Coordonator tiinific Confereniar Univ. Dr. Brnda Claudiu

Student Trop Silviana Daciana

INTRODUCEREAplicaiile ERP formeaz coloana vertebral a unei organizaii i sunt "responsabile" de datele, informaiile i cunotinele interne organizaionale. Avnd n vedere consumul de resurse umane i financiare la dezvoltarea unui sistem informatic, este necesar s se desfoare anumite activiti care s conduc la atingerea obiectivului propus, la timp, cu nivelul de calitate stabilit i n limita bugetului alocat.

Una dintre aceste activiti, deosebit de important, att pentru realizatori, ct, mai ales,pentru utilizatori, este auditul sistemelor informatice (SI). Necesitatea realizrii controlului i auditului sistemelor informatice rezult n primul rnd din existena ameninrilor i vulnerabilitilor la adresa sistemelor informatice utilizate de agenii economici n desfurarea activitilor de toate tipurile, adic n administrarea electronic a afacerilor.

CAP. 1 NOIUNI INTRODUCTIVE PRIVIND SISTEMELE INFORMATICE INTEGRATE

Istoria sistemelor ERP dateaz din anii 1960 cnd este pus pe pia primul produs de acest tip a fost MRP (Material Resource Planning).ncepnd cu anii 90 sistemele ERP au nceput s ia forma aplicaiilor actuale. ERP a devenit n ultimii ani un subiect extrem de popular. Definiie: ERP reprezint un sistem informaional contabil, bazat pe interfee grafice utilizator, baze de date relaionale, limbaje de generaia IV-a, instrumente CASE i arhitectur client/server (FOTACHE & HURBEAN 2004)

Astzi, sistemele ERP fac un pas nou in dezvoltarea lor prin utilizarea internetului pentru eficientizarea funcionalitilor.

ARHITECTURASISTEMELOR INFORMATICE INTEGRATESecuritatea sistemelor ERP poate fi gndit ca o piramid

Baza piramidei este securitatea fizica a

hardwere-ului maina, baza de date, precum i off-line de stocare media.

Cel de-al doilea strat se ocup cu

sistemul de operare.

Cel de-al treilea strat se axeaz pe

software-ul de securitate. Aceste trei straturi contribuie la securitatea mediului de calcul

ARHITECTURA CU 3 STRATURI A UNUI SISTEM ERP

AVANTAJELE SI DEZAVANTAJELE SISTEMELOR ERP

AVANTAJE

DEZAVANTAJE

Informaii de calitate; Evitarea redundanei date lor i operaiunilor;

Proiecte consumatoare de timp;

Costuri mari; Neconformitatea modulelor; Dependena de furnizor; Necesitatea extinderii i dezvoltrii ulterioare a sistemului

Scderea timpului de rspuns; Adaptabilitate; Sistem de ntreinere mbuntit; Deschidere ctre e-business

EXEMPLE DE SISTEME ERP

CAP 2. ANALIZA VULNERABILITILOR I RISCURILOR SISTEMELOR ERPOrice mediu IT prezint vulnerabiliti unice i ameninri la adresa unei organizaii. Definiie: Vulnerabilitatea este o slbiciune sau o greeal, ntr-un sistem bazat pe IT, care poate fi exploatata de ctre o ameninare, care provoaca distrugerea, sau prin folosirea abuziv a activelor sistemului sau a resurselor. [Yusufali F. Musaji, 2002]Auditul sistemelor ERP poate identifica vulnerabilitile, dar acestea sunt prea costisitoare pentru a putea fi corectate, dup punerea n aplicare, din cauza costurilor associate. Vulnerabilitile cele mai mari sunt:

Vulnerabilitatea (vulnerability) Vulnerabilitate de proiectare (design vulnerability) Vulnerabilitate de implementare (implementation vulnerability) Vulnerabilitate de configurare (configuration vulnerability)

RISCURILE LA CARE SUNT EXPUSE SISTEMELE ERPToate aceste ameninri i vulnerabiliti ale sistemelor informatice integrate genereaz riscuri ce afecteaz securitatea datelor i care fac obiectul controalelor i auditului informatic.

a) Riscurile de mediu - hardware si reele de comunicaii; - sistem de operare; - softuri de aplicaie; - informaiile procesate de sistem;

b) Riscuri asociate mediului : - pericole naturale si dezastre; - alterarea sau furtul aplicaiilor, datelor; - erori umane sau tehnice; - incompetena managerial; - pierderi financiare previzibile;

Riscuri asociate unui sistem informatic : a) pierderea, deturnarea, modificarea informaiilor; b) accesul neautorizat la informaii; c) ntreruperea procesrii;

O analiz a riscului unui sistem ERP indeplinete dou funcii importante: Cutarea de vulnerabiliti ntr-un sistem ERP i probabilitatea materializrii ameninrilor pentru a axploata aceste vulnerabilitati. Calculeaz daunele sau pierderile activelor sale, care ar putea fi produse de rezultatele evenimentelor duntoare.

Utilizarea sistemelor ERP introduce, n mod clar, riscuri suplimentare n mediul sistemului. Aceste riscuri suplimentare includ probleme asociate cu:

Utilizarea incorect a tehnologiei Imposibilitatea de a controla tehnologia Imposibilitatea de a traduce nevoile utilizatorilor n cerine tehnice Prelucrarea ilogic Imposibilitatea de a reaciona repede Cascada de erori Intrare incorect a datelor

CAP 3. CONTROLUL N CADRULSISTEMELOR ERP

Beneficiile soluiilor ERP

Sisteme financiare integrate - captureaz informaia necesar pentru pregtirea situaiilor financiare de la surs (ex. Vnzri), facilitnd transmiterea tranzaciilor n timp real cu mai puine erori;

Procese standardizate - Un sistem ERP furnizeaz metode standard pentru automatizarea proceselor. Cu ct un sistem este mai complex, cu att mai complex este programarea, puterea de procesare i stocarea de date.

Informaie mprit n timp real - permite trecerea informaiei de la vnzri la producie, amplificnd precizia modelelor cerere-pronostic.

CONTROALE ADMINISTRATIVEControalele administrative- sunt implementate prin intermediul politicilor i procedurilordocumentate i sunt practicate mai degrab de persoane dect de

sistem .

- Aceste controale consist n acces la date, dezvoltareasistemului, n personalizare i modificare i n procese de ntreinere. - Procedurile de control automatizate oferite de sistemul SAP sunt mai eficiente cnd sunt ntrite de procedurile de control.

CONTROLUL ACCESULUI

Accesul direct al utilizatorilor ar trebui s fie restricionat de sistemul i baza de date de operare;

Drepturile de acces ale utilizatorilor ar trebui s fie aprobate de administraie;

nregistrrile utilizatorilor ar trebui s fie atribuite fiecruia n parte pentru

a preveni transmiterea de ID-uri i parole;

Parolele ar trebui s fie confideniale i dificil de divulgat si schimbate n mod regulat;

Administraia ar trebui s revizuie i s urmareasc n mod regulat orice nclcare a termenilor de acces;

Accesul la sistemul SAP pe perioada orelor nelucrtoare ar trebui minimizat i controlat adecvat ;

CAP 4. AUDITUL SISTEMELOR INFORMATICEINTEGRATEObiectivul auditului

Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor probe, pentru a determina dac sistemul informatic este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informaionale.n cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operaii sunt verificrile, evalurile i testrile mijloacelor informaionale. Auditul informatic poate, de asemenea, s evalueze aspecte strategice sau referitoare la calitatea sistemelor informatice. Obiectivul auditului pentru un sistem informatic ia n analiz totalitatea elementelor pentru a proba dac produsul finit sistemul informatic al companiei rspunde cerinelor formulate n contractul n baza cruia s-a efectuat investiia.

Planificarea auditului sistemelor informaticen cadrul procesului de audit informatic, planificarea i definirea metodei de audit este esenial. Structura planului i definirea programului sunt standard, presupunnd parcurgerea unor pai obligatorii. Sarcinile care se includ n plan, ealonarea etapelor din program au elemente de variabilitate legate strict de structura i de diversitatea produselor informatice analizate

Raportul de auditProcesul de auditare se finalizeaz cu ntocmirea unui raport care conine propuneri de msuri de reducere i de meninere sub control a riscurilor importante ale noii aplicaii. Raportul de audit are un rol esenial n angajamentele de audit i asigurare, deoarece comunic verdictul auditorului. Raportul de audit este un element fundamental al auditrii prin intermediul cruia se prezint situaia sistemului auditat aa cum a fost evaluat de auditori. Raportul de auditare este un text structurat care conine:

- prezentarea contextului;- rezultatul procesului de auditare; - evalurile finale; - nregistrrile din fiecare etap a procesului de auditare.

CONCLUZIIAuditul sistemelor informatice este o activitate complex. Auditarea are menirea de a transfera certitudine i ncredere n sistemul informatic prin rezultatul pozitiv stabilit de ctre o echip de auditori Necesitatea auditrii sistemelor integrate apare deoarece procesul de implementare, deosebit de dificil, provoac reorganizarea i reproiectarea organizaional, toate activitile legate de acest proces trebuie s fie monitorizate i controlate, riscurile fiind considerabil mai mari dect n cazul aplicaiilor tradiionale. SAP este unul din cele mai securizate sisteme ERP. Acesta asigur confidenialitatea, protecia i securitatea mpotriva accesului neautorizat la date. Securitatea este realizat la nivel de utilizator, la nivel de subcomponent i la nivel de funcionalitate (pe operaii: vizualizare, adugare, modificare, tergere).