Audit Questionnaire: Management Processes

Number Question
13A Protection of personal information (PPI)
13A01 Policy and instructions related to PPI
13A01-01 Is there a set of legal provisions and regulations concerning the
protection of personal information (PPI)?
13A01-02 Is this set updated annually?
13A01-03 Is there a policy and are there directives concerning PPI?

13A01-04 Has this policy been approved by the governing bodies?

13A01-05 Does the policy indicate that PPI must be taken into consideration in
the development of projects related to information technology?
13A01-06 Do the PPI directives cover all legal obligations, including those related
to collection, access, communication, use, preservation and
destruction of such information?
13A01-07 Has the adequacy of the directives with respect to all the relevant laws
and regulations been verified by independent audit?
13A01-08 Has a manager responsible for PPI been appointed?
13A01-09 Is the PPI manager known to all members of staff?
13A01-10 Does the PPI policy (or the management framework) clearly define the
responsibilities of the various stakeholders: the PPI manager, Digital
Information Security Manager, internal control, etc.?

13A01-11 Is there a committee related to the governing bodies that is charged

with developing PPI policy and with periodically studying any related
problems?
13A01-12 If such a committee exists, is it composed of the PPI manager and
representatives from senior management, security, audit, IT, legal,
document management, and users?
13A01-13 Is the PPI policy revised regularly?
13A02 PPI training and awareness program
13A02-01 Is there a PPI awareness and training program?
13A02-02 Is this program approved by the PPI manager?
13A02-03 Is this program offered to the staff who process information covered by
the legal provisions related to PPI?

13A02-04 Is this program tailored to the tasks performed?

13A02-05 Does this program take into account PPI issues relating to the use of
IT and telecommunications systems?
13A02-06 Does this program include training or awareness of the consequences
of not respecting the legal provisions relating to PPI?

13A02-07 Is the level of knowledge of members of staff concerning PPI

periodically evaluated by survey or other mechanism?
13A02-08 Are members of staff periodically reminded of the existence of this
program by poster, or other communication?
13A02-09 Is this program revised at least every five years?
13A02-10 Is the enforcement of this program subject to a periodic audit?
13A03 Applicability of the PPI policy
13A03-01 Have the conditions necessary for implementing the PPI policy been
analyzed?
13A03-02 Have the corresponding resources (technical and human) been put in
place?
13A03-03 Is the level of resource necessary for the application of PPI audited
regularly?
13A04 Monitoring the implementation of the PPI policy
13A04-01 Is the implementation of the PPI policy audited regularly?

13A04-02 Are sanctions defined in case of nonconformity or failure to apply the

policy?
13A04-03 Have these sanctions been communicated to staff?
13B Communication of financial data
For example, the Financial Security Law (loi Mer) in France and the
Sarbanes Oxley Act in the United States
13B01 Policy and instructions related to Communication of financial
data
13B01-01 Is there a reference document stating the set of rules related to the
collection, treatment and presentation of results leading to
Communication of financial data?
13B01-02 Is this reference document updated annually?
13B01-03 Is there a policy and are there precise directives concerning
Communication of financial data?
13B01-04 Has this policy been approved by the governing bodies?
13B01-05 Does the policy concerning Communication of financial data
encompass all the legal requirements in that matter?
13B01-06 Has the upper management conducted an evaluation of the
effectiveness of internal control regarding the procedures and controls
ensuring that financial statements are produced in line with external
regulations?
13B01-07 Has the quality evaluation document been evaluated and approved by
financial auditors?
This approval implies that the auditors must obtain all the necessary
elements in time for them to control
13B01-08 Has the upper management certified the efficiency of the procedures
and controls implemented to ensure the veracity of financial
statements?
13B01-09 Is there an audit commission charged with choosing external auditors,
fixing their remuneration levels and supervising their activities?
13B01-10 Are the members of the audit commission totally independent?
i.e. they do not exercise any operational authority within the company,
are not affiliated to any person exercising authority within the company
and receive no remuneration apart from that related to their function on
the audit commission
13B01-11 Does the application of this frame of reference enable all information
published to be traced back?
This includes the capacity to trace back the chain of treatments so as
to identify the original data (references to the facts, accounting data
entries, ... ) and the decisions related to the origin of the information

13B01-12 Has a manager responsible for Communication of financial data been

appointed?
13B01-13 Does the policy concerning Communication of financial data (or its
management framework) clearly establish the responsibilities of each
of the contributors?
13B01-14 Is there a committee related to the governing bodies that is charged
with developing the Communication of financial data policy and with
periodically studying any related problems?
13B01-15 Is the Communication of financial data policy revised regularly?
13B02 Communication of financial data training and awareness program

13B02-01 Is there a Communication of financial data awareness and training

program?
13B02-02 Is this program approved by the manager responsible or in charge of
the Communication of financial data?
13B02-03 Is this program available to the staff who process information covered
by the legal provisions related to Communication of financial data?

13B02-04 Is this program tailored to the tasks performed?

13B02-05 Does this program take into account Communication of financial data
issues relating to the use of IT and telecommunications systems?

13B02-06 Does this program include training or awareness of the consequences

of not respecting the legal provisions relating to Communication of
financial data?
13B02-07 Is the level of knowledge of members of staff concerning the
Communication of financial data periodically evaluated by survey or
other mechanism?
13B02-09 Is this program revised at least every five years?
13B02-10 Is the enforcement of this program subject to a periodic audit?
13B03 Applicability of the Communication of financial data policy
13B03-01 Have the conditions necessary for implementing the Communication of
financial data policy been analyzed?
13B03-02 Have the corresponding resources (technical and human) been put in
place?
13B03-03 Is the level of resource necessary for the application of Communication
of financial data audited regularly?

13B04 Monitoring the implementation of the Communication of financial

data policy
13B04-01 Is the implementation of the Communication of financial data policy
audited regularly?

13B04-02 Are sanctions defined in case of nonconformity or failure to apply the

policy?
13B04-03 Have these sanctions been communicated to staff?
13C Respect of regulations concerning the verification of
computerized accounting (VCA)
13C01 Preservation of accounting data and treatments
13C01-01 Is there a list of the types of recordings to preserve and of the
procedures and protections to apply until their end of life?
This list should consider media like : paper, microfiches, files and their
protection during the requested retention durations.

13C01-02 Are the basic accounting data preserved in compliance with the VCA
regulations?
The elementary data are individual, not yet aggregated, data
considered since their origin, for example: historic files of movements
(orders, bills, stocks...), written evidences, statements, permanent
data, operations of files' updates...
13C01-03 Are files which contain long term or reference information
(accounting schemas, client files, suppliers, tariffs, products)
kept in compliance with the VCA?
13C01-04 Are operational procedures kept in compliance with VCA regulations?

13C01-05 Are operational systems which have a direct or indirect link

with the accounting system kept in compliance with VCA
13C01-06 regulations?
Are all accounting applications and applications which feed
the accounting system, via intermediate or interface files,
13C01-07 kept?
Are analytical or budgetary applications used to determine
expenses and incomes kept?
13C01-08 Are constraints related to the migration of systems and
applications respected ?
In the case of migrations, the company must be able to supply
either copies of the history of each data file or the tools and
processes used for converting existing data files towards the
new system. It is not therefore necessary to retain a working
version of the old system.
13C02 Documentation of accounting data, procedures and treatments
13C02-01 Is an inventory of applications and documentation likely to be
checked as parts of a VCA audit kept up-to-date?
13C02-02 Is a complete documentation maintained which lists all IT
accounting systems required?
The documentation must contain evidence elements such as:
an analysis of the information systems organization, an
inventory and description of hardware used, the overall
architectural concept, functional specifications, computerized
applications and treatments (description of processing chains,
of data and transactions, of source code used), maintenance,
configuration, user documentation, operation documentation,
internal control procedures, archiving plans.

13C02-03 Is this documentation preserved as required by the regulation

(either on paper or electronically)?
13C02-04 Is this documentation updated using a precise system of
follow up of documents version numbers?
13C02-05 Is the source code of programs related to VCA accessible?
13C02-06 Are all documents, data and transactions, subject to legal
control, preserved and accessible in the host country itself?
13C02-07 Is the retention plan for data and information, including
documentation, compliant with the rules in force (duration
and nature of support media)?
13C02-08 Do IT contracts with third parties contain a specific legal clause taking
into account VCA regulations such as the availability of source code,
documentation and technical assistance in the case of a VCA audit?
Such third parties include outsourcing, software editors, suppliers, etc.

13C02-09 Does the documentation, issued from application

developments and updates, comply to VCA regulation (for all
applications within the scope of VCA regulations)?
13C02-10 In the case of company acquisitions is there a clause which
guarantees the respect of obligations related to VCA?
13C02-11 Is there a control procedure related to VCA elements covering
backup plan, operations technical documents, data,
processing, version of the saved elements, etc. ?
13C03 Verification of computerized accounting data training and
awareness program
13C03-01 Is there a VCA awareness and training program?
13C03-02 Is this program approved by the VCA manager?
13C03-03 Is this program offered to the staff who process information covered by
the legal provisions related to VCA?

13C03-04 Is this program tailored to the tasks performed?

13C03-05 Does this program take into account VCA issues relating to the use of
IT and telecommunications systems?
13C03-06 Does this program include training or awareness of the consequences
of not respecting the legal provisions relating to VCA?

13C03-07 Is the level of knowledge of members of staff concerning VCA

periodically evaluated by survey or other mechanism?
13C03-09 Is this program revised at least every five years?
13C03-10 Is the enforcement of this program subject to a periodic audit?
13C04 Applicability of the VCA policy
13C04-01 Have the conditions necessary for implementing the VCA policy been
analyzed?
13C04-02 Have the corresponding resources (technical and human) been put in
place?
13C04-03 Is the level of resource necessary for the application of VCA audited
regularly?
13C05 Monitoring the implementation of the VCA policy
13C05-01 Is the implementation of the VCA policy audited regularly?

13C05-02 Are sanctions defined in case of nonconformity or failure to apply the

policy?
13C05-03 Have these sanctions been communicated to staff?
13D Protection of intellectual property rights (IPR)
13D01 Policy and instructions relative to the Protection of intellectual
property rights
13D01-01 Is there a collection of all applicable legal and regulatory rules and
measures regarding the protection of intellectual property rights?
13D01-02 Is this collection revised every year?
13D01-03 Is there a policy and are there precise directives concerning intellectual
property rights?
13D01-04 Are these directives explicitly forbidding the use of software without a
proper license and limitation of copies of software, commercial
recordings (video, audio) and documents ?
13D01-05 Has this policy been approved by the governing bodies?
13D01-06 Does the policy concerning the protection of intellectual property rights
encompass all the legal requirements in that matter?
13D01-07 Has the adequacy of the directives with respect to all the relevant laws
and regulations been verified by independent audit?
13D01-08 Has a manager responsible for IPR been appointed?
13D01-09 Is the IPR responsible manager known to all members of staff?
13D01-10 Does the IPR policy (or the management framework) clearly define the
responsibilities of the various stakeholders?
13D01-11 Is there a committee related to the governing bodies that is charged
with developing IPR directions and with periodically studying any
related problems?
13D01-12 Is the IPR policy revised regularly?
 13D02 Intellectual property rights training and awareness program

13D02-01 Is there an IPR awareness and training program?

13D02-02 Is this program approved by the IPR manager or respondent?
13D02-03 Is this program offered to the staff concerned?
13D02-04 Does this program take into account IPR issues relating to the use of
IT and telecommunications systems?
13D02-05 Does this program include training or awareness of the consequences
of not respecting the legal provisions relating to IPR?

13D02-06 Is the level of knowledge of members of staff concerning IPR

periodically evaluated by survey or other mechanism?
13D02-07 Is this program revised at least every five years?
13D02-08 Is the enforcement of this program subject to a periodic audit?
13D03 Applicability of the intellectual property rights policy
13D03-01 Have the conditions necessary for implementing the IPR policy been
analyzed?
13D03-02 Have the corresponding resources (technical and human) been put in
place?
13D03-03 Is the level of resource necessary for the application of IPR audited
regularly?
13D04 Monitoring the implementation of the intellectual property rights
policy
13D04-01 Is the implementation of the IPR policy audited regularly?

13D04-02 Are sanctions defined in case of nonconformity or failure to apply the

policy?
13D04-03 Have these sanctions been communicated to staff?
13E Protection of computerized systems
13E01 Policy and instructions relative to the Protection of computerized
systems
13E01-01 Is there a collection of all applicable legal and regulatory rules and
measures regarding the protection of computerized systems?
13E01-02 Is this collection revised every year?
13E01-03 Is there a policy and are there precise directives concerning the
protection of computerized systems?
13E01-04 Has this policy been approved by the governing bodies?
13E01-05 Does the policy concerning the protection of computerized systems
encompass all the legal requirements in that matter?
13E01-06 Has the adequacy of the directives with respect to all the relevant laws
and regulations been verified by independent audit?
13E01-07 Has a manager responsible for the protection of computerized
systems been appointed?
13E01-08 Is the protection of computerized systems responsible manager known
to all members of staff?
13E01-09 Does the protection of computerized systems policy (or the
management framework) clearly define the responsibilities of the
various stakeholders?
13E01-10 Is there a committee related to the governing bodies that is charged
with developing directions for the protection of computerized systems
and with periodically studying any related problems?

13E01-11 Is the protection of computerized systems policy revised regularly?

13E02 Protection of computerized systems training and awareness

program
13E02-01 Is there a protection of computerized systems awareness and training
program?
13E02-02 Is this program approved by the protection of computerized systems
manager or respondent?
13E02-03 Is this program offered to the staff concerned?
13E02-04 Does this program include training or awareness of the consequences
of not respecting the legal provisions relating to the protection of
computerized systems?
13E02-05 Is the level of knowledge of members of staff concerning the protection
of computerized systems periodically evaluated by survey or other
mechanism?
13E02-06 Is this program revised at least every five years?
13E02-07 Is the enforcement of this program subject to a periodic audit?
13E03 Applicability of the protection of computerized systems policy

13E03-01 Have the conditions necessary for implementing the protection of

computerized systems policy been analyzed?
13E03-02 Have the corresponding resources (technical and human) been put in
place?
13E03-03 Is the level of resource necessary for the application of the protection
of computerized systems audited regularly?

13E04 Monitoring the implementation of the protection of computerized

systems policy
13E04-01 Is the implementation of the protection of computerized systems policy
audited regularly?
13E04-02 Are sanctions defined in case of nonconformity or failure to apply the
policy?
13E04-03 Have these sanctions been communicated to staff?
13F Human safety and protection of the environment
13F01 Policy and instructions relative to Human safety and protection of
the environment
13F01-01 Is there a collection of all applicable legal and regulatory rules and
measures relative to the human safety and protection of the
environment?
13F01-02 Is this collection revised every year?
13F01-03 Is there a policy and are there precise directives relative to the human
safety and protection of the environment?
13F01-05 Has this policy been approved by the governing bodies?
13F01-06 Does the policy relative to the human safety and protection of the
environment encompass all the legal requirements in that matter?

13F01-07 Has the adequacy of the directives with respect to all the relevant laws
and regulations been verified by independent audit?
13F01-08 Has a manager responsible for human safety and protection of the
environment been appointed?
13F01-09 Is the responsible manager relative to the human safety and protection
of the environment known to all members of staff?
13F01-10 Does the policy (or the management framework) relative to human
safety and protection of the environment clearly define the
responsibilities of the various stakeholders?
13F01-11 Is there a committee related to the governing bodies that is charged
with developing directions for relative to the human safety and
protection of the environment and with periodically studying any related
problems?
13F01-12 Is the policy relative to the human safety and protection of the
environment revised regularly?
13F02 Human safety and protection of the environment training and
awareness program
13F02-01 Is there a Human safety and protection of the environment awareness
and training program?
13F02-02 Is this program approved by the Human safety and protection of the
environment manager or respondent?
13F02-03 Is this program offered to the staff concerned?
13F02-04 Does this program include training or awareness of the consequences
of not respecting the legal provisions relating to the Human safety and
protection of the environment?
13F02-05 Is the level of knowledge of members of staff concerning the Human
safety and protection of the environment periodically evaluated by
survey or other mechanism?
13F02-06 Is this program revised at least every five years?
13F02-07 Is the enforcement of this program subject to a periodic audit?
13F03 Applicability of the Human safety and protection of the
environment policy
13F03-01 Have the conditions necessary for implementing the Human safety and
protection of the environment policy been analyzed?
13F03-02 Have the corresponding resources (technical and human) been put in
place?
13F03-03 Is the level of resource necessary for the application of the Human
safety and protection of the environment audited regularly?

13F04 Monitoring the implementation of the Human safety and

protection of the environment policy
13F04-01 Is the implementation of the Human safety and protection of the
environment policy audited regularly?
13F04-02 Are sanctions defined in case of nonconformity or failure to apply the
policy?
13F04-03 Have these sanctions been communicated to staff?
13G Rules related to the use of encryption
13G01 Policy and instructions relative to the use of encryption
13G01-01 Is there a collection of all applicable legal and regulatory rules and
measures regarding the use of encryption?
13G01-02 Is this collection revised every year?
13G01-03 Is there a policy and are there precise directives concerning the use of
encryption?
13G01-04 Has this policy been approved by the governing bodies?
13G01-05 Does the policy concerning the use of encryption encompass all the
legal requirements in that matter?
13G01-06 Has the adequacy of the directives with respect to all the relevant laws
and regulations been verified by independent audit?
13G02 Use of encryption training and awareness program
13G02-01 Is there a use of encryption awareness and training program?
13G02-02 Is this program offered to the staff concerned?
13G03 Monitoring the implementation of the use of encryption policy

13G03-01 Is the implementation of the use of encryption policy audited regularly?

13G03-02 Are sanctions defined in case of nonconformity or failure to apply the

policy?
13G03-03 Have these sanctions been communicated to staff?
PROCESE DE MANAGEMENT

Protectia informatiilor personale

Politici și instrucțiuni referitoare la PPI

Exista un set de reguli si provizii legale in ceea ce priveste protectia informatiilor personale?
Acest set este actualizat anual?

Exista o politica si aceasta are directive in ceea ce priveste protectia informatiilor personale?
Aceasta politica a fost aprobata de corpurile guvernamentale?
Politica indica faptul ca protectia informatiilor personale trebuie luata in considerare in dezvoltarea
proiectelor legate de tehnologia informatiilor?

Instructiunile PPI acopera toate obligatiile legale, inclusiv cele legate de colectarea, accesul,
comunicarea, folosirea si distrugerea acestor informatii?
Gradul de adecvare a orientărilor cu privire la toate legile și regulamentele relevante a fost verificat
de auditul independent?
A fost ales un manager responsabil de protectia informatiilor personale?
Managerul pentru protectia informatiilor personale este cunoscut de toti membrii?

Politica PPI (sau cadrul managerial) definesc clar responsabilitatile diverselor parti interesate:
managerul PPI, managerul de securitate a informațiilor digitale, controlul intern, etc.?

Există o comisie referitoare la organele de conducere care se ocupa de dezvoltarea politicii PPI și
cu studierea periodica a oricarei probleme ?

Daca o astfel de comisie exista, este compusa din managerul PPI si reprezentanti din conducerea
superioara, securitate, audit, IT, drept, management al documentelor si utilizatori?
Politica privind protectia informatiilor personale este revizuita in mod regulat?
Programul de instruire si constientizare PPI
Exista un program de instruire si constientizare PPI?
Este acest program aprobat de managerul PPI

Este acest program oferit personalului care prelucrează

Este acest program adaptat la sarcinile efectuate?
Acest program ia in considerare problemele PPI legate de folosirea sistemelor IT si de
telecomunicatii?

Include acest program instruire sau constientizarea consecintelor nerespectarii proviziilor legale
legate de PPI?
Este nivelul cunostintelor personalului care are legatura cu PPI evaluat periodical prin sondaj de
opinie sau alt mecanism?
Este personalul reamintit periodic de existenta acestui program printr-un poster sau alte mijloace
de comunicare?
Acest program este revizuit cel putin o data la cinci ani?
Este punerea în aplicare a acestui program obiectul unui audit periodic ?
Aplicabilitatea politicii de PPI

Au fost conditiile necesare pentru implementare ploiticii PPI analizate?

Au fost puse in loc resursele corespunzătoare ( tehnice și umane )

Este nivelul de resurse necesare pentru punerea în aplicare a PPI auditat în mod regulat ?
Monitorizarea Implementarii politicii PPI
Punerea in practica a politicii privind protectia informatiilor personale este auditata in mod
regulat?

Exista sanctiuni definite in cazul neconformarii sau neaplicarii politicii?

Aceste sanctiuni au fost communicate personalului?

Comunicarea datelor financiare

Politici si instructiuni referitoare la Comunicarea datelor financiare

Există o lucrare de referință care mentioneaza un set de reguli referitoare la colectarea, tratarea și
prezentarea rezultatelor care conduc la comunicarea datelor financiare ?
Acest document de referinta este actualizat anual?

Exista o politica si sunt directive precise in legatura cu Comunicarea datelor financiare?

Aceasta politica a fost aprobata de corpurile guvernamentale?

Politica privind Comunicarea datelor financiare cuprind toate cerințele legale în această privință ?

Managementulu superior a efectuat o evaluare a eficienței controlului intern în ceea ce privește

procedurile și controalele ce asigura că situațiile financiare sunt produse în conformitate cu
reglementările externe ?

A fost evaluat documentul de evaluare a calității și aprobat de către auditori financiari?

A certificat managementul superior eficiența procedurilor și controalelor aplicate pentru a asigura

veridicitatea situațiilor financiare?

Există o comisie de audit însărcinat cu alegerea auditorilor externi, stabilirea unor niveluri de
remunerare și supravegherea activităților lor?
Sunt membrii comisiei de audit total independenti?

Permite aplicarea cadrului de referinta tuturor informațiilor publicate să fie urmărite înapoi ?

Managerul responsabil pentru comunicarea datelor financiare a fost numit?

Stabileste politica cu privire la Comunicarea datelor financiare responsabilitatile fiecarui

contribuitor?

Există o comisie referitoare la organele de conducere , care este însărcinata cu dezvoltarea

Comunicarii politicii datelor financiare și cu studierea periodica a oricarei probleme ?
Politica comunicarii datelor finaciare este revizuita in mod regulat?

Programul de instruire si constientizare a Comunicarii datelor financiare

Exista un program de instruire si constientizare a comunicarii datelor financiare?

Este acest program aprobat de managerul responsabil sau in fruntea Comunicatiilor datelor
financiare

Este acest program la dispoziția personalului care prelucrează informații sub incidența dispozițiilor
legale referitoare la Comunicarea datelor financiare ?
Este acest program adaptat la sarcinile efectuate?

Ia acest program in in considerare problemele legate de utilizarea IT și sistemelor de

telecomunicații a Comunicarii datelor financiare?

Include acest program instruire sau constientizarea consecintelor nerespectarii proviziilor legale
legate de Comunicarea datelor financiare?

Este nivelul cunostintelor personalului care are legatura cu Comunicarea datelor financiare evaluat
periodical prin sondaj de opinie sau alt mecanism?
Acest program este revizuit cel putin o data la cinci ani?
Este punerea în aplicare a acestui program obiectul unui audit periodic?
Aplicabilitatea Comunicării a politicii datelor financiare
Au fost analizate condițiile necesare pentru punerea în practica a comunicării politicii datelor
financiare?
Au fost puse in loc resursele corespunzătoare ( tehnice și umane )

Este nivelul de resurse necesare pentru punerea în aplicare a Comunicarii datelor financiare
auditat în mod regulat ?

Monitorizarea punerii în aplicare a comunicării politicii datelor financiare

Politica implementarii Comunicarii datelor financiare este audiata regulat?

Sunt definite sanctiuni in cazul neconformarii sau neaplicarii politici?

Au fost aceste sanctiuni communicate angajatilor?

Respectarea regulilor in ceea ce priveste verificarea contabilitatii informatice (VCA)

Conservarea datelor contabile și tratamente

Există o listă a tipurilor de înregistrări pentru conservarea procedurilor și protecțir să se aplice

până la sfârșitul vieții lor ?

Sunt datelor contabile de bază păstrate în conformitate cu reglementările VCA?

Sunt fișiere care conțin informații pe termen lung sau de referință ( scheme contabile , dosare
client , furnizori , tarifele , produse ) păstrate în conformitate cu VCA ?

Procedurile operationale sunt in conformitate cu regulile VCA?

Sunt sisteme de operare care au o legătură directă sau indirectă cu sistemul contabil ținute în
conformitate cu reglementările VCA?
Sunt toate aplicațiile de contabilitate și aplicații care alimentează sistemul contabil , prin
intermediar sau fișiere de interfață , salvate ?

Sunt aplicații analitice sau bugetare utilizate pentru a determina cheltuielile și veniturile păstrate ?

Sunt constrângerile legate de migrarea sistemelor și aplicațiilor respectate ?

Documentatia de date contabile, proceduri si tratamente

Este un inventar de aplicații și documentatii susceptibil de a fi verificat ca părți ale unui audit VCA ținut la
zi ?

Este o documentație completă a menținut care listează toate sistemele de contabilitate IT

necesare?

Este aceasta documentatie pastrata asa cum prevede regulamentul (pe hartie sau electronic)?
Este această documentație actualizată folosind un sistem precis de urmărire a versiunii numarului
documentelor
Este codul sursă al programelor legate de VCA accesibil ?
Sunt toate documentele, datele si tranzactiile supuse controlului legal , păstrate și disponibile în
țara gazdă în sine?

Este planul de păstrare a datelor și informațiilor , inclusiv documentele , în conformitate cu

normele în vigoare

Contractele IT cu terte parti contin clauze legale specifice care iau in considerare reglementarile
VcA cum ar fi codul sursa, documentatia si suportul tehnic in cazul unui audit VCA

Este documentatia, emisa din aplicatia dezvoltata si actualizari, in conformitate reglementarile

VCA?
În cazul achizițiilor companiei există o clauză care garantează respectarea obligațiilor legate de
VCA ?

Există o procedură de control în legătură cu elemente VCA care acoperă planul de rezervă ,
operațiunile tehnice, documente , date , prelucrare, versiunea de elemente salvate , etc ?

Programului de instruire si constientizare a verificarii datelor computerizate

Exista un program de instruire si constientizare a verificarii datelor computerizate?
Este acest program aprobat de catre managerul VCA?

Este acest program oferit personalului care prelucrează informatia acoperita de dispozițiile legale
referitoare la VCA
Este acest program adaptat la sarcinile efectuate?

Acest program ia in considerare problemele VCA legate de folosirea sistemelor IT si de

telecomunicatii?
Include acest program instruire sau constientizarea consecintelor nerespectarii proviziilor legale
legate de VCA?
Este nivelul cunostintelor personalului care are legatura cuVCA evaluat periodical prin sondaj de
opinie sau alt mecanism?
Acest program este revizuit cel putin o data la cinci ani?
Este punerea în aplicare a acestui program obiectul unui audit periodic ?
Aplicabilitatea politicii VCA

Au fost analizate condițiile necesare pentru punerea în aplicare a politicii VCA?

Au fost puse resursele corespunzătoare (tehnice și umane) în loc?

Este nivelul de resurse necesare pentru punerea în aplicare a VCA auditat în mod regulat ?
Monitorizarea Implementarii politicii VCA

Politica implementarii VCA este audiata regulat?

Sunt definite sanctiuni in cazul neconformarii sau neaplicarii politici?

Au fost aceste sanctiuni communicate angajatilor?
Protecția drepturilor de proprietate intelectuală (IPR)

Politici și instrucțiuni referitoare la IPR

Exista o colectie a tuturor legilor si masurilor legale referitoare la IPR?

Este aceasta colectie revizuita annual?

Exista o politica si aceasta are directive precise in ceea ce priveste IPR?

Aceste directive interzic precis folosirea programelor fara licenta si limitarea copierii programelor,
inregistrari comerciale si a documentelor?
Aceasta politica a fost aprobata de corpurile guvernamentale?
Politica privind protecția drepturilor de proprietate intelectuală cuprinde toate cerințele legale în
această privință?
Gradul de adecvare a directivelor cu privire la toate legile și reglementările relevante fost verificată
de un audit independent?
A fost numit un manager responsabil pentru IPR?
Este directorul responsabil pentru IPR cunoscut de toți membrii personalului?

Politica IPR (sau cadrul managerial) definesc clar responsabilitatile diverselor parti interesate

Există o comisie referitoare la organele de conducere care se ocupa de dezvoltarea politicii IPR și
cu studierea periodica a oricarei probleme ?
Politica privind IPR este revizuita in mod regulat?
Programul de instruire si constientizare a drepturilor de proprietate intelectuală
Exista un program de instruire si constientizare a drepturilor proprietatii Intelectuale?
Este acest program aprobat de catre managerul IPR?
Acest program este oferit personalului responsabil?
Acest program ia in considerare problemele IPR legate de folosirea sistemelor IT si de
telecomunicatii?

Include acest program instruire sau constientizarea consecintelor nerespectarii proviziilor legale
legate de IPR?
Este nivelul cunostintelor personalului care are legatura cu IPR evaluat periodical prin sondaj de
opinie sau alt mecanism?
Acest program este revizuit la fiecare cinci ani?
Este punerea în aplicare a acestui program obiectul unui audit periodic ?
Aplicabilitatea politicii IPR

Au fost analizate condițiile necesare pentru punerea în aplicare a politicii DPI?

Au fost puse resursele corespunzătoare (tehnice și umane) în loc?

Este nivelul de resurse necesare pentru punerea în aplicare a IPR auditat în mod regulat ?

Monitorizarea implementarii politicii drepturilor de proprietate intelectuala

Politica implementarii IPR este audiata regulat?

Sunt definite sanctiuni in cazul neconformarii sau neaplicarii politici?

Au fost aceste sanctiuni communicate angajatilor?
Protectia sistemelor informatice

Politici și instrucțiuni referitoare la Protectia sistemelor informatice

Exista o colectie a tuturor legilor si masurilor legale referitoare la protectia sistemelor informatice?
Este aceasta colectie revizuita annual?
Exista o politica si aceasta are directive precise in ceea ce priveste protectia sistemelor
informatice?
Aceasta politica a fost aprobata de corpurile guvernamentale?

Politica privind protecția sistemelor informatice cuprinde toate cerințele legale în această privință?
Gradul de adecvare a directivelor cu privire la toate legile și reglementările relevante a fost
verificată de un audit independent?

A fost numit un manager responsabil pentru protecția sistemelor informatice?

Este directorul responsabil pentru protecția sistemelor informatice cunoscut de toți membrii
personalului?
Politica pentru protectia sistemelor informatice (sau cadrul managerial) definesc clar
responsabilitatile diverselor parti interesate

Există o comisie referitoare la organele de conducere care se ocupa de dezvoltarea politicii pentru
protectia sistemelor informatice și cu studierea periodica a oricarei probleme ?

Politica privind protectia sistemelor informatice este revizuita in mod regulat?

Programul de instruire si constientizare a protectiei sistemelor informatice

Exista un program de instruire si constientizare a protectiei sistemelor informatice?

Acest program este aprobat de catre managerul protectiei sistemelor informatice sau un
responsabil?
Acest program este oferit personalului responsabil?

Include acest program instruire sau constientizarea consecintelor nerespectarii proviziilor legale
legate de protectia sistemelor informatice?

Este nivelul cunostintelor personalului care are legatura cu protectia sistemelor informatice evaluat
periodical prin sondaj de opinie sau alt mecanism?
Acest program este revizuit cel putin o data la cinci ani?
Este punerea în aplicare a acestui program obiectul unui audit periodic ?

Aplicabilitatea protecției politicii sistemelor informatice

Au fost analizate condițiile necesare pentru punerea în aplicare a politicii de protecție a sistemelor
informatice?

Au fost puse resursele corespunzătoare (tehnice și umane) în loc?

Este nivelul de resurse necesare pentru punerea în aplicare a protectiei sistemelor informatice
auditata în mod regulat ?

Monitorizarea implementarii politicii protectiei sistemelor informatice

Politica implementarii protectiei pistemelor informatice este audiata regulat?

Sunt definite sanctiuni in cazul neconformarii sau neaplicarii politici?

Au fost aceste sanctiuni communicate angajatilor?
Siguranta umana si protectia mediului

Politici și instrucțiuni referitoare la siguranta umana si protectia mediului

Exista o colectie a tuturor legilor si masurilor legale referitoare la siguranta umana si protectia
mediului?
Aceasta colectie este revizuita anual?
Exista o politica si aceasta are directive precise in ceea ce priveste siguranta umana si protectia
mediului?
Aceasta politica a fost aprobata de corpurile guvernamentale?

Politica pentru securitatea umană și protecția mediului cuprinde toate cerințele legale în această
privință ?
Gradul de adecvare a directivelor cu privire la toate legile și reglementările relevante fost verificată
de un audit independent?

A fost numit un manager responsabil pentru siguranța umană și protecția mediului?

Managerul responsabil pentru siguranța umană și protecția mediului este cunoscut de toti angajatii

Politica pentru securitatea umană și protecția mediului (sau cadrul managerial) defineste clar
responsabilitatile diverselor parti interesate

Există o comisie referitoare la organele de conducere care se ocupa de dezvoltarea politicii pentru
securitatea umană și protecția mediului și cu studierea periodica a oricarei probleme ?

Politica privind siguranța umană și protecția mediului este revizuita in mod regulat?

Programul de instruire si constientizare a sigurantei umane si protectiei mediului

Exista un program de instruire si constientizare a sigurantei umane si protectiei mediului

Este acest program aprobat de managerul sau reprezentantul siguranta umana si protectia
mediului?
Acest program este oferit personalului responsabil?

Include acest program instruire sau constientizarea consecintelor nerespectarii proviziilor legale
legate de siguranta umana si protectia mediului?

Este nivelul cunostintelor personalului care are legatura cu siguranta umana si protectia mediului
evaluat periodical prin sondaj de opinie sau alt mecanism?
Acest program este revizuit cel putin o data la cinci ani?
Este punerea în aplicare a acestui program obiectul unui audit periodic ?

Aplicabilitatea politicii pentru securitatea umană și protecția mediului

Au fost analizate condițiile necesare pentru punerea în aplicare a politicii siguranta umana si
protectia mediului?

Au fost puse resursele corespunzătoare (tehnice și umane) în loc?

Este nivelul de resurse necesare pentru punerea în aplicare a sigurantei umane si protectiei
mediului auditat în mod regulat ?

Monitorizarea implementarii politicii pentru securitatea umană și protecția mediului

Politica implementarii sigurantei umane si protectiei mediului este audiata regulat?

Sunt definite sanctiuni in cazul neconformarii sau neaplicarii politici?

Au fost aceste sanctiuni communicate angajatilor?
Reguli legate de folosirea codificarii
Politici și instrucțiuni referitoare la folosirea codificarii

Exista o colectie a tuturor legilor si masurilor legale referitoare la folosirea codificarii?

Este aceasta colectie revizuita annual?

Exista o politica si aceasta are directive precise in ceea ce priveste folosirea codificarii?
Aceasta politica a fost aprobata de corpurile guvernamentale?

Politica privind folosirea codificarii cuprinde toate cerințele legale în această privință?
Gradul de adecvare a directivelor cu privire la toate legile și reglementările relevante fost verificată
de un audit independent?
Programul de instruire si constientizare a folosirii codificarii
Exista un program de instruire si constientizare a folosirii codificarii?
Acest program este oferit personalului responsabil?
Monitorizarea punerii în aplicare a politicii de codificarii

Punerea in aplicare a politicii de codificarii este auditata in mod regulat?

Sunt definite sanctiuni in cazul neconformarii sau neaplicarii politici?

Au fost aceste sanctiuni communicate angajatilor?
 1 variant
P Max Min Typ ISO 27002 Comments
R-V1 R-V2 R-V3 R-V4

1 2 E2 15.1.2

2
1 2 E2 15.1.2
2
1 4 E1 15.1.4

4
1 2 E2 15.1.4
2
1 4 E2

4
1 4 3 E2

4
1 4 3 E2

4
1 4 E2 4
0 2 E2 0
1 4 E1

4
1 4 E2

4
0 2 E2

0
1 2 3 E2 2
0
1 2 E1 2
1 2 E2 2
1 2 E2

2
1 4 E2 4
1 4 E2

4
1 4 E2

4
1 4 3 E3

4
0 2 E2

0
0 2 3 R1 0
0 2 3 C1 0
0
1 2 C1

2
1 4 3 E2

4
0 1 3 E2

0
0
1 4 3 C1

4
1 4 3 E2

4
1 2 3 E2 2

0
1 4 E3

4
0 2 E2 0
1 4 E1

4
0 2 E2 0
1 4 3 E2

4
1 4 E2

4
1 2 2 E2

2
1 2 E2

2
1 4 E2

4
0 2 2 E3

0
0 2 2 C1

0
1 4 E2

4
1 4 E1

4
1 4 E2

4
0 2 3 E2 0

0
1 2 E1

2
1 2 E2

2
0 2 E2

0
1 4 E2 4
1 4 E2

4
1 4 E2

4
1 4 3 E3

4
1 2 3 R1 2
0 2 3 C1 0
0
1 2 C1

2
1 4 3 E2

4
0 1 3 E2

0
1 4 3 C1

4
1 4 3 E2

4
1 2 3 E2 2

0
0
1 E2

4 1 4
1 4 E2

4
1 4 E2

4
1 4 E2

4
1 4 E2

4
1 4 E2

4
1 4 E3

4
1 4 C1

0
1 E2

4 4
1 4 E2

4
0 1 E2

0
1 4 E2

4
1 4 E2 4
0 1 E2

0
0 1 E2

0
0 1 E2

0
0 1 E2

0
0 1 E2

0
0 1 C1

0
1 2 E1 2
1 2 E2 2
1 2 E2

2
1 4 E2 4
1 4 E2

4
1 4 E2

4
1 4 3 E3

4
0 2 3 R1 0
0 2 3 C1 0
0
1 2 C1

2
1 4 3 E2

4
1 1 3 E2

1
0
1 4 3 C1

4
1 4 3 E2

4
0 2 3 E2 0
0

0
1 2 E2

2
1 2 E2 2
4 E1

0
1 2 2 E2

2
0 2 E2 0
1 4 3 E2

4
1 4 3 E2

4
1 4 E2 4
0 2 E2 0
1 4 E1

4
1 4 E2

4
1 2 3 E2 2
 0
1 2 E1 2
1 2 E2 2
0 2 E2 0
1 4 E2

4
1 4 E2

4
1 4 3 E3

4
0 2 3 R1 0
0 2 3 C1 0
0
1 2 C1

2
1 4 3 E2

4
0 1 3 E2

0
1 4 3 C1

4
1 4 3 E2

4
0 2 3 E2 0
0

0
1 2 E2

2
1 2 E2 2
1 4 E1

4
0 2 E2 0
1 4 3 E2

4
1 4 3 E2

4
1 4 E2

4
0 2 E2

0
1 4 E1

4
1 4 E2

4
0 2 3 E2

0
1 2 E1

2
1 2 E2

2
1 2 E2 2
1 4 E2

4
1 4 3 E3

4
0 2 3 R1 0
0 2 3 C1 0

0
1 2 C1

2
1 4 3 E2

4
0 1 3 E2

0
1 4 3 C1

4
1 4 3 E2

4
0 2 3 E2 0
0

0
1 2 E2

2
1 2 E2 2
1 4 E1

4
1 2 E2 2
1 4 3 E2

4
1 4 3 E2

4
1 4 E2

4
1 2 E2

2
1 4 E1

4
1 4 E2

4
1 2 3 E2

0
1 2 E1

2
1 2 E2

2
1 2 E2 2
1 4 E2

4
1 4 3 E3

4
0 2 3 R1 0
0 2 3 C1 0

0
1 2 C1

2
1 4 3 E2

4
0 1 3 E2

0
1 4 3 C1

4
1 4 3 E2

4
0 2 3 E2 0
0
0
1 2 E2

2
1 2 E2 2
1 4 E1

4
1 2 E2 2
1 4 3 E2

4
1 4 3 E2

4
0
1 2 E1 2
1 2 E2 2

0
1 4 3 C1

4
1 4 3 E2

4
0 2 3 E2 0
134 517 439