Auditul performantei sistemului informatic al societatii SC ARSIS TRADING SRL

Obiectivul general si obiectivele specifice ale auditului:

Obiectivul general al auditului a constat in evaluarea stadiului de dezvoltare si utilizare a sistemului informatic existent in cadrul societatii SC ARSIS TRADING SRL precum si a instrumentelor, tehnolo iilor informatice si infrastructurii aferente furnizarii unor servicii de calitate impreuna cu formularea unor recomandari in scopul im!unatatirii serviciilor oferite

!rincipalele conclu"ii si constatari ale auditului:

#tili"andu$se metoda %e&ari SC ARSIS TRADING SRL pre"inta un nivel de risc de ' puncte %( ) * + , Ri + -i . , -i ) , %i . /0 ) 1 ' *' 2 0 3' 2 0 43 2 0 3' 2 0 3' 2 0 54 2 0 * 2 0 54 2 0 43 2 ' 4 2 ' 0 2 * 6 . /0 ) ' puncte !e ba"a probelor de audit au fost identificate si constatate urmatoarele aspecte: "r anizarea si implicarea acesteia asupra securitatii este realizata de catre departamentele administrativ, IT si resurse umane su! indrumarea mana ementului# Acestea ela!oreaza Manualul angajatului: un hid complet pentru an a$ati ce cuprinde un set de principii, norme si proceduri de securitate o!li atorii# Securitatea accesului fizic este realizata de catre o echipa formata dintr%un an a$at al societatii si un an a$at al unei firme de paza care monitorizeaza toate persoanele care intra si ies din societate intr%un $urnal#An a$atii sunt identificati pe !aza ecusoanelor#La intrare este un sistem informatic pentru pontarea intrarilor si iesirilor dar acesta nu asi ura un nivel de securitate optim# In ceea ce priveste intretinerea enerala principala pro!lema in acest sens o reprezinta aprovizionarea cu ener ie electrica care se realizeaza din reteaua orasului societatea nedispunand de un sistem care sa includa o sursa permanenta pentru echipamentele sensi!ile ci doar un set de !aterii care nu asi ura autonomia sistemului# &xista un sistem de protectie contra incendiilor automat, sistemul de aer conditionat asi ura intre perimetrul, ca!lurile sunt montate si prote$ate corespunzator# &xista o suprave here video le ata la un centru de monitorizare '(h)'(h# Nu exista o politica clara de recrutatre, pre atire si evaluare a resurselor umane IT, personalul de specialitate IT fiind insuficient din punct de vedere numeric, cat si structural * pro ramatori, administratori de sistem si !aze de date etc +#Concentrarea cunostiintelor IT la un numar restrans de personal a creat o dependenta semnificativa de ,persoane cheie-# De asemenea, tematicile pentru instruirea utilizatorilor nu sunt suficiente si nici omo ene, accentul deplasandu%se spre perfectionarea individuala# .entenanta aplicatiilor este asi urata de catre departamentul IT# /entru asi urarea suportului tehnic exista in cadrul departamentului IT, 0elp Des1%ul, numarul telefonic 232 sau se posteaza pe reteaua locala 4pro!lema4 in cadrul sectiunii 0elp Suport# /entru tranzactiile speciale este analizata prote$area prin intermediul parolelor, semnaturilor electronice, criptare,etc#

/eriodic se realizeaza copii !ac1%up ale sistemului menite sa reconstituie datele ori inale in cazul distru erii dar aceste copii sunt realizate doar pentru datele din reteaua locala# .entenanta datelor din calculatoarele personale este lasata in ri$a utilizatorilor acestor date# Societatea are o retea locala la care au acces an a$ati, atat prin intermediul echipamentelor societatii cat si din afara# Reteaua locala este partitionata in domenii pentru fiecare departament in care exista sectiunile pu!lic *la care au acces toti an a$atii+ si privat *cuprinde mediul de lucru propriu fiecarui departament+# Accesul la mediul privat este restrictionat# /entru aplicatiile dezvoltate propriu exista un departament special IS care asi ura dezvoltarea, testarea si implementarea# Acest departament, in functie de cerintele utilizatorilor proiecteaza si dezvolta aplicatii# In toate etapele se realizeaza studii cu privire la riscuri# Desi estioneaza un fond de date considera!il, aplicatiile informatice evaluate nu raspund tuturor cerintelor de raportare, in multe cazuri fiind necesare prelucrari manuale ulterioare ale informatiilor si dezvoltarea pe plan local de aplicatii prin care sa se extra a date direct din !aza de date, fapt ce conduce la pericolul denaturarii datelor, la un consum mare de timp si resurse si nu asi ura promptitudine in informare5 In ceea ce priveste le alitatea societatea isi desfasoare activitatea in conformitate cu le islatia in vi oare# &ste certificata IS"6 Sistemul de mana ement al calitatii astfel este asi urata o arantie a controlului documentelor, tranzactiilor, produselor,sistemelor etc# &videntele conta!ile sunt tinute respectand standardele#Toate pro ramele informatice se afla su! licenta producatorului#

Recomandarile auditului:
/entru a veni in spri$inul entitatii auditate in actiunea de implementare si utilizare a unui sistem informatic inte rat, auditorul face urmatoarele recomandari6 Intarirea echipei mana eriale IT, prin includerea unor persoane responsa!ile cu administrarea sistemelor de operare si a !azelor de date, a securitatii lo ice si fizice si a infrastructurii de comunicatii5 Intarirea masurilor de securitate la receptie in sensul verificatii le itimatiei fiecarui an a$at, insotirea vizitatorilor in cladire5 &xistenta unor masuri suplimentare de securitate in afara pro ramului care vizeaza in special echipele care realizeaza curatenia si intretinerea spatiilor de lucru5 Desemnarea unor persoane responsa!ile cu verificarea paramentrilor echipamentelor, retelei in 7ee1%enduri si vacante5 Implementarea unui sistem de !aterii care sa permita sistemului, in cazul unei pene de curent, cel putin realizarea unei copii !ac1%up5 In cazul atri!uirii drepturilor de acces se recomanda un control mai strict in sensul actualizarii la timp a !azei de date cu utilizatori si drepturile fiecaruia tinandu%se cont de miscarile de personal5 Nu se aranteaza caracterul inviola!il al parolei utilizatorilor,daca acestia nu au scopul de a o mentine strict confidentiala astfel se recomanda un control mai strict al parolelor5 &la!orarea si implementarea unor proceduri de securitate cu privire la reteaua de telefonie5 &xtinderea rolului misiunilor de audit intern asupra domeniului utilizarii tehnolo iilor informatiei, prin efectuarea unor controale specifice mediului IT atat la nivel central, cat si operativ#