CUPRINS

Introducere ............................................................................................................................................ 7
Capitolul 1. Contextul de desfăşurare a auditului IT pe plan intern şi internaţional
.................................................................................................................................... 12
1.1 Contextul socio-economic. Strategii şi politici pentru societatea informaţională ........ 12
1.1.1 Situaţia în cadrul Uniunii Europene ...................................................................................13
1.1.2 Stadiul Societăţii Informaţionale în România .................................................................15
1.2 Guvernarea IT ............................................................................................................................................. 16
1.3 Cadrul legislativ şi de reglementare în domeniul IT .................................................................. 17
1.4 Stadiul actual privind cadrul de auditare a sistemelor informatice pe plan internaţional şi
intern ...................................... ................................................................................................. 18
1.4.1 Cadrul de auditare INTOSAI...................................................................................................19
1.4.2 Liniile de acţiune ale EUROSAI – IT Working Group ....................................................23
1.4.3 Abordarea auditului sistemelor informatice în cadrul Curţii de Conturi a României
......................................................................................................................................................24
Capitolul 2. Standarde de audit IT ................................................................................... 28
2.1 Instituţii, standarde şi linii directoare ............................................................................................. 28
2.2 Cadrul de auditare INTOSAI ................................................................................................................. 29
2.2.1 StandardeIe ISSAI şi INTOSAI GOV 9100 ..........................................................................29
2.2.2 ISSAI 3000 - Anexa 5 – Auditul Performanţei şi Tehnologia Informaţiei .............30
2.2.3 Liniile directoare ISSAI 5310.................................................................................................31
2.3 Standardele internaţionale de audit ISA ......................................................................................... 32
2.4 Actul Sarbanes - Oxley ............................................................................................................................. 32
2.5 Standardele IIA ........................................................................................................................................... 33
2.6 COSO ................................................................................................................................................................ 34
2.7 Schimbări ale standardelor de audit IT în viziunea EUROSAI - ITWG ............................... 34
2.8 Cadrul de lucru COBIT ............................................................................................................................. 38
2.8.1 ISACA, ITGI şi cadrul de lucru COBIT .................................................................................38
2.8.2 Orientarea COBIT pe domenii şi procese ..........................................................................39
2.8.3 Modele de maturitate COBIT .................................................................................................39
2.8.4 Măsurarea performanţelor.....................................................................................................40
2.8.5 Zonele de interes pentru guvernarea IT ...........................................................................40
2.8.6 Liniile Directoare pentru Auditare asociate Cadrului de lucru COBIT ..................41
2.8.7 Criteriile COBIT pentru informaţie .....................................................................................42
2.8.8 Resursele IT ............................................................................................................................. .....42
2.8.9 Domeniile COBIT ........................................................................................................................43
2.8.10 Controalele asociate proceselor ...........................................................................................44
2.8.11 Cerinţele obiectivelor de control .........................................................................................45
2.8.12 Controalele IT şi controalele economice ...........................................................................46
2.8.13 Controale generale IT şi controale de aplicaţii ..........................................................46 Pag. 4 / 214
2.8.14 Orientarea spre evaluare (măsurători) ............................................................................ 47
2.8.15 Model generic de maturitate ................................................................................................. 47
2.8.16 Măsurarea performanţei ......................................................................................................... 48
2.8.17 Modelul cadrului de referinţă COBIT ................................................................................. 48
2.8.18 Procese şi obiective de control ............................................................................................. 49
2.9 Cadrul de lucru Val IT .............................................................................................................................. 60
2.9.1 Obiectivul şi necesitatea cadrului de lucru Val IT ......................................................... 61
2.9.2 Aspecte legate de Investiţiile IT din perspectiva cadrului Val IT ............................ 62
2.9.3 Înţelegerea conceptului de „valoare” în sensul cadrului de lucru Val IT ............. 62
2.9.4 Beneficii obţinute prin utilizarea cadrului de lucru Val IT ........................................ 63
2.9.5 Concepte Val IT şi principiile cadrului de lucru Val IT ................................................ 63
2.9.6 Domeniile cadrului de lucru Val IT ..................................................................................... 64
2.9.7 Business Case (BC) ...................................................................................................................... 66
2.9.8 Procesele VAL IT ........................................................................................................................ 68
2.9.9 Liniile directoare Val IT ........................................................................................................... 70
2.10 Cadrul de lucru Risk IT ....................................................................................................................... 71
2.10.1 Principiile cadrului de lucru Risk IT ................................................................................... 71
2.10.2 Documentaţia aferentă cadrului de lucru Risk IT ......................................................... 72
2.10.3 Domenii, procese şi activităţi ................................................................................................ 73
2.11 Standardul ISO/CEI 27001 - Sisteme de management al securităţii informaţiei ..... 75
2.11.1 Abordare bazată pe proces .................................................................................................... 76
2.11.2 Obiective de control .................................................................................................................. 77
Capitolul 3. Riscuri IT ........................................................................................................... 80
3.1 Componentele esenţiale ale domeniului guvernare de risc ..................................................... 80
3.1.1 Scenarii de evaluare a riscurilor .......................................................................................... 81
3.1.2 Fluxul de activităţi pentru analiza riscurilor .................................................................. 82
3.1.3 Indicatori de risc ........................................................................................................................ 82
3.2 Probleme de audit asociate cu utilizarea sistemelor IT / IS ................................................... 83
3.2.1 Responsabilitatea ...................................................................................................................... 84
3.2.2 Vulnerabilitatea la modificări ............................................................................................... 84
3.2.3 Uşurinţa la copiere .................................................................................................................... 85
3.2.4 Uşurinţa accesului de la distanţă ......................................................................................... 85
3.2.5 Procesare invizibilă .................................................................................................................. 85
3.2.6 Existenţa unui parcurs al auditului .................................................................................... 86
3.2.7 Date distribuite ........................................................................................................................... 8 6
3.2.8 Încrederea în prestatorii de servicii IT ............................................................................. 86
3.2.9 Utilizarea înregistrărilor furnizate de calculator ca probă de audit ...................... 86
3.3 Probleme cu impact semnificativ asupra riscului de audit ..................................................... 87
3.4 Model de management al riscurilor IT ............................................................................................. 88
3.5 Riscurile generate de existenţa mediului informatizat ............................................................. 91
3.5.1 Dependenţa de IT ...................................................................................................................... 91
3.5.2 Resurse şi cunoştinţe IT .......................................................................................................... 92
3.5.3 Încrederea în IT .......................................................................................................................... 93
3.5.4 Schimbări în domeniul sistemelor IT / IS ........................................................................ 94
3.5.5 Externalizarea serviciilor IT .................................................................................................. 95
3.5.6 Focalizarea pe afacere ............................................................................................................. 97 Pag. 5 /
214
3.5.7 Securitatea informaţiei ............................................................................................................98
3.5.8 Protecţia fizică a sistemelor IT ...........................................................................................100
3.5.9 Operarea sistemelor IT ..........................................................................................................101
3.5.10 Dezvoltări efectuate de utilizatorii finali ........................................................................102
3.6 Riscuri asociate furnizării serviciilor IT ....................................................................................... 104
3.6.1 Managementul de vârf ...........................................................................................................104
3.6.2 Strategii şi politici ....................................................................................................................108
3.6.3 Operare ........................................................................................................................................110
3.6.4 Managementul resurselor ....................................................................................................114
3.6.5 Factori externi ...........................................................................................................................11 6
3.6.6 Interacţiunea cu utilizatorii .................................................................................................118
3.6.7 Consecinţe ale utilizării serviciilor IT asupra cetăţenilor, mediului de afaceri şi sectorului
public ............................................................................................................................. ........120
Capitolul 4. Proceduri de audit IT ..................................................................................... 126
4.1 Auditul sistemelor informatice ......................................................................................................... 126
4.1.1 Domeniul de aplicare ..............................................................................................................127
4.1.2 Documente de referinţă (reglementări) aplicabile în domeniul auditului IS/IT
................................................................................................................................. ........128
4.1.3 Obiective generale şi obiective specifice ale auditului IT/IS ..................................129
4.1.4 Criterii de evaluare generice ...............................................................................................130
4.1.5 Determinarea naturii şi volumului procedurilor de audit .......................................130
4.1.6 Revizuirea controalelor IT în cadrul misiunilor de audit financiar ......................131
4.2 Etapele auditului sistemelor informatice .................................................................................... 131
4.2.1 Planificarea auditului .............................................................................................................132
4.2.2 Efectuarea auditului ................................................................................................................139
4.2.3 Elaborarea raportului de audit şi valorificarea constatărilor consemnate .......143
4.2.4 Revizuirea auditului sistemelor informatice .................................................................144
4.3 Evaluarea sistemelor informatice financiar-contabile .......................................................... 145
4.3.1 Informaţii de fond privind sistemele IT / IS ale entităţii auditate ........................147
4.3.2 Controale IT generale .............................................................................................................148
4.3.3 Evaluarea aplicaţiei şi evaluarea riscurilor ...................................................................150
4.4 Cadrul procedural pentru evaluarea sistemelor informatice ............................................. 158
4.4.1 Informaţii de fond privind sistemele IT ale entităţii auditate ................................159
PROCEDURA A1 - Privire generală asupra entităţii auditate ................................................159
PROCEDURA A2 - Principalele probleme IT rezultate din activităţile anterioare de audit
.........................................................................................................................................................159
PROCEDURA A3 - Dezvoltări informatice planificate ..............................................................159
PROCEDURA A4 - Configuraţia hardware (echipamente), software (programe informatice) şi
personalul IT .............................................................................................................159
PROCEDURA A5 - Cerinţe pentru specialiştii în auditul sistemului informatic .............160
PROCEDURA A6 - Activitatea necesară pentru evaluarea sistemelor ...............................160
PROCEDURA A7 - Contacte cheie .....................................................................................................160
4.4.2 Evaluarea mediului de control IT – Controale generale IT ......................................160
PROCEDURA B1 - Managementul sistemului informatic ........................................................161
PROCEDURA B2 - Separarea atribuţiilor ......................................................................................164
PROCEDURA B3 - Securitatea fizică şi controalele de mediu ................................................166
PROCEDURA B4 - Securitatea informaţiei şi a sistemelor ......................................................167 Pag. 6 /
PROCEDURA B5 - Continuitatea sistemelor ................................................................................ 176
PROCEDURA B6 - Externalizarea serviciilor IT.......................................................................... 180
PROCEDURA B7 - Managementul schimbării şi al dezvoltării de sistem ......................... 180
PROCEDURA B8 - Auditul intern IT ................................................................................................ 184
4.4.3 Analiza controalelor aplicaţiei şi evaluarea riscurilor asociate............................. 185
PROCEDURA CA1 - Înţelegerea sistemului informatic financiar - contabil ..................... 186
PROCEDURA CA2 - Posibilitatea de efectuare a auditului ..................................................... 187
PROCEDURA CA3 - Utilizarea tehnicilor de audit asistat de calculator (CAAT) ............ 187
PROCEDURA CA4 – Determinarea răspunderii.......................................................................... 189
PROCEDURA CA5 – Evaluarea documentaţiei aplicaţiei ........................................................ 190
PROCEDURA CA6 – Evaluarea securităţii aplicaţiei ................................................................. 190
PROCEDURA CA7 – Evaluarea controalelor privind introducerea datelor ..................... 190
PROCEDURA CA8 – Evaluarea controalelor privind transmisia de date .......................... 192
PROCEDURA CA9 – Evaluarea controalelor prelucrării ......................................................... 193
PROCEDURA CA10 – Evaluarea controalelor privind datele de ieşire .............................. 193
PROCEDURA CA11 – Evaluarea controalelor privind fişierele de date permanente .. 194
PROCEDURA CA12 - Evaluarea conformităţii aplicaţiilor cu legislaţia în vigoare ....... 195
PROCEDURA CA13 - Efectuarea testelor de audit ..................................................................... 196
Capitolul 5. Liste de verificare, machete şi chestionare ........................................199
Glosar de termeni ...........................................................................................................................201
Referinţe bibliografice ..................................................................................................................207
Anexa 1 - Legislaţia pentru Societatea Informaţională .....................................................213 Pag.
7 / 214
Introducere
Evoluţia societăţii informaţionale către societatea bazată pe cunoaştere, proces care
presupune transformarea progresivă a întregii economii într-o economie digitală, implică
schimbări majore şi în abordarea auditului extern, cu un dublu impact: atât în ceea ce
priveşte managementul auditului şi rolul auditorului, cât şi în ceea ce priveşte planul
arhitectural, metodologic şi procedural asociat.
Aceste schimbări, care determină o nouă tratare a auditului, pun în evidenţă necesitatea
creării unui nou cadru de lucru pentru ciclul de viaţă al procesului de auditare, apt să
răspundă la noile cerinţe calitative ale domeniilor şi ale obiectivelor auditării: auditarea se va
focaliza preponderent pe managementul şi livrarea serviciilor informatice, care presupun
prezenţa dominantă a fluxurilor de documente electronice, precum şi asupra procedurilor de
tratare asociate specifice. Din acest motiv, cea mai mare parte a procedurilor clasice de
auditare vor fi înlocuite cu proceduri capabile să asigure auditarea în contextul digital care
se extinde rapid în prezent.
În scopul adecvării la noul context, modificările de conţinut ale ciclului de viaţă al auditului
impun reingineria arhitecturilor de auditare şi a cadrului metodologic şi procedural clasic
conducând la crearea unui nou model al auditului. Auditul clasic îşi va schimba abordarea şi
conţinutul şi se va baza pe tehnologiile informaţiei şi comunicaţiilor prin adoptarea unor
concepte şi metode avansate: audit online, audit continuu, e-audit.
Noul model al auditului se va focaliza către soluţii integrate ale diferitelor tipuri de audit:
auditul financiar, auditul performanţei, auditul IT / IS1, auditul organizaţional şi auditul de
conformitate, astfel de audituri urmând a se desfăşura în cadrul aceleiaşi misiuni, în diverse
combinaţii, în funcţie de obiectivele şi complexitatea misiunii.
1 AuditulIT / IS - auditul arhitecturilor şi infrastructurilor IT / auditul sistemelor, aplicaţiilor şi serviciilor
informatice
2 EUROSAI ITWG – EUROSAI IT Working Group
În ceea ce priveşte maniera şi modalităţile de lucru, auditorul va trebui să fie pregătit pentru
lucrul în colaborare, precum şi pentru adoptarea unor noi stiluri de muncă: auditare la
distanţă, orientarea pe auditarea documentelor electronice, utilizarea unui suport
instrumental bazat pe sau asistat de calculator.
Factorii care influenţează în mod deosebit noul model al auditului sunt o consecinţă a
ansamblului de schimbări radicale pe care trecerea la economia digitală le va antrena, şi
chiar le antrenează deja, în ceea ce priveşte securitatea informaţiei şi a sistemelor,
protecţia datelor cu caracter personal, accesul la baze de date cu conţinut informaţional
sensibil, expuse atacurilor externe prin reţeaua Internet. De asemenea, cerinţele privind
asigurarea continuităţii sistemelor, precum şi a managementului schimbării şi al dezvoltării
impun elaborarea unui cadru metodologic şi procedural de auditare adecvat.
Manualul de faţă oferă, într-o abordare nouă, din perspectiva direcţiilor de dezvoltare
incluse în Planul de lucru pentru perioada 2011-2014 al Grupului de lucru EUROSAI
ITWG2, un set de bune practici cu o utilitate deosebită pentru auditorii publici externi din
cadrul Curţii de Conturi a României (CCR) care desfăşoară misiuni / acţiuni de audit /
control la instituţii publice, având în vedere extinderea problematicii acoperite de sistemele
informatice financiar-contabile şi de gestiune ale organizaţiilor. Din această perspectivă,
prezentarea este orientată, pe de o parte, pe descrierea celor mai noi concepte, metode,
tehnici şi proceduri aferente contextului general al auditului sistemelor informatice, precum
şi, pe de altă parte, pe problematica auditului sistemelor informatice financiar-contabile. Pag.
8 / 214
Obiectivul principal al manualului este de a furniza auditorilor publici externi informaţii
consistente despre controalele aferente mediului informatizat şi despre probleme specifice
şi cerinţe asociate, pentru a facilita planificarea şi efectuarea auditului, precum şi integrarea
procedurilor proprii ale auditului IT în contextul misiunilor de audit în care auditorii publici
externi sunt implicaţi.
Intrucât manualul s-a concentrat preponderent pe aspectele strict necesare înţelegerii
conceptelor, standardelor, metodologiilor şi procedurilor asociate auditului IT fără de care
un auditor nu poate aborda corect acest domeniu şi care au ocupat un spaţiu relativ mare
de expunere, implementarea practică a metodologiei de audit în medii informatizate va fi
detaliată într-un ghid asociat acestui manual şi va descrie concret, în succesiune logică,
etapele, activităţile, procesele, tehnicile şi documentele specifice acestui tip de audit, pentru
întreg fluxul aferent misiunii de audit, astfel încât cele două documente să constituie un
suport util pentru auditorii publici externi implicaţi în misiuni de audit IT, inclusiv pentru
acţiunile de control / audit financiar sau de audit al performanţei.
Manualul prezintă în detaliu controalele specifice mediului informatizat pe care auditorii
trebuie să le ia în considerare atunci când evaluează integritatea, confidenţialitatea şi
disponibilitatea informaţiilor care provin din sistemul informatic financiar-contabil şi prezintă
cadrul metodologic şi procedural specific domeniului auditului IT / IS aplicabil inclusiv la
nivelul CCR.
Manualul prezintă tehnicile specifice de evaluare a controalelor IT şi procedurile de audit
asociate. Procedurile de audit prezentate presupun pentru auditor un nivel de experienţă
adecvat pentru a fi aplicate la un grad ridicat de performanţă. Evaluarea trebuie să aibă un
caracter critic, să fie bazată pe experienţa profesională, iar activităţile să se desfăşoare cu
un anumit nivel de scepticism, gândire critică şi creativitate.
Prezentarea are în vedere armonizarea metodologiilor şi procedurilor de audit proprii Curţii
de Conturi a României cu standardele de auditare şi bunele practici în domeniu (INTOSAI3,
ISA4, ISACA5, COBIT6, ISO270007). De asemenea, îşi propune extinderea experienţei şi
armonizarea rezultatelor cooperării internaţionale cu specificul Curţii de Conturi a României,
prin participarea la activităţile desfăşurate în cadrul grupurilor de cercetare care
funcţionează la nivel EUROSAI.
3 International Organization of Supreme Audit Institutions
4 International Standards for Audit
5 Information Systems Audit and Control Association
6 Control Objectives for Information and Related Technology
7 ISO/IEC 27000: familie de standarde de securitate a informaţiei ISO
Manualul are la bază cerinţele Regulamentului privind organizarea şi desfăşurarea
activităţilor specifice Curţii de Conturi, precum şi valorificarea actelor rezultate din aceste
activităţi. Abordarea problematicii este în concordanţă cu direcţiile de dezvoltare incluse în
Planul de lucru pentru perioada 2011-2014 al Grupului de lucru EUROSAI IT-WG şi în
conformitate cu abordarea care caracterizează cadrul de auditare INTOSAI. De asemenea,
abordarea se aliniază cu obiectivele strategice ale CCR.
În ceea ce priveşte tipul şi conţinutul acţiunilor de verificare desfăşurate de CCR (acţiuni de
control, misiuni de audit financiar şi misiuni de audit al performanţei), în condiţiile extinderii
accentuate a informatizării instituţiilor publice, auditul IT / IS poate şi trebuie să constituie o
componentă a misiunilor de audit ale CCR sau se poate desfăşura de sine stătător, de
regulă prin misiuni de audit al performanţei programelor, proiectelor sau aplicaţiilor
referitoare la sistemele informatice.
Având în vedere dinamica specifică rapidă a tehnologiilor informaţiei şi comunicaţiilor (TIC),
care antrenează evoluţii semnificative în abordarea auditului extern, în realizarea
manualului s-a pornit de la evaluarea stadiului actual al cunoaşterii în domeniu şi
valorificarea experienţelor capitalizate la nivelul instituţiilor supreme de audit. Acest demers
s-a concretizat în următoarele: Pag. 9 / 214
1. Realizarea unei documentări exhaustive privind problematica specifică a domeniului
auditului IT / IS, focalizate pe studii şi analize comparative conforme cu metodologiile
orientate pe ciclul de viaţă al sistemelor. Analiza tehnicilor şi metodelor de auditare
specifice sistemelor informatice, prin prisma standardelor şi bunelor practici existente pe
plan internaţional.

2. Includerea în cadrul documentării a unor studii şi analize privind cadrul conceptual,

arhitecturile de referinţă, metodele şi tehnicile specifice, precum şi a particularităţilor care
induc schimbări radicale în desfăşurarea misiunilor de audit în condiţiile unui mediu
informatizat.

3. Includerea în manual a aspectelor şi cerinţelor principale care decurg din documentele

celei de a 7-a întâlniri a EUROSAI IT Working Group, care a avut loc la Istanbul, în
perioada 21–22 februarie 2011, la care a participat şi Curtea de Conturi a României.
Concluzia principală pusă în evidenţă de lucrările întâlnirii se referă la noile abordări din
domeniul auditului IT / IS privind revizuirea standardelor de audit IT din perspectiva
evoluţiilor în domeniul standardelor şi liniilor directoare de audit, confirmate de abordările şi
reglementările instituţiilor supreme de audit. In acest cadru, INTOSAI a întreprins acţiuni
orientate pe asigurarea convergenţei standardelor de audit proprii cu standardele
internaţionale de referinţă IFAC, IIA8, ISACA.
8 IIA - The Institute of Internal Auditors
9In cadrul CNAO (Chinese National Audit Office) funcţionează Academia de Audit din Nanjing, care a
organizat în anul 2004 manifestarea ştiinţifică internaţională The II-nd International Seminar on IT Audit,
la care a participat şi CCR.
10 In cadrul Instituţiei Supreme de Audit din Ungaria funcţionează un institut de cercetare ştiinţifică în
domeniul auditului.
Cadrul de lucru COBIT a fost asimilat la nivel INTOSAI / EUROSAI drept cadru de referinţă
pentru auditurile desfăşurate de SAI-uri. Asociaţia profesională The IIA şi Comitetul de
Standarde Profesionale al INTOSAI au agreat, în luna decembrie 2010, un Memorandum
de Înţelegere (MOU), care documentează alinierea obiectivelor strategice ale organizaţiei,
recunoaşte standardele globale ale fiecărei părţi şi defineşte un proces de colaborare şi
cooperare continuă între părţi. Un element de importanţă majoră al MOU citat este acordul
reciproc că standardele specifice fiecărei organizaţii (seturile de standarde ISSAI şi,
respectiv, IIA) sunt recunoscute la nivel global.
4. Examinarea impactului pe care generalizarea utilizării serviciilor informatice îl are în plan
practic; analiza rezultatelor şi abordărilor raportate pe plan intern şi internaţional de către
instituţii supreme de audit (ECA, GAO – SUA, NAO – UK, CNAO – China9, The Office of
Auditor General of Canada, Accounts Chamber of the Russian Federation, The Nederlands
Court of Audit – Olanda, Tribunal de Cuentas – Spania, Bundesrechnungshof – Germania),
precum şi de către instituţiile supreme de audit din Australia, Japonia, Brazilia, India,
Norvegia, Suedia, Ungaria10, Polonia, Estonia sau de către instituţii cu tradiţie în auditul
extern (e.g., KPMG, Gartner Group).

5. Examinarea unor aspecte care comportă riscuri majore pentru desfăşurarea şi

implementarea auditului într-un mediu informatizat:

actualizarea cadrului legislativ,

 extinderea lucrului cu documente electronice,
crearea cadrului de interoperabilitate a instituţiilor administraţiei publice din România şi
integrarea în sistemul administraţiilor publice europene,
pregătirea auditorilor pentru acest demers,
reproiectarea managementului auditului,
asigurarea calităţii auditului,
asigurarea suportului instrumental şi metodologic pentru auditare.
Pag. 10 / 214
Au fost luate în considerare, de asemenea, elemente de interes primordial privind atribuţiile
CCR, ca premise pentru orientarea studiului: în mod natural, obiectivele strategiilor,
politicilor şi programelor privind Societatea Informaţională se transpun în cerinţe şi obiective
de urmărit în cadrul auditării sistemelor în cauză: sisteme informatice sau servicii
electronice publice, dezvoltate şi implementate la nivel de organizaţie sau în cadrul
sistemului e-guvernare.
Modelul de audit în medii informatizate trebuie să ia în considerare, de asemenea,
următoarele aspecte:
- aplicarea metodelor, tehnicilor şi instrumentelor de auditare bazate pe / asistate de
calculator;
- managementul auditului pe durata ciclului de viaţă al auditului;
- proiectarea fluxurilor şi a procedurilor de auditare specifice pentru întregul ciclu de viaţă al
auditului;
- proiectarea şi standardizarea documentelor de lucru: machete, chestionare, liste de
verificare;
- elaborarea instrucţiunilor metodologice şi a ghidurilor tematice de bună practică pentru
misiunile de audit IT.

Structura documentului
Documentul este structurat după cum urmează: un capitol introductiv, cinci capitole de fond,
un glosar de termeni, o listă de referinţe bibliografice semnificative (care au constituit sursa
principală de documentare) şi anexe.
În Capitolul 1 este prezentat contextul actual de desfăşurare a auditului IT, pe plan intern şi
internaţional, cu referire la mediul socio-economic şi la guvernarea IT. Pentru conturarea
contextului internaţional şi intern, se face o trecere în revistă a strategiilor şi programelor
privind Societatea Informaţională şi este prezentată o descriere de ansamblu, sintetică a
problemelor specifice asociate.
Acest capitol conţine, de asemenea, o evaluare a cadrului legislativ şi de reglementare în
domeniul Tehnologiilor Informaţiei şi Comunicaţiilor (TIC) pe plan intern şi internaţional,
precum şi o evaluare a stadiului actual privind cadrul legislativ şi de reglementare referitor la
auditul sistemelor informatice pe plan intern şi internaţional. Sunt prezentate, ca abordări de
referinţă, cadrul de auditare INTOSAI şi liniile de acţiune ale EUROSAI-ITWG.
În raport cu constatările acestor evaluări, sunt prezentate abordarea auditului IT în cadrul
CCR şi cadrul de implementare specific.
Capitolul 2 este dedicat standardelor de audit IT / IS. Sunt prezentate aspectele principale
privind standardele de audit IT, din perspectiva evoluţiilor în domeniul standardelor şi liniilor
directoare de audit, confirmate de abordările şi reglementările instituţiilor supreme de audit
şi puse în evidenţă de lucrările celei de a 7-a întâlniri a EUROSAI IT Working Group
(ITWG), care a avut loc la Istanbul, în perioada 21–22 februarie 2011.
Tot în Capitolul 2, sunt prezentate cele mai relevante instituţii, reglementări şi standarde în
domeniul auditului IT, sunt prezentate standardele INTOSAI care fac referire expresă la
auditul în medii informatizate: Standardul INTOSAI GOV 9100 - Guidelines for Internal
Control Standards for the Public Sector, ISSAI 3000 - Implementarea liniilor directoare
pentru auditul performanţei - Anexa 5 (Auditul Performanţei şi Tehnologia Informaţiei) şi
liniile directoare ISSAI 5310 - Metodologia de revizuire a sistemului de securitate a
Informaţiilor. În acest context, se face şi o trecere în revistă a componentelor cadrului de
lucru COBIT 5, care integrează cadrul de lucru COBIT, cadrul de lucru Val IT şi cadrul de
lucru Risk IT, din perspectiva schimbării de abordare recomandată la întâlnirea de la
Istanbul a grupului de lucru EUROSAI – ITWG. Pentru completitudine, în ceea ce priveşte
auditul securităţii sistemelor informatice în manual a fost inclusă o prezentare a standardului
internaţional ISO/CEI 27001, care constituie un referenţial pentru evaluarea tehnicilor de
securitate implementate în sistemele de management al securităţii informaţiei şi este, de
asemenea, agreat de INTOSAI. Pag. 11 / 214
În Capitolul 3 este prezentată problematica asociată riscurilor generate de implementarea şi
utilizarea sistemelor informatice, precum şi impactul semnificativ al acestor sisteme atât
asupra afacerii, cât şi asupra riscului de audit. Din această perspectivă sunt detaliate
următoarele subiecte: modelul de management al riscurilor, cadrul de lucru Risk IT, riscurile
generate de existenţa mediului informatizat (dependenţa de IT, de resurse şi cunoştinţe IT,
încrederea în IT, schimbări în domeniul sistemelor IT / IS, externalizarea serviciilor IT,
focalizarea pe afacere, securitatea informaţiei, protecţia fizică a sistemelor IT, operarea
sistemelor IT, dezvoltări efectuate de utilizatori finali), precum şi riscurile asociate furnizării
serviciilor IT.
Prezentarea procedurilor de audit IT este detaliată în Capitolul 4. Sunt abordate
următoarele subiecte:
1) problematica generală caracteristică a auditului IT (domeniul de aplicare, documente de
referinţă (reglementări) aplicabile în domeniul auditului IS / IT, obiective generale şi
obiective specifice ale auditului IT / IS, criterii de evaluare generice, determinarea naturii şi
volumului procedurilor de audit, revizuirea controalelor IT în cadrul misiunilor de audit
financiar;
2) etapele auditului sistemelor informatice (planificarea auditului, efectuarea auditului,
raportarea şi revizuirea), evaluarea sistemelor informatice financiar-contabile;
3) cadrul procedural pentru evaluarea sistemului informatic (obţinerea informaţiilor de fond
privind sistemele IT ale entităţii auditate (Procedurile A1 – A7), evaluarea controalelor
generale IT (Procedurile B1 – B8), evaluarea controalelor de aplicaţie (Procedurile CA1 –
CA13);
4) evaluarea riscurilor asociate implementării şi utilizării sistemului informatic;
5) elaborarea raportului de audit şi valorificarea constatărilor consemnate în raport.

În Capitolul 5 se face o prezentare generală a documentelor de lucru specifice auditului IT /

IS. Acestea vor fi prezentate pe larg în ghidul asociat acestui manual.