Auditul performan t ei sistemului informatic

al societatii AAAAAAAA SRL

Obiectivul general si obiectivele specifice ale auditului:
Obiectivul general al auditului a constat in evaluarea stadiului de dezvoltare si utilizare a
sistemului informatic existent in cadrul societatii AAAAAAAAAA SRL precum si a
instrumentelor, tehnologiilor informatice si infrastructurii aferente furnizarii unor servicii de calitate
impreuna cu formularea unor recomandari in scopul imbunatatirii serviciilor oferite.
Principalele concluzii si constatari ale auditului:
Utilizandu-se metoda Meari S! AAAAAAAAA SRL prezinta un nivel de risc de " puncte.
M# $ % & ' Ri & (i ) ' (i $ ' Mi ) *+ $ , ".%" - +.." - +./. - +.." - +.." - +.0/ - +.% - +.0/ -
+./. - "./ - ".+ - % 1 ) *+ $ " puncte
Pe baza probelor de audit au fost identificate si constatate urmatoarele aspecte:
Organizarea si implicarea acesteia asupra securitatii este realizata de catre departamentele
administrativ, IT si resurse umane sub indrumarea managementului. Acestea elaboreaza
Manualul angajatului: un ghid complet pentru angaati ce cuprinde un set de principii, norme
si proceduri de securitate obligatorii.
Securitatea accesului fizic este realizata de catre o echipa formata dintr!un angaat al societatii
si un angaat al unei firme de paza care monitorizeaza toate persoanele care intra si ies din
societate intr!un urnal.Angaatii sunt identificati pe baza ecusoanelor.La intrare este un sistem
informatic pentru pontarea intrarilor si iesirilor dar acesta nu asigura un nivel de securitate
optim.
In ceea ce priveste intretinerea generala principala problema in acest sens o reprezinta
aprovizionarea cu energie electrica care se realizeaza din reteaua orasului societatea
nedispunand de un sistem care sa includa o sursa permanenta pentru echipamentele sensibile ci
doar un set de baterii care nu asigura autonomia sistemului. "xista un sistem de protectie contra
incendiilor automat, sistemul de aer conditionat asigura intreg perimetrul, cablurile sunt
montate si proteate corespunzator. "xista o supraveghere video legata la un centru de
monitorizare #$h%#$h.
&u exista o politica clara de recrutatre, pregatire si evaluare a resurselor umane IT,
personalul de specialitate IT fiind insuficient din punct de vedere numeric, cat si structural
' programatori, administratori de sistem si baze de date etc (.)oncentrarea cunostiintelor IT la
un numar restrans de personal a creat o dependenta semnificativa de *persoane cheie+. ,e
asemenea, tematicile pentru instruirea utilizatorilor nu sunt suficiente si nici omogene, accentul
deplasandu!se spre perfectionarea individuala.
-entenanta aplicatiilor este asigurata de catre departamentul IT. .entru asigurarea
suportului tehnic exista in cadrul departamentului IT, /elp ,es0!ul, numarul telefonic 121 sau
se posteaza pe reteaua locala 3problema3 in cadrul sectiunii /elp Suport. .entru tranzactiile
speciale este analizata protearea prin intermediul parolelor, semnaturilor electronice,
criptare,etc.
.eriodic se realizeaza copii bac0!up ale sistemului menite sa reconstituie datele originale in
cazul distrugerii dar aceste copii sunt realizate doar pentru datele din reteaua locala. -entenanta
datelor din calculatoarele personale este lasata in gria utilizatorilor acestor date.
Societatea are o retea locala la care au acces angaati, atat prin intermediul echipamentelor
societatii cat si din afara. Reteaua locala este partitionata in domenii pentru fiecare departament
in care exista sectiunile public 'la care au acces toti angaatii( si privat 'cuprinde mediul de
lucru propriu fiecarui departament(. Accesul la mediul privat este restrictionat.
.entru aplicatiile dezvoltate propriu exista un departament special IS care asigura
dezvoltarea, testarea si implementarea. Acest departament, in functie de cerintele utilizatorilor
proiecteaza si dezvolta aplicatii. In toate etapele se realizeaza studii cu privire la riscuri. ,esi
gestioneaza un fond de date considerabil, aplicatiile informatice evaluate nu raspund tuturor
cerintelor de raportare, in multe cazuri fiind necesare prelucrari manuale ulterioare ale
informatiilor si dezvoltarea pe plan local de aplicatii prin care sa se extraga date direct din baza
de date, fapt ce conduce la pericolul denaturarii datelor, la un consum mare de timp si resurse si
nu asigura promptitudine in informare4
In ceea ce priveste legalitatea societatea isi desfasoare activitatea in conformitate cu
legislatia in vigoare. "ste certificata ISO5 Sistemul de management al calitatii astfel este
asigurata o garantie a controlului documentelor, tranzactiilor, produselor,sistemelor etc.
"videntele contabile sunt tinute respectand standardele.Toate programele informatice se afla
sub licenta producatorului.
Recomandarile auditului:
.entru a veni in spriinul entitatii auditate in actiunea de implementare si utilizare a unui sistem
informatic integrat, auditorul face urmatoarele recomandari5
Intarirea echipei manageriale IT, prin includerea unor persoane responsabile cu administrarea
sistemelor de operare si a bazelor de date, a securitatii logice si fizice si a infrastructurii de
comunicatii4
Intarirea masurilor de securitate la receptie in sensul verificatii legitimatiei fiecarui angaat,
insotirea vizitatorilor in cladire4
"xistenta unor masuri suplimentare de securitate in afara programului care vizeaza in special
echipele care realizeaza curatenia si intretinerea spatiilor de lucru4
,esemnarea unor persoane responsabile cu verificarea paramentrilor echipamentelor, retelei in
6ee0!enduri si vacante4
Implementarea unui sistem de baterii care sa permita sistemului, in cazul unei pene de curent,
cel putin realizarea unei copii bac0!up4
In cazul atribuirii drepturilor de acces se recomanda un control mai strict in sensul actualizarii
la timp a bazei de date cu utilizatori si drepturile fiecaruia tinandu!se cont de miscarile de
personal4
&u se garanteaza caracterul inviolabil al parolei utilizatorilor,daca acestia nu au scopul de a o
mentine strict confidentiala astfel se recomanda un control mai strict al parolelor4
"laborarea si implementarea unor proceduri de securitate cu privire la reteaua de telefonie4
"xtinderea rolului misiunilor de audit intern asupra domeniului utilizarii tehnologiilor
informatiei, prin efectuarea unor controale specifice mediului IT atat la nivel central, cat si
operativ.