AUDITUL SISTEMULUI INFORMATIC ENTERPRISE

RESOUCE PLANNING AL
SC ORIOR CONSULTING SRL

CUPRINS

CAPITOLUL I PREZENTAREA SOCIETII SC.ELLY MARIAGE.SRL

1.1

Informaii cu privire la profilul societii3

1.2

Organizarea societii..4

CAPITOLUL II AUDITUL SISTEMULUI INFORMATIC

2.1 Sistemul informatic al societii..5
2.2 Controlul aplicaiei..6
2.3 Chestionar pentru evaluarea sistemului informatic.8
2.4. Raportul de audit al sistemului informatic.15
Bibliografie...17

CAPITOLUL I PREZENTAREA SOCIETII SC.ELLY MARIAGE.SRL

1.1 INFORMAII CU PRIVIRE LA PROFILUL SOCIETII
Societatea comercial Elly Mariagea fost nfiinat ca urmare a sentinei/hotrrii
judectoreti nr.330/28.04.2007 a Tribunalului Prahova ca societate cu rspundere
limitat (SRL). Activitatea sa principal const n producerea confeciilor textile de dam.
Sediul societii este n Oraul Ploieti, Str. Unirii, Nr.13, Judeul Prahova.
Societatea este relativ nou pe pia, avnd o experien de 3 ani n domeniu.
Pe parcursul celor 3 ani de activitate, aceasta a impresionat clieii de pe piat intern cu
o gam diversificat de modele la cele mai bune preuri i de calitate.
Personalul angajat n atelierele de creare i confecionare este format dup o nou
mentalitate, eficieni i cu experin profesional n acest domeniu.
Personalul angajat, existena echipamentelor i dotrilor tehnice necesare desfurrii
acestei activiti conduc la rezultatul final dorit de ctre firm i anume, calitatea
ireproabil a produselor oferite.
n continuare sunt prezentate pe scurt informaii utile referitoare la SC.Elly
Mariage.SRL:

Capital social: 1.301.000

Nr.ord.Reg.Com: J29/3766/2007

C.I.F: RO6824222

Nr.de telefon: 0730.584.390

WEB: www.elly-mariage.ro

1.2 ORGANIZAREA SOCIETII

Forma juridic a societii comerciale SC ORIOR CONSULTING SRL este una cu
rspundere limitat (S.R.L).
Structura organizatoric a SC. Elly Mariage.SRL se prezint astfel:
Director General

Producie

Scriere

Management/
Marketing

Implementare

Informatic

Financiar-Contabil

Resurse Umane

Secretariat

Fig.1 Structura organizatoric a SC.Elly Mariage.SRL

CAPITOLUL II AUDITUL SISTEMULUI INFORMATIC

2.1 Sistemul informatic al societii
Sistemul informatic al societii este format din reeaua locala LAN la sediul
societii. Reeaua local este format dintr-un server i 13 posturi de lucru.
Reeaua local de la depozitul central este o arhitectura CISCO achiziionat n anul
2007 cu o documentaie complet n momentul achiziiei.
Softul de aplicaie a fost achizitionat de la o firm specializat care a asigurat i
implementarea n anul 2007.
Documentaia softului se gsete la sediul societii i corespunde cu softul de aplicaii
la

momentul

achiziionrii.

Reeaua local LAN are un administrator care gestioneaz activitatea la nivelul unitii.
Personalul a fost angajat n anul 2007 i ulterior s-a fcut o pregtire a acestuia pentru
activitile desfurate.
Cele 13 staii de lucru sunt repatizate pe compartimente de lucru, astfel:

Directorul general

Producie: 1 calculator

Marketing : 1 calculator

Informatic : 2 calculatoare

Financiar-contabil : 2 calculatoare

Resurse umane : 1 calculator

Atelier de producie : 1 calculator

Magazii: 2 calculatoare

Aprovizionare desfacere: 2 calculatoare.

Societatea utilizeaz i dispune de licene pentru urmtoarele programe: Windows

XP, Norton antivirus, programul de contabilitate CDMS.

Societatea folosete Sygate Personal Firewall Pro, care asigur protecia calculatoarelor
mpotriva hackerilor i a altor intrui i n acelai timp oprete programele care ncearc
s se conecteze de pe acele calculatoare la reea, neautorizat. Acest firewall face
calculatoarele invizibile pentru restul lumii. Versiunea 4.0 include o opiune de cutare
avansat a posibilelor puncte vulnerabile ale calculatoarelor.
Unitatea deine un contract de colaborare cu o firm de IT, care se ocup i cu
ntreinerea echipamentelor i a softului. ntreinerea se face periodic, lunar i const n
deplasarea unei persoane competente la sediul societii, n vederea identificrii
problemelor aprute.

2.2 Controlul aplicaiei

S.C.Elly Mariage.SRL folosete CDMS - un software de contabilitate. Este la curent
cu toate noutaile legislative, simplu de utilizat i permite utilizatorului s-i creeze
propriul stil de lucru i chiar s-i modeleze ecranele de operare. Cu acest software se
realizeaz evidena contabil operativ, situaia clienilor i furnizorilor nencasai i a
deconturilor salariailor.
Modulul de contabilitate al programului CDMS ofer urmtoarele faciliti:

Posibilitatea introducerii / actualizrii / vizualizrii datelor contabile

Posibilitatea modificrii / vizualizrii datelor pe orice perioada

Posibilitatea culegerii datelor prin module intuitive (facturi clieni, furnizori,

ncasri, pli, note contabile diverse), toate datele reflectndu-se n final ntr-un
singur loc (registrul jurnal)

Posibilitatea definirii / utilizrii notelor contabile model, pentru a spori eficiena

Obinerea automata, cu posibilitatea listrii, a urmtoarelor registre contabile (pe

perioada dorit):
o

Balana de verificare analitic sau sintetic;

Registrul jurnal ;

Fie cont ;
7

Registrul Cartea Mare ;

Situaii clieni / furnizori ;

Registrul de cas ;

Raport de gestiune ;

Jurnale de vnzri / cumprri;

Jurnal de banc;

nchiderea automat a conturilor de venituri / cheltuieli

nchiderea automat a conturilor de TVA

Toi angajaii au calculatoarele parolate, parolele sunt cunoscute de administratorul de

reea i de ei, aceste parole sunt schimbate periodic.
Controlul intrarilor: auditorul s-a asigurat c toate tranzaciile sunt:

introduse corect (toate operaiile introduse n sistem corespund cu actele

existente la dosare);

complete;

valide;

aferente perioadei de gestiune curente;

sunt nregistrate corect n conturi.

Validarea datelor se face automat de program.

Controlul ieirilor : auditorul s-a asigurat c:

toate documentele de ieire corespund cu cele din dosare;

reflect situaia real a patrimoniului;

aferente perioadei de gestiune curente;

valide;

complete.

2.3 Chestionar pentru evaluarea sistemului informatic

Conducere i organizare
Nr.
crt.
Intrebri
1. Unitatea are o strategie de informatizare ?

Da
X

2. Aceast strategie mbrac forma unui

document scris care a fost analizat de ctre
conducere ?

3. Ce prevede :
strategii informaionale ?
noi achiziii hard i soft ?
noi interfee pentru aplicaii ?
4. Activitatea de procesare automat a datelor
este organizat ntr-un compartiment distinct
la nivelul unitii ?

5. Angajaii unitii snt informai despre

restriciile legale i contractuale care
afecteaz utilizarea softului ?
Exist
licene pentru softul utilizat pe fiecare
6.
calculator?
7. Exist dischete/CD-uri de instalare pentru
softul utilizat ?
8. Sunt folosite versiuni de soft pentru reea?
9. Exist standarde care s interzic crearea sau
folosirea copiilor softului protejat prin lege ?
10. Politicile unitii restricioneaz folosirea
neautorizat a softului ?
11. Conducerea unitii nelege responsabilitile
ce i revin pe linia asigurrii controalelor
adecvate i supervizrii mediului informatic
al firmei ?
12. Exist o persoan responsabil pentru :
identificarea necesitilor n materie de soft
i aducerea la cunotina conducerii a acestor

Nu

Comentarii
Strategia de informatizare ajut la o
gestionare mai bun a bazelor de date
i o eviden mai clar a clienilor
Strategia mbrac forma unui
document scris aprobat de conducere
i este adus la cunotina angajailor
printr-un proces verbal
Prevede strategii informaionale i
achiziii de hard i soft

n cadrul unitii exist un singur

program care colecteaz, proceseaz
datele, realiznd i transferul
informaiilor electronice spre canalele
de comunicaie interne, fie pentru
utilizarea lor imediat, fie pentru
stocare ntr-o baza de date
Angajaii sunt informai despre
restricii n momentul n care
semneaz procesul verbal
Exist o singur licen pentru softul
utilizat
Exist mai multe CD-uri care se afl
n posesia departamentului IT
Computerele sunt legate n reea
Copiile softului sunt considerate
fraud
Politica de securitate a firmei prevede
o restricionare a accesului la soft.
Conducerea unitii este preocupat
de efectuarea unor controale periodice
ale softului, ct i a modului de
utilizare a acestuia de ctre angajai
Unitatea deine un contract de
colaborare cu o firma specializat,
care se ocup cu depistarea noutilor

X
X
X
X
X
X

necesiti ?
identificarea necesitilor n materie de
hard ?
13. Utilizatorii sunt consultai nainte de a se
trece la achiziionarea sau dezvoltarea de noi
componente soft ?
14. Exist o metodologie de dezvoltare a
proiectelor ?

15. Aceast metodologie este bine definit, astfel X

nct s nu duc la un volum de munc
inutil ?
16. Exist standarde privind modalitile de
memorare a datelor distribuite n reea ?
17. Cum sunt gestionate datele distribuite n
X
reea ?

n materie de hard i soft, aducerea

acestora la cunotina conducerii, ct
i eventuale implementri ale lor.
Decizia achiziionrii i dezvoltrii de
noi componente soft aparine
conducerii unitii, care se consult n
prealabil cu firma specializat
Conducerea unitii concepe o
metodologie de dezvoltare a
proiectelor.
Aceasta metodologie este bine pus la
punct, fiecare angajat avnd un rol n
implementarea ei.
Nu exista standarde privind
modalitile de memorare a datelor
Gestionarea datelor distribuite n reea
se realizeaz cu ajutorul unui server
distinct, de date.

Componente hard i soft

Nr.
crt.

Intrebri

Corespund tipul i dimensiunea sistemului i

aplicaiilor necesitilor instituiei ?
2. Exist specificaii clare ce s justifice orice
achiziie hard i soft?
1

Da

Nu

Comentarii

X
X

3. Dotarea hardware i software este suficient ?

4. Instalarea softului i a echipamentelor noi

este adus la cunotina conducerii ?

5. Exist contracte ncheiate pentru ntreinerea

echipamentelor i softului ?

6. S-a efectuat o revizie prin care s se

X
determine dac echipamentele i softul
achiziionate n anul curent i n cel precedent
sunt folosite ?

Orice achiziie hard i soft se

realizeaz cu un scop bine definit,
justificat de necesitile unitii.
Sunt servicii la care fiecare angajat
are nevoie de calculator.
Instalarea softului i a echipamentelor
noi se realizeaz numai cu acordul
conducerii.
Unitatea deine un contract de
colaborare cu o firm de IT, care se
ocup i cu ntreinerea
echipamentelor i a softului.
Periodic se efectueaz revizii, n urma
crora s-a constat c toate
echipamentele i softul achiziionate
sunt folosite.

10

Integritatea datelor - controlul intrrilor

Nr.
Intrebri
crt.
1. Controale efectuate asupra documentelorsurs sau a ecranelor de intrare asigur c:
sunt uor de neles;
ajut la reducerea numrului de erori;
permit ca doar o singur informaie s fie
intrare pentru sistem la un moment dat;
includ instruciuni de completare adecvate.
2. Considerai c timpul de preluare i/sau
prelucrare a datelor s-a redus ?
3. Se pot furniza informaii mai rapid ctre
conducere?
4. Analiza controalelor asupra accesului la
formularele de intrare sau a ecranelor
certific:
existena semnaturilor de autorizare;
existena parolelor i cine le atribuie, cine
le schimb, cnd sunt schimbate i dac
accesrile neautorizate sunt detectate;
limitarea opiunilor implicite.
5. Sunt nregistrate toate informaiile?

Da
X

Nu

Comentarii
Att documentele - surs, ct i
ecranele de intrare sunt uor de
nteles, includ instruciuni de
completare, iar controalele efectuate
ajut la reducerea numrului de erori

X
X
X

6. Informaiile sunt nregistrate n ordine

cronologic ?

7. Informaiile sunt nregistrate o singur

dat ?

8. Lipsa sau duplicarea anumitor informaii este X

detectat i investigat ?
9. Informaiile care reprezint intrri pentru
sistem sunt aprobate de un responsabil ?

10. Toate informaiile au fost autorizate n mod

corespunztor i revizuite ?
11. Toate schimbrile intervenite asupra
informaiilor sunt autorizate ?

X
X

Accesul la formularele de intrare se

realizeaz pe baza unei parole.Fiecare
utilizator i atribuie o parol, pe care
i-o schimb periodic.
Programul solicit utilizatorului
introducerea unor opiuni de editare a
datelor sau listare a rapoartelor, pentru
ca acestea s poat fi afiate.
Toate informaiile sunt nregistrate
ntr-o baza de date.
Informaiile sunt nregistrate
corepunztor datei la care se refer.
Programul nu permite nregistrarea
unei informaii dintr-o lun precedent
n luna curent.
Programul informatic nregistreaz o
singur dat informaia, a doua
ncercare de introducere a acesteia
fiind respins, printr-un mesaj de
eroare.
Att n cazul lipsei, ct i a duplicrii
unei informaii, utilizatorul este
atenionat n cadrul aplicaiei, nu mai
poate continua introducerea datelor.
Fiecare utilizator are un superviser,
care verific corectituinea introducerii
datelor.
Toate informaiile sunt verificate i
autorizate de un expert contabil.
n cazul efecturii modificrilor,
acestea se pot face numai cu acordul
11

superviserului.
12. Nivelurile de autorizare sunt n acord cu
responsabilitile fiecrui compartiment ?

n cadrul fiecrui compartiment exist

niveluri ierarhice privind
responsabilitile fiecrui angajat.

Integritatea datelor - controlul ieirilor

Nr.
Intrebri
crt
.
1. Pentru fiecare ieire se determin :
numele ;
suportul ;
frecvena ;
mrimea ;
controlul efectuat asupra sa ;
distribuirea ;
modul n care este distrusa.
2. Exist jurnale pentru evidenta distribuiei?

Da

Nu

Comentarii

3.

Zilnic se ruleaz anumite rapoarte

de eviden
X

Sunt prevzute metode de distribuie?

4. Distribuia se face sub semntur?

5. Exist proceduri pentru detecia i corecia

erorilor ?
6. Se face o revizie cu privire la pstrarea i
distribuirea suporilor de memorare ?
7. Se face o revizie cu privire la distrugerea sau
clasarea rapoartelor obinute din sistem :
rapoarte ce conin informaii importante ;
perioadele de pstrare a rapoartelor ;
distrugerea suporilor magnetici.

Distribuia este semnat de

supervisor
Rapoartele zilnice reprezint
procedurile de corecie a erorilor

X
X

Securitate administrativ
Nr.
Intrebri
Da
crt
.
1. In cadrul unitii exist o persoan care s
X
rspund de asigurarea securitii informatiilor ?
2. Exist o politic de securitate specific
X
departamentului sau unitii ?

Nu

Comentarii
Departamentul IT

12

3. Politica de securitate prevede :

X
obiectivele securitii ;
responsabiliti pe linia securitii n cadrul
unitii/departamentului ;
responsabilitile angajailor pe linia asigurrii
securitii ;
accesul conform principiului trebuie s tie" ;
clasificarea informaiilor ;
etichetarea informaiilor n acord cu importana
lor pentru unitate ;
copierea i distribuirea informaiilor ;
reviziile periodice n acord cu prevederile
legale ;
autentificarea i identificarea utilizatorilor ;
dreptul de proprietate asupra datelor,
autorizarea cererilor de modificare,
tergere sau difuzare a datelor ;
securitatea comunicaiilor ;
dreptul de proprietate asupra softului ;
folosirea softului fr licen ;
testarea softului ;
copiile de siguran ;
securitatea fizic ;
securitatea personalului (proceduri la angajare,
instruire, ncheierea contractului de munc) ;
aciuni ce se ntreprind mpotriva nclcrii
msurilor de protecie i securitate.
4. Politica de securitate a fost adus la cunotina X
ntregii conduceri?
5. Exist un plan de securitate la nivel de unitate ? X
6. Exist un comitet care s asigure punerea n
practic a planului de securitate ?

Controlul documentaiei
Nr.
Intrebri
crt.
1. Exist documentaii standardizate ?
2. Aceste documentaii includ :
manuale ale sistemului pentru utilizatori ;
documentaia tehnic a programelor ;
manuale de utilizare a programelor.

Da

Nu

Comentarii

X
X

13

3. Documentaiile aplicaiilor includ cel puin :

o prezentare simpl a denumirii intrrilor,
fiierelor prelucrrilor i a rapoartelor obinute ;
o scurt descriere a ceea ce face aplicaia ;
explicarea calculelor pe care le face aplicaia ;
instruciuni pentru utilizatori.
4. Documentaia reelei include cel puin :
o diagram care s prezinte configuraia reelei
cu toate componentele sale ;
instruciuni i proceduri pentru administratorul
de reea ;
instruciuni pentru utilizatori ;
manual operaional.
5. Documentaia sistemului este actualizat ?
6. Documentaia sistemului este pstrat ntr-un
loc sigur ?

X
X

Protecia mpotriva viruilor

Nr.
Intrebri
crt.
1. Conducerea a fost atenionat cu privire la
potenialele pericole pe care le implic
viruii ?
2. Softul este verificat naintea instalrii ?
3. Hard discurile reparate sau achiziionate snt
verificate nainte de a fi instalate ?
5. Exist proceduri pentru depistarea i
eliminarea viruilor?

Da Nu

Comentarii

X
X
X
X

Transimisia datelor
Nr.
ntrebri
Da
crt.
1. Se face o identificare a calculatoarelor care
X
lucreaza n reea ?
2. Se face o verificare a prelucrrilor pe care le
X
efectueaz fiecare utilizator ?
3. Se va verifica dac:
X
doar utilizatorii cu drepturi sunt logai;
doar calculatoarele cu drepturi sunt on-line;
prelucrarile sunt efectuate de ctre utilizatorii cu acest drept de la calculatoare validate;
tabelele de autorizare sunt actualizate

Nu

Comentarii

14

4.

(vacante, promovari, transferuri, incetarea

contractului de munca).
Ce metode de control se folosesc:
criptarea;
autodiagnoza;
diagnoza de la distanta;
identificarea calculatorului/utilizatorului
apelant ?

Identificarea utilizatorului.

RISCUL DE COMUNICATIE(la nivel extranet sau la nivel internet)

NIVEL RISC
MEDIU

DESCRIERE
Intern : Comunicarea se face doar prin retea privat, iar comunicarea cu
exteriorul se face doar prin linii securizate

RISCUL PRIVIND INTEGRITATEA DATELOR LA INTRARE, PRELUCRARE,

IEIRE
NIVEL RISC
DESCRIERE
MEDIU
Intrare : datele sunt introduse dar salvrile nu se fac n locurile destinate
Prelucrarea datelor se face manual
Ieire : manual, acces controlat la date parolat i de ctre personal
autorizat
RISCUL DE ACCES
NIVEL RISC
DESCRIERE
SCZUT
Parolarea serverului i a punctelor de lucru n aa fel nct numai
personalul autorizat s aib acces la date
RISCUL DE PROTECTIE ANTIVIRUS
NIVEL RISC
DESCRIERE
SCZUT
Ultima versiune de antivirus, update, scanare imediat la acces
RISCUL DE PERSONAL
NIVEL RISC
DESCRIERE
SCZUT
Angajare de personal calificat, instruit pentru utilizarea programelor,
parol existent pentru fiecare utilizator al sistemului

15

2.4 RAPORTUL DE AUDIT

1. SCOPUL I OBIECTIVELE URMRITE: verificarea sistemului informatic al SC

ELLY MARIAGE SRL
2. ABORDAREA AUDITULUI :
Evaluarea principalelor aspecte privind performana componentelor sistemului
informatic s-a efectuat la sediul firmei . Perioada auditata a fost 02.12.2011-12.12.2011.
Probele la care a facut apel auditorul n timpul misiunii sale au inclus: documenta ii,
analize, cercetri .
Auditorul a verificat metodele i tehnicile, procedurile i regulamentele aplicate de
ctre conducerea instituiei.
Pe baza documentelor i a celorlalte elemente auditate, auditorul a ajuns la un set de
concluzii i constatri.
3. CRITERIILE UTILIZATE PENTRU EVALUAREA PERFORMANEI
Criteriile generale de audit au urmrit atingerea performanei att din punctul de vedere
al administratorului, ct i al utilizatorului sistemului informatic. Auditul i-a propus o
abordare orientat pe rezultate, concentrat n principal pe analizarea performanei
componentelor sistemului informatic.
4. CONSTATRI:
1. datorit suprancrcrii cu informaii i a unui numr mare de utilizatori
programul informatic are mici erori n momentul n care se actualizeaz bazele de
date ;
2. dotarea hardware i software insuficient ;
3. s-a constatat c

n cadrul unor departamente se folosesc programe aferente

pachetului Microsoft Office fr ca pentru acestea, entitatea s fi achiziionat

licene;

16

4. neluarea msurilor necesare privind recuperarea datelor n caz de dezastru

conform procedurilor;
5. strategia IT acoper n mare msur obiectivele;
5.RECOMANDRI:
1. creterea numrului de specialiti n domeniul IT;
2. inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind
utilizarea programelor fr licen ;
3. existena unui plan de pierderi minime n caz de dezastru ;

17

BIBLIOGRAFIE
1. Dumnescu Dorel suport de curs Auditul i securitatea sistemelor informatice
contabile;
2. Ali Eden, Victoria Stanciu Auditul sistemelor informatice, Editura Dual Tech,
Bucureti, 2004;
3. Oprea D. Protecia i securitatea sistemelor informaionale, Editura Polirom, 2002.

18