Auditul aplicatie xTrack WMS www.AxesSoftware.ro

Burlacu Bogdan

Cuprins

1. PREZENTARE GENERALA A ORGANIZATIE SI SISTEMULUI INFORMATIONAL………………………………………………………………3 1.1Prezentare organizatie.……………………………………………………3 1.2.Oganigrama……………………………………………………………….5 1.3.Arhitectura retelei de calculatoare………………………………………6 1.4.Sistemul informatic……………………………………………………….7

2.PLANIFICAREA MISIUNII DE AUDIT……………………………….......13 2.1.Prezentarea scopului si obiectivelor……………………………………..13 2.2.Scrisoarea de angajament………………………………………………13

3.SISTEMUL INFORMATIC………………………………………………...14 3.1.Evaluarea generala a sistemului informatics…………………………….14 3.1.1.Responsabilitatea guvernantei sistemului informatics.………………..14 3.1.2.Infanstructura Hardware si software…………………………………..14 3.1.3.Utilizarea sistemului informatics……………………………………….15 3.1.4. Introducerea datelor in sistem…………………………………………16 3.1.5. Securitatea si protectia sistemului informatic.………………………..17

4.Evaluarea riscurilor si controalelor din sistemul informatics………………18 4.1.Evaluarea riscurilor si controalelor din sistemul informatic.…………..18 4.2.Evaluarea riscurilor si controalelor statiilor de lucru…………………..18 4.3. Evaluarea sistemului de gestiune a bazelor de date…………………….19 4.3.1. Accesul la baza de date………………………………………......19

4.3.2. Securitatea sistemului de operare……………………………….20 4.3.3. Gradul de dificultate al parolelor si managementul acestora....21

4.3.4. Criptarea bazei de date…………………………………………..22 4.3.5 Vulnerabilitatea, integritatea si procesul de patching a bazei de date…………………………………………………………………………….23

Bibliografie……………………………………………………………………25

2

1. Prezentare generala a organizatie si sistemului informational

1.1. Prezentare organizatie

CNDPI care administreaza reteaua Depozitul de Calculatoare este unul dintre cei mai mari jucatori de pe piata IT&C din Romania. Reteaua Depozitului de Calculatoare are in prezent 71 magazine, scazand fata de anul 2008 cand reteaua era extinsa la un numar de 105 magazine. Din2001, DC si-a extins treptat reteaua de puncte de distributie, vizand pentru inceput capitale de judet si orasele mari precum Timisoara, Constanta, Brasov, Cluj, Iasi. Datorita succesului inregistrat de aceste magazine, in scurt timp, s-a luat decizia suplimentarii numarului de locatii noi ce vor fi deschise pentru a acoperi zonele cu potential ridicat descoperite. Directorul general al retelei Depozitul de Calculatoare a luat la finele anului trecut una dintre cele mai drastice masuri de pana acum in domeniul IT, reusind sa ajunga cu numarul angajatilor la jumatate si sa fie sanatoasa ca si companie in prezent. Elmentioneaza ca reuseste sa supravegheze bine resursele interneale companiei si cheltuielile, astfel incat sa pastreze in permanenta un cash flow pozitiv. In prezent, compania se afla intr-un amplu proces de reorganizare in incercarea de a limita pierderile cauzate de criza economica inca prezenta pe piata IT&C. De-a lungul timpului reteaua Depozitul de Calculatoare s-a dovedit a fi un partener serios, stabil cu un ridicat potential de dezvoltare, dovada fiind certificari prestigioase acordate de jucatori importanti din industrie, precum: Intel Channel Partner Premium Member, Microsoft GoldCertified Partner sau Microsoft Small Business Specialist.Cu peste 120 de angajati certificati Microsoft Certified Professional, cel mai mare la nivel decompanie din industria IT romaneasca, DC porneste cu sanse mare in cursa pentru a deveni, incepand din vara lui 2008, Microsoft Direct OEM (pentru sistemele de operare Microsoft) siMicrosoft Direct Retail (pentru periferice: tastaturi, mousi, camere web). Atingerea acestor nivele de parteneriat vor asigura atat un proces de aprovizionare optimizat cat si preturi competitive pentru clientii DC. De asemenea, in mai putin de 2 ani de la lansarea site-ului web www.dc-shop.ro, acesta adevenit cel mai accesat site specializat exclusiv pe produse IT din Romania, conform statisticilor.

Depozitul de Calculatoare este un lant de magazine detinut de CNDPI ROMSOFT S.A., companie care activeaza pe piata de import, distributie si retail IT. CNDPI ROMSOFT are parteneri de renume, precum: ASUS ,TRENDnet, Genius, Thermaltake, OCZ, HP, Cannon, Intel si AMD.

In acord cu aceasta politica de calitate, ROMSOFT pune anul aceasta un accent deosebit pe certificarea personalului tehnic si de vanzari din sediul central si din reteaua “depozitul de calculatoare” , acesta personal fiind interfata companiei cu clientii si pregatirea acestuia influentand direct calitatea solutiilor comercializate. Conform calendarului intern al companiei, in urmtoarele 12 luni, circa 250 de angajati din companie vor urma cursuri de certifcare tehnica Microsoft. Scopul avestui demers este cresterea movelului de competenta tehnica la nivelul intregii companii, prin atingerea a doua obiective : 1.personalul certificate tehnic sa detina o pondere de 25% din totalul personalului companiei 2. Cel putin 1 angajat din fiecare magazine “Depozitul de calculatoare” sa detina o certifacare tehnica Microsoft de tip MCP (Microsoft Certified Professional) in domenii precum pre-instalare Windows sau troubleshooting (support tehnic).

Aceste obiective au ca scop specializarea personalului in acordare de asistenta si servicii de utilizator de sisteme de calcul cu software Microsoft preinstalat, precum si un grad mai mare de

3

flexibilitate in abordarea platformelor OS specific fiecarui tip de client DC. ROMSOFT a amenajat in acest scop, la sediu sau central, un centru de instruire deservit de un trainer autorizat Microsoft (MCT), al carui mandate include si formarea unui centru de support tehnic intern, destinat oferirii de support thenic avansat personalului din magazinele proprii.

Obiectivul de activitate al firmei

Depozitul de calculatoare activeaza in domeniu IT de la noi din tara. Obiectul de activitate il reprezinta vanzarea atat a echipamentelor de hardware cat si de software. Compania are la momentul actual lant de magazine in toata tara dar si un magazine virtual www.dc-shop.ro prin intermediul cariua se pot achizitiona produse. Printre produsele comercializate de Depozitul de Calculatoare se Numara echipamente portabile monitoare,camera foto si video, placi de baza ,procesoare ,coolere, memorii, echipamente multimedia, televizioare si produse software.

Compania ofera posibiliatea platii produselor fie prin transfer bancar, fie in mod direct, cash.In ceea ce priveste livrarea compania are propria retea de transport ce reduce la minim timpul in care articolele comandate vor fi livrate. Pentru livrarea produselor in Bucuresti nu se percepe nici o taxa, iar pentru alte localitatii se plateste o taxa in functie de lungimea trascului.Depozitul de Calculatoare asigura si service pentru clientii sai si ofera garantie la produsele sale.

4

1.2. ORGANIGRAMA

5

1.3 ARHITECTURA RETELEI DECALCULATOARE

6

1.4. SISTEMUL INFORMATIC

Axes Software este o companie romaneasca ce este specializata in oferirea de solutiisoftware si hardware pentru Supply Chain. A fost infiintata in anul 2005 din dorinta de a realizaaplicatii complexe pentru automatizarea proceselor de marfuri si servicii in cadrul companiilor,incepand cu aplicatii de tip WMS (Warehouse management system). WMS reprezinta o solutie unita si optima dedicata pentru managementul depozitului,gestionand toate operatiile din cadrul unei companii care detine un deposit, operatiuni de laprimirea in depozit a marfurilor, care trec prin mai multe procese printre care enumeramstocarea, inventarierea, managementul reaprovizionarii cu materiale sau marfuri, ridicarea siimpachetarea acestora, incarcarea si livrarea. WMS asigura si functionalitatea unor operatiunimai complexe ce tin de activitatea unei companii, precum facturarea, transferuri intre depozite simulte alte operatiuni.In concordanta cu cerintele clientilor nostri si adaptandu-ne mediului operationalromanesc, Axes Software a dezvoltat aceasta solutie pentru urmarirea fluxurilor de productie, aplicatii de gestionare a comenzilor de intrare si iesire si aplicatii de gestionare a transporturilorde marfuri si persoane. Fara a intra in detaliu se poate afirma ca un sistem WMS bine pus la punct si dezvoltat,precum este cel conceput de Axes Software ofera functionalitati sau multiple beneficii care crescacuratetea gestiunii unui depozit, maximizeaza utilizarea spatiilor si asigura acoperireacomenzilor pentru a creste satisfactia clientilor.Mai bine spun, WMS este un instrument pentru imbunatatirea productivitatii organizatiei si orientarea companiei ce furnizeaza un astfel de soft catre client.

Solutia xTrack WMS este dedicata gestionarii activitatiilor din cadrul depozitelor de marfuri, distributie, curierat, 3PL, productie si altele. Este o aplicatie care raspunde complet la cerintele logisticii moderne folosind cele mai noi concepte pentru un management al depozitului eficient. Ca principii de baza in aplicatia WMS xTrack exista doua fluxuri, unul de documente si unul de marfa sau un flux logic si unul fizic sau scriptic si faptic. La baza fluxului de documente sta comanda care poate fi de Intrare, de Iesire, de Mutare, de Transport, de Productie sau de Inventar acestea fiind si modulele functionale ale aplicatiei WMS. Fiecarei operatiune fizica din depozit corespunde unei comenzi. Pe langa modulele functionale mai exista modulele de administrare, rapoartare, facturare si interfata WEB clienti, ultimele doua fiind folosite doar in cazul companiilor ce presteaza servicii logistice de tip 3PL.

Functionalitatile de baza ale aplicatiei xTrack WMS sunt: Gestionarea marfurilor; Gestionarea spatiului de depozitare; Gestionarea resurselor umane din depozit; Gestionarea resurselor materiale din depozit; Gestionarea ambalajelor (reverse logistic); Gestionarea incarcarilor in mijloace de transport.

7

Categoriile de fluxuri gestionate in xTrackWMS: fluxuri de documente fluxuri de marfa.

8

Avantajele sistemului xTrackWMS: Tehnologiile IT folosite permit o configurare flexibila a aplicatiei Rapoarte flexibile generate de catre utilizatori Drepturi de acces Impartirea fluxurilor din depozit in task-uri pentru fiecare operatiune in parte Modul de definire design etichete integrat in aplicatie Management avansat al diferentelor Integrarea cu diferite aplicatii informatice: ERP, TMS, aplicatii productie, aplicatii

curierat, SFA etc. Interfata grafica utilizator configurabila Suporta meniuri in modul multilingvistic.                               

Beneficiile aduse de xTrackWMS:

Informatii in timp real Reducerea erorilor de receptie, picking, inventar si altele

Optimizarea fluxurilor din depozit

Management al task-urilor de activitate pentru eficientizarea muncii in depozit

Automatizarea fluxurilor de date intre departamentele companiei

Optimizarea stocurilor

Reducerea spatiilor de depozitare

Prioritizarea activitatilor in depozit

Identificarea rapida a eventualelor erori si instrumente de reglare a acestora

Masurarea activitatilor (timp si bani).

Principalele caracteristici functionale ale aplicatiei xTrackWMS:

administrare nomenclatoare

etichetare si tiparire documente

comenzi de intrare

crossdocking

comenzi de iesire

operatiuni (inventariere, mutari, etc)

3pl

9

generare automata task-uri, procesare

transport

rapoarte

tehnic

interfatare.

Infrastructura hardware necesara pentru xTrackWMS:

retea wireless in zona de lucru masina server si/sau statie de lucru

terminale portabile cu modul scanare coduri de bare si/sau RFID

imprimante pentru coduri de bare

materiale consumabile si diverse accesorii.

 Infrastructura software xTrackWMS:

Modulul BackOffice al aplicatiei – se instaleaza pe statia de lucru Modulul FrontOffice – se instaleaza pe terminalele portabile – datele se proceseaza pe

teren

MsSQL Server.

INTRARI in aplicatia xTrackWMS

Comenzi plasate catre furnizor; se accepta si retururi Comenzile de intrare pot fi: Standard sau CrossDocking

Comanda de intrare poate contine mai multe receptii, cu documente diferite

Comenzile de intrare pot fi importate din ERP sau introduse direct in modulul BO

Comanda intrare contine: Cantitatea receptionata (faptica) si Cantitatea document (scriptica)

Comenzile se pot asigna pe mai multe criterii, in mod automat sau manual.

Acestea se pot procesa in doua moduri:

utilizand terminale portabile cu modul de scanare cod-bare si/sau RFID

direct pe hartie (picking list), introducand ulterior datele in sistem (BO)

Procesarea se poate realiza pe articol, pe lot, pe SN, pe palet, etc.10

PUT AWAY in aplicatia xTrackWMS:

Task-urile de put away se pot prioritiza Se pot configura o serie de algoritmi de put away

Se permite verificarea limitelor de masa si volum pe locatia destinatie

Poate fi realizat utilizand terminale portabile sau documente tiparite

Pentru configurare se pot utiliza diferite criterii: parteneri, familie de produse, ABC, etc.

11

CROSS DOCKING in aplicatia xTrackWMS:

Comenzile de CrossDocking cu produse se preiau din receptie (sau de la o locatie prestabilita) si se trimit catre zona de livrare

Procesul de livrare este simplificat – se castiga timp

Se livreaza paleti intregi.

IESIRI in aplicatia xTrackWMS:

Sunt comenzi plasate pentru a fi livrate catre parteneri Se pot importa sau se pot introduce direct in BO

Se accepta mai multe livrari pe o comanda de iesire

Procesarea in depozit se poate face utilizand  terminalul mobil sau prin document tiparit din BO (picking list)

Se permite rezervarea de marfa

Operatia de picking se poate face in mai multe feluri

Rezultatul livrarii va putea fi exportat catre ERP.

 

PICKING in aplicatia xTrackWMS:

Algoritm de picking configurabil, in diverse tehnolgii (pick by voice, pick by light, pick by paper, pick by mobile terminal etc.)

Se realizeaza prin task-uri prioritizate pe diferite criterii

Poate fi efectuat pe bucata, pe cutie sau palet

Se vor genera etichete pentru paletii pick-uiti.

VERIFICARE in aplicatia xTrackWMS:

Poate fi efectuata prin sondaj sau la nivel de palet Prin task-uri asignate utilizatorului

Scanarea codului palet si a continutului articol si cantitate

Gestionarea diferentelor prin tehnologia AdjustmentBin.

12

ETICHETAREA in aplicatia xTrackWMS:

In aplicatie este instalat un modul pentru design-ul etichetelor Configurarea este flexibila

Exista mai multe tipuri de etichete – articol, locatie, palet, trasabilitate, etc.

INVENTARIEREA in aplicatia xTrackWMS:

Se poate efectua pe zone, pe proprietar, pe gestiuni, prin una sau mai multe echipe de inventariere desemnate

Se poate realiza in timpul lucrului, ca inventar partial

Diferentele se proceseaza prin AdjBin

Se vizualizeaza rezultatul inventarului in timp real

Se pot efectua mai multe numarari pentru un inventar.

RAPOARTE in aplicatia xTrackWMS:

Raportare flexibila si conforma cu cerintele clientului Diferite moduri de afisare a informatiei inclusiv pivot table si chart

Usurinta in definirea de rapoarte de catre key user

Export in diferite formate de fisiere, html, pdf, xls, csv etc.

Acces diferentiat pe rapoarte pentru utilizatori  in functie de dreptu

2. PLANIFICAREA MISIUNI DE AUDIT

2.1. PREZENTAREA SCOPULUI SI A MISIUNI

Auditarea structurii sistemului informatic in cadrul companiei necesita, in intregime, un nivel ridicat de analiza; vor fi analizate in mod deosebit integrarea aplicatiei, sistemele de operare, infrastructura si modul in care acestea afecteaza intregul sistem informatic al companiei.

Obiectivele auditului:

13

1.Identificarea si inlaturarea punctelor slabe ale sistemului informatic;2.Minimizarea riscurilor la care este expusa compania;3.Constientizarea asupra potentialelor riscuri pe care sistemul informatic actual le implica in dezvoltarea proiectelor si punctele critice unde trebuie intervenit pentru a indeparta aceste riscuri;4.Utilizarea in conditii de siguranta a unei tehnologii dezvoltate de actualitate prin aplicarea unor politici de securitate care sa respecte conditiile specifice companiei;

2.2. SCRISOAREA DE ANGAJAMENT

Data: 25 noiembrie 2013

Obiectivul şi domeniul de aplicare a auditului

Ca urmare a solicitării dvs. privind auditarea securitatii sistemului informatic, întocmite conform OMFP 3055/2009 privind reglementări informatice conform cu directivele europene, suntem încântaţi sa vă confirmăm acceptul nostru prin conţinutul acestei scrisori. Auditul pe care îl vom efectua va avea ca obiectiv exprimarea unei opinii din partea noastră asupra securitatii informatice întocmite în conformitate cu legislaţia română în domeniu.

Responsabilităţile auditorului

Noi ne vom efectua auditul în conformitate cu Standardele Internaţionale de Audit(ISA) asimilate integral de către Camera Auditorilor Financiari din România. Aceste standard cer să respectăm cerinţele etice şi să planificăm şi să efectuăm auditul pentru a obţine asigurări rezonabile cu privire la faptul dacă sistemul informatics xtrack WMS contine denaturări semnificative. Procedurile selectate depind de judecata auditorului, inclusiv evaluarea riscului de denaturare semnificativă a situaţiilor, ca urmare a unor erorii.

3. SISTEMUL INFORMATIC

3.1. EVALUAREA GENERALA A SISTEMULUI INFORMATIC

3.1.1. Responsabilitatea guvernantei sistemului informatic

14

3.1.2. Infanstructura Hardware si software

15

3.1.3. Utilizarea sistemului informatic

16

3.1.4. Introducerea datelor in sistem

17

3.1.5. Securitatea si protectia sistemului informatic

18

4. EVAULUAREA RISCURILOR SI CONTROALELOR DIN SISTEMUL INFORMATIC

4.1. Evaluarea riscurilor si controalelor din sistemul informatic

4.2. Evaluarea riscurilor si controalelor statiilor de lucru

19

SISINF.2.2.2

SISINF.2.2.2

4.3. Evaluarea sistemului de gestiune a bazelor de date

4.3.1. Accesul la baza de date

20

ASGB D.1.1

ASGB D.1.2

4.3.2 . Securitatea sistemului de operare

21

ASGBD.2.1

ASGBD.2.2

4.3.3. Gradul de dificultate al parolelor si managementul acestora

22

ASGBD.3.1

ASGBD.3.2

4.3.4. Criptarea bazei de date

23

ASGBD.5.1

ASGBD.5.2

4.3.5. Vulnerabilitatea, integritatea si procesul de patching a bazei de date

24

ASGBD.6.1

ASGBD.6.2

25

BIBLIOGRAFIE

1. www.axessoftware.ro

2. Manual ultizare Xtrack WMS

3. Control si audit intern prof. dr. IOAN OPREAA

4. www.axessoftware.ro/index.php/warehouse-management-wms

26