-
1
Auditul sistemelor informaionale
Necesitatea auditului sistemelor informaionale este indus i
de:
- amploarea utilizrii sistemelor informatice n susinere
proceselor din cadrul unei
organizaii;
- alegerea unor sisteme care confer o ncredere ridicat
partenerilor de afaceri i
care permit organizaiei s i desfoare activitatea la cele mai
ridicate standarde;
- necesitatea certificrii nivelului de securitate informaional
oferit de sistemele
implementate n cadrul organizaiei, la toate nivelele
necesare.
Misiunea de audit, reprezint o realizare care are un obiectiv
definibil, consum resurse i
se afl sub constrngerea unor elemente precum timpul, costurile i
calitatea.
Scopul misiunilor de audit este de reducerea nivelului estimat
pentru riscul erorilor de
analiz i de control a produselor informatice auditate. Din acest
punct de vedere, auditul
este un proces iterativ prin care se efectueaz corecii asupra
modalitilor n care se includ
procedee tehnice, metode i modele de analiz i control a
produselor informatice.
Procesul de audit anual iterativ continu, se face pentru a aduce
estimarea probabilitii ca
rezultatele auditrii informatice s fie afectate de erori la un
prag ct mai redus, concluziile
misiunilor de audit anterioare fiind un element de intrare
pentru misiunea curent.
Auditul sistemelor informatice reprezint activitatea de
colectare i evaluare a unor probe
pentru a determina dac sistemul informatic, permite atingerea
obiectivelor strategice ale
ntreprinderii i utilizeaz eficient resursele informaionale1.
n viziunea ISACA (Information Systems Audit and Control
Associaton) auditul sistemelor
informaionale presupune verificarea i evaluarea tuturor
aspectelor legate de sistemele de
prelucrare automat a datelor, incluznd i prelucrrile manuale
care au legtur cu sistemul
i interfeele ntre cele dou sisteme. n literatura de
specialitate, Ron Weber l definete ca
fiind procesul prin care se colecteaz i evalueaz probe cu scopul
de a determina dac
sistemul informaional i resursele implicate sunt protejate
corespunztor, menin integritatea
datelor, ofer informaii relevante i contribuie la atingerea
obiectivelor organizaiei.
Auditul sistemelor informaionale2 reprezint o activitate complex
de evaluare a unui
sistem informatic n scopul emiterii unei opinii fundamentate
asupra gradului de conformitate
1 Ion Ivan, Gheorghe Noca, Sergiu Capisizu Auditul sistemelor
informatice, editura ASE 2005, pagina 26 2 Pavel Nstase, Victoria
Stanciu, Ali Eden, Floarea Nstase, Gheorghe Popescu, Mirela
Gheorghe, Delia Bbeanu, Dana Boldeanu, Alexandru Gavril Auditul i
controlul sistemelor informaionale, editura Economic 2007
-
2
a sistemului cu standardele n domeniu i, totodat, asupra
capacitii sistemului informatic
de a atinge obiectivele strategice ale unei organizaii, utiliznd
eficient resursele
informaionale i asigurnd integritatea datelor prelucrate i
stocate.
Auditul sistemului informaional poate fi realizat la nivelul
oricrei organizaii, regsindu-se
ca o component a auditului intern, dar poate fi realizat i sub
forma unui audit extern, atunci
cnd managementul unei organizaii solicit acest lucru.
1. Etapele procesului de audit informatic
Misiunea de audit include etapele prezentate n figura 1.1.
Stabilirea termenilor misiunii permite auditorului s stabileasc
scopul i obiectivele care
stau la baza relaiei dintre auditor i organizaia auditat.
Scrisoarea de angajament trebuie
s adreseze obligaiile (scopul, independena, documentele care vor
fi furnizate la sfritul
misiunii), autoritatea (drepturile de acces la informaie) i
responsabilitatea (drepturile
entitii auditate, data de finalizare agreat) auditorului.
Analiza preliminar permite auditorului s adune informaii din
cadrul entitii auditate n
vederea crerii planului de audit. Aprecierea preliminar va
identifica strategia organizaiei,
responsabilitile managementului i controlul aplicaiilor
informatice.
Auditorul va realiza o analiz aprofundat asupra sistemelor
clientului pentru a stabili care
aplicaii i elemente de infrastructur sunt semnificative pentru
procesele incluse n scopul
misiunii. Obinerea unor date generale despre companie,
identificarea zonele acoperite de
sisteme informatice, analiz preliminar asupra pragului de
semnificaie i riscurilor mediului
de afaceri n care clientul activeaz i pregtirea unui plan
preliminar de audit sunt
elementele acestei etape.
Planificarea auditului asigur eficiena i eficacitatea misiunii
de audit, dac este realizat
n mod adecvat. La dezvoltarea planului de audit, auditorul ia n
considerare rezultatele
analizei preliminare asupra organizaiei auditate.
-
3
Figura 1.1. Etapele misiunii de audit al sistemului
informaional
Evaluarea controlului intern a sistemului dezvoltat de
organizaie furnizeaz o ncredere
rezonabil c obiectivele organizaiei sunt realizate prin urmrirea
urmtoarelor elemente:
eficien i eficacitate n operaii, ncredere n raportrile
prezentate, n conformitate cu legile
i reglementrile aplicabile n domeniu.
n dezvoltarea nelegerii asupra controalelor interne, auditorul
ia n considerare informaii
din auditurile anterioare, riscul inerent care a fost stabilit,
deciziile luate anterior asupra
materialitii i complexitatea operaiilor organizaiei i a
sistemelor utilizate.
Realizarea procedurilor de audit dezvoltate pe baza nelegerii
auditorului asupra
organizaiei i a mediului n care activeaz. O abordare substanial
a procesului de audit
este folosit atunci cnd este auditat ntreg sistemul informatic
al unei organizaii.
Emiterea raportului de audit se realizeaz odat ce procedurile de
audit au fost finalizate
i rezultatele au fost evaluate. Auditorul emite un raport de
audit care conine o opinie
calificat (modificat) sau necalificat, pe baza constatrilor
fcute.
-
4
1.1. Obiective generale i obiective specifice ale auditului
Obiectivele misiunii de audit au un rol determinant n abordarea
auditului, din acestea
decurgnd cerine i restricii privind desfurarea activitilor n
toate etapele misiunii de
audit: planificarea auditului, efectuarea auditului, raportare,
revizuire.
Abordarea general a auditului IT / IS se bazeaz pe evaluarea
riscurilor. Pentru auditul
performanei implementrii i utilizrii sistemelor informatice se
asociaz i abordarea pe
rezultate. Auditul se poate efectua pentru ntreg ciclul de via
al sistemelor i aplicaiilor
informatice sau se poate raporta numai la anumite componente
specificate sau la anumite
etape de dezvoltare a sistemului.
Formularea obiectivelor generale se face n funcie de scopul
evalurii: evaluarea
performanei unei activiti bazate pe tehnologia informaiei,
evaluarea unui program sau a
unui sistem bazat pe tehnologia informaiei, evaluarea tehnic a
unui sistem sau a unor
aplicaii, evaluarea unor componente ale sistemului dintr-un
punct de vedere precizat.
Scopul generic al misiunilor de audit al sistemelor informatice
este obinerea unei asigurri
rezonabile asupra implementrii i funcionrii sistemului, n
conformitate cu prevederile
legislaiei n vigoare, cu reglementrile n domeniu, cu standardele
internaionale i ghidurile
de bune practici, precum i evaluarea sistemului din punctul de
vedere al furnizrii unor
servicii informatice de calitate sau prin prisma performanei
privind modernizarea
administraiei i asigurarea ncrederii n utilizarea mijloacelor
electronice.
n funcie de tematica auditului, auditorul are sarcina de a
clarifica obiectivele auditului, de a
identifica referenialul pentru efectuarea auditrii (standarde,
bune practici, reglementri,
reguli, proceduri, dispoziii contractuale etc.) i de a examina
gradul n care cerinele care
decurg sunt aplicate i contribuie la realizarea obiectivelor
entiti.
n principiu, exist dou categorii de probleme care pot constitui
obiective generale ale
auditului:
o stabilirea conformitii rezultatelor entitii cu un document de
referin, conformitate
asupra creia trebuie s se pronune auditorul;
o evaluarea eficienei cadrului procedural i de reglementare i a
focalizrii acestuia pe
obiectivele entitii.
Pornind de la obiectivul general, se formuleaz obiective
specifice care determin direciile
de audit, cerinele concrete i criteriile care vor sta la baza
evalurilor. Ca obiective specifice
generice, se vor avea n vedere:
Evaluarea soluiilor arhitecturale i de implementare a sistemului
informatic;
-
5
Evaluarea infrastructurii hardware i software: echipamente,
sisteme, aplicaii;
Evaluarea implicrii managementului de la cel mai nalt nivel n
perfecionarea
guvernanei IT;
Evaluarea calitii personalului utilizator al sistemelor i
aplicaiilor informatice;
Evaluarea securitii sistemului informatic;
Evaluarea disponibilitii i accesibilitii informaiilor;
Evaluarea managementului schimbrilor i al continuitii
sistemului;
Evaluarea sistemului de management al documentelor;
Evaluarea utilizrii serviciilor electronice disponibile;
Evaluarea schimbului de informaii i a comunicrii cu alte
instituii;
Conformitatea cu legislaia n vigoare;
Identificarea i analiza riscurilor decurgnd din utilizarea
sistemului informatic,
precum i a impactului acestora;
Evaluarea efectelor implementrii i utilizrii infrastructurii IT
n modernizarea
activitii entitii auditate.
1.2. Analiza preliminar
Pentru stabilirea unei strategii de audit, auditorul trebuie s
obin informaii i cunotine
legate de entitatea auditat i de mediul n care aceasta opereaz.
Activitatea de
documentare are ca scop cunoaterea obiectivelor entitii cu
privire la performana
tehnologiei informaiei, precum i a principalelor aspecte legate
de coordonarea, structura i
funcionalitatea sistemelor, serviciilor i aplicaiilor care susin
obiectivele, n vederea alegerii
celor mai adecvate metode, tehnici i proceduri de audit.
Metodele utilizate pentru colectarea informaiilor n faza de
documentare sunt:
o prezentri n cadrul unor discuii preliminare cu reprezentanii
managementului
entitii auditate;
o consultarea unor materiale documentare relevante privind
activitatea entitii;
o consultarea legislaiei aferente tematicii;
o consultarea documentaiilor tehnice;
o documentare n domeniul standardelor i bunelor practici;
o interviuri cu persoanele implicate n coordonarea,
monitorizarea, administrarea,
ntreinerea i utilizarea sistemului informatic;
o participarea la demonstraii privind utilizarea sistemului;
o studiul documentar realizat prin accesarea pe Internet a unor
informaii publicate pe
website-ul entitii auditate.
-
6
Cunoaterea suficient a entitii, respectiv a sistemului
informatic este fundamental pentru
planificarea i efectuarea procedurilor de audit, precum i pentru
definirea criteriilor,
metodelor i tehnicilor de evaluare a rezultatelor i a
indicatorilor de performan. Pe baza
acesteia, auditorul realizeaz o evaluare preliminar a sistemului
i identific punctele critice
care vor fi testate n detaliu n cadrul auditului.
In faza de cunoatere a entitii, auditorul va lua n considerare
identificarea i analiza
factorilor care pot influena procesul de audit:
componentele sistemului;
activitile, problematica i nivelele de decizie;
atribuiile entitii, pe nivele de implicare;
coordonarea i monitorizarea proiectelor IT;
normele metodologice i standardele n domeniu;
cadrul legislativ i de reglementare n care entitatea i desfoar
activitatea;
soluia organizatoric privind implementarea sistemului informatic
(desfurare n
teritoriu, etapizarea activitilor, alocarea sarcinilor i
responsabilitilor, selecia
personalului);
arhitectura sistemului informatic: platforma hardware / software
(soluii de
implementare, echipamente, arhitecturi de reea, licene,
desfurare n teritoriu,
locaii funcionale, versiuni operaionale); fluxuri de colectare /
transmitere / stocare a
informaiilor (documente text, coninut digital, tehnici
multimedia);
factorii care influeneaz funcionalitatea sistemului:
complexitatea componentelor
software, sistemul de constituire, achiziie, validare, utilizare
a fondului documentar
(documente text, coninut digital, tehnici multimedia), operarea
sistemului, interfaa
utilizator, schimbul de date ntre structuri, interoperabilitate,
anomalii n
implementare, modaliti de raportare i operare a coreciilor,
sigurana n
funcionare, rata cderilor, puncte critice, instruirea
personalului utilizator,
documentaie tehnic, ghiduri.
1.3. Planificarea auditului
n conformitate cu standardele n vigoare, auditorul informatic
planific zona de acoperire a
auditului sistemelor informaionale astfel nct s adreseze
(vizeze) obiectivele auditului i
s fie n concordan att cu legile n vigoare ct i cu standardele de
audit.
Prima sarcin pe care auditorul o ndeplinete cnd planific auditul
const n dezvoltarea
unui buget cadru de lucru pentru care, managerul de audit
informatic, trebuie s cunoasc
abilitile i disponibilitatea personalului care va fi alocat
proiectului de audit. Pe lng
-
7
bugetarea timpului de lucru necesar realizrii testelor de audit,
managerul de audit informatic
bugeteaz timpul necesar pentru a instrui personalul de audit
iar, dac este necesar, aloc
timp i pentru situaii neprevzute, n vederea corectrii
erorilor.
n timpul planificrii auditului, managerul de audit decide care
este nivelul riscului de a
ajunge la o concluzie incorect pe baza constatrilor fcute pe
care este dispus s l
accepte. Cu ct munca auditorului este mai eficace i mai extins,
cu att este mai redus
riscul ca o slbiciune s treac nedetectat iar auditorul s emit un
raport de audit
necorespunztor. Riscul de audit este dependent de nivelele
stabilite pentru riscul inerent,
respectiv sensibilitatea unei zone de audit ctre erori care ar
fi semnificative, presupunnd
c nu sunt controale interne asociate zonei respective, riscul de
control, respectiv riscul ca o
slbiciune semnificativ s nu fie prevenit sau detectat de
controalele interne, precum i
riscul de detecie, respectiv riscul ca testele substaniale s nu
detecteze erori care ar fi
semnificative. Aceste riscuri sunt determinate cnd auditorul
realizeaz aprecierea riscului
asupra organizaiei.
Pentru a ndeplini obiectivele auditului i pentru a se asigura c
resursele pentru audit sunt
folosite eficient, auditorul stabilete nivelul de materialitate
(pragul de semnificaie). n
stabilirea materialitii auditorul ia n considerare att aspectele
cantitative ct i cele
calitative. Prin realizarea analizei riscului se furnizeaz o
asigurare rezonabil c toate
elementele semnificative vor fi acoperite adecvat pe parcursul
muncii de audit. Aceast
analiz identific zonele cu un risc relativ ridicat de existena
problemelor semnificative.
Planificarea auditului prezint urmtoarele faze importante:
- dezvoltarea unui buget cadru pentru misiunea de audit cu
alocarea orelor
necesare pentru principalele faze ale auditului ca procent din
numrul total de ore;
- aprecierea pragului de semnificaie, n cadrul creia auditorul
informatic ia n
considerare urmtoarele: nivelul agregat al erorii acceptabile
pentru management,
auditor i pentru organismele de reglementare n domeniu;
potenialul ca efectul
cumulat al erorilor sau slbiciunilor mici s devin semnificativ.
n plus auditorul
analizeaz includerea n cadrul materialitii a elementelor
non-financiare, cum sunt:
controalele de acces fizic, controalele de acces logic,
sistemele de management al
personalului, controalele de fabricaie, dezvoltare, proiectare i
calitate, precum i
generarea parolelor. n situaia n care sistemul analizat nu
proceseaz tranzacii
financiare, urmtoarele elemente sunt luate n considerare pentru
aprecierea
materialitii: nivelul de importan a proceselor de business i
operaiilor suportate
de ctre sistem; costul sistemului sau al operaiei din punct de
vedere hardware,
software, servicii realizate ctre o ter parte; costul potenial
al erorilor; numrul de
accesri, tranzacii, interogri procesate ntr-o perioad de timp;
penalitile pentru
nereuita n a corespunde cerinelor legale i contractuale;
-
8
- evaluarea riscului, prin care auditorul documenteaz n fiierele
de lucru
urmtoarele: descrierea tehnicii folosite pentru aprecierea
riscului; riscurile
semnificative identificate; riscurile pe care auditul le
adreseaz;
- realizarea planului de audit, care detaliaz obiectivele de
audit i etapele pe care
auditorul le urmeaz pentru a se asigura c toate aspectele
semnificative sunt
acoperite.
Planul de audit include:
nelegerea mediului, realizat de ctre auditor;
riscurile poteniale de audit;
procedurile de audit care vor fi realizate;
alocarea resurselor de audit n cadrul misiunii, exprimate n
om/ore, pe baza bugetului cadru iniial.
Obiectivul planului de audit este de a asista auditorul n
realizarea unui audit eficient.
Planificarea auditului are la baz o strategie de audit, care se
formuleaz pornind de la
definirea abordrii auditului i precizeaz elemente legate de
coordonarea misiunii de audit,
echipa implicat n aceast misiune, atribuiile n cadrul echipei,
orizontul de timp i direciile
principale de aciune.
Planificarea auditului sistemelor informatice trebuie s includ
toate fazele necesare atingerii
obiectivelor misiunii auditului, respectiv: documentarea privind
activitatea auditat,
programul sau sistemul care face obiectul auditului, stabilirea
strategiei de audit, stabilirea
procedurilor de audit i a tehnicilor aferente, a metodelor de
sintetizare, analiz i
interpretare a probelor de audit, identificarea i evaluarea
riscurilor generate de furnizarea
serviciilor electronice.
n cazul auditrii sistemelor informatice financiar-contabile,
trebuie analizat impactul acestor
sisteme asupra planului misiunii de audit. Aceast analiz are la
baz urmtoarele activiti:
cunoaterea relaiei dintre situaiile financiare i sistemele
informatice care le susin;
evaluarea necesitii implicrii n audit a specialitilor n audit
IT;
luarea n considerare a impactului implementrii i utilizrii
sistemului informatic
asupra riscului, att la nivelul entitii ct i pentru domeniul
financiar-contabil;
luarea n considerare a posibilitilor de utilizare a tehnicilor
de audit asistat de
calculator pentru susinerea auditului, inclusiv identificarea
celor mai adecvate
mijloace de accesare i analiz a datelor aferente
tranzaciilor;
analiza modului de includere a evalurii controalelor IT n
abordarea auditului;
identificarea sistemelor informatice financiar-contabile n curs
de dezvoltare care vor
necesita implicarea auditului.
-
9
1.4. Evaluarea controlului intern
n cadrul, Committess of Sponsoring Organizations of the Treadway
Commission - COSO,
controlul intern se definete ca un proces influenat de consiliul
de conducere al organizaiei,
managementul organizaiei i de ali angajai, acesta avnd scopul de
a furniza o asigurare
rezonabil n privina eficacitii i eficienei operaiilor, ncrederii
n raportrile financiare i
n privina conformitii cu legile i standardele n vigoare.
Auditorul evalueaz structura de control a organizaiei prin
nelegerea componentelor de
control intercorelate ale organizaiei:
- aprecierea riscului, const n identificarea riscurilor i
analiza acestora;
- activitile de control, constau n politicile i procesele care
asigur c angajaii
urmeaz instruciunile managementului;
tipurile de activiti de control pe care organizaiile le
implementeaz sunt:
controale preventive, prin care se intenioneaz s se opreasc
apariia
unei erori; controale de detecie, prin care se intenioneaz s
se
detecteze dac o eroare a aprut; i controale corective, care
acioneaz
pentru a remedia erorile detectate;
- informare i comunicare, prin care se asigur c organizaia obine
informaii
pertinente i le comunic n cadrul organizaiei;
- monitorizarea i revizuirea ieirilor generate de ctre
activitile de control i
realizarea unor evaluri speciale dac rezultatele nu sunt
conforme.
n DEX controlul este definit ca fiind analiza permanent sau
periodic a unei activiti, a
unei situaii etc. pentru a urmri mersul ei i pentru a lua msuri
de mbuntire.
Standardele de audit internaionale definesc sistemul de control
intern ca fiind procesul
organizat de conducerea organizaiei cu scopul obinerii unei
asigurri rezonabile privind
ndeplinirea obiectivelor entitii, respectiv la raportarea
financiar, eficiena i eficacitatea
operaiunilor derulate, precum i conformitatea cu legislaia n
vigoare.
Pe lng nelegerea componentelor de control ale organizaiei,
auditorul evalueaz
controalele generale i controalele de aplicaie ale
organizaiei.
Controalele generale se refer la ntregul mediu de procesare a
informaiei i au un impact
semnificativ asupra operaiilor computerizate realizate.
Controalele generale cuprind urmtoarele:
- controale organizaionale, care includ controalele referitoare
la mprirea
responsabilitilor;
- controale ale centrului de date i a operaiunilor n reea, care
asigur introducerea
corect a datelor primare n aplicaii i verific modul de corectare
a erorilor;
-
10
- controale referitoare la achiziia de echipamente hardware i
software, i ntreinerea
acestora, care includ controale ce compar acurateea datelor
introduse de dou ori
de ctre dou dispozitive diferite;
- controale ale accesului securizat, care asigur protecia fizic
a echipamentelor
software, a datelor i se preocup de mpiedicarea pierderii
activelor sau informaiilor
datorit furturilor sau folosirii neautorizate;
- controale ale achiziiei de aplicaii, dezvoltare i ntreinere,
care asigur ncrederea n
corecta procesare a informaiilor.
Controalele de aplicaie sunt aplicate la procesarea datelor de
ctre aplicaii i ajut la
asigurarea completitudinii i acurateei n ceea ce privete
procesarea, autorizarea i
validarea tranzaciilor.
Controalele de aplicaii cuprind:
- controale de capturare a datelor, prin care se asigur faptul c
toate tranzaciile sunt
cuprinse n aplicaie, tranzaciile sunt nregistrate o singur dat
i, c tranzaciile
respinse sunt identificate, controlate, corectate i reintroduse
n sistem dac este
cazul;
- controale de validare a datelor, asigur faptul c toate datele
de intrare din tranzacii
sunt evaluate pe baza setului de criterii stabilit;
- controale de procesare, prin care se verific procesarea corect
a tranzaciilor;
- controale pentru rezultate, prin care se asigur c informaiile
de ieire generate de
aplicaii nu sunt distribuite sau prezentate utilizatorilor
neautorizai;
- controale pentru erori, prin care erorile sunt detectate,
corectate i datele corecte sunt
reintroduse n sistem la etapa corespunztoare din succesiunea de
procesare.
n funcie de experiena i abilitile auditorului, propunerile
venite n urma misiunii de audit
privind mbuntirea sistemului de control intern vor fi luate n
considerare de ctre
organizaia auditat, care le analizeaz din punct de vedere al
eficienei i eficacitii lor n
cadrul organizaiei auditate.
Atunci cnd evalueaz sistemul de control intern, auditorul
trebuie s ia n considerare
factorii specifici mediului informatizat. De exemplu, auditorul
trebuie s ia n considerare
atitudinea i contientizarea managementului n ceea ce privete
operaiile informatizate:
Considerarea riscurilor i beneficiilor aplicaiilor
informatice;
Comunicarea politicilor privind funciile informatizate i
responsabilitile;
Supervizarea politicilor i procedurilor referitoare la
dezvoltarea, modificarea,
ntreinerea i utilizarea programelor i fiierelor, precum i pentru
controlul accesului
la acestea;
Considerarea riscului inerent i a riscului de control aferente
calculatoarelor i datelor
electronice;
-
11
Reacia la recomandrile i cerinele anterioare;
Planificarea operativ i eficace a activitilor IT / IS;
Contientizarea dependenei de sistemul informatic n luarea
deciziei.
n cadrul documentrii se vor identifica punctele critice care
acumuleaz potenialul unor
riscuri generate de implementarea i utilizarea sistemului
informatic:
o slaba implicarea a managementului;
o obiective neatinse sau ndeplinite parial;
o iniiative nefundamentate corespunztor;
o sisteme interne de control organizate sau conduse
necorespunztor;
o pierderi importante cauzate de calamiti naturale, furturi
etc.;
o lipsa ncrederii n tehnologia informaiei;
o lipsa de interes fa de planificarea continuitii sistemului
(proceduri de salvare a
datelor, securitatea sistemului informatic, recuperare n caz de
dezastru);
o calitatea necorespunztoare a serviciilor furnizate
utilizatorilor sistemului;
o cheltuieli nejustificate: intranet, Internet, resurse
umane;
o costuri i depiri semnificative ale termenelor;
o existena unor reclamaii, observaii, contestaii.
Pentru toate tipurile de audit, se va realiza o evaluare a
controalelor generale IT pe baza
Listei de verificare a controalelor generale IT, care conine
urmtoarele categorii de obiective
de control:
managementul funciei IT;
securitatea fizic i controalele de mediu;
securitatea informaiei i a sistemelor;
continuitatea sistemelor;
managementul schimbrii i dezvoltarea de sistem;
auditul intern.
Aceast list nu exclude adugarea altor categorii de probleme
considerate semnificative de
ctre auditor, n funcie de obiectivele specifice ale auditului.
De asemenea, se va analiza
modul n care aceste controale afecteaz eficacitatea sistemului
de control intern al entitii.
-
12
1.5. Proceduri de audit i consideraii privind standardul de
audit ISAE
3000
Procedurile de audit sunt sarcini specifice realizate de ctre
auditor cu scopul de a strnge
probe pentru a determina dac obiectivele de audit sunt
ndeplinite. Standardele de audit
prevd urmtoarele: n cursul unui audit, auditorul informatic
trebuie s obin probe de
ncredere, relevante dar i suficiente pentru ndeplinirea
obiectivelor de audit. Constatrile i
concluziile auditorului trebuie s se bazeze pe analize i
interpretri adecvate ale
respectivelor date.
Realizarea procedurilor de audit prezint urmtoarele faze:
- stabilirea eantionului de audit: selecia eantionului,
testarea, evaluarea i realizarea
documentaiei aferente acestor operaii;
- utilizarea tehnicilor de auditare asistate de calculator;
- stabilirea dovezilor de audit.
Stabilirea eantionului n audit reprezint aplicarea procedurilor
de audit asupra unui procent
mai mic de 100% din populaia studiat, care permit auditorului
informatic s evalueze
probele de audit n cadrul unei clase de tranzacii n scopul
formulrii unei concluzii
referitoare la ntreaga populaie. Atunci cnd proiecteaz mrimea i
structura eantionului,
auditorul informatic ia n considerare obiectivele de audit
determinate n etapa de planificare
a auditului, natura populaiei i metodele de selectare i de
eantionare folosite.
Selectarea eantionului - auditorul stabilete selecia n aa fel
nct aceasta s fie
reprezentativ pentru populaia studiat. Cele mai folosite metode
de selecie sunt metodele
statistice i nestatistice.
Metode statistice de evaluare, care includ:
- selecia aleatorie, care asigur faptul c toate combinaiile de
elemente din cadrul
populaiei au anse egale de selecie;
- selecia sistematic, care implic selectarea elementelor
folosindu-se un interval fix
ntre selecii, primul interval avnd un nceput aleatoriu.
Metode nestatistice de evaluare, care includ:
- selecia ntmpltoare, prin care auditorul selecteaz eantionul fr
a urma o
tehnic structurat;
- selecia pe baza experienei profesionale, care utilizeaz
experiena auditorului n
stabilirea criteriilor de selecie asupra elementelor
eantionului: prag de relevan,
excluderea unor categorii de date din populaie.
Auditarea asistat de calculator este folosit pentru a testa
controalele de aplicaie i, de
asemenea, pentru a realiza teste de substan pe selecia fcut. n
literatura de specialitate
sunt precizate urmtoarele tipuri de auditare asistate de
calculator:
-
13
- programe de audit generalizate, permit auditorului s realizeze
teste pe fiierele
calculatoarelor i baze de date;
- programe de audit particularizate care sunt proiectate de ctre
auditori pentru a
realiza o anumit sarcin de audit; programele particularizate
sunt necesare atunci
cnd sistemele utilizate de ctre client nu sunt compatibile cu
programele de audit
generalizate sau cnd auditorul dorete s realizeze teste care nu
sunt posibile prin
utilizarea programelor de audit generalizate;
- date de test generate automat cuprinznd toate scenariile
posibile, care sunt
utilizate pentru a testa controalele de aplicaie direct n
sistemele clientului; auditorul
include date simulate valide i invalide pentru a testa acurateea
operaiilor
sistemului; metoda este folosit pentru a verifica controalele de
validarea datelor i
rutinele de detectare a erorilor, controalele de procesare logic
i calculele
aritmetice;
- simularea paralel, prin care se construiesc module similare
celor din mediul de
producie pentru a simula secvene de procesare;
- dispozitiv de testare integrat, prin care auditorul introduce
datele de test mpreun
cu datele reale ntr-un mediu de producie.
Dovezile de audit trebuie s fie suficiente, solide, relevante i
folositoare, pentru a permite
auditorului s i formeze o opinie i pentru a conferi suport
concluziilor i constatrilor
fcute. Dac auditorul nu i-a format o opinie pe baza dovezilor de
audit obinute, va solicita
noi dovezi de audit pn la clarificarea tuturor pailor
nefinalizai.
Terminarea auditului cuprinde urmtoarele:
- emiterea raportului;
- arhivarea documentaiei colectate i generate n timpul
misiunii;
- urmrirea implementrii concluziilor auditului, prin stabilirea
unor ntlniri ulterioare
de verificare a progresului realizat;
- evaluarea auditului, de ctre o echip independent.
Evaluarea prin sondaj a misiunilor de audit este necesar pentru
a verifica respectarea
standardelor i metodologiilor asumate de ctre auditori. Practica
n domeniu ne arat c
pentru asigurarea calitii, evaluarea prin sondaj de ctre o echip
independent trebuie s
devin obligatorie indiferent de organizaia care a efectuat
auditul.
Standardul de audit ISAE 3000 Angajamente de asigurare, altele
dect auditul sau
revizuirea informaiilor financiare aferente perioadelor
anterioare, este unul dintre cele mai
folosite standarde pentru misiunile de audit informatic.
Acest standard folosete termenii angajament de asigurare
rezonabil i angajament de
asigurare limitat, pentru a face distincia ntre cele dou tipuri
de misiuni de asigurare, pe
care un practicant este autorizat s le execute.
-
14
Obiectivul unui angajament de asigurare rezonabil este de a
reduce riscul
angajamentului sau misiunii de asigurare la un nivel acceptabil
de sczut n condiiile
angajamentului, ca baz pentru o form pozitiv de exprimare a
concluziilor misiunii.
Obiectivul unui angajament de asigurare limitat este o reducere
a riscului
angajamentului sau misiunii de asigurare la un nivel care este
acceptabil n condiiile
angajamentului, caz n care riscul este mai mare dect pentru un
angajament de asigurare
rezonabil, ca baz pentru o form negativ de exprimare a
concluziilor misiunii.
Experiena n domeniu arat c principalul criteriu luat n
considerare de mediul economic n
selecia furnizorului de servicii de audit este preul misiunii de
audit, fr a se pune accent
pe modul n care urmeaz a fi formulat opinia de audit.
Auditorul trebuie s planifice i s desfoare un angajament cu o
atitudine de scepticism
profesional, admind c exist circumstane care s determine ca
informaiile analizate s
fie denaturate n mod semnificativ. O atitudine de scepticism
profesional nseamn c
auditorul va face o evaluare critic, avnd o atitudine de
examinator, asupra validitii
probelor obinute i este atent la probe, punnd n discuie
ncrederea documentaiei sau
declaraiile date de ctre persoanele responsabile.
Auditorul trebuie s obin o nelegere a subiectului i a altor
circumstane ale
angajamentului, suficient pentru a identifica i evalua riscurile
ca informaiile analizate s fie
semnificativ denaturate i suficient pentru a proiecta i efectua
proceduri viitoare de
colectare a probelor.
Asigurarea rezonabil este mai redus dect asigurarea absolut.
Reducerea riscului
angajamentului de asigurare la zero este foarte rar atins sau
eficient din punct de vedere al
costurilor implicate, ca urmare a unor factori precum:
- utilizarea unor selecii pentru testare;
- limitrile inerente ale controlului intern;
- faptul c o mare parte a dovezilor disponibile auditorului sunt
mai degrab
persuasive dect conclusive;
- utilizarea aprecierii n colectarea i evaluarea probelor i
formarea concluziilor;
- n funcie de situaie, caracteristicile informaiilor
analizate.
Att angajamentele de asigurare rezonabil, ct i cele de asigurare
limitat, necesit
aplicarea unor aptitudini i tehnici n strngerea unor probe
suficient de adecvate, ca partea
unui proces iterativ i sistematic, care include obinerea unei
nelegeri a subiectului i a altor
circumstane ale angajamentului.
Natura, momentul de aplicare i aria de acoperire a procedurilor
pentru strngerea unor
dovezi suficient de adecvate ntr-un angajament de asigurare
limitat sunt, totui, n mod
deliberat limitate n raport cu un angajament de asigurare
rezonabil.
-
15
Pentru diferite tipuri de informaii analizate exist standarde
ISAE specifice care ofer
ndrumare cu privire la procedurile pentru strngerea unor dovezi
suficient de adecvate
pentru un angajament de asigurare limitat. n absena unor
standarde ISAE specifice,
procedurile pentru strngerea unor dovezi suficient de adecvate
vor varia n funcie de
circumstanele angajamentului, avnd n vedere: obiectul,
informaiile analizate, nevoile
utilizatorilor crora le este destinat i ale organizaiei
auditate, inclusiv constrngerile
temporale i bugetare relevante. Pentru ambele tipuri de
angajamente, n cazul n care
auditorul devine contient de o problem care conduce auditorul la
ntrebri cu privire la
faptul c o modificare material, ar trebui s se aplice
informaiilor analizate, auditorul va
urmri problema prin efectuarea unor proceduri suficiente pentru
a permite tragerea unei
concluzii n raport.
Diferena major ntre angajamentul de asigurare rezonabil i
angajamentul de asigurare
limitat const n modul de analizare a zonelor auditate, care este
mult mai restrns n cazul
asigurrii limitate, prin reducerea seleciilor de test i a pailor
de audit.
Raportul de audit mpreun cu recomandrile de audit, pregtit de
echipa de audit i,
revizuit i asumat de ctre eful echipei de audit, trebuie s
includ urmtoarele elemente:
(a) un titlu care s indice n mod clar c raportul este un raport
de audit independent;
(b) destinatarul raportului, pentru a identifica partea sau
prile crora raportul le este
adresat;
(c) identificarea i descrierea informaiilor analizate:
momentul sau perioada de timp la care se refer evaluarea;
numele entitii sau a componentelor analizate;
o explicaie a acelor caracteristici ale informaiei despre care
utilizatorii ar
trebui s fie contieni i modul n care aceste caracteristici
influeneaz
precizia evalurii.
Atunci cnd concluzia auditorului este formulat n referin cu
aseriunile
managementului, aceste aseriuni sunt anexate la raportul de
audit, fiind reproduse
n raportul de audit sau referine n cadrul acestuia ctre o surs
care este disponibil
utilizatorilor crora le este destinat.
(d) identificarea criteriilor n raport cu care informaiile au
fost evaluate sau msurate,
astfel nct utilizatorii s neleag baza pentru concluziile
auditorului; raportul de
audit include criteriile utilizate sau face referin la ele;
auditorul trebuie s analizeze
dac este relevant s dezvluie urmtoarele:
- sursa criteriilor i dac acestea sunt incluse sau nu n legi sau
reglementri
emise de ctre organismele abilitate;
- metodele de msurare utilizate pentru situaiile n care
criteriile permit
alegerea ntre un numr de metode;
-
16
- orice interpretri semnificative realizate n aplicarea
criteriilor n condiiile
angajamentului;
- dac au existat modificri ale metodelor de msurare
utilizate.
(e) o descriere a oricror limitri inerente semnificative
asociate cu evaluarea sau
msurarea informaiilor analizate pe baza criteriilor, dac este
cazul;
(f) atunci cnd criteriile folosite pentru a evalua sau msura
informaiile analizate sunt
disponibile numai unor utilizatori specifici, sau sunt relevante
pentru un scop specific,
va fi inclus o declaraie care restricioneaz utilizarea
raportului de audit;
(g) o declaraie pentru identificarea prilor responsabile i
pentru descrierea
responsabilitilor prilor i ale auditorului;
(h) o declaraie c misiunea a fost efectuat n conformitate cu
ISAE;
(i) un rezumat al activitii desfurate, care va ajuta
utilizatorii s neleag natura
asigurrilor transmise prin raportul de audit; n cazul n care nu
exist un ISAE
specific care s ofere ndrumri cu privire la procedurile de
colectare a probelor
pentru un anumit subiect, rezumatul include o descriere detaliat
a muncii efectuate;
pentru c ntr-un angajament de asigurare limitat o apreciere a
naturii, timpului i
ntinderii procedurilor de colectare a dovezilor efectuate este
esenial pentru
nelegerea asigurrii transmise de ctre o concluzie exprimat ntr-o
form negativ,
rezumatul activitii desfurate are urmtoare caracteristici:
- este mai detaliat dect pentru un angajament de asigurare
rezonabil i
identific limitrile cu privire la natura, timpul i ntinderea
procedurilor de
colectare a probelor; este recomandabil s se indice procedurile
care nu au
fost realizate i care ar fi fost n mod normal efectuate ntr-un
angajament de
asigurare rezonabil;
- precizeaz procedurile de colectare a probelor care sunt mai
limitate dect
pentru un angajament de asigurare rezonabil i, prin urmare, se
obine o
asigurare mai redus dect ntr-un angajament de asigurare
rezonabil.
(j) opinia auditorului este format din mai multe concluzii
separate atunci cnd
informaiile analizate sunt grupate n mai multe aspecte, iar
fiecare concluzie este
exprimat n forma necesar, ca angajament de asigurare rezonabil
sau limit;dac
este cazul, concluzia trebuie s informeze utilizatorii cu
privire la contextul n care
trebuie citit, cum ar fi: aceast opinie a fost formulat pe baza,
i este supus unor
limitri inerente prezentate n alt parte n acest raport
independent de audit;ntr-un
angajament de asigurare rezonabil, concluzia trebuie s fie
exprimat ntr-o form
pozitiv: n opinia noastr controlul intern este eficace, n toate
aspectele
semnificative, pe baza criteriilor incluse n sfera misiunii sau
precizate n
reglementrile care stau la baza auditului; ntr-un angajament de
asigurare limitat,
-
17
concluzia trebuie s fie exprimat sub form negativ: pe baza
muncii noastre
descris n acest raport, nimic nu a ajuns n atenia noastr care s
ne determine s
credem c, la nivelul organizaiei, controlul intern nu este
eficient, n toate aspectele
semnificative, pe baza criteriilor incluse n sfera misiunii sau
precizate n
reglementrile care stau la baza auditului;
(k) n cazul n care exist urmtoarele circumstane i, efectul este
sau ar fi anse s
ajung semnificativ, opinia va fi calificat (modificat) sau cu
rezerve:
- exist o limitare a sferei misiunii auditorului, prin apariia
unor circumstane
care mpiedic obinerea de probe necesare pentru reducerea
riscului unui
angajament de asigurare la un nivel adecvat;
- n cazurile n care concluzia este formulat cu privire la
aseriunile
managementului, iar acestea nu cuprind toate aspectele
semnificative, sau
informaiile analizate sunt semnificativ denaturate;
- atunci cnd se descoper, dup ce a fost acceptat misiunea,
inadecvarea
criteriilor sau faptul c informaia analizat nu este adecvat
pentru un
angajament de asigurare.
Recomandrile de audit trebuie s arate clar deficienele
nregistrate care au dus la
recomandarea respectiv, ponderea acestor deficiene n totalul
populaiei analizate,
impactul lor asupra organizaiei, sau constatrile care stau la
baza observaiilor de
mbuntire a activitii i valoarea adugat adus de implementarea
recomandrii.
Experiena arat c pentru o mai bun nelege a raportului este
necesar includerea unor
elemente care s specifice clar mrimea seleciilor realizate i o
descriere detaliat a
proceselor testate. ns, o solicitare din partea organizaiei
auditate de extindere a
specificaiilor raportului de audit trebuie refuzat pentru c ar
arta implicaiile utilizrii
criteriului preului cel mai redus n selectarea furnizorului de
servicii de audit.
Datorit utilizrii lui pe scar larg pentru misiunile de audit
informatic din ara noastr,
nelegerea acestui standard, precum i a tipurilor de opinii de
audit care sunt emise n baza
acestui standard, este important.
1.6. Realizarea procedurilor de audit (efectuarea auditului)
Obinerea probelor de audit
Probele de audit specifice sistemelor informatice pot fi
ncadrate n urmtoarele categorii:
a) Probe de audit fizice - rezultate din demonstraii ale
aplicaiilor, documentaii tehnice,
diagrame, scheme de arhitectur i alte elemente echivalente
acestora.
b) Probe de audit verbale rspunsuri la interviuri, sondaje.
-
18
c) Probe de audit documentare documente, documentaii, manuale n
form scris sau n
format electronic.
d) Probe de audit analitice rezultate obinute n urma evalurilor
i analizei fondului de
informaii (indicatori, tendine).
Auditorii vor colecta probe de audit suficiente i adecvate. n
cazul n care probele de audit
nu sunt suficiente i/sau adecvate, auditorii vor extinde
procedurile de colectare cu teste
suplimentare, aprofundate asupra sistemului informatic.
n cadrul auditului se vor efectua teste asupra controalelor
specializate pentru identificarea
unor elemente sau aciuni care constituie factori de risc i se va
face o analiz a impactului
acestora asupra activitii entitii.
Alterarea probelor de audit poate fi cauzat de existena unor
anomalii sau erori sistematice
ale funcionrii programelor, care afecteaz prelucrarea ntregului
fond de date i conduc la
obinerea unor rezultate eronate, greu de corectat prin proceduri
manuale, avnd n vedere
volumul mare al tranzaciilor i complexitatea algoritmilor de
prelucrare. Ca urmare a
gestionrii automate a unui volum mare de date, fr implicare
uman, exist riscul
nedetectrii pentru o perioad lung de timp a unor erori datorate
unor anomalii de
proiectare sau de actualizare a unor componente software.
Tehnici de audit
Pentru obinerea probelor de audit se vor utiliza, n principal,
urmtoarele tehnici de audit:
Realizarea de interviuri cu persoane cheie implicate n proiect
(coordonatori,
utilizatori, administratori de sistem IT etc.);
Utilizarea chestionarelor i machetelor;
Examinarea unor documentaii tehnice, economice, de monitorizare
i de raportare:
grafice de implementare, coresponden, rapoarte interne, situaii
de raportare,
rapoarte de stadiu al proiectului, registre de eviden,
documentaii de monitorizare a
utilizrii, contracte, sinteze statistice, metodologii,
standarde;
Participarea la demonstraii privind utilizarea sistemului;
Evaluarea portalului i a serviciilor electronice;
Utilizarea tehnicilor i instrumentelor de audit asistat de
calculator (IDEA, TeamMate,
ACL sau alte aplicaii utilizate);
Documentarea pe Internet n scopul informrii asupra unor
evenimente, comunicri,
evoluii legate de sistemul IT sau pentru consultarea unor
documentaii tehnice.
Colectarea i inventarierea probelor de audit
Colectarea i inventarierea probelor de audit se refer la
constituirea fondului de date n
format electronic i / sau n format tiprit pe baza machetelor,
chestionarelor i a listelor de
verificare completate, precum i la organizarea i stocarea
acestora.
Natura probelor de audit este dependent de scopul auditului i de
modelul de auditare
utilizat. Dei modelele de auditare pot diferi n ceea ce privete
detaliile, ele reflect i
acoper cerina comun de a furniza o asigurare rezonabil c
obiectivele i criteriile impuse
n cadrul unei misiuni de audit (de exemplu, audit financiar)
sunt satisfcute.
-
19
Documentarea probelor de audit
Obinerea probelor de audit i nscrierea acestora n documentele de
lucru reprezint
activiti eseniale ale procesului de audit. Documentele de lucru
se ntocmesc pe msura
desfurrii activitilor din toate etapele auditului. Documentele
de lucru trebuie s fie
ntocmite i completate cu acuratee, s fie clare i inteligibile, s
fie lizibile i aranjate n
ordine, s se refere strict la aspectele semnificative, relevante
i utile din punctul de vedere
al auditului.
Aceleai cerine se aplic i pentru documentele de lucru utilizate
n format electronic.
Documentarea corespunztoare a activitii de audit are n vedere
urmtoarele
considerente:
o Confirm i susine opiniile auditorilor exprimate n raportul de
audit;
o mbuntete performana activitii de audit;
o Constituie o surs de informaii pentru pregtirea raportului de
audit sau pentru a
rspunde oricror ntrebri ale entitii auditate sau ale altor pri
interesate;
o Constituie dovada respectrii de ctre auditor a standardelor i
a manualului de
audit;
o Faciliteaz monitorizarea auditului;
o Furnizeaz informaii privind expertiza n audit.
Documentele de lucru, elaborate n format tiprit, vor fi
organizate n dosare, iar
documentele elaborate n format electronic vor fi organizate n
colecii de fiiere i / sau baze
de date.
Documentele trebuie s fie prezentate ntr-o manier inteligibil,
coerent, consistent cu
obiectivele auditului.
Pentru descrierea sistemelor entitii auditate se utilizeaz
urmtoarele tipuri de documente:
diagrame de tip flowchart, prezentri narative, machete i
chestionare. Alegerea acestor
tehnici variaz n funcie de practicile locale de audit, de
preferina personal a auditorului i
de complexitatea sistemelor auditate.
Diagramele flowchart exprim n mod grafic descrierea sistemului
auditat. Diagramele
flowchart nregistreaz ciclul de via al unei tranzacii, de la
iniiere pn la stocarea
acesteia i evideniaz controalele i procedurile automate i
manuale.
Descrierea narativ a ciclului de prelucrare a tranzaciilor este
utilizat, de asemenea, n
documentarea sistemelor. Se utilizeaz n conjuncie cu alte metode
de documentare a
sistemelor. Descrierea narativ include: obiectivele sistemului i
intele, procesele i
procedurile, legturi i interfee cu alte sisteme, controale,
proceduri pentru condiii speciale.
Listele de verificare
n cazul evalurilor efectuate pentru auditarea infrastructurii
IT, se vor utiliza urmtoarele
liste de verificare:
Lista de verificare privind evaluarea controalelor generale
IT;
Lista de verificare privind evaluarea riscurilor generate de
funcionarea sistemului IT.
-
20
Aceste liste de verificare se vor utiliza i n cadrul misiunilor
de audit financiar sau de audit al
performanei, pentru evaluarea controalelor generale IT i a
riscurilor generate de
funcionarea sistemului informatic.
Listele de verificare generice nu exclud adugarea altor
categorii de probleme considerate
semnificative de ctre auditor, n funcie de obiectivele specifice
ale auditului.
n cazul misiunilor de audit financiar, care presupun evaluarea
sistemului informatic
financiar-contabil pentru a formula o opinie privind ncrederea n
informaiile furnizate de
sistemul informatic, auditorul va elabora Lista de verificare
pentru testarea controalelor IT
specifice aplicaiei financiar-contabile, care conine urmtoarele
categorii de controale de
aplicaie:
controale privind integritatea fiierelor;
controale privind securitatea aplicaiei;
controale ale datelor de intrare;
controale de prelucrare;
controale ale ieirilor;
controale privind reeaua i comunicaia;
controale ale fiierelor cu date permanente.
n cazul n care sistemul nu pare a fi suficient de robust,
auditorul trebuie s evalueze riscul
funcionrii necorespunztoare a sistemului asupra obiectivelor
misiunii de audit financiar.
n cadrul entitilor auditate, sistemele informatice care fac
obiectul evalurii sunt utilizate ca
suport pentru asistarea deciziei, constituind sisteme IT / IS
utilizate pentru evidena,
prelucrarea i obinerea de rezultate, situaii operative i
sintetice la toate nivelele de
raportare. Din acest motiv, o categorie special de controale IT
se refer la conformitatea
sistemului informatic cu cerinele impuse de cadrul legislativ i
de reglementare.
Cerinele legislative i de reglementare includ:
Legislaia din domeniul finanelor i contabilitii;
Legislaia privind protecia datelor private i legislaia privind
protecia datelor
personale;
Legislaia privind utilizarea improprie a calculatoarelor, n
sensul criminalitii
informatice;
Reglementri financiare i bancare;
Legile cu privire la proprietatea intelectual.
n cazul sistemelor complexe sau desfurate la scar naional se
folosesc liste de
verificare specializate: lista de verificare pentru evaluarea
guvernanei sistemelor de tip e-
guvernare, lista de verificare pentru evaluarea portalului web,
lista de evaluare a perimetrului
de securitate, liste de verificare pentru evaluarea serviciilor
electronice, liste de verificare
pentru evaluarea cadrului de interoperabilitate, precum i alte
liste de verificare a cror
necesitate decurge din obiectivele auditului.
Avnd n vedere specificul i complexitatea ridicat a unor astfel
de misiuni de audit, cadrul
de auditare asociat necesit o tratare separat.
-
21
Auditul performanei implementrii i utilizrii sistemelor
informatice va lua n considerare
urmtoarele aspecte:
Modul n care funcionarea sistemului contribuie la modernizarea
activitii entitii;
Modul n care managementul adecvat al configuraiilor IT
contribuie la creterea
valorii adugate prin utilizarea sistemului informatic, reflectat
n economii privind
costurile de achiziie i creterea calitii serviciilor;
Creterea semnificativ a productivitii unor activiti de rutin
foarte mari
consumatoare de timp i resurse, care, transpuse n proceduri
electronice
(tehnoredactare, redactarea automat a documentelor, cutri n
arhive electronice,
reutilizarea unor informaii, accesarea pachetelor software
legislative), se
materializeaz n reduceri de costuri cu aceste activiti;
Scurtarea timpului de prelucrare prin reducerea numrului de
erori i evitarea relurii
unor proceduri pentru remedierea acestora;
Eliminarea paralelismelor i integrarea proceselor, care se
reflect n creterea
eficienei activitii prin eliminarea redundanelor;
Scderea costurilor serviciilor, creterea disponibilitii acestora
i scderea timpului
de rspuns;
Creterea gradului de instruire a personalului n utilizarea
noilor tehnologii i
dezvoltarea de noi aptitudini;
Reducerea costurilor administrative.
Chestionarele
Chestionarele conin ntrebri despre sistemele entitii auditate i
constituie suportul pentru
colectarea informaiilor despre acestea.
Chestionarele conin, n general, opinii ale actorilor implicai n
sistem referitoare la:
acceptarea sistemului, calitatea instruirii, efectele sistemului
asupra activitii entitii,
calitatea documentaiei tehnice, ncrederea n sistemul informatic,
dificultatea utilizrii
sistemului, efectele n planul modernizrii activitii, necesitatea
extinderii sistemului.
n cazul n care chestionarele sunt proiectate pentru efectuarea
unor analize statistice,
acestea conin ntrebri formulate astfel nct s poat fi agregate i
analizate n funcie de
criterii stabilite. Rspunsurile pot fi de tip DA/NU, note,
ponderi, i altele. De asemenea, sunt
admise aprecieri personale i comentarii. Pe baza informaiilor
colectate se pot elabora
diagrame i grafice care s exprime sugestiv concluzii referitoare
la percepia unei populaii
despre efectele implementrii i utilizrii sistemului informatic
supus evalurii.
Machetele
Machetele sunt elaborate de auditori i constituie suportul
pentru colectarea informaiilor
legate de: bugetul IT / IS, configuraia hardware / software,
infrastructura de reea, sistemul
aplicativ, instruirea personalului, utilizarea sistemului
informatic, costuri, furnizori.
Sintetizarea, analiza i interpretarea probelor de audit
Auditorii vor face o evaluare a sistemelor informatice i a
aplicaiilor, prin analiza,
interpretarea i sinteza informaiilor obinute n cadrul
interviurilor sau colectate din sursele
documentare i prin intermediul machetelor, chestionarelor i
listelor de verificare.
-
22
Aceste operaiuni se bazeaz n principal pe elaborarea i/sau
utilizarea unor tabele
sintetice, reprezentri grafice, indicatori de performan, matrici
de corelaie etc. n acest
scop se utilizeaz, pe scar din ce n ce mai larg, instrumentele i
tehnicile bazate pe
calculator.
Formularea constatrilor i recomandrilor
Evaluarea i revizuirea sistemului informatic se fac prin analiza
constatrilor rezultate i
interpretarea acestora. n funcie de impactul pe care l au
neconformitile constatate, se
formuleaz recomandri pentru remedierea acestora i reducerea
nivelului riscurilor. Aceste
recomandri reflect opiniile auditorului asupra entitii auditate
prin prisma obiectivelor
misiunii de audit. Sintetic, constatrile se vor referi la
urmtoarele aspecte: evaluarea
complexitii sistemelor informatice, evaluarea general a
riscurilor entitii n cadrul
mediului IT, evaluarea riscurilor n cadrul fiecrei aplicaii,
precum i un punct de vedere al
auditorului privind fezabilitatea unui demers de audit bazat pe
controale.
1.7. Elemente ale raportului de audit (Exemplu3)
Pornind de la premisa c auditul sistemelor informatice reprezint
o activitate de evaluare a
sistemelor informatice prin prisma optimizrii gestiunii
resurselor informatice disponibile
(tehnologii, faciliti, resurse umane, aplicaii, date etc.), n
scopul atingerii obiectivelor
entitii auditate prin asigurarea unor criterii de eficien,
confidenialitate, integritate,
disponibilitate, siguran n funcionare i conformitate cu un cadru
de referin (standarde,
bune practici, cadru legislativ etc.), se dorete ca raportul s
se constituie ntr-un demers de
sensibilizare a factorilor implicai n procesul de reform i
modernizare a sistemului, att n
ceea ce privete accelerarea implementrii sistemului informatic,
ct i n ceea ce privete
creterea stabilitii i utilitii acestuia, prin clarificarea unor
aspecte metodologice i
procedurale.
1.4.1. Prezentarea cadrului instituional general i a
problematicii abordate
Direcia de Exploatare a Tehnologiei Informaiei (DETI),
actualmente Direcia Tehnologia
Informaiei (DTI), din cadrul Ministerului Justiiei (MJ) este
compartimentul care coordoneaz
activitatea informatic n scopul constituirii unui sistem
informatic judiciar unitar i care
implementeaz programele guvernamentale de informatizare,
stabilite prin Strategia de
informatizare, n unitile sistemului judiciar.
n vederea unei bune organizri a activitii informatice n instane,
precum i pentru
atingerea ct mai rapid a obiectivelor stabilite prin Strategia
de informatizare a sistemului
judiciar, prin Ordinul Ministrului Justiiei nr.
1493/C/08.09.2004 s-au stabilit atribuiile
personalului de specialitate informatic. Acestea transpun la
nivelul instanelor judectoreti
atribuiile direciei de profil de la nivelul ministerului.
Personalul de specialitate informatic de la nivelul instanelor
de judecat are ca principale
atribuii:
3 CURTEA DE CONTURI A ROMNIE R A P O R T D E A U D I T Auditul
sistemului informatic al instanelor de judecat
(www.curteadeconturi.ro/.../Rapoarte...audit/Informatica/informatica5.pdf)
-
23
a) participarea, la solicitarea Ministerului Justiiei, la partea
de analiz i implementare a
aplicaiilor informatice comune privind activitatea
instanelor;
b) asigurarea exploatrii programelor informatice elaborate la
nivel central, instalarea
produselor informatice i controlul periodic al respectrii
instruciunilor de utilizare de ctre
operatorii de aplicaie;
c) coordonarea i controlul activitilor cu profil informatic;
d) asigurarea iniierii i instruirii personalului instanei n
exploatarea aplicaiilor;
e) supravegherea modului de utilizare a tehnicii de calcul i
luarea msurilor necesare
pentru asigurarea bunei funcionari a acesteia.
1.4.2. Obiectivul general i obiectivele specifice ale
auditului
Auditul a urmrit furnizarea de informaii i analize independente
i Impariale Parlamentului,
entitilor implicate i justiiabililor, cu privire la Strategia de
reform a sistemului judiciar prin
utilizarea sistemului informatic i implementarea programelor i
politicilor aferente Strategiei
de informatizare, precum i formularea de recomandri n scopul
accelerrii procesului de
reform datorat utilizrii tehnologiilor informatice, a optimizrii
rezultatelor i a mbuntirii
serviciilor oferite.
S-a urmrit de asemenea eficientizarea procedurilor judiciare,
din punct de vedere
informatic, creterea gradului de transparen, securizarea
informaiilor cu caracter personal,
gestionarea eficient a resurselor umane, financiare i materiale,
precum i identificarea
cauzelor care au condus la apariia unor eventuale deficiene n
derularea programului de
informatizare a instanelor judectoreti i formularea unor
recomandri n vederea
continurii i atingerii obiectivelor stabilite de Strategia de
informatizare.
Misiunea de audit s-a desfurat n conformitate cu Manualul
Auditului Performanei elaborat
de Curtea de Conturi a Romniei, asigurnd compatibilitatea cu
cerinele standardelor
internaionale de audit acceptate de INTOSAI (International
Organisation of Supreme Audit
Institutions), cu cadrul CoBIT (Control OBjectives for
Information and related Technology),
cu ghidurile de bun practic elaborate de ISACA (Information
Systems Audit and Control
Association), cu standardul de securitate ISO 27002 (ISO 17799),
precum i cu standardele
ISA (International Standard Audit) - ISA 400 privind evaluarea
riscurilor i controlul intern,
ISA 401 privind auditul ntr-un mediu cu sisteme
informatizate.
Totodat s-a urmrit msura n care aplicaiile supuse analizei
reflect actualizarea
prevederilor legale i modul de corelare a datelor.
n cadrul prezentei aciuni s-a ncercat pe ct posibil o abordare
orientat pe rezultate, ceea
ce se refer n principal la analizarea performanei realizate n
contextul celor 3E
(economicitate, eficien, eficacitate), prin compararea
observaiilor auditorilor cu normele
existente (reglementri, standarde, obiective, inte) i cu
criteriile de audit stabilite .
Formatul raportului de audit este cel recomandat n ghidul
Auditului Performanei al Curii de
Conturi a Romniei, acoperind controalele puse n aplicare,
procedurile pentru asigurarea
respectrii reglementrilor, precum i constatrile i recomandrile
pentru eliminarea sau
diminuarea deficienelor identificate i concluziile rezultate pe
parcursul desfurrii misiunii
de audit.
-
24
Reforma sistemului judiciar reprezint o prioritate n cadrul
procesului de reform
instituional din Romnia. Obiectivele acesteia au fost stabilite
prin Strategia de reform a
sistemului judiciar pe perioada 2005-2007 i prin Planul de
aciune pentru implementarea
Strategiei de reforma a sistemului judiciar pe perioada
2005-2007, aprobate prin H.G. nr.
232 din 30 martie 2005. La Capitolul VI planul prevede
Continuarea procesului de
informatizare a sistemului judiciar pe perioada respectiv.
Totodat, prin H.G. nr. 543 din 9 iunie 2005 au fost aprobate
Strategia de informatizare a
sistemului judiciar pe perioada 2005-2009 precum i organizarea i
funcionarea Comisiei de
monitorizare i implementare a acestei Strategii.
n cadrul acestei Strategii se arat c utilizarea tehnologiilor
informatice moderne va accelera
procesul de reform, prin asigurarea standardizrii procedurilor
la nivelul ntregului sistem,
unificarea acestora, precum i prin introducerea unor indicatori
de msurare a eficienei
actului de justiie.
Informatizarea sistemului judiciar, prin obiectivele sale
privind eficientizarea procedurilor
judiciare, creterea gradului de transparen, securizarea
informaiilor cu caracter personal
i a celor cu caracter secret, eliminarea corupiei, gestionarea
eficient a resurselor umane,
financiare, materiale, vizeaz, printre altele, aspecte legate
de:
creterea calitii actului de justiie i scurtarea timpului de
rezolvare a cauzelor aflate pe
rolul instanelor;
eliminarea treptat a gestionrii datelor n format hrtie prin
utilizarea formei electronice a
dosarelor i a celorlalte documente specifice;
accesul rapid la legislaie, jurispruden i la informaii privind
cauzele aflate pe rol pentru
personalul instanelor i parchetelor;
creterea gradului de pregtire n domeniul informatic al
magistrailor i personalului
auxiliar, n scopul utilizrii eficiente a noilor tehnologii;
servicii electronice pentru ceteni, avocai i ali specialiti
implicai n actul de justiie;
deschiderea ctre alte sisteme informatice pentru a prelua i a
transmite informaii ctre
acestea, ntr-o tehnologie standard;
creterea gradului de securizare al reelelor de comunicaii i
implementarea unei politici de
acces n sistem pentru fiecare utilizator;
repartizarea aleatorie a cauzelor pe complete de judecat;
eliminarea posibilitilor de intervenie neautorizat asupra
datelor din dosare;
managementul informatizat al documentelor interne;
gestionarea corespunztoare a patrimoniului.
Obiectivul general al auditului const n evaluarea componentelor
sistemului informatic al
instanelor judectoreti, a instrumentelor, tehnologiilor
informatice i infrastructurii existente,
-
25
a ncadrrii n obiectivele stabilite de Strategia de
informatizare, precum i formularea unor
recomandri n scopul accelerrii atingerii acestor obiective i a
mbuntirii serviciilor
oferite.
Misiunea de audit i-a propus obinerea unei asigurri rezonabile
asupra urmtoarelor criterii
de evaluare i efecte ale sistemului:
a) dac sistemul informatic a fost implementat cu succes la
nivelul instanelor de judecat i
dac a permis aplicarea corect i n mod eficient a legislaiei de
care depinde succesul
reformei sistemului judiciar, dac au intervenit schimbri la
nivelul activitii auditate datorate
utilizrii tehnologiei IT i dac s-au obinut rezultate i s-au
furnizat servicii de calitate;
b) dac resursele umane, materiale i tehnice au fost utilizate
corespunztor;
c) identificarea i analiza riscurilor generate de utilizarea
sistemului informatic;
d) dac au fost utilizate instrumente, mijloace i politici
manageriale adecvate care s fi
contribuit n fapt la implementarea unui sistem informatic de
care depinde succesul reformei
n justiie.
De asemenea, la stabilirea performanei sistemului s-au avut n
vedere cele mai bune
practici n materie.
Pornind de la aceste considerente auditul s-a concentrat asupra
urmtoarelor obiective
specifice:
- Evaluarea Strategiei de informatizare, din punct de vedere al
stadiului, finanrii i a
perspectivelor;
- Evaluarea stadiului de implementare a sistemului
informatic;
- Respectarea politicilor, standardelor i procedurilor cu
privire la calitatea datelor;
- Respectarea standardelor de securitate a datelor;
- Evaluarea modului de valorificare a informaiilor i asigurarea
transparenei actului de
justiie;
- Interoperabilitatea cu sistemele altor instituii n vederea
asigurrii prevenirii i combaterii
fenomenelor de corupie;
- Evaluarea impactului utilizrii sistemului informatic;
- Evaluarea existenei unor indicatori de performan.
1.4.3. Abordarea auditului
Aa cum am artat n capitolul anterior, auditul i-a propus
evaluarea componentelor
sistemului informatic al instanelor judectoreti, a ncadrrii n
obiectivele stabilite de
Strategia de informatizare.
-
26
Au fost avute n vedere urmtoarele aspecte:
dotarea cu tehnic de calcul i software;
infrastructura de comunicaii;
modul de organizare i structura personalului informatic din
sistemul judiciar;
proiectele de dezvoltare n derulare.
Strategia de dezvoltare a sistemului informatic al justiiei n
ansamblul su, vizeaz
realizarea unei infrastructuri integrate, ntr-o tehnologie
coerent, care s permit
personalului sistemului judiciar o activitate transparent,
eficient i performant, astfel nct
prin colaborare cu instituiile administraiei publice, agenii,
ONG-uri s furnizeze comunitii
servicii care s rspund necesitilor acesteia.
Obiectivele i proiectele care deriv din Strategia de
informatizare au fost realizate
preponderent centralizat, la nivelul Ministerului Justiiei, n
cadrul programelor de reform, cu
finanare internaional (ndeosebi PHARE i Banca Mondial) precum i
din surse proprii,
sub monitorizarea organismelor abilitate.
...
La nivel teritorial auditul s-a desfurat la tribunalul din
fiecare ora reedin de jude i la
cte o judectorie, precum i curile de apel, acolo unde funcioneaz
aceste instane (14 din
cele 15 existente).
n privina elementelor legate de teritoriu nu a existat
posibilitatea surprinderii tuturor
aspectelor legate de problematica abordat. Din acest motiv apare
i riscul emiterii unor
constatri, concluzii i recomandri incomplete sau cu un grad
diminuat de generalitate n
ceea ce privete situaia existent la restul instanelor de
judecat, necuprinse n programul
de audit.
La nivelul judeelor n care s-au desfurat aciuni de audit au fost
chestionai un numr de
527 beneficiari, utilizatori ai paginilor de web ale
Ministerului Justiiei i naltei Curi de
Casaie i Justiie precum i ai portalului instanelor de judecat i
a celui de legislaie,
selectai dintre ceteni, avocai, juriti i specialiti implicai n
actul de justiie.
1.4.4. Metode i tehnici de colectare i analiz a probelor de
audit
Pentru realizarea obiectivelor auditului au fost utilizate
urmtoarele metode de obinere i
analizare a probelor de audit:
Observaia direct prin inspecia spaiilor de lucru n care sunt
instalate serverele i
echipamentele de comunicaie i participarea la demonstraii pentru
nelegerea modului de
funcionare a sistemului informatic;
Examinarea documentaiei privind:
-
27
- Strategia naional de informatizare i implementare n ritm
accelerat a societii
informaionale (H.G. nr. 58/1998);
- Strategia de reform a sistemului judiciar pe perioada
2005-2007 (H.G. nr. 232/2005);
- Strategia de informatizare a sistemului judiciar pe perioada
2005-2009 (H.G. nr. 543/2005);
- Aide memoire-uri ale Bncii Mondiale cu privire la Proiectul
privind reforma sistemului
judiciar;
...
Interviuri cu:
- persoane din conducerea unitilor auditate;
- personalul de specialitate IT;
- utilizatorii aplicaiilor, desfurate pe baza listelor de
verificare privind evaluarea riscurilor
IT, a controalelor IT i a aplicaiilor informatice, precum i a
chestionarului pentru evaluarea
sistemului informatic;
Eantionare pentru selectarea utilizatorilor care au rspuns la
chestionarul de evaluare a
portalului instanelor de judecat i a celui legislativ;
Teste de detaliu privind modul de funcionare a aplicaiilor
analizate;
Centralizarea probelor de audit obinute n funcie de natura lor,
n vederea cuantificrii
rezultatelor.
Pentru evaluarea riscurilor s-au avut n vedere o serie de
factori, cum ar fi:
- Existena unor obiective neatinse sau ndeplinite parial;
- Implicarea necorespunztoare a conducerii n derularea
proiectelor IT. Existena unor
iniiative fundamentate necorespunztor;
- Detectarea unor depiri semnificative ale termenelor;
- Organizarea i funcionarea necorespunztoare a a sistemelor
interne de control;
- Existena unor deficiene n asigurarea securitii sistemului IT i
n planificarea continuitii
sistemului;
- Existena unor discontinuiti n perfecionarea utilizatorilor
sistemului IT;
- Calitatea necorespunztoare a serviciilor IT, identificarea de
reclamaii, observaii,
contestaii, privind sistemul auditat.
n acest sens, pentru evaluarea sistemului informatic au fost
urmrite cu precdere,
urmtoarele activiti i operaiuni:
. analiza infrastructurii hardware/software existente, necesiti
i funcionaliti;
-
28
analiza structurii personalului din punct de vedere numeric, al
pregtirii profesionale i
experienei n domeniu;
administrarea reelelor de calculatoare locale i de arie
extins;
gestionarea echipamentelor hardware i de comunicaii n reeaua
instanelor de judecat;
asigurarea ntreinerii echipamentelor de calcul;
existena controlului intern n toate fazele funcionrii
sistemului, funcionarea principiului
separrii atribuiilor/sarcinilor;
protocoale privind securitatea accesului n sistem, back-up,
aprobri pentru modificrile
sistemului, restricionare, siguran, consisten i acuratee a
datelor.
1.4.5. Prezentarea criteriilor utilizate pentru evaluarea
performanei
Criteriile de audit decurg din termenii de referin identificai,
standardele fa de care este
apreciat atingerea performanei (legislaie, ghiduri, standarde i
reglementri
departamentale, indicatori relevani, obiective de performan
relevante) i se raporteaz la
bunele practici n domeniu. Acestea vizeaz atingerea performanei
att din punctul de
vedere al administratorului i utilizatorului sistemului
informatic, ct i al interesului general
al justiiabilului.
Performana implementrii i utilizrii unui sistem informatic, are
n vedere:
- eficiena procesului de implementare i utilizare a sistemului,
astfel nct efectele pe care
acesta le produce asupra utilizatorilor, prin introducerea unor
tehnici moderne, s asigure
dezvoltarea de noi abiliti precum i abordarea de obiective care
nu se pot atinge prin
metode i tehnici clasice;
- identificarea, evaluarea impactului i remedierea
disfuncionalitilor existente n
funcionarea sistemului pentru a contribui la creterea calitii
serviciilor oferite utilizatorilor.
Evaluarea performanei sistemului informatic al instanelor de
judecat s-a axat pe
examinarea componentelor auditate sub aspectul economicitii,
eficienei i eficacitii
acestora.
Economicitatea reprezint msura n care se asigur minimizarea
costului resurselor
utilizate, fr a compromite realizarea n bune condiii a
obiectivelor declarate. Problema
central este aceea dac resursele au fost alocate, administrate i
utilizate cu
economicitate, potrivit cerinelor Strategiei de informatizare,
dac mijloacele alese pentru
atingerea obiectivelor care deriv din aceasta reprezint modul
cel mai economic de utilizare
a resurselor alocate, respectiv, dac au fost respectate
reglementrile n domeniu, n
conformitate cu principiile i practicile unui management
performant.
-
29
Informatizarea sistemului judiciar a beneficiat, de-a lungul
ultimilor ani, de finanri prin
programe PHARE, contribuii naionale la acestea i, la nivelul
instanelor, de finanri din
surse proprii. Cele mai importante programe derulate ncepnd cu
anul 1997, sau n curs de
derulare, sunt:
o RO 9705.02-Provision of Technical Assistance and Supply
Procurement Services for the
Creation of a Legal Library and Documentation System (LLDS) and
Case and Document
Management System (CDMS), n valoare de 3.479.890 euro;
o RO0004.01-01Continuation of the Development of the Case and
Document Management
System (CDMS)- Lot 1, n valoare de 7.977.543 euro;
...
Pentru ndeplinirea obligaiei de cofinanare aferente programului
PHARE 2000-ntrirea
sistemului judiciar i penitenciar, n scopul informatizrii
sistemului judiciar, prin H.G. nr.
455/2005 i H.G. nr. 605/2005, Ministerul Justiiei, respectiv
Ministerul Public au fost
autorizate s contracteze cte o finanare de tip leasing
financiar, pe o perioad de 4 ani, cu
valoarea de achiziie de 12 milioane euro, respectiv 10 milioane
euro. Sumele efectiv
cheltuite au fost de 10.152.202,03 euro pentru Ministerul
Justiiei, respectiv 8,194,056,15
euro pentru Ministerul Public.
Programele respective s-au desfurat dup proceduri specifice i au
fost atent monitorizate
de Oficiul de Pli i Contractare PHARE (O.P.C.P.) i de
organismele abilitate ale Comisiei
Uniunii Europene. Totodat, prin H.G.nr. 543/2005, s-a hotrt i
constituirea Comisiei de
monitorizare i implementare a Strategiei de informatizare a
sistemului judiciar pe perioada
2005-2009. Comisia este compus din reprezentanii tuturor
structurilor sistemului judiciar i
are ca principale atribuii:
- avizarea specificaiilor tehnice pentru proiectele de achiziii
de echipamente de tehnic de
calcul sau servicii cu specific IT a cror valoare estimat este
mai mare de 2.000 euro;
- elaborarea proiectelor de buget n domeniul IT pentru
instituiile sistemului judiciar;
- stabilirea politicilor comune n domeniul securitii sistemelor
informatice i a
comunicaiilor.
n acest context misiunea de audit a avut ca prioritate evaluarea
ndeplinirii obiectivelor
propuse prin Strategia de informatizare, concentrndu-se pe
corectitudinea modului de
lucru, n sensul obinerii rezultatelor scontate.
Eficiena, prin definiie, reprezint raportul dintre rezultatele
obinute i resursele utilizate
pentru obinerea lor. Sunt vizate, printre altele, gradul de
utilizare a sistemului, rezultatele
superioare obinute n noua abordare comparativ cu rezultatele
obinute prin folosirea
metodelor clasice de lucru. n cazul de fa, prin prisma acestui
criteriu s-a analizat n ce
msur resursele materiale i umane au fost utilizate pentru
exploatarea aplicaiilor
existente, implementarea noilor componente i obinerea
rezultatelor dorite. Au fost avute n
vedere pe de o parte numrul, structura i performanele
echipamentelor informatice pe care
sunt instalate aplicaiile i, pe de alt parte, numrul i pregtirea
personalului care particip
la implementarea i exploatarea aplicaiilor.
-
30
Prin prisma eficacitii s-au analizat efectele n planul
rezultatelor obinute ca urmare a
utilizrii noilor tehnologii, impactul noului sistem asupra
modernizrii activitii instanelor de
judecat, respectiv n ce msur sistemul informatic contribuie la
obinerea unei imagini mai
bune privind principalele sfere de activitate. S-a avut n
vedere, de asemenea, evaluarea
gradului n care, prin utilizarea sistemului informatic, pot fi
obinute n timp util toate datele i
informaiile necesare desfurrii activitii curente a instanelor
sau cele necesare unor pri
interesate.
n concluzie, auditul i-a propus o abordare orientat pe
rezultate, concentrat n principal pe
analizarea performanei componentelor sistemului informatic al
instanelor de judecat sub
aspectul eficienei i eficacitii acestora, prin compararea
observaiilor auditorului cu
normele existente (reglementri, standarde, obiective, inte) i cu
criteriile de audit stabilite.
Astfel, auditul a urmrit s rspund cu prioritate urmtoarelor
ntrebri:
Dac la nivelul Ministerului Justiiei, respectiv al instanelor de
judecat Strategia de
informatizare se aplic n mod unitar;
Dac la nivelul Ministerului Justiiei i al instanelor de judecat
a fost alocat un buget
separat pentru tehnologia informaiei care s in seama de
necesitile de susinere a
Strategiei de informatizare a sistemului judiciar, n
conformitate cu prioritile acesteia;
Dac a avut loc o evaluare cost performan a activitilor privind
tehnologia informaiei;
Dac exist o implicare a conducerii ministerului i a instanelor
de judecat n monitorizarea
implementrii i evaluarea calitii proiectelor aferente atingerii
obiectivelor Strategiei de
reform a justiiei pe perioada 2005-2009;
Dac n cadrul Ministerului Justiiei i al instanelor de judecat
exist resurse umane cu
pregtire de specialitate care s rspund necesitilor activitilor
curente i poteniale n
ceea ce privete tehnologia informaiei, msura n care la nivelul
instanelor personalul IT
este dimensionat corespunztor cu volumul de activitate i cu
schimbrile datorate
modificrilor legislative;
Dac resursele tehnice, hardware i software, asigur necesitile de
funcionare n bune
condiiuni ale sistemului informatic, n ansamblul su;
Dac sistemul informatic reuete s sprijine ntr-o msur
corespunztoare funciile
sistemului judiciar, respectiv ale instanelor de judecat;
Dac se utilizeaz repartizarea aleatorie a cauzelor i alocarea
numrului unic de dosar la
nivel naional;
n ce msur este asigurat transparena actului de justiie precum i
accesul justiiabililor la
informaiile referitoare la dosarele aflate pe rol;
n ce msur sistemul informatic, prin componentele analizate, este
unitar, permind
interoperatibilitatea aplicaiilor i evitarea prelucrrii repetate
a informaiilor identice;
Dac sistemul informatic poate face fa, n mod corespunztor,
creterii volumului
informaiilor de prelucrat;
Dac sistemul informatic este flexibil n raport cu modificrile
legislaiei;
-
31
Dac la nivelul Ministerului Justiiei i al instanelor de judecat
exist o politic referitoare
la asigurarea securitii fizice i logice a informaiilor i
sistemelor gestionate.
1.4.6. Constatrile auditului
a) Strategia de informatizare, stadiul actual i perspective n
contextul implementrii
sistemului informatic
Realizarea unui sistem judiciar independent, imparial, credibil
i eficient reprezint o
condiie necesar pentru supremaia legii i a principiilor statului
de drept. Msurile de
consolidare a independenei sistemului judiciar trebuie s duc nu
numai la afirmarea
principiului separaiei puterilor n stat, dar i la aplicarea
acestuia n practic.
...
Informatizarea sistemului judiciar se refer la cinci direcii
principale:
- Eficientizarea procedurilor judiciare;
- Creterea gradului de transparen;
- Securizarea informaiilor cu caracter personal i a celor cu
caracter secret;
- Eliminarea corupiei;
- Gestionarea eficienta a resurselor umane, financiare,
materiale ...
Stadiul actual al procesului de informatizare, derulat pn la
momentul auditului, poate fi
sintetizat astfel:
1. Dotarea cu tehnic de calcul i produse software a tuturor
instituiilor sistemului judiciar ...
2. Crearea unei reele informatice securizate i interconectarea
tuturor instituiilor sistemului
judiciar prin aceast reea...
3. Implementarea unei politici de securitate comune, la nivelul
ntregului sistem judiciar
...
b) Evaluarea soluiei de implementare, a arhitecturii hardware i
software, a resurselor
tehnologice i de personal
...
c) Identificarea i analiza riscurilor, respectarea standardelor
de securitate, a politicilor i
procedurilor privind calitatea datelor
Preocuparea permanent, manifestat la nivelul DTI cu privire la
identificarea, evaluarea i
managementul riscurilor aferente implementrii Strategiei de
informatizare, nu se reflect n
aceeai msur la nivelul instanelor auditate. Exist astfel
pericolul de a nu fi identificate
-
32
riscuri majore i de a nu fi asociate controale interne adecvate
pentru reducerea efectelor
riscurilor la un nivel acceptabil pentru entitile auditate.
Analiza modului de desfurare a activitii n domeniul IT att la
nivel central ct i la nivel
teritorial, a identificat anumii factori de risc, n ceea ce
privete managementul activitilor
IT, resursele necesare (n special cele legate de personal),
operarea i controlul sistemelor
IT i impactului mediului legislativ.
Astfel, la nivelul managementului:
Dei obiectivele manageriale IT sunt coroborate cu obiectivele
generale ale instituiei, de
multe ori la nivelul instanelor, raportrile activitilor IT ctre
conducere sunt ocazionale,
eventual la solicitarea acesteia. ntlnirile conducerii cu
reprezentanii compartimentelor IT
nu sunt realizate n mod periodic, problematica abordat se
comunic verbal, nu se
ntocmesc procese verbale, minute sau rapoarte;
Conducerea, dei contientizeaz importana sistemului IT i a
riscurilor care decurg din
utilizarea acestuia, nu s-a implicat direct n depistarea,
evaluarea i reducerea riscurilor
asociate;
Opiunea de externalizare a implementrii sistemului vine s
rezolve, pe moment, aspecte
legate de gestionarea mai puin coerent a resurselor umane la
nivelul ministerului i al
instanelor. Decizia n sine este una strategic i nu diminueaz cu
nimic responsabilitatea
conducerii privind asigurarea confidenialitii, integritii i
disponibilitii datelor n condiii
de securitate. Pe termen lung aceast soluie implic asumarea unor
riscuri mari, legate de
creterea dependenei de furnizorul de servicii IT, pierderea
flexibilitii sistemului, pierderea
specialitilor interni proprii i a expertizei n domeniu, opoziia
personalului propriu,
asigurarea integritii mediului informatic.
La nivelul managementului IT:
Coordonarea implementrii Strategiei de informatizare a
sistemului judiciar se realizeaz
prin intermediul Comisiei de monitorizare i implementare. Fiind
compus din reprezentani ai
tuturor structurilor sistemului judiciar, are avantajul emiterii
unor decizii comune, armonizate
la nivelul ntregului sistem, dar exist i riscul unei disipri a
responsabilitii. La nivelul DTI
coordonarea s-a realizat iniial de ctre coordonatorul direciei i
de actualul director adjunct,
iar din luna aprilie 2007 numai de ctre directorul adjunct.
Fiind direct implicat de la nceputul procesului de
informatizare, acesta a constituit principalul
element de continuitate i, n acelai timp, factor de diminuare a
riscului aferent.
Cu toate acestea nu exist un manager dedicat exclusiv
implementrii Strategiei de
informatizare. ntrzierile n luarea unor decizii pot induce
costuri suplimentare, cu
repercusiuni asupra calitii proiectului.
Datorit fluctuaiei de personal, schimbrilor frecvente la nivel
managerial i modificrilor
cadrului legislativ apar riscuri legate de continuitatea
proiectului.
Schimbarea echipei manageriale la nivel nalt reprezint un moment
foarte dificil pentru
implementarea Strategiei ntruct s-a constatat c sunt necesare
perioade semnificative de
-
33
timp pentru ca noua echip s se acomodeze i s se implice n
sprijinirea i coordonarea
eficient a activitilor IT.
Nu este asigurat o echip dedicat pentru implementarea
proiectului. Alocarea atribuiilor
privind participarea la analiz, testare, evaluare, acceptan se
face fr degrevarea
participanilor de sarcinile zilnice legate de meninerea n
funciune a sistemului.
Planificarea activitilor se face funcie de vrfurile de
activitate, fr a se ine cont de
ncrcarea zilnic. Personalul are sarcini eterogene i este
suprancrcat.
La nivelul resurselor necesare:
Implementarea Strategiei presupune nu doar finanare extern ci i
cofinanare. Lipsa unui
buget separat pentru IT care s contribuie la susinerea funciilor
sistemului judiciar, n
conformitate cu prioritile impuse de informatizarea sa i cu
importana pe care aceasta o
are n cadrul msurilor ntreprinse pentru mbuntirea calitii
actului de justiie, crete
riscul ca sistemul informatic s nu poat fi implementat conform
graficelor stabilite i
conduce la imposibilitatea evalurii corecte a eficienei
activitii IT, cu att mai mult cu ct s-
a constatat lipsa unei proceduri de evaluare a investiiilor n IT
i faptul c la nivelul
ministerului nu s-a anali
