auditul sistemului informatic la firma sc bratul de fier srl
DESCRIPTION
Auditul Sistemului Informatic La Firma SC Bratul de Fier SRLTRANSCRIPT
Auditul Sistemului Informatic la Firma SC Bratul de Fier SRL
UNIVERSITATEA PETROL SI GAZEFacultatea: tiinte Economice
Specializarea: Informatic Economic
UNIVERSITATEA OVIDIUS CONSTANTAFACULTATEA DE STIINTE ECONOMICE
MASTERAT ADMINISTRAREA SI AUDITUL PROIECTELOR DE AFACERI
AUDITUL SI CONTROLUL INTERN AL PROIECTELOR
ANUL II, SEMESTRUL IAUDITUL SISTEMULUI INFORMATIC LA FIRMA
"SC MEGA GYM ATHLETIC SRL"Student: GHEORGHE ELENACuprins
Prezentare firma4Numele societati4Obiect de activitate4Datele de identificare ale firmei4Conducerea societatii4Organigrama societatii5Sistemul informatic6Avantajele folosirii programului Smart Bill Standard6EMITERE8Emitere Factura Normala8Emitere Factura Storno8Emitere Factura Proforma9Modificare Documente9INCASARI9CONFIGURARE9Date Firma10Emitere Documente10Configurari Program11UNELTE11RAPOARTE11NOMENCLATOARE11Nomenclator Clienti13Nomenclator de servicii14Documente15Factura (fara chitanta)15Factura (cu chitanta)16Factura proforma17Factura storno18Chitanta19Rapoarte20Rapoarte facturi20Rapoarte chitante21Rapoarte proforme21Auditul intern22Diferente intre auditul intern si auditul extern22Auditul sitemului informatic23Riscurile sistemului informatic24Vulnerabilitatile sistemului informatic25Amenintari asupra sistemului informatic26Controalele interne ale sistemului informatic27Controalele generale27Controalele de aplicatie29Metodologia de audit32CHESTIONAR33Concluzii despre sistemul informatic35AVANTAJE35DEZAVANTAJE35CONCLUZIE: .............................................................................................................................................. 35Prezentare firma TC "Prezentare firma" \f C \l "1"
1. Numele societati TC "Numele societati" \f C \l "2" : Mega Gym 2. Obiect de activitate TC "Obiect de activitate" \f C \l "2" : 9313 Activitati ale centrelor de fitnes3. Datele de identificare ale firmei TC "Datele de identificare ale firmei" \f C \l "2" : Denumire: S.C. Mega Gym Athletic S.R.L.
Sediu social : Str. Ileana Cosanzeana Nr. 8 Numar de inregistrare la Registru Comertului: J13/557/2011 CUI: RO28149631 Cont bancar: RO41BTRL03001201T53316xx
Numar de telefon: 0721905567 E-mail: [email protected] societatii TC "Conducerea societatii" \f C \l "2" :
Functia actualaNumele si prenumele
Director GeneralBucur Bogdan
Director ExecutivTudor Elena
5.Organigrama societatii TC "Organigrama societatii" \f C \l "2" :
Scurta introducere
MEGA GYM este una dintre cele mai moderne sali de fitness din Constanta,cu programe pentru orice varsta, conditie fizica si scop legat de fitness, singurele conditii fiind sa fii apt pentru efort fizic, sa stii ce vrei si sa vrei cu adevarat sa reusesti.
La noi vei gasi programul sau combinatia de programe care ti se potrivesc, iti fac bine, iti fac placere sit e motiveaza sa perseverezi astfel incat sa obtii si sa-ti pastrezi conditia fizica pe care ti-ai dorit-o dintotdeauna.Sistemul informatic Smart Bill Standard 2012 TC "Sistemul informatic" \f C \l "1" Pentru realizarea de facturi in firma S.C. Bratul de Fier S.R.L. am folosit ca program de facturare Smart Bill Standard 2012 .
Cu acest program putem emite urmatoarele tipuri de facturi:
FACTURA NORMALA FACTURA STORNO
FACTURA PROFORMA
Deasemenea, putem alege si modalitatea de plata. Plata se poate face:
O data cu emiterea facturii
La o data stabilita in factura (data scadentei)
Prin banca (ordin de plata)
Avantajele folosirii programului Smart Bill Standard TC "Avantajele folosirii programului Smart Bill Standard" \f C \l "2" 2012 in locul facturilor tipizate:1. Smart Bill calculeaza automat totul pentru dumneavoastra.
a. Smart Bill face automat calculele in locul dumneavoastra, evitand aparitia unor erori umane
b. Totaluri, tva, discounturi, data scadentei, totul este calculat de program
c. Programul suporta si preturi cu tva inclus, extragand singur tva-ul si simplificand mult munca
d. Daca emiteti facturi in valuta, programul preia cursul valutar de pe Internet si face conversiile automat
2. Faceti Economie de Timp si Bani. Platiti o singura data, pe Viata!
a. Eliminati costul si timpul pierdut cu procurarea de tipizate (facturi+chitante+avize)
b. Deoarece platiti o singura data, in scurt timp investitia in program este amortizata
c. Castigati timp la emiterea documentelor deoarece cu Smart Bill o factura poate fi emisa in 30 secunde
d. Puteti economisi timp si bani trimitand facturile pe email si nu prin posta (de la 1 ianuarie 2007 facturile pot fi trimise pe email)
3. Posibilitate de Corectare Greseli fara a anula Documentul sau a face mazgaleli.4. Emiterea si Anularea Documentelor se face extrem de usor .a. Smart Bill memoreaza si autocompleteaza informatiile introduse (clienti, produse, delegati etc)
b. Astfel, se poate emite un document in mai putin de 30 secunde
c. Anularea documentelor se face dintr-un singur click
d. Tot din cateva clickuri puteti :
i. emite o factura pe baza unui aviz sau proforme
ii. incasa una sau mai multe facturi
iii. storna una sau mai multe facturi
5. Siguranta marita a Documentelor. Documentele sunt salvate in program, putand sa le relistati in cazul pierderii sau deteriorarii lor.
6. Evidenta mult mai buna a incasarilor .a. Aveti la dispozitie rapoarte cu toate facturile neincasate
b. Puteti specifica pentru fiecare document scadenta/termenul de plata
c. Optimizati procesul de colectare al banilor in firma dumneavoastra
7. Rapoarte documente si situatii / statistici .a. Puteti gasi oricand din cateva clickuri orice document emis pentru a-l vizualiza sau lista
b. Aveti acces la diferite statistici : totaluri, tva, incasari
c. Puteti activa diverse optiuni de filtrare in cadrul tutoror rapoartelor, pentru a vedea datele/statisticile doar pentru o anumita perioada, client, produs, etc
d. Toate rapoartele au optiunea de export in Excel
8. Diverse modele/formate de tiparire .a. In functie de numarul de produse puteti lista :
i. 1, 2, sau 3 facturi pe o singura pagina A4
ii. 1 factura pe mai multe pagini A4 (pentru multe produse)
iii. 1 factura si o chitanta pe o pagina A4
iv. 2 facturi si 2 chitante pe o pagina A4
9. Optimizati intreaga dvs Activitate si Imbunatatiti Imaginea Firmei.10. Multe alte facilitati extrem de utile.Pentru a putea emite facturi cu Smart Bill Standard 2012 trebuie mai intai sa completam cu datele de identificare ale firmei si anume:
Denumirea firmei
C.I.F.
Nr. Registrul Comertului
Localitatea
Judetul
Adresa
Capital social
Platitor de TVA (DA sau NU)
Telefon
Fax
Adresa web
Sigla firmei
Conturi bancare
In programul de facturare Smart Bill Standard 2012 avem urmatoarele comenzi:
EMITERE
INCASARI
CONFIGURARE
UNELTE
RAPOARTE
NOMENCLATOARE
1. EMITERE TC "EMITERE" \f C \l "2" In acest meniu putem realiza urmatoarele lucruri:
Emitere Factura Normala
Emitere Factura Storno
Emitere Factura Proforma
Modificare Documente
Emitere Factura Normala TC "Emitere Factura Normala" \f C \l "3" Acest tip de factura este cel mai utilizat deoarece la vanzarea produselor firmei acesta emite o factura firmei care doreste sa achizitioneze aceste produse.
Pentru a putea emite o Factura Normala trebuie cunoscute datele firmei (SC Bratul de Fier SRL) si datele clientului (care se gasesc in nomenclatorul Clienti. Dupa completarea (automata) acestor date se trece la completarea celorlalte date din factura:
Data (este data automat dar poate fii schimbata)
Seria facturii (este data automat)
Nr facturii (este dat automat)
Apoi se adauga produsele pe care le doreste clientul. Acestea se aleg dintr-o lista (care a fost definita prin nomenclatorul Produse. Se scriu automat codul produsului, U.M., pretul, cota TVA, si pretul include TVA (DA sau NU) iar noi trebuie sa completam doar cu cantitatea dorita.
La final, daca se incaseaza in momentul facturarii se bifeaza: Incaseaza acum. Apoi se completeaza cu datele persoanei care a intocmit factura (nume si CNP), cu datele persoanei delegate de clinet (nume, buletin si auto) si, dupa caz, cu data scadentei (daca nu se incaseaza pe loc) si Mentiuni.
Cand factura este gata se acceseaza butonul: Spre finalizare factura. Dupa accea se Finalizeaza factura apoi se tipareste pentru a fii oferita clientului.
Emitere Factura Storno TC "Emitere Factura Storno" \f C \l "3" Acest tip de factura se foloseste in cazul in care una din facturile emise anterior a fost scrisa gresit sau clientul nu mai doreste acel produs.
Pentru a putea emite o Factura Normala datele se completeaza automat (inclusiv produsele), numai ca produsele vor avea semnul - (minus). Deaccea valoarea facturii va fi negativa.
Emitere Factura Proforma TC "Emitere Factura Proforma" \f C \l "3" Acest tip de factura se foloseste in cazul in care clientul nu ridica produsele in acel moment si va veni la o data ulterioara moment in care va primii si factura normala. Factura proforma este ca si o factura normala doar ca nu se incaseaza banii si nu se elibereaza produsele.
Modificare Documente TC "Modificare Documente" \f C \l "3" Aceasta comanda ne permite modificarea anumitor documente (facturi, facturi storno, facturi proforma, chitante). Acest lucru nu este indicat daca factura a fost deja inregistrata si emisa catre client. La intrarea in acest meniu primim urmatorul mesaj: Aceste facilitati sunt pentru a va ajuta la corectarea unor greseli. Recomandam modificarea documentelor doar in cazul schimbarilor minore. Pentru schimbari majore va sugeram anularea sau stornarea.
2. INCASARI TC "INCASARI" \f C \l "2" Incasarile se pot face in doua moduri:
Chitanta pentru Factura
Incasare prin Banca
Chitanta pentru Factura se realizeaza atunci cand am emis o factura la o anumita data dar la care nu am incasat suma de bani. Aceasta se face, de obicei, la data scadentei (care este trecuta pe factura). Se emite clientului doar chitanta, factura fiind deja la client.
Incasarea prin Banca este o modalitate de plata a unei facturi emise catre un client cu o data scadenta. Pentru aceast tip de incasare nu se emite niciun document totul facandu-se prin intermediul bancii.
3. CONFIGURARE TC "CONFIGURARE" \f C \l "2"
In acest meniu putem realiza urmatoarele lucruri:
Date Firma
Configurare Emitere Documente
Configurari ProgramDate Firma TC "Date Firma" \f C \l "3" Fara completarea datelor firmei nu putem face nimic in acest program. La prima pornire a programului ne apare aceasta fereastra unei trebuie sa introducem datele firmei:
a) Denumirea firmei
b) C.I.F.
c) Nr. Registrul Comertului
d) Localitatea
e) Judetul
f) Adresa
g) Capital social
h) Platitor de TVA (DA sau NU)
i) Telefon
j) Fax
k) E-mail
l) Adresa web
m) Sigla firmei
n) Conturi bancare
Configurare Emitere Documente TC "Emitere Documente" \f C \l "3" In acest meniu avem de completat :
Serii Documente (facturi, chitante, avize, proforme)
TVA (se bifeaza una din optiuni, de regula 24%)
Date afisate (se bifeaza datele pe care le dorim sa le afisam pe factura)
Configurari Program TC "Configurari Program" \f C \l "3" Aici vom alege configurarile generale pe care le dorim pentru programul nostru.
4. UNELTE TC "UNELTE" \f C \l "2" Si acest meniu are 3 comenzi:
Selecteaza firma activata deoarece programul ne permite sa tinem contabilitatea mai multor firme puetem alege de fiecare data pentru care firma se lucreaza activand-o prin aceasta comanda
Salveaza date ne permite salvarea datelor, in cazul in care acestea se pierd din cauza unor vulnerabilitati sa avem datele firmei respective
Restaurare date ne permite stergerea datelor salvate anterior, in cazul in care programul nu mai este folosit la o anumita firma, de exemplu.
5. RAPOARTE TC "RAPOARTE" \f C \l "2" Aici gasim rapoartele tuturor documentelor pe care le-am emis la o anumita firma:
Raport Facturi
Raport Chitante
Raport Proforme
Raport Avize
Cu ajutorul rapoartelor putem depista daca lipseste o anumita factura, putem verifica daca exista facturi neplatite sau putem vedea datele scadente ale acestora.
6. NOMENCLATOARE TC "NOMENCLATOARE" \f C \l "2" Exista doua tipuri de nomenclatoare:
Nomenclator Produse
Nomenclator Clienti
In Nomenclatorul Produse se afla toate produsele firmei. Cu ajutorul acestui nomenclator nu mai este nevoie sa introducem intotdeauna produsele si datele acestora (cod, pret, tva, etc.) ci doar alegem produsul dorit si celelalte date se adauga automat, fiind nevoie sa introduceam doar cantitatea.
In Nomenclatorul Clienti se afla toti clientii firmei cu datele de indentificare ale fiecaruia. La emiterea documentelor, datorita acestui nomenclator, alegem doar numele clientului (din lista) si restul datelor se vor completa automat.
Datorita programului Smart Bill Standard 2012 , atunci cand intoducem clienti in Nomenclatorul Clienti este de ajuns sa completam campul C.U.I. si, in cazul in care suntem conectati la Internet, apasand semnul se completeaza automat cu datele firmei respective.
Nomenclator Clienti TC "Nomenclator Clienti" \f C \l "1"
Nomenclator de servicii TC "Nomenclator de servicii" \f C \l "1"
Documente TC "Documente" \f C \l "1" Factura (fara chitanta) TC "Factura (fara chitanta)" \f C \l "2"
Factura (cu chitanta) TC "Factura (cu chitanta)" \f C \l "2"
Factura proforma TC "Factura proforma" \f C \l "2"
Factura storno TC "Factura storno" \f C \l "2"
Chitanta TC "Chitanta" \f C \l "2"
Rapoarte TC "Rapoarte" \f C \l "1" Rapoarte facturi TC "Rapoarte facturi" \f C \l "2"
Rapoarte chitante TC "Rapoarte chitante" \f C \l "2"
Rapoarte proforme TC "Rapoarte proforme" \f C \l "2"
Auditul intern TC "Auditul intern" \f C \l "1" Auditul intern este o examinare metodica realizata in vederea determinarii daca activitatile si rezultatele relative la subiectul examinat satisfac dispozitiile prestabilite si daca aceste dispozitii sunt puse in opera intr-un mod eficace si apt in vederea atingerii obiectivelor.
Auditul intern este in interiorul unei entitati o activitate independenta de apreciere sau control al operatiilor, fiind in subordinea directa a conducatorului entitatii. In acest domeniu, el este un control care are drept functie estimarea si evaluarea eficacitatii altor controale.
Obiectivul auditului intern este de a asista managementul in exercitarea eficace a responsabilitatilor lor furnizand analize, aprecieri, recomandari si comentarii pertinente referitoare la activitatile examinate. Auditorul intern este vizat de toate fazele activitatii entitatii care intereseaza conducerea. Aceasta implica faptul de a apela la aspecte contabile si financiare, dar si tehnice pentru atingerea unei intelegeri depline a operatiilor examinate.Diferente intre auditul intern si auditul extern TC "Diferente intre auditul intern si auditul extern" \f C \l "1" Daca auditul extern ofera servicii si este independent din punct de vedere juridic, auditul intern face parte din functiile intreprinderii. In sectorul privat, auditorii externi sunt numiti de actionari, care le stabilesc si perioada de timp pe care sa o auditeze si tot acestora le raporteaza. In sectorul public, prin analogie, se solicita o certificare in numele statului, reprezentat tot de o institutie independenta, in cazul Romaniei aceasta institutie este Curtea de Conturi. In cazul auditului intern, beneficiarul concluziilor rezultate este managementul entitatii, iar in cazul auditului extern de regula toti cei care doresc o certificare a conturilor: banci, autoritati, actionari, clienti, furnizori s.a. Din punctul de vedere al obiectivelor urmarite de auditul intern acesta evalueaza sistemul de control intern si da asigurari managementului ca acesta functioneaza. Auditul extern certifica exactitatea conturilor si a situatiilor financiare, care consta in regularitatea, sinceritatea si imaginea fidela a declaratiilor financiare finale. Cu aceasta ocazie, auditul extern evalueaza si el sistemul de control intern, dar numai pentru elemente de natura financiar-contabila.
Auditorul extern are independenta specifica titularului unei profesii libere, reglementata juridic si statutar, el fiind independent fata de clientul sau. Chiar si in cazul auditului public extern aceasta independenta se pastreaza, fiind reglementata clar prin actele normative si standardele de lucru. Incompatibilitatile la care este supus un auditor public extern conduc la premiza unui audit independent si echidistant. Nu acelasi lucru se poate spune despre auditorul intern care este independent in exercitarea functiei sale in sensul unei independente a gandirii si a rationamentului profesional fata de subiectele pe care le auditeaza, dar in acelasi timp este dependent prin faptul ca apartine entitatii si depinde de standardele profesionale interne pe care trebuie sa le respecte. Conform literaturii de specialitate in auditul intern abordarea este una in functie de riscuri si are deviza: oricare ar fi sectorul, domeniul de activitate, se va audita cu aceleasi tehnici si instrumente. Auditul extern se ghideaza dupa o metodologie precisa, standardizata si se bazeaza pe inventare, interviuri, chestionare, analize, comparatii, rapoarte s.a.
Auditul sistemului informaticUn sistem informatic este un system care permite introducerea de date prin procedee manuale sau prin culegere automata de catre sistem, stocarea acestora, prelucrarea lor i extragerea informaiei (rezultatelor) sub diverse forme. TC "Auditul sitemului informatic" \f C \l "1" Auditul unui sistem informatic consta in efectuarea controlului intern in sistemul informatic pentru verificarea corectitudinii, rezultatele prelucrarilor realizate in interiorul sau, distribuirii acestora numai de catre utilizatori autorizati in cazul in care distribuirea se face automat folosind sistemului de calcul.
Pentru efectuarea controlului intern intr-un sistem informatic se folosesc masuri, metode si tehnici de verificare a corectitudinii rezultatelor prelucrarilor realizate in interiorul sau cunoscute in literatura de specialitate sub denumirea de controale.
In concluzie, Auditul Sistemelor Informatice este o activitate planificata de evaluare a sistemului informatic pe baza probelor de audit in scopul emiterii unei opinii calificate si obiective privind conformitatea sistemului cu legislatia, cu standardele in domeniu si totodata asupra capacitatii sistemului informatic de a sustine efortul de realizare eficienta a obiectivelor strategice a organizatiei.
Riscurile sistemului informatic TC "Riscurile sistemului informatic" \f C \l "1" Impactul riscurilor afecteaza afaceriile firmei incepand cu imaginea firmei publicitatea sa in mediul de afac pierderea unor clienti , a unor ate despre parteneri si expunerea clientilor firmei la amenintari ceea ce uneori atrage chiar actiuni in justitie pt prejudicii cauzate de neglijenta ca de exempluL: trimiterea unor msj eronate clientilor , furnizorilor.
Fraudarea firmei este o alta pierdere, diminuarea indicatorilor de eficinta prin reducerea cifrei de afaceri, cresteri ale costurilor pt remedierea daunelor si investitii
Riscurile care pot afecta Sistemul Informatic sunt:
1. Riscuri fizice:
Oricand se poate strica o pisa a sistemului informatic si programul/ programele folosite pot fii afectate total sau partial.
2. Riscuri logice:
Aceste probleme pot aparea din mai multe cauze cum ar fii introducerea unor date gresite, lucru ce duce la rularea eronata a programului.
3. Riscuri de functionare a S.I.:
Pot exista zile in care sistemul informatic nu functioneaza din diferite cauze (curentul oprit, defectarea fizica, etc.). Acest lucru duce la neputinta de a folosii programul/ programele intr-o firma iar aceasta nu poate functiona la parametrii normali.
4. Riscuri financiare:
Din cauza problemelor financiare nu se poate repara un S.I. defect sau , la nevoie, cumpararea unuia nou si acest lucru duce la derularea defectuoasa a firmei.
5. Riscuri de mediu:
Aceste riscuri apar atunci cand se foloseste un S.I. care dauneaza mediul inconjurator.
6. Riscuri de securitate:
Orice sistem informatic este predispus la riscuri de securitate care pot avea loc din neglijenta angajatilor, sau altor probleme intervenite in S.I. (virusi, spargerea de conturi, etc.)
7. Riscurile de organizare:
Atunci cand baza/ bazele de date nu a fost actualizate si din aceasta cauza se vor gasi erori in emiterea unor documente folosind un anumit program.
Vulnerabilitatile sistemului informatic TC "Vulnerabilitatile sistemului informatic" \f C \l "1" I. Identificatorul (ID) angajatilor concediati nu este eliminat din sistem Sursa amenintarii: Salariati concediati
Actiunea amenintarii: Conectare la reateaua organizatiei si acceseaza datele acesteia.
II. Firewall-ul companiei permite un acces la sistem prin serviciul Telnet
Sursa amenintarii: Utilizatori neautorizati (hackeri, teroristi, angajati concediati)
Actiunea amenintarii: Utizarea serviciului Telnet, permite accesul la fisierele din sistem.
III. Unul din partenerii societatii a identificat slabiciuni in proiectarea securitatii sistemului, sistemul in sine furnizandu-i diferite metode de remediere a acestora
Sursa amenintarii: Utilizatori neautorizati
Actiunea amenintarii: Obtinerea accesului neautorizat la fisierele sensibile ale sistemului, bazat pe vulnerabilitati cunoscute.
IV. Centrul de prelucrare automata a datelor foloseste pentru stingerea incendiilor "imprastietoare" de apa (incastrate in tavan) fapt ce poate afecta in mod negativ echipamentele hardware.
Sursa amenintarii: Foc, persoane neglijente
Actiunea amenintarii: Declansarea automata a stingatoarelor de incendii.
Amenintari asupra sistemului informatic TC "Amenintari asupra sistemului informatic" \f C \l "1" Sursa: Hackeri, crackeriActiunea: Intruziuni in sistem, atacuri de tip "hacking", acces neautorizat la sistemSursa: Criminalitate informaticaActiunea:Acte frauduloase, actiuni de tip spoofing, intruziuni ale sistemului.Sursa: TerorismActiunea:Penetrarea sistemului, interferarea sistemului in mod distructiv.Sursa: Spionaj industrial
Actiunea:Penetrarea sistemului, acces neautorizat, captarea datelor dintr-o linie de comunicatie neprotejata.Sursa: Atacuri ale angajatior
Actiunea:Fraude si erori, coruperea datelor, introducerea unor date false, acces neautorizat la sistem, introducerea virusilor, caii troieni, etc.
Controalele interne ale sistemului informatic TC "Controalele interne ale sistemului informatic" \f C \l "1" In mare parte activitatea echipei de audit este reprezentata de sistemul de controale interne, asa cum a rezultat si din definirea obiectuilui auditului sistemelor informatice. Auditorul trebuie sa cunoasca ce controale trebuie sa certifice si cum se aplica controalele pt ca activitatea sistemului informatic sa se desfasoare corect fara erori si disfunctionalitati.
Controalele se grupeaza in doua clase:
1. Controalele generale
2. Controalele de aplicatie
Controalele generale TC "Controalele generale" \f C \l "2"
Sunt acele controale care se aplica la nivelul intregului sistem informatic al organizatiei tuturor compartimentelor implicate in realizarea si functionarea sistemului pentru certificarea proiectarii realizarii , implementarii, exploatarii, si dezvoltarii corecte a intregului SI.
1. controalele privind planificarea si organizarea SI.
2. Controalele ale ciclului de viata a sistemului
3. Controalele de securitate ale SI
4. Controalele managementului schimbarilor in sistemul informatic
1. Controalele privind planificarea si organizarea SI.
Planificarea SI trebuie inteleasa ca si planificarea productiei in sensul ca trebuie sa ne stabilim tintele pentru viitor ceea ce trebuie facut in viitor cu ce resurse si ce beneficii.
Auditul trebuie sa constate daca exista un plan strategic si un plan operational pentru SI. Planul strategic trebuie sa contina directiile de dezvoltare ale sistemului pe termen lung, in timp ce, planul operational are un orizont mai mic de pana la 3 ani.
Problemele organizatorice sunt deosebit de importante avand in vedere legaturile informationale pe care le asigura SI pt.:
automatizarea proceselor de prelucrare pana la nivelulfiecarui post de lucru
comunicarea datelor atat in interiorul firmei cat si in exteriorul sau in primul rand cu clientii si furnizorii firmei
suport pentru fundamentarea proceselor decizionale
2. Controale privind ciclul de viata ale sistemului
In cadrul acestor controale distingem urmatoarele etape
studiul de fezabilitate
analiza si formularea cerintelor
proiectarea
realizarea
implementarea
Studiul de fezabilitate sta la baza deciziei privin oportunitatea si eficienta realizarii proiectuilui SI. Auditorul prin documentarea pe care o face va certifica daca aceasta decizie este conforma cu strategia, cu obiectivele firmei si daca se bazeaza pe o analiza pertinenta cost-beneficiu.
Analiza si formularea cerintelor informationale are o importanta majora pentru auditul sistemului informatic pentru ca se verifica faptul ca s-au identificat corect cerintele utilizatorilor finali precizate in specificatiile de sistem.
Proiectarea este in atentia auditorului pentru verificarea controalelor generale sub aspectul respectarii conformitatii cu cerintele initiale a specificatiilor pentru baza de date, a specificatiilor de programe pentru crearea unui plan pentru testarea securitatii si stabilirea unui control formal al modificarilor necesar prevenirii modificarilor necontrolate ale procesului de realizare a sistemului.
Realizarea este etapa in care controalele generale vizeaza utilizarea corecta a specificatiilor de realizare a programelor, procedurilor automate, definirea fluxurilor informationale, definirea formei si formatului pentru iesiri, intrari, realizarea nomenclatoarelor de coduri, realizarea si asigurarea unui caracter omogen si unitar pentru interfata cu utilizatorul.
Implementarea este o etapa in care controalele au o importanta si mai mare pentru ca se incheie procesul realizarii sistemului si in consecinta auditul trebuie sa evalueze testarea, certificarea si acreditarea SI.
3. Controalele de securitate
Au ca scop verificarea accesului utilizatorilor la sistem, identificarea , autentificarea si autorizarea utilizatorilor si a drepturilor acestora de acces si prelucrare.
Principalele aspecte vizate de controalele generale si legate de securitatea sistemului sunt:
Existenta si functionarea unei structuri de administrare a securitatii in care sa se regaseasca de exemplu functii si atributii pentru administratorul resurselor informatice si de comunicatie
Controlul si administrarea parolelor si a drepturilor utilizatorilor
Controlul logic pentru accesul la instalarea si configurarea de echipamente si pachete software
Controlul procedurilor de monitorizare a prevenirii comunicarii si solutionarii incidentelor de securitate
Controlul de securiatete fizica
Controlul procedurilor de realizare a copiilor de siguranta
4. Controalele managementului schimbarilor in sistemul informaticObiectivul este acela de a verifica ca toate modificarile aduse aplicatiilor sunt corect autorizare si aprobate inaintea implementarii.Controalele de aplicatie TC "Controalele de aplicatie" \f C \l "2"
De la nivelul intregului sistem se trece la componentele sistemului, aplicatiile informatice.
Controalele interne urmarite de auditul aplicatiilor trebuie sa acopere urmatoarea arie de probleme:
controlul calitatii aplicatiilor;
controlul adecvarii functionalitatii aplicatiilor la cerintele unui control eficient;
fiabilitatea aplicatiilor.
1. CONTROLUL CALITATII APLICATIILOR
Calitatea aplicatiilor se asigura prin calitatea componentelor elementare ale aplicatiilor IT:
datele de intrare;
proceselor de prelucrare; datele de iesire; integritatea bazei de date.
Atributele calitatii pe care trebuie sa le avem in vedere sunt:
completitudinea,
corectitudinea calculelor,
validitate pe baza verificarilor logice,
autorizare si separarea indatoririlor segregation of duties. 2. CONTROLUL ADEGVARII FUNCTIONALITATII APLICATIILOR LA CERINTELE UNUI CONTROL INTERN EFICIENT
Are in vedere includerea de jaloane de control inca din etapa de proiectare pentru a fi mai usor validate de auditori.
Aceasta cerinta inseamna ca aplicatiile informatice trebuie sa includa:
proceduri de validare a operatilor de introducere a datelor de intrare de catre persoanele cu responsabilitati pe linia autorizarii intrarile.
proceduri de generare a unor rapoarte care sa inlesneasca controlul introducerii datelor in sistem de exemplu istoricul introducerii datelor obtinut prin jurnalizare proceduri de validare a concordantei iesiri intrari relevante pentru corelatiile dintre procesele decizionale, indicatorii sintetici, situatiilor de iesire, date de intrare, corelatii concordanta care asigura consistenta aplicatiilor informatice.3. FIABILITATEA APLICATIILOR
Urmareste modul in care aplicatiile se comporta in conditii extreme, la limita. Se testeaza timpul de raspuns si respectiv riscul de blocare cand o aplicatie ruleaza cu parametrii setati la valori maxime. De exemplu baza de date este populata cu numarul maxim de inregistrari, interfata de comunicare este accesata de un numar foarte mare de utilizatori care initiaza un numar foarte mare de tranzactii, etc.
CONTROLUL DATELOR DE INTRARE
Validarea datelor se diferentiaza in functie de modalitatile de introducere a datelor si particularitatile si particularitatile fizice ale echipamentelor de introducere a datelor. Avem astfel urmatoarele situatii:
date introduse direct de stafful de conducere, de personalul neinformatician sau de personalul specializat;
date introduse de la distanta de catre partenerii dintr-o aplicatie Web;
date introduse de la distanta prin scanarea documentelor; scanarea codurilor de bare, scanarea codurilor RefID;
date introduse prin puncte ATM/POS sau prin sisteme EDI electronic data interchange;
Tipurile de controale mai sunt determinate si de utilizarea unor metode de control automat si generarea automata a unor secvente de date de intrare. Nucleul clasic de controale pentru datele de intrare contine urmatoarele tipuri de controale:
controlul formatului, care are in vedere natura datelor, lungimea, numarul de zecimale, formatul datelor calendaristice, etc.;
controlul domeniului de valori, care poate fi un domeniu de valori continuu sau discret, predefinit sau memorat intr-un fisier tip nomenclator, control care verifica incadrarea in limite de verosimilitate si rezonabilitate;
controlul existentei datelor si a relatiilor de corespondenta dintre date, admiterea sau neadmiterea valorii nule, verificarea restrictiei de integritate a entitatii si a restrictiilor de integritate referentiala;
controlul cifrelor de control,
controlul tranzactiilor lipsa sau al tranzactiilor duplicate.
CONTROLUL PRELUCTARILOR
Aceste controale urmaresc ca procedurile de prelucrare sa fie autorizate, complete si corecte.
Verificarea autorizarii are in vedere mai multe aspecte:
licentele,
versiunile,
persoanele care au drepturi pentru instalari,
dezinstalari,
devirusari,
configurarea sistemului si setarea parametrilor si optiunilor implicite,
backup-uri,
initierea de proceduri de prelucrare curente.
CONTROLUL INTEGRITATII BAZELOR DE DATE
Acest control urmareste prevenirea si eliminarea amenintarilor ca datele memorate sa fie distruse sau alterate.
Controlul prelucrarilor operatiilor de actualizare este foarte important pentru integritatea sistemului. De aceea se practica pastrarea, alaturi de backup-urile periodice si a unor liste de control create prin jurnalizarea procedurilor de actualizare, dar si a altor proceduri critice de prelucrare, care ar putea denatura continutul bazelor de date. Este utila calcularea unor indicatori statistici care evidentiaza tipul si frecventa aplicatiilor rulate, numarul de incidente dar si a unor totaluri de control pentru urmarirea actualizarii in special a fisierelor principale ale aplicatiilor.
CONTROLUL DATELOR DE IESIRE
Controlul datelor de iesire urmareste mai multe directii:
distribuirea iesirilor;
confruntarea outputurilor,
reconcilierea si corectarea erorilor;
manipularea si pastrarea iesirilor.
In cadrul acestor categorii de controale de aplicatii se pot face grupari ale controalelor specifice mentionate dupa diverse criterii.
Astfel controalele de aplicatii pot fi:
controale manuale;
controale automate;
controale substantive, individuale;
controale conjugate, legate;
controale configurabile,
controale de granita pentru datele ce provin din afara sistemului.
Metodologia de audit TC "Metodologia de audit" \f C \l "1"
Auditorul trebuie sa-si planifice auditul pentru ca misiunea de audit sa se desfasoare in mod eficient. Planificarea unui audit implica stabilirea strategiei generale de audit si elaborarea unui plan pentru a diminua riscul de audit la un nivel acceptabil de scazut.
Strategia generala de audit stabileste:
aria de aplicabilitate a auditului
intervalul calendaristic;
resursele si managementul auditului
Strategia ofera indrumari referitoare la elaborarea unui plan de audit.
Riscul accesului fizicNivelul
risculuid e s c r i e r e
MaximStatiile de lucru si celelalte resurse informationale sunt accesibile tuturor persoanelor care au acces in sediul intreprinderii
ModeratResursele informationale sunt localizate in birourile in care, in mod normal, persoanele din afara organizatiei nu au acces
MinimResursele informationale sunt localizate in zone in care nici o persoana autorizata nu are acces
Riscurile asociate retelei
Nivelul
risculuid e s c r i e r e
MaximSistemul IT utilizeaza comunicatii prin conexiuni la retele publice, de ex. Internet
ModeratSistemul IT utilizeaza o retea privata pentru comunicatii
MinimSistemul IT nu este conectat la retele externe
Matricea riscului accesibilitati generale
Acces
fizicAcces retea
MaximModeratMinim
MaximMaximMaximModerat
ModeratMaximModeratMinim
MinimModeratMinimMinim
CHESTIONAR
pentru evaluarea sistemului informatic TC "CHESTIONAR" \f C \l "1" DANUOBSERVATII
NR.A. Infrastructura hardware / software
1Corespund tipul si dimensiunea sistemului si aplicatiilor necesitatilor institutiei ?X
2Dotarea hardware si software este suficienta ?X
3Sistemul si aplicatiile sunt administrate corespunzator ?X
4Asistenta tehnica aferenta echipamentelor si aplicatiilor este corespunzatoare ?X
B. Utilizare / Functionalitate
5Cum apreciati aplicatiile din punct de vedere al dificultatii utilizarii acestora ?MEDIU
6Considerati ca timpul de preluare si/sau prelucrare a datelor s-a redus ?XIN COMPARATIE CU FACTURILE TIPIZATE
7Aplicatiile utilizate duc la diminuarea numarului de erori ?XMAI ALES LA CALCULE
8Sunt evitate paralelismele ?X
9Se pot furniza informatii mai rapid catre conducere?XDEOARECE TOTUL ESTE ELECTRONIC
10Exista cerinte suplimentare frecvente neacoperite de aplicatiile aflate in exploatare ?X
11Considerati oportuna extinderea facilitatilor aplicatiilor analizate sau realizarea unor aplicatii noi ?X
12Aplicatiile reflecta in mod corespunzator prevederile legale ?X
13Sunt acestea actualizate in timp util ?XDACA SUNTEM CONECTATI LA INTERNET
C. Instruire utilizatori
14Cum apreciati calitatea documentatiei tehnice ? Este ea suficienta, utila, acoperitoare,actualizata?XPROGRAMUL SE ACTUALIZEAZA DE FIECARE DATA
15Tematica privind instruirea utilizatorilor, informaticieni si neinformaticieni, a fost suficienta ?XMULTE LUCRURI CARE NU SUNT EXPLICATE SUFICIENT
16Au aparut necesitati suplimentare legate de pregatirea personalului ?X
17A fost constatata o crestere a performantei personalului ?X
D. Apreciere generala
18Se realizeaza o reducere a costurilor (consumabile, cheltuieli postale etc.), ca urmare a implementarii aplicatiilor ?X
19Ofera sistemul facilitati de verificare rapida a contribuabililor inactivi ? Sunt acestia verificati periodic si de catre cine ?XPUTEM FACE ACEST LUCRU PRIN VERIFICAREA TERMENELOR DE PLATA
20Permite sistemul evidentierea contribuabililor care nu depun declaratiile conform modului in care au fost inregistrati? X
21Dar a celor care nu-si achita obligatiile ? Daca da, precizati procentul acestora fata de numarul total al contribuabililor inregistrati.X
22Considerati ca aplicatiile contribuie la imbunatatirea activitatii institutiei ?X
Concluzii despre sistemul informatic TC "Concluzii despre sistemul informatic" \f C \l "1" AVANTAJE TC "AVANTAJE" \f C \l "2" :
Avem nomenclatoare pentru produse si pentru clienti si nu trebuie sa introducem de fiecare data datele acestora
Cand adaugam un produs sau un client nou suntem intrebati daca vrem sa il adaugam in nomenclator
Cand introducem in nomenclatorul de clienti un client nou este de ajuns sa introducem CIF si sa apasam butonul si datele acestuia se vor introduce in mod automat (actualizate la zi)
DEZAVANTAJE TC "DEZAVANTAJE" \f C \l "2" : Nomenclatoarele nu se pot importa dintr-un fisier exterior (excel, word, etc.)
Nu putem vedea cate documente a emis fiecare angajat (seriile si numerele merg in continuare indiferent de persoana care intocmeste documentul)
Documentele pot fi modificate oricand si de oricine fara a se vedea acest lucru undeva
CONCLUZIE: TC "CONCLUZIE:" \f C \l "2"
In concluzie programul de facturare Smart Bill Standard 2012, Sistemul Informatic pentru care a fost efectuat Auditul, este util dar este recomandat sa fie folosit mai mult in firme mici (max. 10 angajati) si mai putin in firme mijlocii si mari si de preferat sa fie o singura persoana care sa il utilizeze pentru a nu exista modificari nedorite de catre o anumita persoana in dreptul alteia.
DIRECTOR
GENERAL
DIRECTOR EXECUTIV
ANTRENOR
FITNES
ANTRENOR
FITNES
ANTRENOR
AEROBIC
RECEPTIONER
Ploiesti 20122