1. Care sînt activitățile obligatorii?

Achizitionarea de sisteme informatice de eficientizare şi modernizare a serviciilor publice oferite cetăţenilor (achiziţionarea serviciilor de dezvoltare şi implementarea soluţiilor software şi integrarea aplicaţiilor folosite, respectând etapele clare de dezvoltare a proiectului: analiza cerinţelor, proiectare, implementare şi testare)

Instruirea personalului care va utiliza produsele software implementate şi cel care va asigura mentenanţa

Informare şi publicitate pentru proiect

Auditarea parţială şi finală a proiectului, inclusiv auditarea din punctul de vedere al securităţii aplicaţiei

2. Care sînt categoriile de cheltuieli eligibile?

Printre altele:

Cheltuieli cu servicii de auditare intermediară şi finală pentru proiect, inclusiv auditarea securităţii reţelei şi aplicaţiei informatice

3. Ce documente sînt necesare pentru rambursare cheltuielilor?

Printre altele:

Beneficiarii tuturor proiectelor care obţin finanţare sunt obligaţi să solicite, la finalizarea proiectului, auditarea acestuia de către un auditor extern. Odată cu ultima cerere de rambursare, beneficiarul va depune obligatoriu şi:

• raportul de audit realizat de un auditor extern, care certifică faptul că proiectul este implementat în locaţia menţionată în contract, că este în stare de funcţionare şi că din punct de vedere tehnic şi economic respectă obligaţiile asumate prin contractul de finanţare
• (…)

4. Care este scopul auditului realizat de CISA?

În opinia mea, aici apare confuzia! În cele mai multe cazuri, din realitatea noastră, se consideră că scopul auditului îl reprezintă ”auditarea securității rețelei și a aplicației” și se va limita la tehnicismele specifice securității IT. Nu cred că este suficient. (aceste oricum sînt misiuni cu scop special)

Scopul auditului (=granițele pînă la care se întinde) îl reprezintă certificarea implementării proiectului „în locaţia menţionată în contract, că este în stare de funcţionare şi că din punct de vedere tehnic şi economic respectă obligaţiile asumate prin contractul de finanţare„. Pe de o parte este vorba de certificarea eligibilității cheltuielilor, pe de altă parte de certificarea că s-a făcut ceea ce scrie în contract. Exprimarea mai puțin reușită de tipul ”” audit tehnic și de securitate” este o altă sintagmă care a condus la intrepretări greșite.

Finanțatorul, cînd se referă la achiziţionarea serviciilor de dezvoltare şi implementare a soluţiilor software şi integrarea aplicaţiilor folosite (vezi punctul 1), impune foarte clar respectarea etapelor de dezvoltare a proiectului: analiza cerinţelor, proiectare, implementare şi testare.

Să presupunem că ipoteza mea este greșită și că scopul auditului îl reprezintă doar ”securitatea rețelei și a aplicației” ceea ce ar implica, după cum am mai spus deja, doar revizuirea din punct de vedere tehnic a aspectelor ce țin de securitatea IT.

Auditul înseamnă testarea unor controale pentru a constata atingerea/neatingerea obiectivelor acestora. Controalele pot fi tehnice (la nivel hardware și/sau software) și manageriale. Controalele ar trebui să existe și să funcționeze la nivelul fiecărei etape a cliclului de viață/dezvoltare a unei aplicații! Prin urmare, cel puțin în cazul în care se angajează un terț care să dezvolte și să integreze o aplicație, auditul ”rețelei și securității aplicației” va trebui să pornească de la controalele existente la nivelul fiecărei etape a ciclului de dezvoltare a proiectului/aplicației. De exemplu în cazul aplicațiilor care vor prelucra date cu caracter personal există o serie de controale care trebuie să existe ca rezultat al cerințelor legale.