32 0 315KB
Universitatea „Stefan cel Mare” Suceava Facultatea de Științe Economice și Administrație Publică Programul de Studiu: CIG anul 3
Denumire proiect:
MISIUNE DE AUDIT INTERN OPERAȚIONAL
Student: Dascălu Iulian GRUPA 1
Suceava 2021 1
Notă: - entitatea audiată în cadrul proiectului este banca comercială UniCredit Bank, iar misiunea are ca scop îmbunătățirea securității aplicației mobile banking - datorită timpului limitat voi intra în detalii doar în privința: obiectelor auditabile și riscurilor identificate instrumente folosite pentru verificarea riscurilor de un nivel mediu și mare constatările, cauzele, consecințele și recomandările din FIAP-urile elaborate planului de acțiune
2
PREZENTAREA INSTITUŢIEI ȘI A SISTEMULUI INFORMATIC
UniCredit Bank este parte a Grupului UniCredit. În Romania, UniCredit Bank este una dintre principalele instituții financiare, oferind servicii și produse de înaltă calitate pentru toate categoriile de clienți. Banca are la momentul actual o rețea națională de 138 de sucursale si 3.337 de angajați. UniCredit Bank își propune să mențină permanent clientul în centrul activităților sale, să fie un partener cu care se lucrează ușor și să fie o parte foarte activă a comunităților în care își desfășoară activitatea. Grupul răspunde unei game variate de nevoi a clienților săi printr-o rețea de parteneri specializați: UniCredit Leasing Corporation, UniCredit Consumer Financing, UniCredit Services, UniCredit Insurance Broker, Amundi Asset Management. UniCredit este o Bancă Comercială Pan Europeana simplă si de succes, cu un sistem complet de Banca Corporate și de Investiții, oferind bazei sale de clienți în continuă creștere o rețea unica Vest, Central si Est-Europeana. Sistemul informatic bancar este conceput pe doua nivele: un nivel al operațiunilor bancare propriu-zise și un nivel al suportului de dezvoltare a acestor aplicații. Această arhitectură pe două nivele garantează independența aplicațiilor, modularitatea programelor și evoluția funcțională. Obiectivele sistemului informatic presupune abordarea și rezolvarea informatică a unor probleme cu caracter sintetic, într-o manieră sistematică. Aceste obiective au un caracter general și specific care depind de cadrul legislativ - normativ, dotarea cu tehnică de calcul și cerințele dezvoltării economice, imediate și de perspectivă, ale băncii. Aceste obiective se pot grupa în: - obiective de conducere, care urmăresc restabilirea permanentă a activelor economice, perfecționarea activității de conducere în vederea asigurării unui optim global al întregii activități, fundamentarea deciziilor de conducere, tactica strategică și operativă pe baza informațiilor obținute ca numerar a prelucrărilor sistemului informatic, degrevarea conducerii de procesele decizionale de rutina; -
obiective funcționale, fundamental dependente de specificul activității bancare. Banca
dispune de un sistem informatic propriu complex, care înglobează aplicații utilizate de toate compartimentele: conducere, contabilitate, credite, valută, personal, administrație.
3
Conducerea: aplicații ce pun la dispoziție informații privind situația financiară a băncii, compară rezultatele activității pe diverse perioade și programează rezolvări viitoare în funcție de indicatorii actuali; Contabilitate - toate operațiunile privind decontările, în condițiile actuale în care există un nivel foarte mare de informații, se pot realiza cu operativitate și în condiții de siguranță și corectitudine maximă a sumei prin intermediul calculatoarelor; Credite - se poate asigura o urmărire atentă, a derulării activității de creditare/rambursare a creditelor, eșalonarea ratelor de rambursare pentru o perioadă de x ani, rambursarea ratelor în avans sau la scadență; prin întârziere automat se trece suma existentă în cont disponibil, sau se aplică dobânzi penalizatoare; Operații valutare - sunt operații complexe în care trebuie să se țină cont de modificarea zilnică a cursului valutar; Personal- în acest compartiment munca este facilitată prin utilizarea unor programe de evidență a personalului, control asupra drepturilor și obligațiilor față de personalul salariat; Administrație - o bună evidență a mijloacelor fixe, materiale, obiecte de inventar existente și necesar se poate asigura printr-o programare corespunzătoare. Tipurile de date utilizate în sistemul informatic bancar: - date cu grad ridicat de agregare, provenite și furnizate Băncii Naționale Române pe baza unor sisteme de calcul specializat; - date referitoare la tranzacții și proceduri aferente (proceduri de început de zi, curente și de sfârșit de zi); - date referitoare la operații cu caracter special(clienții băncii, instituții financiare etc). Gestiunea datelor Datele din sistemul informatic bancar sunt structurate din mai multe puncte de vedere ale utilizatorului (viziuni logice) și anume: Viziunea logica asupra clienților și terților compusă din 3 submulțimi: - nucleul, care grupează toate informațiile comune, clienților, utilizate în cadrul SIB(nume, statutul social, adresa etc);
4
- extensii opționale care grupează pentru fiecare aplicație informațiile necesare unei unități operaționale a instituției; - extensii opționale care facilitează urmărirea evoluției comerciale a clienților. Viziunea logică asupra conturilor clienților și terților compusă din două submulțimi: -
nucleul, care grupează toate informațiile comune tuturor aplicațiilor din SIB;
-
extensii operaționale care specifică condiții de funcționare a fiecărui cont.
Viziunea logică asupra conturilor: - referințe asupra planului de conturi; - conturi de clasificare; Tipul de infrastructură și componentele sistemului informatic ale băncii UniCredit a) Sistem de operare -os400 version 5.1 ca principale servere -windows NT(200) server ca servere de aplicație în birouri mici și mari -Os 2 warp 5.0 ca server internet -Linux Red Hat 6.0 ca NBR proxy server( conexiune la intranetul Băncii Naţională) - Windows XP, 10 ca sistem de operare standard la stațiile de lucru(workstations) b) Baze de date Programe standard al bazelor de date: Oracle 8.1.5. ca server de baze de date MS SQL server 7.0 pentru sistem de casă C) Program pentru mailuri și pachet groupware(soft pentru comunicare) -Lotus notes 5.10 cu central back+bone in HO și servere distribuite pe ramuri D) Antivirus - McAfee4.5 Total virus Defense pentru 1000 de noduri E) Firewall Secere-Way de la IBM 5
F) Software pentru Backup - Arcserver6.0 - Veritas Backup Exec 8.6 G) Hardware Servere: - AS400 Servers as Equation Server and the near future for Y4DB Server - Intel IBM models 200,220,230,5000 - Intel Compaq Proliant model ML 370 - Intel HP Servers Imprimante HP seria 2xxx,4xxx,8xxx
6
Procedura P01: Inițierea auditului UniCredit Bank SA Departamentul de Audit Intern Nr. 11 /09.11.2020
ORDIN DE SERVICIU
În conformitate cu fișa postului privind auditul bancar intern, adică activitatea de audit organizată în interiorul unei bănci comerciale de către un departament specializat al băncii, pe baza metodologiei prestabilite, se va efectua misiunea de audit intern privind îmbunătățirea securității aplicației mobile banking, în perioada 20.11.2020 – 07.01.2021. Scopul misiunii de audit este de a diagnostica securitatea aplicației, sub aspect tehnic și managerial, iar obiectivul acestuia va fi: 1. Securitatea aplicației mobile banking și a datelor utilizate Menționăm că acesta este un audit operațional, se va examina doar o parte a activității băncii din perspectiva obiectivului, raportul de audit furnizând recomandări și soluții la eventuale probleme.
Auditor, Dascălu Iulian
7
Procedura P02: Iniţierea auditului UniCredit Bank SA Departamentul de Audit Intern
DECLARAŢIA DE INDEPENDENŢĂ Nume și prenume: Dascălu Iulian Misiunea de audit: Îmbunătățirea securității aplicației mobile banking
Data: 09.11.2020
Incompatibilități în legătură cu entitatea/structura auditată
DA
NU
Ați avut/aveți vreo relație oficială, financiară sau personală cu cineva care ar putea să vă limiteze măsura în care puteți să vă interesați, să descoperiți sau să constatați slăbiciuni de audit în orice fel?
-
X
Aveți idei preconcepute față de persoane, grupuri, organizații sau obiective care ar putea să vă influențeze în misiunea de audit?
-
X
Ați avut/aveți funcții sau ați fost/sunteți implicat(ă) în ultimii 3 ani într-un alt mod în activitatea entității/structurii ce va fi auditată?
-
X
Aveți responsabilități în derularea programelor și proiectelor finanțate integral sau parțial de Uniunea Europeană?
-
X
Ați fost implicat în elaborarea și implementarea sistemelor de control ale entității/structurii ce urmează a fi auditată?
-
X
Sunteți soț/soție, rudă sau afin până la gradul al patrulea inclusiv cu conducătorul entității/structurii ce va fi auditată sau cu membrii organului de conducere colectivă?
-
X
Aveți vreo legătură politică, socială care ar rezulta dintr-o fostă angajare sau primirea de redevențe de la vreun grup anume, sau organizație sau nivel guvernamental?
-
X
Ați aprobat înainte facturi, ordine de plată și alte instrumente de plată pentru entitatea/structura ce va fi auditată?
-
X
Ați ținut anterior contabilitatea la entitatea/structura ce va fi auditată?
-
X
Aveți vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi auditată?
-
X
Dacă în timpul misiunii de audit, apare orice incompatibilitate personală, externă sau organizațională care ar putea să vă afecteze abilitatea dvs. de a lucra și a face rapoartele de audit imparțiale, notificați șeful Serviciului de audit intern de urgență?
X
-
Auditor, Dascălu Iulian 8
Procedura P03: Inițierea auditului UniCredit Bank SA Departamentul de Audit Intern Nr. 11 /10.11.2020
NOTIFICAREA PRIVIND DECLANŞAREA MISIUNII DE AUDIT INTERN
Către: De la:
Departamentul de Securitate cibernetică Departamentul de Audit Intern
Referitor: Misiunea de audit intern: îmbunătățirea securității aplicației mobile banking
Stimate: Domnule Boris Jon,
În conformitate cu metodologia și normele prestabilite în această instituție bancară urmează ca în perioada 20.11.2020 – 07.01.2021 să efectuăm o misiune de audit intern având ca temă îmbunătățirea securității aplicației mobile banking. Scopul misiunii de audit intern este acela de a furniza o asigurare conducerii în ceea ce privește securitatea aplicației mobile banking și formularea de recomandări pentru îmbunătățirea acestuia. Perioada supusă evaluării este 01.01.2019 – 31.12.2019 Vă rugăm, de asemenea, să desemnați o persoană de contact pentru a ne ajuta în timpul derulării misiunii de audit intern, urmând a stabili de comun acord data ședinței de deschidere, având pe ordinea de zi următoarele: - prezentarea auditorilor; - prezentarea și discutarea obiectivelor misiunii de audit intern; - discutarea programului intervenției la fața locului; - stabilirea persoanelor de legătură în cadrul compartimentelor auditate; - alte aspecte organizatorice necesare desfășurării misiunii. Pentru o mai bună documentare a echipei de audit intern referitoare la activitatea direcției, vă 9
rugăm sa ne puneți la dispoziție următoarea documentație necesară:
cadrul metodologic si normele de reglementare aplicabile domeniului informatic și de securitate;
diagrama fluxurilor de date(DFD) ale sistemului informatic
programele software utilizate de către angajați;
informații tehnice și locația/locațiile server-urilor;
organigrama departamentului de Informatică și Securitate;
regulamentul interior de organizare și funcționare;
fișele posturilor;
procedurile scrise care descriu activitățile ce se desfășoară in cadrul departamentului;
alte rapoarte, note, dosare anterioare care se referă la aceasta temă.
Planul strategic de securitate; Planul schematic al clădirii
Pentru eventualele întrebări privind aceasta acțiune, vă rugăm să-l contactați pe tânărul Dascălu Iulian, auditor intern, coordonatorul misiunii . Cu mult respect și voie bună,
Auditor, Dascălu Iulian
10
Procedura P04: Colectarea și prelucrarea informațiilor
COLECTAREA INFORMAŢIILOR Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Întocmit: Dascălu Iulian
Data: 18.11.2020
COLECTAREA INFORMATIILOR Identificarea normelor si regulamentelor aplicabile structurii auditate Diagrama fluxurilor de date ale sistemului informatic(DFD) Lista programelor software folosite de către angajați Informații tehnice despre server Obținerea organigramei departamentului Obținerea Regulamentul interior de funcționare a departamentului Obținerea fiselor posturilor Obținerea procedurilor scrise si formalizate a activităților Identificarea personalului responsabil Rapoarte elaborate de alte instituții Planul schematic al clădirii Planul strategic în privința securității
11
DA X
NU -
X
-
X X X X
-
X X X X
X X -
OBSERVATII
Exista doar parțial Nu există alte rapoarte
Procedura P05: Analiza riscului
UniCredit Bank SA Departamentul de Audit Intern
LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Întocmit: Dascălu Iulian
Nr. crt. 1.
Obiective Securitatea aplicației mobile banking și a datelor utilizate
Data: 18.11.2020
Obiecte auditabile 1. Criptarea datelor și a tranzacțiilor realizate prin aplicație 2. Monitorizarea și mentenanța echipamentelor(servere) folosite de aplicație 3. Autentificarea și oferirea accesului în aplicație 4. Securitatea operațiunilor de transfer valutar 5. Salvarea și arhivarea datelor cu caracter confidențial
Cadrul legislativ
Observații
Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice
Lista centralizatoare a obiectelor auditabile reprezintă primul document care se elaborează în cadrul procedurii Analiza riscurilor și cuprinde un obiectiv al misiunii de audit, ce cuprinde 5 obiecte auditabile, care vor fi evaluate în continuare pentru obținerea Tematicii în detaliu a misiunii de audit intern
Procedura P05: Analiza riscului UniCredit Bank SA Departamentul de Audit Intern
IDENTIFICAREA RISCURILOR Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019.-31.12.2019 Întocmit: Dascălu Iulian Nr. crt. 1.
Obiective Securitatea aplicației mobile banking și a datelor utilizate
Obiecte auditabile 1. Criptarea datelor și a tranzacțiilor realizate prin aplicație
2. Monitorizarea și mentenanța echipamentelor(servere) folosite de aplicație
3. Autentificarea și oferirea accesului în aplicație
Data: 19.11.2020
Riscuri semnificative (identificate) 1. Lipsa procedurilor în vederea actualizării sistemului de criptare 2. Timpul necesar realizării tranzacțiilor suferă datorită procesului de criptare 3. Apariția unei tehnologii moderne de procesare care face posibilă spargerea criptării 4. Locația unde este amplasat echipamentul nu este echipată cu un sistem de incendiu, senzori de fum, mișcare și nici cu camere de supraveghere 5. Accesul în camera echipamentului(servere) nu este restricționat angajaților 6. Lipsa unei plan de extindere a echipamentelor pentru a face față noilor cerințe de pe piață 7. Aplicația nu informează utilizatorul despre tranzacțiile efectuate pe contul acestuia 8. Lipsa unei metode de dublă autentificare 9. Aplicația nu dispune de o opțiune pentru recuperarea automatică a contului
Observații
Nr. crt.
Obiective
Obiecte auditabile 4. Securitatea operațiunilor de transfer valutar
5. Salvarea și arhivarea datelor cu caracter confidențial
Riscuri semnificative (identificate) 10. Nu există o limită zilnică, respectiv un număr maxim de tranzacții 11. Clientul nu este informat prin sms/mail despre tranzacțiile realizate 12. Operațiunile mai mici de 10 euro nu apar în istoricul tranzacțiilor 13. Salvarea datelor cu caracter confidențial se face pe un singur echipament(server) 14. Lipsa unui program software pentru înlesnirea procesul de recuperare a datelor 15. Termenul de păstrare a datelor arhivate prevăzut în legislație nu este respectat
Observații
În caz de distrugere, datele nu pot fi recuperate exemplu: datarecovery
: NOTĂ: Identificarea riscurilor este al doilea document care se elaborează în cadrul procedurii Analiza riscurilor și presupune asocierea riscurilor semnificative la operațiile stabilite în Lista centralizatoare a obiectelor auditabile. De regulă, se asociază unul sau mai multe riscuri teoretice, determinate de auditorii interni din documentele colectate sau din riscurile practice reieșite din propria experiență. În situația în care la operațiile auditabile se atașează mai multe riscuri, analiza acestora se va putea realiza pentru fiecare risc în parte sau pe total operație/obiect auditabilă. În acest studiu de caz au fost identificate 5 obiecte auditabile cărora le-au fost atașate 15 de riscuri în total.
Procedura P05: Analiza riscului UniCredit Bank SA Departamentul de Audit Intern
STABILIREA FACTORILOR, PONDERILOR ŞI NIVELURILOR DE APRECIERE AL RISCULUI Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019.-31.12.2019 Întocmit: Dascălu Iulian
Factori de risc (Fi)
Ponderea factorilor de risc (Pi)
Aprecierea controlului intern – F1
Data: 19.11.2020
Nivelul de apreciere al riscului (Ni) N1
N2
N3
P1 – 50%
Există proceduri și se aplică
Există proceduri, sunt cunoscute dar nu se aplică
Nu există proceduri
Aprecierea cantitativă F2
P2 – 30%
Impact financiar scăzut
Impact financiar normal/mediu
Impact financiar ridicat
Aprecierea calitativă – F3
P3 – 20%
Vulnerabilitate mică
Vulnerabilitate medie
Vulnerabilitate mare
Notă: Cei trei factori de risc din acest document sunt stabiliți prin normele generale și sunt acoperitori pentru entitate, însă dacă dorim să evidențiem și alți factori de risc, cu nivelurile de apreciere corespunzătoare, se recomanda sa avem în vedere ca suma ponderilor factorilor de risc să fie de asemenea 100. În funcție de importanța și greutatea factorilor de risc, se stabilesc ponderile și nivelurile de apreciere ale riscurilor.
UniCredit Bank SA Departamentul de Audit Intern
CHESTIONAR DE LUARE LA CUNOŞTINŢĂ - CLC Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019.-31.12.2019 Întocmit: Dascălu Iulian ACTIVITATEA DE AUDIT 1. Securitatea sistemului informatic - există proceduri clare în vederea actualizării sistemului de criptare? - sistemul de criptare încetinește operațiunile de transfer valutar? - dacă răspunsul este afirmativ, există planuri pentru a rezolva acest aspect negativ al criptării? - echipamentul(server-ul) monitorizat?
folosit
pentru
aplicație
este
-există o persoană responsabilă cu recuperarea datelor clienților în caz de dezastru? - aveți o strategie pentru dezvoltarea echipamentului în cazul în care este nevoie de acest lucru? -este respectat termenul de arhivare și păstrare a datelor cu caracter personal și al istoricului tranzacțiilor stipulat în legislație? - există funcții care apără utilizatorul împotriva fraudei? -clientul este informat printr-un mesaj/email despre operațiunile survenite pe contul său? - intervenția rapidă asupra echipamentului(server-ului) este asigurat de către o echipă specializată? -personalul responsabil cu prelucrarea datelor cunoaște legislația în vigoare? -se lucrează la îmbunătățirea funcției de criptare a informațiilor?
Data: 21.11.2020
DA
NU
X
-
X
-
X
-
X -
OBS Actualizare se face automat
Se cunoaște acest aspect și se caută specialiști pentru a remedia situația Doar persoanele abilitate cu îngrijirea echipamentului au acces în încăpere
X
X
-
Parțial – există proceduri dar camera în care funcționează echipamentul limitează acest lucru
X
-
Datele sunt păstrate pe o perioadă nedefinită
X
-
X
-
X
Testare
X
-
Verificare
X
-
Criptarea se face de către o parte terță care are ca obiectiv general acest lucru
Notă: Chestionarul de luare la cunoștință se adresează nivelului general de management si managementului de linie, in vederea aprecierii riscurilor operațiilor supuse auditării, cu scopul de a evalua prin întrebările formulate si răspunsurile primite existenta si funcționalitatea controalelor interne din cadrul entității.
Procedura P05: Analiza riscului UniCredit Bank SA Departamentul de Audit Intern
STABILIREA NIVELULUI RISCULUI ŞI A PUNCTAJULUI TOTAL AL RISCULUI Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019.-31.12.2019 Întocmit: Dascălu Iulian
Nr. crt. 1.
Obiective
Securitatea aplicației mobile banking și a datelor utilizate
Obiecte auditabile
1. Criptarea datelor și a tranzacțiilor realizate prin aplicație 2. Monitorizarea și mentenanța echipamentelor(s ervere) folosite de aplicație
Riscuri semnificative
1 Lipsa procedurilor în vederea actualizării sistemului de criptare 2. Timpul necesar realizării tranzacțiilor suferă datorită procesului de criptare 3.Apariția unei tehnologii moderne de procesare care face posibilă spargerea criptării 4.Locația unde este amplasat echipamentul nu este echipată cu un sistem de incendiu, senzori de fum, mișcare și nici cu camere de supraveghere 5. Accesul în camera echipamentului(servere) nu este restricționat angajaților
Data: 22.11.2020 Criterii de analiza a riscurilor Aprecierea Aprecierea Aprecierea controlului cantitativă calitativă intern (F1) (F2) (F3) P1 P2 P3 Ni Ni Ni 50% 30% 20%
Punctajul total
0
1
0.5
2
0.3
1
0.2
2
0.5
2
0.3
1
0.2
0
3
0.5
3
0.3
2
0.2
0
3
0.5
3
0.3
3
0.2
0
1
0.5
1
0.3
2
0.2
0
Nr. crt.
Obiective
Obiecte auditabile
Riscuri semnificative
Criterii de analiza a riscurilor Aprecierea Aprecierea Aprecierea controlului cantitativă calitativă intern (F1) (F2) (F3) P1 P2 P3 Ni Ni Ni 50% 30% 20%
Punctajul total
6.Lipsa unei plan de extindere a echipamentelor pentru a face față noilor cerințe de pe piață
3. Autentificarea și oferirea accesului în aplicație
4. Securitatea operațiunilor de transfer valutar
5. Salvarea și arhivarea datelor cu caracter confidențial
7.Aplicația nu informează utilizatorul despre tranzacțiile efectuate pe contul acestuia 8.Lipsa unei metode de dublă autentificare 9. Aplicația nu oferă opțiunea de recuperare automată a contului 10.Nu există o limită zilnică și nici un număr maxim de tranzacții 11.Clientul nu este informat prin sms/mail despre tranzacțiile realizate 12.Operațiunile mai mici de 10 euro nu apar în istoricul tranzacțiilor 13.Salvarea datelor cu caracter confidențial se face pe un singur echipament(server) 14.Lipsa unui program software pentru înlesnirea procesul de recuperare a datelor 15.Termenul de păstrare a datelor arhivate prevăzut în legislație nu este respectat
2
0.5
3
0.3
1
0.2
0
2
0.5
1
0.3
1
0.2
0
2
0.5
1
0.3
2
0.2
0
1
0.2
0
2
0.5
1
0.3
3
0.5
2
0.3
3
0.2
0
3
0.5
1
0.3
1
0.2
0
3
0.5
2
0.3
2
0.2
0
3
0.5
3
0.3
3
0.2
0
2
0.5
2
0.3
2
0.2
0
1
0.5
1
0.3
2
0.2
0
NOTĂ: Stabilirea nivelului riscului și a punctajului total al riscului este documentul din procedura Analiza riscurilor în care auditorul evaluează riscurile pe baza informațiilor și documentelor, în posesia cărora a intrat până în acest moment, a Chestionarului de Luare la
Cunoștință - CLC, pe care l-a obținut de la managementul general și managementul de linie al structurii auditate, dar și a expertizei personale în domeniu și a informațiilor din mass-media sau de pe internet. De asemenea, auditorii interni, în funcție de resursele alocate misiunii (număr de persoane, timpul aferent ş.a.), stabilesc punctajul total al riscurilor operației/activității respective, în baza formulei de calcul: unde:
n
Pt P = N = tpunctajul total; i × Pi N i = nivelul i =1 riscurilor pentru fiecare criteriu utilizat;
∑
Pi = ponderea criteriilor de risc
Pentru continuarea analizei, grupează riscurile în următoarele trei categorii: Riscuri mici 1,0 - 1,7 Riscuri medii 1,8 - 2,2 Riscuri mari 2,3 - 3,0 Elaborarea acestui document prezintă un grad relativ mare de subiectivitate și din acest motiv auditorii interni aduc îmbunătățiri acestei lucrări, pe toată durata misiunii de audit, în special în Etapa intervenției la fața locului în funcție de informațiile pe care le colectează cu ocazia testărilor efectuate. Din experiența practică, recomandăm ca ponderea riscurilor medii să fie sub 10%, deoarece aceasta denotă o nehotărâre din partea auditorilor interni, referitoare la categoria de riscuri în care să le includă, luând în considerare că în auditare vor intra, de regulă, riscurile mari și medii, considerate riscuri semnificative.
Procedura P05: Analiza riscului UniCredit Bank SA Departamentul de Audit Intern
CLASAREA OBIECTELOR AUDITABILE (OPERAŢIILOR) ÎN FUNCŢIE DE ANALIZA RISCULUI Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019.-31.12.2019 Întocmit: Dascălu Iulian Nr. Obiective crt. 1 Securitatea aplicației mobile banking și a datelor utilizate
Obiecte auditabile
Riscuri semnificative
1. Criptarea datelor și a tranzacțiilor realizate prin aplicație
1 Lipsa procedurilor în vederea actualizării sistemului de criptare 2.Timpul necesar realizării tranzacțiilor suferă datorită procesului de criptare 3.Apariția unei tehnologii moderne de procesare care face posibilă spargerea criptării 4.Locația unde este amplasat echipamentul nu este echipată cu un sistem de incendiu, senzori de fum, mișcare și nici cu camere de supraveghere 5. Accesul în camera echipamentului(servere) nu este restricționat angajaților 6.Lipsa unei plan de extindere a echipamentelor pentru a face față noilor cerințe de pe piață 7.Aplicația nu informează utilizatorul despre tranzacțiile efectuate pe contul acestuia 8.Lipsa unei metode de dublă autentificare
2. Monitorizarea și mentenanța echipamentelor(servere) folosite de aplicație
3. Autentificarea și oferirea accesului în aplicație
Data: 22.11.2020 Punctaj total
Clasare
OBS.
0
Risc Mic
Nul
0
Risc Mediu
0
Risc Mare
0
Risc Mare
0
Risc Mic
0
Risc Mediu
0
Risc Mic
Nul
0
Risc Mic
Nul
Nul
Nr. crt.
Obiective
Obiecte auditabile
Riscuri semnificative
Punctaj total
Clasare
OBS.
0
Risc Mic
Nul
0
Risc Mare
0
Risc Mare
0
Risc Mare
0
Risc Mare
0
Risc Mediu
0
Risc Mic
9. Aplicația nu oferă opțiunea de recuperare automată a contului
4. Securitatea operațiunilor de transfer valutar
5. Salvarea și arhivarea datelor cu caracter confidențial
10. Nu există o limită zilnică, respectiv un număr maxim de tranzacții 11.Clientul nu este informat prin sms/mail despre tranzacțiile realizate 12.Operațiunile mai mici de 10 euro nu apar în istoricul tranzacțiilor 13.Salvarea datelor cu caracter confidențial se face pe un singur echipament(server) 14.Lipsa unui program software pentru înlesnirea procesul de recuperare a datelor 15.Termenul de păstrare a datelor arhivate prevăzut în legislație nu este respectat
Nul
Notă: În documentul Clasarea operațiilor în funcție de analiza riscurilor se realizează împărțirea celor 15 riscuri, grupate pe cele 5 de obiecte auditabile și un obiectiv, în 3 categorii de riscuri, mici, medii și mari, stabilite în fazele anterioare ale procedurii Analiza riscurilor. În continuare, riscurile mici vor fi eliminate din auditare, iar riscurile mari și medii, considerate riscuri semnificative, în număr de 9, vor intra în faza de ierarhizare a riscurilor și vor fi preluate în Tabelul puncte tari și puncte slabe.
Procedura P05: Analiza riscului UniCredit Bank SA Departamentul de Audit Intern
TABELUL PUNCTE TARI ŞI PUNCTE SLABE Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019.-31.12.2019 Întocmit: Dascălu Iulian
Nr. crt. 1.
Obiective
Securitatea aplicației mobile banking și a datelor utilizate
Obiecte auditabile
1. Criptarea
datelor și a tranzacțiilor realizate prin aplicație
2. Monitorizarea și mentenanța echipamentelor(ser vere) folosite de aplicație
Riscuri semnificative
1. Timpul necesar realizării tranzacțiilor suferă datorită procesului de criptare
2.Apariția unei tehnologii moderne de procesare care face posibilă spargerea criptării 3. Locația unde este amplasat echipamentul nu este echipată cu un sistem de incendiu, senzori de fum, mișcare și nici cu camere de supraveghere
22
Data: 23.11.2020
Puncte T/S
Consecinţa funcţionăriinefuncţionării controlului intern
Grad de încredere al auditorului intern în controlul intern
T
Funcționează – Serviciul de criptare este oferit de către o parte terță care are ca scop îmbunătățirea constantă a timpului de criptare
Grad mediu
S
Nul
Grad scăzut
S
Nul
Grad scăzut
OBS
Nr. crt.
Obiective
Obiecte auditabile
3. Securitatea operațiunilor de transfer valutar
Consecinţa funcţionăriinefuncţionării controlului intern
Grad de încredere al auditorului intern în controlul intern
Riscuri semnificative
Puncte T/S
4. Lipsa unei plan de extindere a echipamentelor pentru a face față noilor cerințe de pe piață
S
Nul
Grad scăzut
S
Nul
Grad scăzut
S
Nul
Grad scăzut
S
Nul
Grad scăzut
S
Nul
Grad scăzut
S
Nul
Grad scăzut
5.Nu există o limită zilnică și nici un număr maxim de tranzacții
6.Clientul nu este informat prin sms/mail despre tranzacțiile realizate 7.Operațiunile mai mici de 10 euro nu apar în istoricul tranzacțiilor 4. Salvarea și 8.Salvarea datelor cu caracter arhivarea datelor cu confidențial se face pe un caracter singur echipament(server) confidențial 9.Lipsa unui program software pentru înlesnirea procesul de recuperare a datelor
OBS
Notă: În faza de ierarhizare a operațiilor în funcție de riscuri, în care au intrat numai riscurile semnificative, a fost elaborat documentul Tabelul puncte tari și puncte slabe, prin care a fost identificat un risc evaluat ca fiind punct tare, care va fi eliminat din auditare, iar celelalte obiecte auditabile considerate ca fiind puncte slabe vor rămâne în continuare în auditare. Evaluarea operațiilor identificate ca fiind puncte tari s-a realizat prin aprecierea funcționalității sistemului de control intern al activităților auditate, care astfel limitează efectul riscurilor asociate acestora. În urma operației de ierarhizare, au fost preluate spre auditare în continuare obiectivele și obiectele auditabile considerate ca fiind puncte slabe, în documentul Tematica în detaliu a misiunii de audit intern, care vor fi renumerotate și ulterior va fi stabilită corespondența acestora cu paragrafele din Raportul de audit intern
23
Procedura P05: Analiza riscului UniCredit Bank SA Departamentul de Audit Intern
TEMATICA ÎN DETALIU A MISIUNII DE AUDIT INTERN Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019.-31.12.2019 Întocmit: Dascălu Iulian Nr. crt.
Obiective
1.
Securitatea aplicației mobile banking și a datelor utilizate
Obiecte auditabile selectate 1. Criptarea
datelor și a tranzacțiilor realizate prin aplicație
1. Analizarea și verificarea capabilității funcției de criptare de a face față pericolelor curente dar și a celor preconizare în viitor
2. Monitorizarea și mentenanța echipamentelor(servere) folosite de aplicație
2. Verificarea existenței condițiilor necesare protejării fizice a echipamentului în locul plasării acestuia 3. Testarea planului strategic de extindere a echipamentului hardware folosit 4. Analiza limitei zilnice a tranzacțiilor și a numărului acestora 5. Verificarea procesului de informare a clienților ca urmare a unor tranzacții survenite 6. Analizarea funcției de istoric a tranzacțiilor 7. Verificarea procesului de salvare a informațiilor cu caracter confidențial
3. Securitatea operațiunilor de transfer valutar
4. Salvarea și arhivarea datelor cu caracter confidențial
Data: 24.11.2020 Poziția în RAI II.1.1. II.1.2.1 II. 1.2.2
II. 1.3. 8. Analizarea programelor folosite pentru recuperarea datelor și a procesului implicit 24
Notă: Analiza riscurilor a pornit de la documentele Lista centralizatoare a obiectelor auditabile, care a cuprins un obiectiv structurat pe 5 de obiecte auditabile și Identificarea riscurilor, prin care s-au atașat 15 de riscuri la aceste obiecte auditabile și s-a finalizat cu Tematica în detaliu a misiunii de audit intern în urma căreia au fost selectate în vederea auditării un obiectiv, 4 obiecte auditabile şi 8 riscuri asociate acestora. În continuare, cele 8 de riscuri au fost înlocuite cu obiectele auditabile selectate (operaţii / activităţi / funcţii programe / domenii) corespunzătoare riscurilor semnificative, în vederea efectuării testărilor, pe baza Programului intervenției la fața locului, și care se vor materializa în FIAP-uri și FCRI-uri, acolo unde este cazul, iar în final vor fi transferate și comentate în Raportul de audit intern, în ordinea din Tematica în detaliu a misiunii de audit intern.
25
26
Procedura P06: Elaborarea programului de audit intern UniCredit Bank SA Departamentul de Audit Intern
PROGRAMUL DE AUDIT INTERN Misiunea de audit: Analiza securității sistemului informatic Perioada auditată: 01.01.2019.-31.12.2019 Întocmit: Dascălu Iulian
OBIECTIVELE AUDITULUI
Data: 24.11.2020
ACTIVITĂŢILE PROGRAMATE
Tema generală: Securitatea operațiunilor de transfer valutar interbancar oferite prin aplicația mobile banking 1. Pregătirea misiunii de audit Tipărirea și procesarea ordinului de serviciu Tipărirea și procesarea declarației de independență Pregătirea și transmiterea notificării Colectarea și prelucrarea informațiilor Întocmire listă centralizatoare a obiectelor auditate Identificarea și plasarea riscului Elaborare tabel puncte tare și puncte slabe Întocmirea programului de audit Întocmirea notei și a programului de intervenție la fața locului Obținerea aprobării notei și a anexelor acesteia Planificarea și organizarea ședinței de deschidere cu societatea Redactarea minutei de deschidere
27
DURATA (H)
PERSOANELE IMPLICATE
286 62 2 2 4 8 8 8 8 8 10
Dascălu Iulian Dascălu Iulian Dascălu Iulian Dascălu Iulian Dascălu Iulian Dascălu Iulian Dascălu Iulian Dascălu Iulian Dascălu Iulian
2 2
Dascălu Iulian Dascălu Iulian
LOCUL DESFĂŞURĂRII
OBIECTIVELE AUDITULUI 2. Intervenția la fața locului Obiectivul Securitatea sistemului informatic
ACTIVITĂŢILE PROGRAMATE
Efectuarea testărilor Discutarea constatărilor cu directorul Elaborare FIAD Colectarea dovezilor Revizuirea documentelor de lucru din punct de vedere al conținutului și formei și întocmirea notei centralizatoare a documentelor de lucru Concluzii
3. Raportul de audit intern Redactarea și elaborarea proiectului de raport de audit intern Revizuirea raportului de audit intern
4. Urmărirea recomandărilor
Obținerea aprobării proiectului de raport de audit intern Transmiterea proiectului de raport de audit intern către auditat și solicitare răspuns în 15 zile Planificarea și organizarea reuniunii de conciliere Includerea în raport a aspectelor menționate (dacă e cazul) Finalizarea raportului de audit intern Obținerea aprobării raportului de audit intern de către conducerea instituției Transmiterea raportului către auditat Întocmirea fișei de urmărire a recomandărilor
DURATA (H) 48 16 2 16 6 4
PERSOANELE IMPLICATE
LOCUL DESFĂŞURĂRII
Dascălu Iulian
4 160 48
Dascălu Iulian Dascălu Iulian
48
Dascălu Iulian
8 8
Dascălu Iulian Dascălu Iulian
8 8 16 8
Dascălu Iulian Dascălu Iulian Dascălu Iulian Dascălu Iulian
8 16
Dascălu Iulian Dascălu Iulian
Nota: Programul de audit intern este documentul prin care repartizam resursele de audit respectiv, împărțim intre membri echipei de auditori activitățile pe care le vor desfășura pentru realizarea misiunii si repartizam timpul pentru parcurgerea etapelor si procedurilor specifice in vederea încadrării in perioadele afectate prin Planul de audit intern.
28
UniCredit Bank SA Departamentul de Audit Intern
PROGRAMUL INTERVENŢIEI LA FAŢA LOCULUI Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019.-31.12.2019 Întocmit: Dascălu Iulian Obiectivul I. Securitatea Nr. crt. 1.
2.
3.
Data: 24.11.2020
aplicației mobile banking și a datelor utilizate
OBIECTE AUDITABILE
TIPUL TESTĂRII
Criptarea datelor și a tranzacțiilor realizate prin aplicație
Analizarea și verificarea capabilității funcției de criptare de a face față pericolelor curente dar și a celor preconizare în viitor Testarea monitorizării și mentenanței echipamentului folosit și verificarea condițiilor la locul amplasării echipamentului în vederea asigurării condițiilor optime de protejare și îngrijire a acestuia
Monitorizarea și mentenanța echipamentelor(servere) folosite de aplicație
Securitatea operațiunilor de transfer valutar
Verificarea și analizarea limitelor tranzacțiilor, a procesului de informare a clienților în urma unor tranzacții survenite și capabilitatea istoricului tranzacțiilor în oferirea datelor relevante
29
Loc ul
Durata (h)
PC
20
PC
30
PC
20
Nr. test Interviu 1.2.1. Test 1.1.1
Test 1.1.2. Interviu 1.2.2
Nr. lista verificare
Auditori
LV 1
Dascălu Iulian
LV 1
Dascălu Iulian
LV 1
Dascălu Iulian
4.
Salvarea și arhivarea datelor cu caracter confidențial
Analizarea procesului de salvare a informațiilor cu caracter confidențial și testarea abilității recuperării acestor informații în caz de defecțiune a echipamentului
PC
30
Interviu 1.2.3
LV 1
Dascălu Iulian
Auditor intern Dascălu Iulian
30
Procedura P07: Ședința de deschidere UniCredit Bank SA Departamentul de Audit Intern
MINUTA ŞEDINŢEI DE DESCHIDERE Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019.-31.12.2019 Întocmit: Dascălu Iulian
Data: 27.11.2020
A. Lista participanților: Numele
Funcția
Dascălu Iulian
Auditor
Brandon Sanderson
Contabil
Boris Jon Trump Rață Kim Jon Ionuț Angela Munteanu
Direcția/ Serviciul Departamentul de Audit Intern Departamentul de Contabilitate
Șef departament Securitate Cibernetică
Departamentul de Securitate Cibernetică
Arhivist
Departamentul de Securitate Cibernetică
Nr. telefon
Email
Semnătur a
Director general Administrator
B. Stenograma ședinței În cadrul ședinței de deschidere s-a procedat la: - Prezentarea echipei de auditori care urmează să efectueze misiunea de audit intern; - Prezentarea și discutarea obiectivelor generale ale auditului intern, semnificația acestora. În același timp, a fost cerută părerea auditaţilor cu privire la aceste obiective, unde s-au făcut remarci că acestea în general reprezintă zone cu risc datorită interesului scăzut, dar s-au făcut și unele comentarii cu privire la desfășurarea activității auditorului și anume că angajații vor fi stresați datorită desfășurării misiunii de audit; - Prezentarea Programului intervenției la fața locului, respectiv modul de abordare a obiectivelor auditabile care vor fi testate la sediul central al băncii și instrumentele folosite pentru analizarea acestora - Stabilirea persoanelor pe care auditorii interni le pot contacta în vederea colectării informațiilor, efectuării de teste și asupra modului de obținere a interviurilor. De asemenea, a fost stabilit programul întâlnirilor și timpul necesar pentru realizarea acestor proceduri; - Stabilirea condițiilor minime pe care auditatul trebuie să le asigure în vederea realizării misiunii de audit (timp pentru interviuri cu angajații, testarea, etc.) 31
- Convenirea asupra unor aspecte procedurale, respectiv eventualitatea unor ședințe intermediare în cursul derulării misiunii de audit, informarea sistematică asupra constatărilor efectuate ş.a. - Stabilirea Ședinței de închidere, inclusiv a participanților la aceasta; - Stabilirea modalității de redactare a Raportului de audit intern (când, cum și cui va fi distribuit). - Explicarea modului în care vor fi discutate și analizate recomandările formulate, ca urmare a eventualelor disfuncționalități constatate, inclusiv Planul de acțiune realizat de entitatea auditată și calendarul implementării acestora, cu termene și persoane responsabile. Auditori intern,
Auditați,
Procedura P07: Chestionar
LISTA DE VERIFICARE NR. 1 Obiectivul I. Securitatea aplicației mobile banking și a datelor utilizate Nr. crt. 1.1.
ACTIVITATEA DE AUDIT
DA
Criptarea datelor și a tranzacțiilor realizate prin aplicație a. funcția de criptare este actualizată și face față pericolelor existente
X
b. existența unei strategiei în cazul spargerii criptării și apariției unei scurgeri de date confidențiale c. folosirea celei mai bune metode de criptare oferită pe piață
X
X
1.2.
Monitorizarea și mentenanța echipamentelor(servere) folosite de aplicație a. locul amplasării echipamentului asigură condiții optime de protejare și îngrijire a acestuia b. echipamentul este monitorizat de o echipă specializată care este capabilă să intervină în orice moment c. accesul fizic în încăperea destinată echipamentului este restricționat persoanelor neautorizate
32
X X
X
NU
OBS. Interviu nr. 1.2.1. TEST nr. 1.1.1 Listă de control nr. 1.1.1 Foaie de lucru nr. 1.1.1 FIAP 1.3.1 FIAP 1.3.2 FCRI 1.5.1
Observare directă Interviu nr. 1.2.2 TEST nr. 1.1.2 Foaie de lucru nr. 1.1.2 Listă de control
Nr. crt.
ACTIVITATEA DE AUDIT
DA
NU
OBS.
d. existența unei strategii cu privire la extinderea echipamentului
nr. 1.1.2 FIAP nr. 1.3.3 X
1.3.
1.4.
1.5
Securitatea operațiunilor de transfer valutar a. existența protocoalelor de securitate în privința operațiunilor de transfer valutar b. sistemul informează clientul în privința tranzacțiilor efectuate c. funcția de istoric a tranzacțiilor oferă informații relevante și ușor de înțeles clientului
Salvarea și arhivarea datelor cu caracter confidențial a. procesul salvării datelor cu caracter confidențial este securizat și monitorizat b. abilitatea recuperării datelor dacă situația impune acest lucru c. salvarea și stocarea datelor confidențiale respectă legislația în vigoare Analiza procedurilor de lucru Verificarea gradului de acoperire a activităților prin procedurile de lucru specifice Confirmarea existenței activităților de control intern in punctele cheie ale procedurii de lucru Urmărirea existenței responsabilităților pe faze de întocmire, avizare, aprobare și pe nivele de execuție Aplicarea principiului dublei semnături Aprobarea de către persoanele competente Asigurarea prelucrării datelor în sistem informatizat Existenta componentei de actualizare a procedurilor de lucru Verificarea cunoașterii procedurilor de către persoanele cu responsabilități în realizarea activităților
Data: 30.11.2020
X X
Observare directă Notă de relații nr. 1.4.1
X
X X X
Observare directă Interviu nr. 1.2.3
X X X X X X X X
Auditor intern, Dascălu Iulian
33
Procedura P08: Colectarea dovezilor UniCredit Bank SA Departamentul de Audit Intern
INTERVIU NR. 1.2.1. privind procedurile și activitățile de Criptarea a datelor și tranzacțiilor realizate prin aplicație, adresat domnului Boris Jon, șef departament Securitatea Cibernetică Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019.-31.12.2019 Nr. crt. 1. 2. 3. 4.
5. 6. 7.
Întrebare
DA
NU
Obs.
Se ocupă de funcția criptării datelor cu caracter confidențial? Criptarea este actualizată și modificată pentru a face față noilor pericole și riscuri ce apar constant?
X
Criptarea este asigurată de către o parte terță, FalseProtect
X
Există un personal responsabil care actualizează aplicația pentru a se folosi cea mai nouă variantă de criptare? Există o strategie în cazul spargerii și scurgerii de date private?
X
Acesta este obiectivul principal al furnizorului de servicii care se ocupă cu criptarea datelor Există un compartiment în cadrul Departamentul care se ocupă de acest lucru
Protocoalele de urmat în cazul potențialei spargeri și scurgeri de date este cunoscut de către personal? Considerați procedurile folosite corespunzătoare și suficiente? Doriți să adăugați ceva?
Data: 30.11.2020
Auditor intern, Dascălu Iulian
X
Există un plan care a fost elaborat în 2009, acesta fiind depășit datorită vechimii și modificărilor constante
X X ?
„M-ati obosit foarte tare domle, la revedere!”
Intervievat, Boris Jon
În urma aplicării interviului constatăm că există o strategie ce conține proceduri de urmat în cazul în care criptarea este spartă și apare o scurgere de date. Totuși această strategie a fost elaborată în anul 2009, prin urmare fiind datată și imposibil de aplicat. Aflăm că funcția de criptare este oferită de către o parte terță și întreținută de către aceștia pentru a face față noilor pericole. În continuare se va elabora FIAP cu numărul 1.3.1 pentru rezolvarea problemei strategiei.
34
Procedura P08: Colectarea dovezilor UniCredit Bank SA Departamentul de Audit Intern
FIŞA DE IDENTIFICARE ŞI ANALIZĂ A PROBLEMEI NR. 1.3.1. Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019 – 31.12.2019 PROBLEMA: Lipsa elaborării unei strategii în cazul spargerii criptării și scurgerii de date CONSTATARE: La departamentul audiat, nu s-a elaborat o strategie privind scurgerea de date care să includă instrucțiuni detaliate personalului abilitat în vederea pașilor și obiectivelor de parcurs pentru remedierea unei astfel de situație. Personalul abilitat cunoaște legislația în vigoare privind prelucrarea datelor cu caracter confidențial, procedurile de securitate fiind respectate de către aceștia. De asemenea șeful de securitate consideră că procedeele și procedurile aplicate pentru criptarea datelor și tranzacțiilor realizate prin aplicație suficiente conferind o protecție optimă. CAUZE: -lipsa elaborării unor proceduri scrise și aprobate în vederea realizării strategiei; -personalitatea conservatoare a șefului departamentului -o cercetare minimă asupra riscurilor la care este expus acest sistem CONSECINŢE: - activitatea de stopare a scurgerii datelor va dura mai mult timp, persoanele neautorizate având un acces mai îndelungat la datele confidențiale ale clienților; - divulgarea unui volum mai mare de date confidențiale; RECOMANDĂRI: - elaborarea unor proceduri scrise și aprobate în vederea realizării strategiei; - pregătirea și informarea personalului despre noua strategie elaborată; - persoana ce ocupă funcția de conducere în cadrul acestui departament trebuie să aibă o viziune flexibilă, deschisă, orientată spre exterior și să se informeze constant despre noile pericole;
35
Procedura P08: Colectarea dovezilor UniCredit Bank SA Departamentul de Audit Intern
TESTUL NR. 1.1.1. Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019.-31.12.2019 OBIECTUL TESTULUI: Criptarea datelor și a tranzacțiilor realizate prin aplicație OBIECTIVUL TESTULUI: Folosirea celei mai bune metode de criptare oferită pe piață DESCRIEREA TESTULUI: Populația pentru realizarea testului o reprezintă totalitatea metodelor de criptare a bazelor de date oferite de către terți; Eșantionul îl reprezintă metodele de criptare ce pot fi utilizate în scopul criptării datelor noastre și nu au un impact financiar ridicat, conform Foii de lucru 1.1.1 Testarea se va face folosind baza noastră de date cu ajutorul furnizorilor care oferă aceste instrumente de criptare și se va avea în vedere următorii indicatori: - durata de criptare a bazei de date - timpul necesar pentru a actualiza criptarea la un risc apărut recent Ultimul indice va fi examinat pe durata anul 2019, din studiul “Encryptions response to new identified threats” publicat în jurnalul “Data protection” volumul 4 După aflarea indicatorilor, vom compara rezultatele. CONSTATĂRI: 7. Indicele timpului necesar pentru criptarea bazei de date - metoda de criptare folosită de către entitate s-a clasat pe locul 5 din cele 6 metode ce pot fi folosite pentru aplicația mobile banking, primul loc fiind ocupat de către DbDefense SQL, iar ultimul Bitlocker encryption; 8. Indicele timpului necesar pentru actualizarea instrumentului de criptare la un risc recent apărut - în urma studiului, FalseProtect, metoda de criptare folosită în prezent are nevoie în medie de 5,3 zile pentru a se actualiza și a ne proteja la noua vulnerabilitate apărută. Astfel, Falseprotect ocupă ultimul loc în eșantionul nostru, primul fiind ocupat de către IBM Guardium având nevoie de 1,3 zile. Pe baza acestui test s-a demonstrat că metoda de criptare folosită este una inferioară și reprezintă o problemă, astfel s-a elaborat FIAP cu numărul de înregistrare 1.3.2 Data: 01.12.2020
Auditor intern, Dascălu Iulian 36
UniCredit Bank SA Departamentul de Audit Intern
FOAIE DE LUCRU NR. 1.1.1. Obiectivul I: Criptarea datelor și a tranzacțiilor realizate prin aplicația mobile banking
Eșantionul pentru testarea metodelor de criptare s-a constituit în felul următor:
Populația totală este reprezentată de totalitatea metodelor de criptare a bazelor de date cunoscute la momentul actual.
Eșantionul studiat este reprezentat de către acele metode de criptare ce pot fi implementate în aplicația noastră și nu au un impact financiar ridicat, sub 500.000 pentru achiziționarea acestora.
Eșantionul nostru este format din 6 instrumente de criptare: - IBM Guardium pentru fișiere și criptare de baze de date - Criptare Vormetrică - McAfee – Advanced enhanced encryption - DbDefence SQL - BitLocker encryption - FalseProtect(metoda utilizată în prezent)
Data: 01.12.2020
Auditor intern, Dascălu Iulian
37
În prezența, Brandon Sanderson
LISTA DE CONTROL NR. 1.1.1. Elemente testate Elemente Eșantionate
durata de criptare a bazei de date
timpul necesar pentru a actualiza criptarea la un risc apărut recent
FIAP
FIAP
IBM Guardium CriptareVormetrică McAfee – Advanced enhanced encryption DbDefence SQL BitLocker encryption FalseProtect
Data: 02.12.2020
Auditor intern, Dascălu Iulian
38
În prezența, Brandon Sanderso
Procedura P08: Colectarea dovezilor UniCredit Bank SA Departamentul de Audit Intern
FIȘĂ DE IDENTIFICARE ȘI ANALIZĂ A PROBLEMEI 1.3.2. Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019 – 31.12.2019 PROBLEMA: Utilizarea unei metode de criptare inferioară comparativ cu alte metode disponibile CONSTATARE: În urma testul realizat, s-au comparat metodele de criptare ce pot fi folosite de către aplicația mobile banking, în baza a 2 indici: - durata de criptare a bazei de date - timpul necesar pentru a actualiza criptarea la un risc apărut recent S-a constatat faptul că metoda de criptare folosită de către entitate în prezent este inferioară, clasându-se pe ultimele locuri din eșantionul studiat, neasigurând o securitate optimă datelor. CAUZE: -lipsa de interes din partea șeful de departament; -lipsa unei cercetări adecvate asupra metodelor utilizate de către entitate -o rigiditate asupra schimbării unui sistem care funcționează CONSECINŢE: - actualizarea întârziată a metodei de criptate folosite poate duce la o scurgere de date deoarece acestea sunt vulnerabile un timp mai îndelungat - datorită timpului lung necesar pentru criptarea datelor, durata tranzacțiilor are de suferit, aplicația oferind astfel, servicii suboptime clienților RECOMANDĂRI: - rezilierea contractului cu furnizorul care ne oferă serviciul de criptare; - achiziționarea unui serviciu de criptare care s-a clasat în topul indicatorilor testați, exemplu: Db Defense SQL; - testarea metodelor de criptare disponibile pe piață în fiecare an și alegerea celei mai rentabile variante Data: 03.12.2020
Auditor intern, Dascălu Iulian 39
UniCredit Bank SA Departamentul de Audit Intern
INTERVIU NR. 1.2.2. privind procedurile și activitățile de monitorizare și mentenanța echipamentelor(servere) folosite de aplicație adresat domnului Teo Lazăr , șef departament Tehnic Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019.-31.12.2019 Nr. crt. 1. 2. 3. 4. 5. 6. 7. 8. 9.
Întrebare
DA
NU
Locul amplasării echipamentului(server-ului) este dotat cu camere de supraveghere? Locul amplasării echipamentului(server-ului) este dotat cu senzori de fum? Locul amplasării echipamentului(server-ului) este dotat cu senzori de mișcare? Accesul în camera destinată echipamentului este interzis persoanelor neautorizate? Este monitorizat echipamentul de o echipă specializată capabilă să intervină în orice moment? Echipamentul poate fi extins și dezvoltat situația impune acest lucru? Există și o strategie în acest sens?
-
X
-
X
-
X
X
-
X
-
X
-
X
-
-
X
Considerați procedurile folosite corespunzătoare și suficiente? Doriți să adăugați ceva?
Data: 05.12.2020
Auditor intern, Dascălu Iulian
?
Obs.
Accesibilă în format fizic și electronic “Orice lucru poate fi îmbunătățit“ „Aș dori să mă informați în legătură cu rezultatele acestei misiuni de audit, mulțumesc”
Intervievat, Teo Lazăr
În urma aplicării interviului constatăm că există o echipă specializată care monitorizează și întreține echipamentul(server-ul). Totodată, accesul fizic în încăperea unde este amplasat echipament(server-ul) este interzi persoanelor neautorizate. Există și o strategie în cazul în care echipamentul trebuie extins. Locul în care este amplasat echipamentul(server-ul) nu asigură condițiile optime de protejare și îngrijire a acestuia, astfel se va elabora FIAP cu numărul 1.3.3 pentru explorarea problemei identificate.
40
Procedura P08: Colectarea dovezilor UniCredit Bank SA Departamentul de Audit Intern
FIȘĂ DE IDENTIFICARE ȘI ANALIZĂ A PROBLEMEI 1.3.3.
Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019 – 31.12.2019 PROBLEMA: Echipamentul(server-ul) este amplasat într-o încăpere care nu asigură condițiile optime de protejare și îngrijire a acestuia. CONSTATARE: În urma observării directe și a interviului aplicat, s-a constat că încăperea folosită pentru echipament(server-ului) nu este dotată cu: - camere de supraveghere - senzori de mișcare - senzori de fum - climatizare pentru menținerea unei temperaturi optime echipamentului(server-ului) CAUZE: - sediul central nu dispune de o locație optimă; - reticența de a investi în echiparea unei încăperi care să asigure condițiile optime de funcționare -neinformarea asupra importanței unui loc special amenajat pentru echipamentul(server-ul utilizat) CONSECINŢE: - persoanele neautorizate pot accesa echipamentul datorită lipsei sistemelor de supraveghere facilitând scurgerea de date - în cazul în care apare un incendiu, acesta va fi identificat prea târziu iar echipamentul va fi distrus în totalitate - performanța echipamentului(server-ului) va fi afectată datorită temperaturii ridicate RECOMANDĂRI: - dotarea unui loc care să asigure condițiile optime a echipamentului(server-ului) cu: climatizare, senzori de fum și mișcare, camere de supravegheat, sistem de alarmă, sistem de securitate la intrare. Data: 08.12.2020
Auditor intern, Dascălu Iulian 41
Procedura P08: Colectarea dovezilor UniCredit Bank SA Departamentul de Audit Intern
TESTUL NR. 1.1.2. Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019.-31.12.2019 OBIECTUL TESTULUI: Monitorizarea și mentenanța echipamentelor(servere) folosite de aplicație OBIECTIVUL TESTULUI: Monitorizarea echipamentului de o echipă specializată capabilă să intervină în orice moment DESCRIEREA TESTULUI: Populația pentru realizarea testului o reprezintă personalul abilitat atribuit cu sarcina de monitorizare și intervenție rapidă asupra echipamentului(server-ului) Eșantionul este același ca și populația totală, conform Foii de lucru 1.1.2 Testarea se va face analizând istoricului incidentelor legate de securitate(DDOS) și durata de soluționare a acestora. Perioada analizată va fi anul 2019. Astfel, vom analiza 2 indicatori legați de performanță: - durata de soluționare a incidentelor legate de securitate de tip DDOS - timpul în care echipamentul nu a fost sub supraveghere de către cel puțin 2 angajați De menționat, acest test analizează competența echipei și nu cea a personalului.
CONSTATĂRI: Indicele duratei de soluționare a incidentelor legate de securitate, de tip DDOS - au existat 15 incidente de tip DDOS, iar în urma analizării acestora, timpul de soluționare în medie a fost de 90 de minute. În literatura de specialitate timpul acceptat de soluționare, ce indică performanță este de 220 de minute. Așadar, echipa este eficientă și se bucură de performanțe la un nivel peste cel așteptat. Indicele timpului în care echipamentul n-a fost supravegheat de cel puțin 2 angajați - în urma analizei, pe durata întregului an, echipamentul(server-ul) a fost supravegheat constant de către cel puțin 2 angajați, adică 0 minute. Pe baza acestui test s-a demonstrat că echipa abilitată și atribuită cu sarcina de a monitoriza și interveni rapid este foarte eficientă și performează la un nivel mult peste optimul necesar în cazul rezolvării incidentelor de securitate.
Data: 10.12.2020
Auditor intern, Dascălu Iulian 42
UniCredit Bank SA Departamentul de Audit Intern
FOAIE DE LUCRU NR. 1.1.2. Obiectivul I: Monitorizarea și mentenanța echipamentelor(servere) folosite de aplicație Eșantionul pentru testarea cunoștințelor și eficienței echipei atribuite cu sarcina de a interveni rapid s-a constituit în felul următor:
Populația totală o reprezintă numărul total de angajați cu sarcinile de monitorizare și intervenire rapidă asupra echipamentului(server-ului).
Eșantionul studiat este populația totală, adică 12 angajați, prin urmare are o reprezentare de 100%
Data: 10.12.2020
Auditor intern, Dascălu Iulian
43
În prezența, Brandon Sanderson
LISTA DE CONTROL NR. 1.1.2.
Elemente testate Nr. crt.
durata de soluționare a incidentelor legate de securitate
timpul în care echipamentul nu a fost sub supraveghere de către cel puțin 2 angajați
X
X
Populaţia
1.
Monitorizarea și mentenanța echipamentelor(servere) folosite de aplicație
Data, 11.12.2020
Auditor intern, Dascălu Iulian
44
UniCredit Bank SA Departamentul de Audit Intern
NOTĂ DE RELAŢII NR. 1.4.1. privind Securitatea operațiunilor de transfer valutar Adresat domnului Boris Jon, șef securitate cibernetică Întrebare 1: La nivelul departamentului există proceduri specifice, scrise și formalizate privind operațiunile din cadrul aplicației mobile banking? Răspuns 1: Da, acest departament dispune de proceduri de securitate care se pot găsi în suport electronic dar și fizic. De asemenea, aceste proceduri sunt aduse la cunoștință angajaților ce lucrează în acest departament. Întrebare 2: Există în departament un responsabil care analizează așteptările, sugestiile și nemulțumirile clienților cu privire la securitatea operațiunilor de transfer valutar din cadrul aplicației ? Răspuns 2: Da, există un compartiment în cadrul departamentului care cercetează și analizează amănunțit așteptările și nemulțumirile clienților, precum și ceea ce oferă competiția. Pentru noi securitatea clienților noștri este foarte importantă. Întrebare 3: Există un control periodic asupra angajaților ce au acces la vizualizarea, prelucrarea, modificarea și ștergerea datelor confidențiale ale clienților pentru a se asigura că legislația în vigoare este respectată? Răspuns 3: Da, în fiecare an, sunt realizate 2 controale interne asupra angajaților ce au ca scop verificarea abilităților și a cunoștințelor legislației în vigoare. De asemenea, sistemul nu permite ștergerea datelor și nici copierea acestora iar orice modificare a acestora de către angajați este înregistrată într-un document la care nu au acces. Întrebare 4: Aplicația pune la dispoziția clientului informații relevante și ușor de înțeles cu privire la orice schimbare survenită în contul acestuia? De exemplu un istoric al tranzacțiilor? Răspuns 4: Aplicația oferă clienților noștri un istoric lizibil și actualizat la fiecare 5 minute al tuturor tranzacțiilor de la momentul înregistrării contului. Încercăm să informăm clientul cu privire la orice modificare survenită, inclusiv despre tot ce este nou când aplicația este actualizată. Avem și un sistem de informare prin sms, clientul fiind notificat despre orice tranzacție nouă. Întrebare 5: Mai aveți ceva de adăugat? Răspuns 5: Aș vrea să vă inspir cu un citat pe care l-am auzit la un auditor acum mulți ani: To test or not to test, that is the question.
45
Procedura P09: Constatarea şi raportarea iregularităților
FORMULAR DE CONSTATARE ŞI RAPORTARE A IREGULARITĂȚILOR – FCRI NR 1.5.1 Către: domnul Kim Jon Ionuț, director CONSTATARE În urma misiunii de audit intern operațional, efectuată la UniCredit bank cu sediul central: bd. expoziției nr.1f, sectorul 1, Bucuresti, cod postal 012101 în perioada 20.11.2020 – 07.01.2021, la obiectul auditat Criptarea datelor și a tranzacțiilor realizate prin aplicație, s-au constatat următoarele: - metoda de criptare folosită de către entitate în prezent pentru securitatea datelor cu caracter confidențial folosită în aplicația mobile banking este inferioară, clasându-se pe ultimele locuri în urma testului efectuat, neasigurând o securitate optimă datelor. - lipsa unei strategii privind scurgerea de date care să includă instrucțiuni detaliate personalului abilitat în vederea pașilor și obiectivelor de parcurs pentru remedierea unei astfel de situație
RECOMANDĂRI • Elaborarea unor proceduri scrise și aprobate în vederea realizării strategiei • Achiziționarea unui serviciu de criptare care s-a clasat în topul indicilor testați, exemplu: Db Defense SQL; - testarea metodelor de criptare disponibile pe piață în fiecare an și alegerea cele mai bune variante
ANEXE - copie după “Encryptions response to new identified threats” publicat în jurnalul “Data protection” volumul 4 - copie după testul nr 1.1.1;
Data:
Auditor, 46
13.12.2020
Dascălu Iulian
47
Procedura P08: Colectarea dovezilor UniCredit Bank SA Departamentul de Audit Intern
INTERVIU NR. 1.2.3. privind Salvarea și arhivarea datelor cu caracter confidențial, adresat domnului Trump Rață, arhivist departament Securitatea Cibernetică Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019.-31.12.2019 Nr. crt. 1. 2. 3. 4. 5. 6. 7.
Întrebare
DA
Salvarea datelor cu caracter confidențial se poate face doar pe echipamentul entității? Există proceduri pentru recuperarea datelor în cazul coruperii bazei de date? Arhivarea și păstrarea datelor prelucrate respectă termenul legislației în vigoare?
X
Există copii backup a datelor în cazul modificării sau prelucrării greșite a acestora? Folosiți un program specializat pentru recuperarea datelor când situația impune acest lucru? Considerați procedurile folosite corespunzătoare și suficiente? Doriți să adăugați ceva?
X
Data: 16.12.2020
Auditor intern, Dascălu Iulian
NU
Obs.
X Datele nu sunt șterse de pe echipament, rămân pe o durată nedeterminată
X
X X X
„Înapoi la muncă..”
Intervievat, Trump Rață
În urma aplicării interviului constatăm că procesul salvării datelor este securizat și se face doar pe echipamentul(server-ul) entității. Se folosește un program special achiziționat pentru recuperarea acestora dacă este cazul. Legislația în vigoare cu privire la păstrarea datelor este respectată deoarece acestea nu sunt șterse, rămânând pe o durată nedeterminată în hard disk.
48
Procedura P10: Revizuirea documentelor de lucru UniCredit Bank SA Departamentul de Audit Intern
NOTA CENTRALIZATOARE A DOCUMENTELOR DE LUCRU Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019-31.12.2019 Întocmit: Dascălu Iulian Ob. nr. 1.
Constatarea
Data 25.12.2020
Document justificativ
nu s-a elaborat o strategie privind scurgerea de date care să includă instrucțiuni detaliate personalului abilitat în vederea pașilor și obiectivelor de parcurs pentru remedierea unei astfel de situație
metoda de criptare folosită de către entitate în prezent - “Encryptions response to new identified threats” pentru securitatea datelor cu caracter confidențial publicat în jurnalul “Data folosită în aplicația mobile banking este inferioară protection” volumul 4 - Testul 1.1.1 - Planul schematic al clădirii locația destinată echipamentului(server-ului) nu este dotată cu: camere de supraveghere, senzori de mișcare, senzori de fum, climatizare pentru menținerea unei temperaturi optime echipamentului(server-ului)
- Planul strategic de securitate
Auditor intern, Dascălu Iulian
49
Există Da Nu X
X
X
Procedura P11: Ședința de închidere UniCredit Bank SA Departamentul de Audit Intern
MINUTA ŞEDINŢEI DE ÎNCHIDERE A. Mențiuni generale: Misiunea de audit: Îmbunătățirea securității aplicației mobile banking Perioada auditată: 01.01.2019-31.12.2019 Întocmit: Dascălu Iulian
Data 30.12.2020
Lista participanţilor: Numele
Dascălu Iulian Brandon Sanderson Boris Jon Trump Rață Kim Jon Ionuț
Funcţia
Serviciul
Auditor Contabil Șef Securitate Cibernetică Arhivist Director general
UniCredit Bank UniCredit Bank UniCredit Bank
Nr. telefon
E-mail
Semnătura
UniCredit Bank UniCredit Bank
B. Concluzii: În cadrul ședinței au fost prezentate obiectivele auditate și constatările pentru fiecare obiect auditat. De asemenea, au fost discutate constatările, au fost analizate cauzele care au contribuit la realizarea disfuncționalităților, eventualelor consecințe, și au fost comentate recomandările care urmează a fi implementate pentru eliminarea acestora. În cadrul Ședinței de închidere structura auditată și-a însușit în totalitate constatările și recomandările formulate de auditor. În consecință, proiectul Raportului de audit intern devine Raport de audit intern final, care va fi pregătit pentru aprobare și difuzare structurii auditate. Raportul de audit intern va fi însoțit de o SINTEZĂ care va conține principalele constatări și recomandări ale echipei de auditori interni și concluziile generale. Structura auditată se angajează să completeze Planul de acțiune și Calendarul implementării recomandărilor, cu termenele de realizare și persoanele responsabile cu implementarea acestora, pe care le vor discuta cu echipa de auditori interni. Notă: Datorită acceptării integrale a constatărilor și recomandărilor formulate de echipa de auditori interni, reuniunea de conciliere nu se va mai organiza.
50
Procedura P12: Elaborarea proiectului de Raport de audit UniCredit Bank SA Departamentul de Audit Intern
PLANUL DE ACŢIUNE ŞI CALENDARUL DE IMPLEMENTARE A RECOMANDĂRILOR OBIECTE AUDITABILE
Criptarea datelor și a tranzacțiilor realizate prin aplicație
RECOMANDĂRI
ACŢIUNI / MĂSURI
Obiectivul nr. 1. Securitatea aplicației mobile banking și a datelor utilizate - Elaborarea unui strategii de securitate care să 1. Elaborarea unor proceduri scrise și aprobate în includă viziunea, scopul, și proceduri de urmat în vederea realizării strategiei de securitate cazul unor eventuale probleme; - Elaborarea unor proceduri scrise ce trebuie respectate în cazul spargerii criptării și
RESPONSABILI
07.02.2020 07.03.2020
Șef departament securitatea aplicațiilor
scurgerii de date 2. Rezilierea contractului cu furnizorul care ne oferă
serviciul de criptare și achiziționarea unui serviciu de criptare care s-a clasat în topul indicilor testați 3. Testarea metodelor de criptare disponibile pe piață
în fiecare an Supervizarea și mentenanța echipamentelor(s ervere) folosite de aplicație în condiții optime
TERMENE
4. Dotarea unui loc care să asigure condițiile optime
- Rezilierea contractului cu furnizorul -Achiziționarea unui serviciu nou de criptare clasat în topul indicatorilor testați
0.7.05.2020
- Realizarea unui studiu având ca eșantion toate metodele disponibile pe piață ce pot fi folosite pentru criptarea bazei de date folosită de către aplicația mobile banking - Echiparea unui loc destinat
31.12.2021
Șef departament securitatea aplicațiilor
07.05.2020
Administrator Responsabil Birou Interior
a echipamentului(server-ului) cu: climatizare, echipamentului(server-ului) cu următoarele: senzori de fum și mișcare, camere de supravegheat, un sistem de climatizare, senzori de fum și sistem de alarmă, sistem de securitate la intrare. mișcare, camere de supravegheat, sistem de alarmă, sistem de securitate la intrare.
51
Responsabil operațional Director
Procedura P15: Raport de audit UniCredit Bank SA Departamentul de Audit Intern
RAPORT DE AUDIT INTERN I. INTRODUCERE Echipa de auditare a fost constituită din: Dascălu Iulian – auditor Misiunea s-a efectuat în baza Ordinului de serviciu nr. 11 din 09.11.2020. Cadrul legal al acțiunii de auditare l-a reprezentat: - Standardele Internaționale pentru Practica Profesională a Auditului Intern - Carta auditului intern Durata misiunii de audit: 20.11.2020-07.01.2021 Perioada auditată: 01.01.2019 – 31.12.2019 Scopul acțiunii de auditare constă în: - reducerea vulnerabilităților aplicației mobile banking - folosirea unor instrumente de securitate optime pentru aplicația mobile banking - îmbunătățirea securității aplicației mobile banking Obiectivele acțiunii de auditare au urmărit: 1. Securitatea aplicației mobile banking și a datelor utilizate Tipul de auditare - audit intern operațional Tehnicile de audit intern utilizate: verificarea se realizează în vederea asigurării validităţii, realităţii şi performanței securității aplicației mobile banking, precum şi a eficacității controlului intern prin următoarele tehnici de verificare: - comparaţia: pentru confirmarea identităţii unor informaţii, după obţinerea lor din două sau mai multe surse diferite; - examinarea: pentru detectarea erorilor şi/sau iregularităţilor; - recalcularea: verificarea algoritmilor de calcul şi a calculelor matematice; - punerea de acord: pentru realizarea procesului de potrivire a doua categorii diferite de înregistrări; - confirmarea: pentru solicitarea informaţiilor din mai multe surse independente cu scopul validării acestora; - garantarea: pentru verificarea realităţii tranzacţiilor înregistrate pornind de 52
la examinarea înregistrărilor spre documentele justificative; - urmărirea: pentru verificarea procedurilor de la documentele justificative spre articolul înregistrat în vederea stabilirii realităţii înregistrării în totalitate a tranzacţiilor. Alte tehnici de audit: observarea fizică: în vederea formării unei păreri proprii privind modul de întocmire și emitere a documentelor; interviul, note de relații: se realizează de către auditorii interni prin intervievarea persoanelor auditate, implicate și interesate și informațiile primite, care trebuie să fie susținute de documente. Pentru eventualele explicații suplimentare se solicită note de relații scrise. analiza: constă în descompunerea unei entități în elemente, care pot fi izolate, identificate, cuantificate și măsurate distinct. Instrumentele de audit intern care s-au utilizat: Chestionarul de luare la cunoștință - CLC: pentru obținerea unor informații referitoare la contextul socio-economic, organizare internă, funcționarea entității/structurii auditate; Chestionarul de control intern - CCI: orientează auditorii interni în activitatea de identificare obiectivă a disfuncțiunilor și cauzelor reale ale acestora; Listă de verificare - LV: utilizată pentru stabilirea condiţiilor de regularitate pe care trebuie să le îndeplinească fiecare domeniu auditabil. Cuprinde un set de operaţii ce trebuie parcurse de auditor pentru a analiza activităţile de control intern încorporate în proceduri, existenţa responsabilităţilor pentru efectuarea acestora şi permite stabilirea testelor de conformitate atunci când sunt semnalate diferite disfuncţionalităţi. Documentele examinate în cadrul entității Unicredit Bank privind securitatea aplicației mobile banking și a datelor utilizate au vizat documentația aferentă perioadei auditate, respectiv: - Planul strategic de securitate; - Planul schematic al clădirii - Diagrama fluxurilor de date(DFD) ale sistemului informatic - Cadrul metodologic si normele de reglementare aplicabile domeniului informatic și de securitate - Informații tehnice și locația/locațiile server-urilor; - Organigrama departamentului de Securitate Cibernetică; - Regulamentul interior de organizare și funcționare; - Fișele posturilor; - Procedurile scrise care descriu activitățile ce se desfășoară in cadrul departamentului;
Documentele elaborate pe timpul auditării activității, în principal sunt: - analiza riscurilor; - tabelele punctelor tari şi slabe; - tematica în detaliu a misiunii de audit; - programul de audit intern; - programul intervenţiei la faţa locului; 53
-
liste de verificare structurate pe obiective; foi de lucru pentru stabilirea eşantioanelor; chestionare de control intern; teste; liste de control; fişe de identificare şi analiză a principalelor probleme constatate - FIAP-uri; formulare de constatare şi raportare a iregularităţilor - FCRI-uri; raportul preliminar de audit intern; minutele şedinţelor de deschidere, de închidere şi de conciliere; raportul final de audit intern; planul de acţiune şi calendarul de implementare a recomandărilor; fişa de urmărire a implementărilor recomandărilor.
II. CONSTATĂRI SI RECOMANDARI În acest capitol, prezentam principalele constatări ale auditorului, cauzele, consecinţele şi recomandările formulate, obţinute în urma testărilor efectuate şi concretizate în FIAP-urile şi FCRIurile întocmite în Etapa Intervenţiei la faţa locului, în vederea corectării disfuncţionalităţilor semnalate sau ale celor care pot să apară în perioada imediat următoare, urmare a acestor constatări. De asemenea, vom prezenta şi comenta posibila evoluţie a riscurilor existente şi a necesităţilor de dezvoltare a sistemelor de management şi control intern al activităţilor auditate, cu scopul facilitării atingerii obiectivelor prestabilite de managementul general. II.1. Securitatea aplicației mobile banking și a datelor utilizate II. 1.1. Criptarea datelor și a tranzacțiilor realizate prin aplicație II.1.1.1 Lipsa elaborării unei strategii în cazul spargerii criptării și scurgerii de date pentru care s-a elaborat FIAP 1.3.1 Constatare: La departamentul audiat, nu s-a elaborat o strategie privind scurgerea de date care să includă instrucțiuni detaliate personalului abilitat în vederea pașilor și obiectivelor de parcurs pentru remedierea unei astfel de situație. Personalul abilitat cunoaște legislația în vigoare privind prelucrarea datelor cu caracter confidențial, procedurile de securitate fiind respectate de către aceștia. De asemenea șeful de securitate consideră că procedeele și procedurile aplicate pentru criptarea datelor și tranzacțiilor realizate prin aplicație suficiente conferind o protecție optimă.
II. 1.1.2. Utilizarea unei metode de criptare inferioară comparativ cu alte metode disponibile 54
pentru care s-a elaborat FIAP 1.3.2 Constatare: În urma testul realizat, s-au comparat metodele de criptare ce pot fi folosite de către aplicația mobile banking, în baza a 2 indici: - durata de criptare a bazei de date - timpul necesar pentru a actualiza criptarea la un risc apărut recent S-a constatat faptul că metoda de criptare folosită de către entitate în prezent este inferioară, clasându-se pe ultimele locuri din eșantionul studiat, neasigurând o securitate optimă datelor. Cauze: -lipsa de interes din partea șeful de departament; -lipsa unei cercetări adecvate asupra metodelor utilizate de către entitate -o rigiditate asupra schimbării unui sistem care funcționează Consecințe: - actualizarea întârziată a metodei de criptate folosite poate duce la o scurgere de date deoarece acestea sunt vulnerabile un timp mai îndelungat - datorită timpului lung necesar pentru criptarea datelor, durata tranzacțiilor are de suferit, aplicația oferind astfel, servicii suboptime clienților Recomandări: - persoanele neautorizate pot accesa echipamentul datorită lipsei sistemelor de supraveghere facilitând scurgerea de date - în cazul în care apare un incendiu, acesta va fi identificat prea târziu iar echipamentul va fi distrus în totalitate - performanța echipamentului(server-ului) va fi afectată datorită temperaturii ridicate
II. 1.2. Supervizarea și mentenanța echipamentelor(servere) folosite de aplicație în condiții optime Testarea monitorizării și mentenanței echipamentului folosit și verificarea condițiilor la locul amplasării echipamentului în vederea asigurării condițiilor optime de protejare și îngrijire a acestuia II. 1.2.1. Echipamentul(server-ul) este amplasat într-o încăpere care nu asigură condițiile optime de protejare și îngrijire a acestuia pentru care s-a elaborat FIAP 1.3.3 Constatare: În urma observării directe și a interviului aplicat, s-a constat că încăperea folosită pentru echipament(server-ului) nu este dotată cu: - camere de supraveghere - senzori de mișcare - senzori de fum - climatizare pentru menținerea unei temperaturi optime echipamentului(server-ului) Cauze: 55
- sediul central nu dispune de o locație optimă; - reticența de a investi în echiparea unei încăperi care să asigure condițiile optime de funcționare -neinformarea asupra importanței unui loc special amenajat pentru echipamentul(server-ul utilizat) Consecințe: - persoanele neautorizate pot accesa echipamentul datorită lipsei sistemelor de supraveghere facilitând scurgerea de date - în cazul în care apare un incendiu, acesta va fi identificat prea târziu iar echipamentul va fi distrus în totalitate - performanța echipamentului(server-ului) va fi afectată datorită temperaturii ridicate Recomandări: - dotarea unui loc care să asigure condițiile optime a echipamentului(server-ului) cu: climatizare, senzori de fum și mișcare, camere de supravegheat, sistem de alarmă, sistem de securitate la intrare.
II. 1.3. Salvarea și arhivarea datelor cu caracter confidențial Constatare În urma aplicării interviului constatăm că procesul salvării datelor este securizat și se face doar pe echipamentul(server-ul) entității. Se folosește un program special achiziționat pentru recuperarea acestora dacă este cazul. Legislația în vigoare cu privire la păstrarea datelor este respectată deoarece acestea nu sunt șterse, rămânând pe o durată nedeterminată în hard disk. III. CONCLUZII Prezentul proiect de Raport de audit intern a fost întocmit în baza Tematicii in detaliu a misiunii de audit şi a Programului intervenţiei la faţa locului, a constatărilor efectuate în etapa de colectării şi prelucrării informaţiilor şi în timpul intervenţiei la fata locului. Toate constatările efectuate au la bază probe de audit realizate prin teste, foi de lucru, interviuri, liste de control, note de relații si in urma analizei si interpretării acestora s-au elaborat FIAP-uri si FCRI-uri care au condus la recomandările și concluziile cuprinse in Raportul de audit intern. Structura auditată are obligația să întocmească Programul de acțiune si Calendarul implementării recomandărilor și să raporteze periodic auditorului stadiul implementării acestora. Auditorul intern, pe baza analizelor şi evaluărilor efectuate apreciază aplicația mobile banking, conform grilei prezentate în continuare. APRECIERE Nr. OBIECTIVUL crt. FUNCŢIONAL DE ÎMBUNĂTĂŢIT CRITIC 1. Securitatea aplicației mobile X banking și a datelor utilizate Evaluarea are la bază discuțiile care au avut loc, cu privire la recomandările auditorul intern, în ședințele de închidere și conciliere al misiunii de audit intern, apreciate de către participanți, ca fiind 56
realiste și posibil de implementat în practică. De asemenea, considerăm că rezultatele evaluării auditorilor interni privind Aplicația mobile banking se înscriu în parametrii normali datorită faptul că este o tehnologie nouă și încă în stadiul de dezvoltare. Structura auditată are obligaţia să respecte Programul de acţiune şi Calendarul de implementare a recomandărilor, cu scopul implementării recomandărilor la termenele stabilite și să raporteze echipei de auditori interni, periodic, stadiul implementării acestora. Data: 07.01.2021
Auditor Dascălu Iulian
Notă: Mi-a făcut plăcere să lucrez la acest proiect. Am avut o oarecare reticență la început datorită faptului că materialul părea stufos și greu de abordat. Lucrând, mi-am dat seama că toți pașii sunt logici și consecvenți. Pare a fi un domeniu în care trebuie să observi entitatea și mecanismele ei la un nivel macroeconomic pentru a identifica potențiale probleme ca apoi să iei lupa și să analizezi fiecare detaliu în parte. Aș minți dacă aș spune că n-am simțit o plăcere în momentele când m-am semnat cu titlul de auditor.
SINTEZA RAPORTULUI DE AUDIT INTERN I. INTRODUCERE Misiunea de audit intern privind Imbunătățirea securității aplicației mobile banking s-a desfăşurat în conformitate cu metodologia privind auditul intern, Normelor generale privind exercitarea activităţii de audit public intern, aprobate prin OMFP nr. 38/2003 şi a normelor specifice aprobate de conducerea entităţii. Misiunea de audit intern s-a realizat în baza Planului de audit intern pe anul 2019, aprobat de conducerea entităţii, perioada auditată fiind 01.01.2019 – 31.12.2019 şi a fost efectuată, în perioada 20.11.2020 – 07.01.2021 de către auditorul intern Dascalu Iulian Echipa de auditori interni în baza analizei privind riscurile, a testărilor pe teren, şi a evaluărilor realizate privind Securitatea aplicatiei mobile banking, structurată pe un obiectiv stabilit pentru derularea misiunii, apreciază funcţionalitatea sistemului de control intern, după cum urmează: Nr. crt.
OBIECTIVUL
FUNCŢIONAL 57
APRECIERE DE ÎMBUNĂTĂŢIT
CRITIC
1.
Securitatea aplicației mobile banking și a datelor utilizate
X
II. CONSTATĂRI ŞI RECOMANDĂRI Principalele constatări şi recomandări rezultate din evaluarea auditorilor interni sunt cele prezentate în continuare: - Constatare 1: nu s-a elaborat o strategie privind scurgerea de date care să includă instrucțiuni detaliate personalului abilitat în vederea pașilor și obiectivelor de parcurs pentru remedierea unei astfel de situație Recomandare 1: Elaborarea unor proceduri scrise și aprobate în vederea realizării strategiei de securitate - Constatare 2: metoda de criptare folosită de către entitate în prezent pentru securitatea datelor cu caracter confidențial folosită în aplicația mobile banking este inferioară Recomandare 2: Testarea metodelor de criptare disponibile pe piață în fiecare an Rezilierea contractului cu furnizorul care ne oferă serviciul de criptare și achiziționarea unui serviciu de criptare care s-a clasat în topul indicilor testați - Constatare 3: locația destinată echipamentului(server-ului) nu este dotată cu: camere de supraveghere, senzori de mișcare, senzori de fum, climatizare pentru menținerea unei temperaturi optime echipamentului(server-ului) Recomandare 3: Dotarea unui loc care să asigure condițiile optime a echipamentului(server-ului) cu: climatizare, senzori de fum și mișcare, camere de supravegheat, sistem de alarmă, sistem de securitate la intrare. III. CONCLUZII Evaluarea Securitatatii aplicației mobile banking și a datelor utilizate din cadrul Direcţiei Buget şi Contabilitate Internă, în baza testelor şi analizelor efectuate, permit auditorilor interni să emită o asigurare rezonabilă managementului general privind calitatea sistemului de control intern al activităţii auditate, nefiind identificate obstacole în funcţionarea acesteia. Echipa de auditori interni prin analiza activităţilor auditabile şi evaluările realizate în etapa de intervenţie la faţa locului, a elaborat un număr de 3 de recomandări, aferente unui obiectiv ale misiunii de audit intern. Considerăm că prioritatea în activitatea de implementare a recomandărilor o reprezintă dotarea unui loc care sa asigure conditiile optime a echipamentului, pentru asigurarea bunei functionalitati a intregului sistem 58
59