SC IOR SA BIROUL AUDIT PUBLIC INTERN PROCEDURA P – 05 Analiza riscurilor Ediţia: I Revizia: 0 Pag....... Misiunea de audit: Modul de organizare a activitatii de IT Întocmit: Elena Durdun La data de: Perioada auditata: anul 2010 Aprobat de Sef BAPI la data de: STABILIREA NIVELULUI RISCULUI SI A PUNCTAJULUI TOTAL AL RISCULUI Nr . cr t. Obiectiv e Obiecte auditabile Riscuri semnificative Criterii de analiza a riscurilor Aprecier ea controlu lui intern(F 1) Aprecier ea cantitat iva (F2) Apreciere a calitativ a (F3) Puncta j total P1 50% N i P2 30% N i P3 20% Ni 17.8 Planul strategic 1. Politicile entităţii publice în domeniul IT Inexistenţa unei atitudini favorabile în privinţa informatizării activităţii entităţii publice 0.5 0.5 0.5 2 3 2 0.3 0.3 0.3 1 1 1 0.2 0.2 0.2 2 3 2 1.7 2.4 1.7 5.8 2.Pregătirea 5. Neinstruirea sistematică a 0.5 2 0.3 1 0.2 1 1.5
17
Embed
p05(4)Stabilirea Nivelului Riscului Si a Puctajului Total Al Riscului
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
SC IOR SA
BIROUL AUDIT PUBLIC INTERN
PROCEDURA P – 05
Analiza riscurilor
Ediţia: IRevizia: 0Pag.......
Misiunea de audit: Modul de organizare a activitatii de ITÎntocmit: Elena Durdun La data de:
Perioada auditata: anul 2010Aprobat de Sef BAPIla data de:
STABILIREA NIVELULUI RISCULUI SI A PUNCTAJULUI TOTAL AL RISCULUI
Criterii de analiza a riscurilorAprecierea controlului intern(F1)
Aprecierea cantitativa
(F2)
Aprecierea calitativa
(F3)
Punctaj total
P150% Ni
P230% Ni
P320% Ni 17.8
Planul strategic
1. Politicile entităţii publice în domeniul IT
Inexistenţa unei atitudini favorabile în privinţa informatizării activităţii entităţii publice
0.5
0.50.5
2
32
0.3
0.30.3
1
11
0.2
0.20.2
2
32
1.7
2.41.7
5.82.Pregătirea profesională a personalului implicat în utilizarea sistemului informatic
5. Neinstruirea sistematică a utilizatorilor sistemului informatic;6. Neinformarea periodică sau ori de câte ori este necesar asupra modificărilor survenite în sistemul informatic;
0.5
0.5
2
2
0.3
0.3
1
2
0.2
0.2
1
2
1.5
2.0
3.53.Procesarea datelor în cadrul sistemului informatic
7. Utilizarea unor proceduri automate neautorizate;8. Utilizarea unor proceduri automate incorecte;
0.50.5
11
0.30.3
11
0.20.2
12
1.01.2
2.2
4.Sistemul de prevenire/detectare a accesărilor şi modificărilor neautorizate ale bazelor de date (parole, programe antivirus ş.a.)
9. Acces neautorizat la informaţiile financiar-contabile din baza de date;10.Nerespectarea calendarului privind modificarea periodica a parolelor de acces; 11.Nedesemnarea personalului pentru verificarea şi modificarea periodică a parolelor de acces.
0.5
0.5
0.5
2
3
2
0.3
0.3
0.3
1
2
1
0.2
0.2
0.2
3
3
2
1.9
2.7
1.7
6.3
unde:Pt = punctajul total; N i = nivelul riscurilor pentru fiecare criteriu utilizat;Pi = ponderea criteriilor de risc
Pentru continuarea analizei, grupează riscurile în următoarele trei categorii:
Riscuri mici 1,0 - 1,7 Riscuri medii 1,8 - 2,2 Riscuri mari 2,3 - 3,0
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE Criterii de analiza a riscurilor Punctaj total
Aprecierea controlului intern (F1)
Aprecierea cantitativă
(F2)
Aprecierea calitativă
(F3)P1
50%N1 P2
30%N2 P3
20%N3
I. Plan strategic 1. Politicile entităţii publice în domeniul IT
Inexistenţa unei atitudini favorabile în privinţa informatizării activităţii entităţii publice
0,5 2 0,3 3 0,2 2 2,3
2. Modalitatea de elaborare a planului strategic şi a planurilor
Modificarea cadrului legal şi procedural ce reglementează activităţile pentru care se realizează subsistemele informatice
0,5 1 0,3 2 0,2 1 1,3
Evoluţii tehnologice cu implicaţii asupra integrării subsistemelor
0,5 1 0,3 3 0,2 1 1,6
Neconcordanţe în integrarea subsistemelor 0,5 1 0,3 2 0,2 3 1,718. Elaborarea manualelor de utilizare şi a manualelor de operare
Inexistenţa/Insuficienţa manualelor de utilizare şi a manualelor de operare
0,5 2 0,3 1 0,2 1 1,5
Lipsa unor componente şi existenţa unor elemente neclarificate în conţinutul manualelor
0,5 1 0,3 2 0,2 2 1,5
19. Instruirea utilizatorilor subsistemelor IT
Inexistenţa unui program de instruire al utilizatorilor
0,5 2 0,3 3 0,2 3 2,5
Neefectuarea instruirii sistematice a utilizatorilor subsistemelor IT
0,5 2 0,3 2 0,2 1 1,8
IV. Securitatea IT 20. Politica de securitate IT Inexistenţa politicii de securitate 0,5 2 0,3 3 0,2 2 2,3Neaplicarea politicii de securitatea în mod consecvent
0,5 2 0,3 2 0,2 3 2,2
21. Monitorizarea implementării politicii de securitate IT
Inexistenţa unui responsabil desemnat cu monitorizarea implementării politicii de securitate IT
0,5 3 0,3 3 0,2 2 2,5
Neântocmirea şi netransmiterea sistematică a rapoartelor de monitorizare
0,5 2 0,3 2 0,2 2 2,0
Inexistenţa unui sistem de clasificare şi protejare adecvată a informaţiilor confidenţiale existente în format electronic
0,5 2 0,3 1 0,2 3 1,9
22. Evaluarea controalelor fizice în domeniul IT
Lipsa procedurilor privind implementarea controalelor fizice în domeniul IT
0,5 2 0,3 2 0,2 2 2,0
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE Criterii de analiza a riscurilor Punctaj total
Aprecierea controlului intern (F1)
Aprecierea cantitativă
(F2)
Aprecierea calitativă
(F3)P1
50%N1 P2
30%N2 P3
20%N3
Nedesemnarea responsabilităţii pentru monitorizarea controalelor fizice
0,5 3 0,3 2 0,2 2 2,5
Lipsa unor proceduri pentru realizarea controalelor fizice
0,5 2 0,3 3 0,2 3 2,5
Neefectuarea controalelor fizice conform procedurilor
0,5 3 0,3 3 0,2 1 2,6
23. Siguranţa accesului la reţea şi a comunicării datelor în reţea
Lipsa procedurilor privind siguranţa accesului utilizatorilor în reţea
0,5 2 0,3 2 0,2 1 1,8
Inexistenţa responsabilului desemnat cu monitorizarea implementării procedurilor privind siguranţa accesului utilizatorilor în reţea
0,5 2 0,3 2 0,2 2 2,0
Neefectuarea monitorizării sistematice 0,5 3 0,3 1 0,2 3 2,4Neimplementarea măsurilor privind siguranţa accesului utilizatorilor în reţea conform procedurilor
0,5 2 0,3 3 0,2 2 2,3
24. Programe antivirus Lipsa procedurilor privind implementarea programelor antivirus
0,5 3 0,3 2 0,2 3 2,7
Inexistenţa responsabilului desemnat cu monitorizarea implementării procedurilor privind implementarea programelor antivirus
0,5 2 0,3 2 0,2 2 2,0
Neefectuarea monitorizării sistematice 0,5 2 0,3 2 0,2 1 1,8Neluarea măsurilor necesare privind implementarea programelor antivirus conform procedurilor
0,5 2 0,3 3 0,2 3 2,5
25. Recuperarea datelor în caz de dezastru
Lipsa procedurilor privind recuperarea datelor în caz de dezastru
0,5 2 0,3 2 0,2 2 2,0
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE Criterii de analiza a riscurilor Punctaj total
Aprecierea controlului intern (F1)
Aprecierea cantitativă
(F2)
Aprecierea calitativă
(F3)P1
50%N1 P2
30%N2 P3
20%N3
Inexistenţa responsabilului desemnat cu monitorizarea implementării procedurilor privind recuperarea datelor în caz de dezastru
0,5 2 0,3 3 0,2 1 2,1
Neefectuarea monitorizării sistematice 0,5 3 0,3 1 0,2 2 2,2Neluarea măsurilor necesare privind recuperarea datelor în caz de dezastru conform procedurilor
0,5 3 0,3 2 0,2 1 2,3
26. Sistemul de arhivare Lipsa procedurilor privind arhivarea datelor
0,5 1 0,3 2 0,2 2 1,5
Nedesemnarea responsabilităţii pentru arhivarea datelor
0,5 1 0,3 2 0,2 3 1,7
Neefectuarea evaluării periodice a activităţii de arhivare
0,5 1 0,3 1 0,2 3 1,4
NOTA:
Elaborarea documentului Stabilirea nivelului riscului şi a punctajului total al riscului comportă două etape: în prima fază se realizează evaluarea nivelelor riscurilor asociate operaţiilor auditabile, iar în a doua fază se determină punctajul total pe baza formulei din Normele metodologice privind auditul intern, respectiv:
n
T= Pi x Ni
i = 1
Unde:T = punctaj total;Pi = ponderea riscului pentru fiecare criteriu; Ni = nivelul riscurilor pentru fiecare criteriu utilizat;
Evaluarea riscurilor asociate operaţiilor auditabile pe baza informaţiilor în posesia cărora a intrat auditorul intern, până în acest moment, din documentele primite de la entitate şi din rapoarte anterioare, dar şi din expertiza personală în domeniu şi este o evaluare cu un oarecare grad de subiectivitate.Din aceste motive se recomandă ca auditorii interni să aibă în vedere posibilitatea îmbunătăţirii acestei lucrări pe durata misiunii de audit şi în special în etapa Intervenţiei la faţa locului, funcţie de informaţiile, documentele şi probele de audit pe care le realizează.Procedura Analiza riscurilor se consideră a fi un “document viu” care poate fi actualizată permanent pe parcursul desfăşurării misiunii de audit intern.