborate în
acest domeniu ?

d) Este n ominaliza t unui colectiv și un
responsabil care supraveghează
desfășurarea activităților în
concordanță cu liniile directoare ?

Pag. 157 din 180
e) Personalul este informat în legătură cu
politicile, reglementările, standardele
și procedurile legate de IT ?

f) Există o r aportare regulată către
conducerea instituției a activităților
legate de implementarea IT ?

Managementul calității

a) Este dezvoltat și întreținut un Sistem
de Management al C alității (SMC),
incluzând procese și standarde
validate de dezvoltare și achiziție a
sistemelor informatice?

b) Au fost formulate cerințe clare de
calitate și transpuse în indicatori
cuantificabili și realizabili, proceduri și
politici?

c) Îmbunătățirea contin uă se realizează
prin monitorizare permanentă, analiză
și măsurarea abaterilor și
comunicarea rezultatelor către
beneficiari?

Respectarea reglementărilor in
domeniu
a) Cine are responsabilitatea asigurării
că aplicațiile informatice sunt
actualizate în conformitate cu ultima
versiune furnizată?
b) Există licențe pentru tot software -ul
folosit? Identificați și menționați ce
software fără licență este folosit?

Managementul resurselor umane IT

a) Sunt definite și agreate practici care
sprijină menținerea re sursel or umane
cu competență ridicată?

b) Exist ă politici și proceduri referitoare
la recrutarea și retenția personalului ?

Pag. 158 din 180
c) Au fost s tabili te competențele
personalului, acoperirea rolurilor,
dependența de persoanele critice ?

d) Se realizează e valuarea
perfo rmanțelor angajaților ?

e) Au fost i mplementa te proceduri
referitoare la schimbarea locului de
muncă și rezilierea contractului de
muncă ?

Instruirea utilizatorilor și a
personalului IT

a) Au fost identificate necesitățile de
instruire ale fiecărui grup d e
utilizatori?

b) A fost definită și implementată o
strategie de creare a unor programe
de instruire eficientă, cu rezultate
cuantificabile: reducerea erorilor
cauzate de utilizatori, creșterea
productivității și conformității cu
controalele cheie (de
exemp lu,referitoare la măsurile de
securitate)?

c) Au fost realizate sesiunile de
instruire? A fost efectuată evaluarea
instruirii?

Autorizarea operării și utilizării

a) Sunt disponibile cunostințe despre
noile sisteme?

b) Sunt t ransferate cunoștințe către
manag ementul afacerii?

c) Sunt t ransferate cunoștințe către
utilizatorii finali?

d) Sunt t ransferate cunoștințe către
personalul care operează și cel care
oferă suport?

Pag. 159 din 180
II. Securitatea fizică și controalele de mediu
Controlul accesului fizic
a) Unde se află loc alizată camera
serverelor?

b) Există proceduri formale de acces în
locațiile care găzduiesc echipamente
IT importante?
c) Cine are acces la servere?

d) Cum se controlează accesul la servere
(de exemplu, cartele de acces, chei,
registre)?

e) În cazul existenței cart elelor de acces,
care este procedura de alocare a
cartelelor către utilizatori și cine
verifică jurnalele (logurile) sistemului
de carduri?

f) Există cerința ca vizitatorii să fie
însoțiți de un reprezentant al entității?

Protecția mediului
a) Există în came ra serverelor
următoarele dotări:
– sisteme de prevenire a incendiilor
– dispozitive pentru controlul umidității
– podea falsă
– aer condiționat
– dispozitive UPS
– senzori de mișcare
– camere de supraveghere video
Detaliați pentru fiecare caz.

b) Sunt serverele amplasate pe rackuri
speciale?
c) Sunt elementele active ale rețelei
amplasate în rackuri speciale?
d) Sunt cablurile de rețea protejate? Sunt
acestea etichetate?

Pag. 160 din 180
III. Securitatea informației și a sistemelor
Politica de securitate
a) Există o politică de securitate IT?

b) Există o persoană care este
responsabilă cu actualizarea acestei
politici?

c) Este aceasta politică distribuită
tuturor utilizatorilor?

d) Ce măsuri s -au aplicat pentru a crește
conștientizarea în cadrul instituției cu
privire la securitate ( cursuri,
prezentări, mesaje pe e -mail )?

e) Este stabilită obligația ca utilizatorii să
semneze că au luat la cunoștință de
politica de securitate IT? Dacă da, cu
ce periodicitate?

Administrarea securității
a) Exista un responsabil desemnat cu
administrarea securității I T?

b) Îndatoririle acestui responsabil sunt
definite formal?

c) Este asigurată separarea
responsabilităților pentru această
persoană?

d) Aplicarea politicilor de securitate
acoperă toate activitățile IT într -un
mod consistent?

Controlul accesului logic
Revizu irea jurnalelor (logurilor)
a) Sunt logurile aplicațiilor importante
monitorizate și analizate periodic?
Dacă da, detaliați ( cine, când, cum,
dovezi ).
Administrarea utilizatorilor
a) Există o procedură pentru
administrarea drepturilor
utilizatorilor? Dacă da, de taliați.

Pag. 161 din 180

b) Conține procedura de mai sus
măsurile ce trebuie luate în cazul în
care un angajat pleacă din cadrul
instituției?

c) Există un formular pentru crearea și
ștergerea conturilor de utilizator și
pentru acordarea, modificarea și
revocarea drepturilor d e acces? Dacă
da, cine îl aprobă?
d) Au fost toate drepturile de acces
acordate în baza acestui formular?
e) Sunt utilizatorii activi ai sistemului
verificați periodic în concordanță cu
lista de angajați furnizată de
departamentul Resurse umane?
Reguli pentru parole
a) Ce reguli pentru parole sunt definite
pentru accesul în subsistemele IT?

Trebuie avute în vedere următoarele
criterii:
– lungimea parolei
– reguli referitoare la conținutul parolei
– perioada de valabilitate a parolei
– numărul de încercări până la blocar ea
contului
– cine poate debloca un cont
– numărul de parole precedente reținute
de către sistem
– utilizatorii sunt forțați să schimbe
parola la prima accesare?
Control asupra conturilor cu drepturi
depline / utilitarelor de sistem
a) Cine are drept de administra re pentru
aplicațiile / subsistemele de bază?

b) Cine alocă și autorizează conturile cu
drepturi depline?

c) Cine monitorizează activitățile
utilizatorilor cu drepturi depline?
Acces IT
a) Au programatorii drepturi de acces la
datele din mediul de producție?

Pag. 162 din 180
b) Are compartimentul IT drepturi de
acces la datele celorlalte structuri ale
entității ? Detaliați.
Conexiuni externe
a) Există desemnată o persoană pentru
administrarea rețelei IT?
b) Ce măsuri sunt luate pentru
monitorizarea rețelei din punct de
vedere al securi tății și al
performanței?
c) Cum sunt protejate conexiunile
externe împotriva atacurilor
informatice (viruși, acces
neautorizat)?
d) Au existat astfel de atacuri?
e) Ce organizații externe au acces la
sistem? (de exemplu, Internet,
conexiuni on -line)
f) Există procedu ri de control privind
accesul de la distanță?
g) Ce măsuri de securitate sunt aplicate
în acest sens? Detaliați
IV. Continuitatea sistemelor
Copii de siguranță (back -up) ale
datelor, aplicațiilor și sistemelor
a) Există o procedură formală de salvare
(back -up)?

b) Detaliați următoarele:
– tip de copie (automată / manuală)
– frecvența copiilor de siguranță
– conținutul copiei (date, aplicații,
sisteme, tip: complet / incremental)
– locul de stocare a copiei/copiilor
– tipul de suport
– alte comentarii.

c) Există o procedură de testare a
copiilor de siguranță? Dacă da, cu ce
frecvență și cum este ea evidențiată?

d) Există o procedură de recuperare /
restaurare?

Pag. 163 din 180
e) A analizat instituția timpul necesar
restaurării datelor /aplicațiilor/
sistemului?

Managementul datelor

a) Au fost i dentificate cerințele de date,
sunt stabilite proceduri eficiente
pentru a gestiona colecțiile de date,
copiile de siguranță/backup și
recuperarea datelor, precum și
distribuirea eficientă și aranjarea
cronologică a acestora pe
suporturile de informații?

b) Sunt stabilite aranjamente privind
depozitarea și păstrarea datelor?

c) Este reglementat sistemul de
management al bibliotecii media?

d) Sunt stabilite proceduri referitoare
la eliminarea datelor perimate?

e) Sunt stabilite cerințe și proceduri de
securitate pe ntru managementul
datelor?

Managementul performanței și al
capacității
a) Entitatea a implementat un cadru
procedural referitor la: planificarea
performanței și capacității, evaluarea
performanței și capacității actuale și
viitoare, monitorizare și rapor tare ?
b) Se realizează o analiză a capacității
pentru hardware și pentru rețea? Dacă
da, cu ce periodicitate? Detaliați.
c) Se realizează o analiză a performanței
și a capacității aplicațiilor IT? Dacă da,
ce indicatori sunt avuți în vedere?
Detaliați.
d) Se realiz ează o analiză a gâtuirilor de
trafic? Dacă da, detaliați.

Pag. 164 din 180
Managementul problemelor
a) Cum se semnalează compartimentului
IT apariția problemelor?
b) Cum se ține evidența problemelor în
cadrul compartimentului IT ? Există
un registru al problemelor sau o altă
formă de evidență?
c) Există implementată o funcție de help –
desk? Dacă da, ce date statistice sunt
disponibile și cum sunt ele utilizate?
d) Ce etape trebuie urmate pentru
rezolvarea problemelor?
e) Verifică și analizează conducerea lista
de probleme?
f) Există o pro cedură de urmărire a
problemelor rămase deschise?
g) Există o procedură în caz de
nerezolvare a situației?
h) Sunt procedurile documentate și
aduse la cunoștință celor direct
implicați?

Planificarea continuității
a) Există un cadru de referință pentru
continuit atea IT? Au fost stabilite
resurselor IT critice?

b) Există un plan privind asigurarea
continuității activității instituției și, în
particular, a operațiunilor IT? Dacă da,
revizuiți și evaluați planul.

c) Este planul întreținut și testat cu
regularitate? Dac ă da, cu ce
periodicitate?
d) Au fost organizate i nstruir i privind
planul de continuitate IT ?
a) Sunt stabilite proceduri pentru
recuperarea și reluarea serviciilor IT ,
stocarea externă a copiilor de
siguranță , revizia post -reluare ?

Pag. 165 din 180
Managementul operațiunilor IT
Proceduri operaționale IT
a) Sunt documentate următoarele
proceduri operaționale:
– Proceduri la început de zi / sfârșit de zi,
dacă e cazul
– Proceduri de recuperare sau restaurare
– Instalare de software și hardware
– Raportarea incidentelor
– Rezolvarea problem elor
Detaliați în fiecare caz.
b) Cine este responsabil de actualizarea
procedurilor operaționale IT?
Protecția împotriva virușilor
a) Ce soluție antivirus se folosește?

b) Această soluție se aplică tuturor
serverelor și stațiilor de lucru?

c) Cum se realizează ac tualizarea
fișierului de definiții antivirus? (Se va
verifica actualitatea fișierele de
definiții pentru server și câteva stații
de lucru).

d) Au utilizatorii permisiunea să
dezactiveze software -ul antivirus la
stația proprie de lucru?

e) Software -ul antivirus scanează toate
fișierele (pe server și stațiile de lucru)
automat, în mod periodic?
Managementul configurațiilor
a) Configurațiile echipamentelor IT și ale
aplicațiilor sunt menținute în mod
formal și în alte locații decât
sistemele?
Dacă da, unde și ce mă suri de
protecție se utilizează?
b) Configurațiile sunt actualizate,
comprehensive și complete?

Pag. 166 din 180
c) Manualele de instalare / utilizare sunt
actualizate?
d) Cum este informat personalul
utilizator care sunt cele mai noi
versiuni ale documentației?
V. Managementul schimbării și al dezvoltării sistemului
Managementul schimbării
a) Cine inițiază modificarea sau
dezvoltarea aplicațiilor?

b) Există un formular pentru cereri de
modificare sau schimbare? Dacă da,
cine trebuie să îl aprobe?

c) Există o procedură pentru a se asi gura
că investițiile în hardware, software și
servicii IT sunt evaluate
corespunzător? Dacă da, detaliați.

d) Au fost adoptate metodologii și
instrumente standard pentru
dezvoltarea unor aplicații „in site” (pe
plan local)? Dacă da, utilizarea acestei
metodo logii este transpusă în
proceduri documentate?

e) Cum se asigură conducerea de
armonizarea necesităților activității cu
schimbările IT?

f) Există o evidență a tuturor
modificărilor efectuate? Dacă da,
detaliați.

g) Exista o separație a mediilor de
producție (ope rațional), de test și de
dezvoltare?

h) Există o procedură de implementare a
schimbărilor tehnice în mediul
operațional?

i) Sunt modificările de urgență permise
în cadrul instituției?
Dacă da:
j) Există o etapizare privind
documentarea, abordarea
retrospectivă, t estarea?

Pag. 167 din 180
k) Cine inițiază, cine aprobă, cine
efectuează, cine monitorizează aceste
modificări?

l) Există o evidență clară a acestor
modificări?

m) Se testează modificările de urgență?

n) Ce măsuri de control se iau pentru ca
doar modificările autorizate să fie
transferate din mediul de test în cel de
producție?

Procurarea resurselor
a) Este implementat un ca dru de control
al achizițiilor?

b) Se realizează managementul
contractelor cu furnizorii, există
politici pentru selectarea furnizorilor
și achiziționarea resur selor ?

Instalarea și acreditarea soluțiilor și
schimbărilor
a) S-a efectuat instruirea pesonalului
pentru utilizarea noului sistem?

b) Au fost elaborate documente privind:
Planul de testare, Planul de
implementare?

c) Există proceduri privind: mediul de
test, conversia sistemului și a datelor,
testarea schimbărilor, testul final de
acceptare, promovarea în producție,
revizia post -implementare?

Achiziția și întreținerea aplicațiilor
software
a) A fost asigurat cadrul pentru
desfășurarea următoarelor activită ți și
satisfacerea următoarelor cerințe:
o Proiectarea de nivel înalt
o Proiectarea detaliată
o Controlul și auditabilitatea

Pag. 168 din 180
aplicațiilor
o Securitatea și disponibilitatea
aplicațiilor
o Configurarea și implementarea
aplicațiilor software achiziționate
o Actualizări m ajore ale sistemelor
existente
o Dezvoltarea aplicațiilor software
o Asigurarea calității software
o Managementul cerințelor
aplicațiilor
o Întreținerea aplicațiilor software?

Achiziția și întreținerea infrastructurii
tehnologice
a) A fost asigurat cadrul pent ru
desfășurarea următoarelor activități și
satisfacerea următoarelor cerințe:
o Planul de achiziție a infrastructurii
tehnologice
o Protecția și disponibilitatea
resurselor infrastructurii
o Întreținerea infrastructurii
o Mediul de testare a fezabilității?

–
VI. Auditul intern IT
Audit intern IT
a) Cum este asigurată funcția de audit
intern privind domeniul IT în cadrul
instituției?
b) Care este pregătirea profesională a
auditorilor interni în domeniul IT?
c) Ce metodologie folosesc aceștia?
d) Care este ritmicitatea elabor ării
Raportului de audit intern? Conține
acesta aspecte legate de activitatea IT?
Dacă da, precizați cum se valorifică
constatările? Dacă nu, v -ați propus
abordarea aspectelor legate de IT în
rapoartele viitoare?

Pag. 169 din 180

Anexa 4

Lista de verificare pentru e valuarea riscurilor IT

Arii de risc Nivel
risc Comentarii / Observații /
Concluzii
I. Dependența de IT

Complexitatea sistemului IT

a) Determinați volumul tranzacțiilor
gestionate de fiecare din aplicațiile
informatice (subsisteme).

b) Determinați cât de n ouă este tehnologia
utilizată, pentru fiecare din subsistemele
sistemului informatic.

c) Determinați modul de operare.

d) Preluarea datelor are loc în format
electronic sau manual (suport hârtie), în
timp real sau pe loturi?

Timpul de supraviețuire fără IT

a) Care ar fi consecințele asupra activității
curente în eventualitatea întreruperii
funcționării sistemului informatic sau a
unui subsistem al acestuia ?

b) Evaluați: posibilitatea refacerii
funcționalității, costurile, intervalul de timp
necesar pentru reluare a funcționării,
impact economic, social, de imagine, etc.

II. Resurse umane și cunoștințe IT

Aptitudini curente

a) Structura profesională a angajaților din
compartimentul IT ( organigramă, număr,
stat funcțiuni, fișe de post etc.) sau a
persoanelor c are au responsabilități
privind serviciile IT externalizate

Pag. 170 din 180
b) Care este nivelul de pregătire al angajaților
IT în raport cu necesitățile activității
curente?

c) Există anumite cunoștințe IT care sunt
concentrate la nivelul unui număr restrâns
de personal?

d) Care sunt metodele de evaluare ale
personalului IT?

Resurse umane comparate cu volumul de
muncă

a) Personalul IT este suficient în raport cu
volumul de muncă?

b) Personalul IT este supraîncărcat?

c) Activitatea personalului IT este una
specifică exclusiv domeni ului IT?

Fluctuația personalului

a) Care a fost fluctuația personalului IT în
ultima perioadă (de exemplu, 3 ani)?

b) Cum este apreciat moralul personalului IT?
(nivel de salarizare, stimulente, posibilități
de promovare, stagii de pregătire și de
perfecțion are etc.).

III. Încrederea în IT

Complexitatea sistemului și documentația
aplicațiilor informatice

a) Cum este apreciată complexitatea
aplicațiilor (subsistemelor) din cadrul
sistemului informatic ?

b) Aplicațiile sunt utilizate preponderent
pentr u înregistrarea și raportarea datelor?

c) Ce interfețe există între aplicații?

Erori / intervenții manuale

a) Care este tipul și numărul și erorilor
constatate în cazul fiecărei aplicații în
parte?

Pag. 171 din 180
b) În ce măsură datele generate de aplicații
suferă prelucrăr i manuale ulterioare din
partea utilizatorilor?

c) Există probleme de reconciliere între
datele furnizate de diverse aplicații sau
chiar în cadrul aceleiași aplicații?

Scalabilitate

a) În ce măsură sistemul informatic actual
poate suporta creșterea volumului de
operațiuni și/sau de date ?

Sisteme depășite

a) Tehnologia folosită este de ultimă
generație?

IV. Schimbări în IT

Dezvoltarea de aplicații informatice

a) Există o metodologie de dezvoltare internă
a aplicațiilor informatice?

Noi tehnologii

a) Schimb ările în sistemele IT au în vedere
tehnologii de ultima generație?

Modificări ale proceselor activității

a) În ce măsură se vor impune în viitorul
apropiat modificări structurale ale
proceselor activității care să atragă
modificări ale sistemul ui informatic ?
Este pregătit cadrul de reglementare în
acest sens?

IV. Externalizarea IT

Externalizarea

a) Care este nivelul externalizării, incluzând
suportul tehnic, operare, dezvoltare, suport
utilizatori etc.?

b) Există o politică de externalizare a
activităților IT (existența unor colaboratori,
furnizori de servicii IT, etc.) bazată pe:
identificarea relațiilor cu toți furnizorii,

Pag. 172 din 180
managementul relațiilor cu furnizorii,
managementul riscului asociat
furnizorilor ?

c) Au fost i nclu se clauze de tip SLA ( Service
Level A greement ) în contractele cu
furnizorii de servicii ?

d) Au fost i nclu se clauze de confidențialitate
în contractele cu furnizorii de servicii ? Este
monitorizată performanța furnizorului ?

Furnizorii IT

a) Ce riscuri decurg din contractele cu
furnizorii?

b) Se efe ctuează o analiză privind nivelul de
dependență față de furnizor?

Dezvoltarea de aplicații informatice de
către utilizatori

a) În ce măsură aplicațiile informatice sunt
dezvoltate intern?

V. Focalizarea pe activitățile afacerii

Conștientizarea condu cerii privind
riscurile IT

a) În ce măsura conducerea este conștientă de
importanța sistemelor IT și a riscurilor
conexe?

b) Este implementat un registru al riscurilor
care să reflecte abordarea managementului
cu privire la modelul de risc și de
management al riscurilor ?

Necesități curente în raport cu
funcționalitatea sistemului informatic

a) Sistemul informatic acoperă necesitățile
activității curente?

Pag. 173 din 180
VI. Securitatea informației

Motivația pentru fraudă / infracțiuni
(internă și externă)

a) Care sunt tipurile de informații gestionate
de către fiecare din aplicațiile sau
subsistemele informatice?

b) În ce măsură ar fi afectată reputația
instituției în caz de fraudă informatică ?
Detaliați.

Sensibilitatea datelor

a) Sunt confidențiale datele gestionate de
către aplicațiile informatice? În ce grad?

Legislație și regulamente

a) Domeniul de activitate este riguros
reglementat?

b) Există date cu caracter personal gestionate
de aplicațiile IT? Dacă da, detaliați cum
sunt acestea gestionate și care este
modalitatea d e aliniere la legislația în
vigoare care reglementează domeniul.

Pag. 174 din 180
Anexa 5

Lista de verificare privind evaluarea controalelor de aplicație

Controale de aplicație / Teste
Comentarii / Observații
CA1 – Descrierea aplicației

a) Care sunt funcțiile pe care le realizează
aplicația?

b) Prezentați arhitectura aplicației (platforma
hardware / software, produsele software
de tip instrument, sistemul de gestiune a
bazelor de date, sistemul de comunicație).

c) Este desemnat un administrator al
aplicației?

d) Care es te numărul utilizatorilor? Cine sunt
utilizatorii?

e) Care sunt volumul și valoarea tranzacțiilor
procesate lunar de aplicația financiar –
contabilă

f) Puncte slabe sau probleme cunoscute

CA2 – Posibilitatea de efectuare a auditului

a) Evidențele tranzacțiilo r să fie stocate și să
fie complete pentru întreaga perioadă de
raportare.

b) Evidențierea unei tranzacții să conțină
suficiente informații pentru a stabili un
parcurs de audit.

c) Totalurile tranzacțiilor să se regăsească în
situațiile financiare.

CA3 – Utilizarea CAAT

a) Identificarea informațiilor care vor fi
necesare pentru prelucrare în scopul
obținerii probelor de audit

Pag. 175 din 180

b) Obținerea datelor într -un format adecvat
pentru a fi prelucrate

c) Stocarea datelor într -o structură care să
permită prelucrările i mpus e de necesitățile
auditului

d) Obținerea asigurării privind versiunea de
programe utilizată și corectitudinea
surselor de date
e) Înțelegerea modului în care operează
sistemul (identificarea fișierelor care
conțin datele de in teres și a structurii
acestora
f) Cuno așterea structurii înregistrărilor,
pentru a le putea descrie în p rogramul de
interogare
g) Formularea interogărilor asup ra fișierelor
/ bazelor de date
h) Cunoașterea modului de operare a
sistemului
i) Determinarea criteriilor de selecție a
înregistrărilor în func ție de metoda de
eșantiona re și de tipurile de prelucrări
j) Interogarea sistemului și obținerea
probelor de audit. Trebuie adoptată cea
mai adecvată formă de prezentare a
rezultatelor.
CA4 – Determinarea răspunderii

a) Implementarea unor controale care
iden tifică și raportează acțiunile
utilizatorilor și înregistrează informațiile
într-un registru de audit
b) Conducerea examinează în mod regulat
rapoartele de excepții extrase din registrul
de audit și ia măsuri de urmărire ori de
câte or i sunt identificate disc repanțe
c) Există controale adecvate pentru a asigura
că personalul care introduce sau
procesează tranzacții nu poate să modifice
și înregistrările aferente activităților lor,
înscrise în registrul de audit

Pag. 176 din 180
d) Integritatea registrelor de audit este
asigurată pri n criptarea datelor sau prin
copierea registrului într -un di rector sau
fișier protejat

CA5 – Documentația aplicației

a) Evaluați dacă documentația aplicației este
adecvată, este cuprinzătoare și actualizată,
dacă personalul îndreptă țit are copii ale
documentației relevante sau acces la
aceasta, dacă există instrucțiuni de lucru
pentru procedurile zilnice și pentru
rezolvarea unor probleme frecvente, dacă
se păstrează copii de rezervă ale
documentației aplicației în scopul
recuperării după dezastru și al reluării
rapide a procesării.

CA6 – Securitatea aplicației: acces fizic și logic

a) Evaluați protecțiile fizice în vigoare pentru
a preveni accesul neautorizat la aplicație
sau la anumite funcții ale acesteia, în
funcție de atribuții, pentru punerea în
aplicare a separării sarcinilor și a
respectării atribuțiilo r

b) Se vor testa controalele logice de acces
utilizate pentru a restricționa accesul la
aplicație sau la anumite funcții ale acesteia
pentru punerea în aplicare a separării
sarcinilo r și a respectăr ii atribuțiilor

c) Se vor testa controalele logice existente
pentru restricționarea activității
utilizatorilor după ce a fost obținut accesul
la o aplicație (de e xemplu, meniuri
restricționate)

d) Evaluați controalele existente în cadrul
aplicației pentru iden tificarea acțiunilor
utilizatorilor individuali (utilizarea de
identificări unice, jurnale de operații,
utilizarea semnăturii electronice)

Pag. 177 din 180
CA7 – Controale la introducerea datelor

a) Evaluați procedurile / controalele existente
care să asigure că intro ducerea datelor este
autorizată și exactă.

b) Evaluați controalele care asigură că toate
tranzacțiile valabile au fost introduse
(verificări de completitudine și exactitate),
că există proceduri pentru tratarea
tranzacțiilor respinse sau eronate.

c) Verificaț i acțiunile care se întreprind
pentru monitorizarea datelor de intrare .

CA8 – Controale ale transmisiei de date

a) Verificați că transferul de date în rețea este
atât complet, cât și exact (utilizarea
semnăturii digitale, criptarea datelor,
secvențierea tranzacțiilor).

b) Evaluați modelul de identificare și tratare a
riscurilor asociate transferului de date în
rețea.

CA9 – Controalele procesării
a) Evaluați controalele existente care să
asigure că toate tranzacțiile au fost
procesate, pentru a reduce ris cul de
procesare a unor tranzacții incomplete,
eronate sau frauduloase.

b) Evaluați controalele existente care să
asigure că fișierele sunt procesate corect
(controalele pot fi de natură fizică sau
logică și previn riscul de procesare
necorespunzătoare a un or tranzacții).

c) Verificați modul în care aplicația și
personalul tratează erorile de procesare.

d) Verificați existența controalelor pentru a
asigura exactit atea procesării și a
controalelor pentru detectarea /
prevenirea procesării duble.

Pag. 178 din 180
CA10 – Contr oale la ieșire

a) Verificați existența controalelor care să
asigure că ieșirile de la calculator sunt
stocate corect și atunci când sunt transmise
acestea ajung la destinație.

b) Verificați existența controalelor
corespunzătoare privind licențele software.

c) Verificați existența controalelor privind
caracterul rezonabil, exactitatea și
completitudinea ieșirilor.

CA11 – Controalele datelor permanente

a) Verificați existența și testați controalele
privind autorizarea accesului și a
modificărilor datelor perm anente.

CA12 – Conformitatea cu legislația

a) Existența unor politici sau proceduri
formale prin care se atribuie
responsabilitatea monitorizării mediului
legislativ care poate avea impact asupra
sistemelor informatice

b) Este alocată responsabilitatea as igurării
conformității aplicațiilor cu clauzele
contractuale privind:
asigurarea că sistemul implementat
este actualizat în conformitate cu
ultima versiune furnizată;
respectarea termenelor privind
distribuirea ultimelor versiuni de
echipamente, software, documentație;
livrarea și instalarea configurațiilor
hardware / software pe baza unui
grafic, conform clauzelor contractuale,
pe etape și la termenele stabilite ;
respectarea obligațiilor privind
instruirea și suportul tehnic, stabilite
prin contract;
furni zarea pachetelor software conform
clauzelor contractuale. Verificarea
existenței și valabilității licențelor
furnizate în cadrul contractului;

Pag. 179 din 180

asigurarea suportului tehnic (prin
telefon, e -mail sau utilizând un portal;
portalul poate avea secțiuni distinct e
foarte utile pentru suport tehnic
specializat pe categorii relevante de
probleme / anomalii sau pentru
instruirea continuă a utilizatorilor ;
furnizarea documentației tehnice
conform contractului: conținutul (lista,
numărul manualelor, limba) și formatul
(tipărit, în format electronic, on -line);

c) Existența unor proceduri scrise privind
analiza și acceptarea produselor și
serviciilor furnizate în cadrul contractului,
precum și rec epția cantitativă și calitativă

d) Existența specificațiilor funcționale, a
manu alelor de utilizare și administrare
pentru pr oiectele de dezvoltare software

e) Existența manualelor de utilizare pentru
echipamentele livrate .

CA13 – Efectuarea testelor de audit

a) Verificați existența evidențelor complete
ale tranzacțiilor aferente apli cației.

b) Evaluați fezabilitatea colectării probelor de
audit relevante și suficiente.

c) Evaluați dacă parcursul (pista) de audit se
poate reconstitui din fluxul de prelucrare.

d) Evaluați dacă aplicația este disponibilă
atunci când este nevoie, funcționează
conform cerințelor, este fiabilă și are
implementate controale sigure asupra
integrității datelor.

e) Detaliați procedura de actualizare a
aplicației ca urmare a modificărilor
legislative.

f) Evaluați aplicația din punct de vedere al
gestionării resurselor info rmatice
disponibile (date, funcționalitate,
tehnologii, facilități, resurse umane, etc.).

g) Evaluați cunoașterea funcționării aplicației
de către utilizatori.

Pag. 180 din 180

h) Se vor efectua teste de verificare a
parametrilor și funcționalității aplicației
din punct de ved ere operațional și al
conformității cu legislația în vigoare.

i) Se vor efectua teste de verificare la nivel de
funcție pentru procedurile critice din
punctul de vedere al performanței
(lansarea, derularea și abandonarea
procedurilor, accesul la informații î n funcție
de perioada de înregistrare/raportare,
restaurarea bazei de date ).

j) Se vor efectua teste privind corectitudinea
încărcării / actualizării informațiilor în
baza de date. Se vor menționa metodele de
depistare și rezolvare a erorilor. Se vor
testa funcțiile de regăsire și analiză a
informației.

k) Evaluați interoperabilitatea aplicației cu
celelalte aplicații din sistemul informatic.

l) Evaluați sistemul de raportare propriu al
aplicației și sistemul de raportare global.

m) Se vor efectua teste privind modul de
accesare a aplicației la nivel de rețea, la
nivelul stației de lucru și la nivel de
aplicație.

n) Se vor testa funcțiile de conectare ca
utilizator final și de operare în timp real, pe
tranzacții de test.

o) Evaluați funcționalitatea comunicării cu
nivelele superior și inferior.

p) Analizați soluția de gestionare a
documentelor electronice.

q) Verificați prin teste protecțiile aferente
aplicației.