Upload
gianfranco-durand
View
292
Download
1
Embed Size (px)
DESCRIPTION
Integrantes: Cruzado Quintana Frank García Durando Gianfranco Hinostroza Cirilo Marcela Valera Romer Irwin
Citation preview
[AUDITORÍA DE SISTEMAS DE INFORMACIÓN A LA
EMPRESA SKA INVERSIONES S.A.C.]Proceso de Auditoría de Sistemas de Información a la Empresa SKA Inversiones S.A.C. al área de Ventas.
2009Ingeniería de Sistemas - VIII CICLO
Integrantes:
Cruzado Quintana Frank García Duran Gianfranco Hinostroza Cirilo Marcela Valera Romero Irwin
I CAPITULO:
Auditoria de Aplicaciones (Relacionado a los sistemas de información)
Auditor
Procesar Auditoria de Control de Datos Fuentes
Procesar Auditoria de Control de Datos de Entrada
<<include>>
Procesar Auditoria de Control de Procesamiento de Datos
<<include>>
Procesar Auditoria de Control de Salida de Datos
<<include>>
VENTAS
1. Auditoria para el Control de datos fuentes: (Diagrama de caso de uso)
Procedimiento de Autorizacion de Entrada
Procedimiento para la Documentacion y Control...
Contro de Vigencia de Documentos
Auditor del Sistema de Informacion
Procesar la Revision de Preparacion de Datos
Procesar el Control de Documentos en Blanco
Procesar Generacion Autorizacion y Control...
<<extend>>
<<extend>>
<<extend>>
VENTAS
(f rom Use Case View)
1.1. Revisión de Procedimiento para la preparación de datos
Pedir Documentación
Identifica Documentación
Verifica Validez de Datos
Identifica Personal Responsable de Preparación de datos
Evaluar Funciones de Control de Preparación de datos
Buscar Documentación
Entrega Documentación
Muestra a Personal
VENTASAUDITOR
Cuestionario de Procedimiento para la preparación de datos
ExisteObservaciones
Sí No
a.- Identificar los documentos utilizados para cada tipo de entrada.
X
Los documentos se efectuará en forma gradual, por lo que se ha considerado necesario efectuar las siguientes aclaraciones respecto al formato de las Facturas y Boletas de Venta, como tarjetas de crédito, ventas de consumo.
b.- Asegurarse de la validez de los datos que se integran a cada documento fuente.
X
Asegurarse de la validez de los datos que se integran a cada documento ver su validación y su vencimiento de ese documentó verificar y asegurarse de donde viene depende del cliente.
c.- Identificar al personal responsable de la preparación de los datos de entrada, revisar los documentos fuente y las autorizaciones.
X
La personal responsable de la preparación de los datos de entrada, es la responsable de organizar y evaluar las entradas de los pedidos de los productos que ingresan y salen mediante el sistema información.
d.- Evaluar las funciones de control de la preparación de los datos antes de trasmitir la información para su procesamiento. X
d.- Evaluar las funciones de control de la preparación de los datos antes de entregar cada boleta oh factura que se hace al cliente oh al consumidor debe ir al sistema de información oh al sistema de control
1.2. Procedimientos de: para el Control de documentos fuentes en blancos (No procesado)
Pedir Documentación en blanco
Verificar que documentos esten bajo personas ajenas a la generación de los mismos
Verificar lugar de almacenamiento de documentos
Verificar autorización de salida de documentos
Verificar si cada persona prepara un solo tipo de transacción
Verificar si cada persona realiza dos actividades
Buscar Documentación en blanco
Entrega Información
VENTASAUDITOR
Cuestionario de Procedimiento de: para el Control de documentos fuentes en blancos (No procesado)
ExisteObservaciones
Sí No
a.- Determinar si los documentos fuente en blanco se encuentran bajo la custodia de personas que no tienen nada que ver con la generación de éstos.
X
Determinar si los documentos fuente en blanco se encuentran bajo la custodia, de los encargados cada nivel tiene su responsabilidad que se lo otorgo.
b.- Asegurarse de que los documentos fuente en blanco estén almacenados en un lugar seguro. X
Los documentos fuente en blanco están almacenados en un sistema de información y en una base de datos de ventas
c.- Determinar si la autorización de salida de los documentos fuente en blanco requiere la firma de dos o más personas.
X
La autorización de salida de los documentos fuente en blanco requiere la firma del dueño de la tienda ska..
d.- Identificar a las personas que preparan las transacciones, determinar si cada persona prepara un solo tipo de transacción. Por ejemplo, el establecimiento de nuevos registros en el archivo maestro y la actualización de esos registros, deben considerarse como dos tipos diferentes de transacciones.
X
Identificar a las personas que preparan las transacciones, determinar si cada persona prepara un solo tipo de transacción. No porque la transacción de ventas nada mas lo hace esa área y entrega cuentas al administrador de ska.
e.- Identificar a las personas involucradas en las fases de preparación de la información y asegurarse de que dichas personas no lleven a cabo más de una de las siguientes fases:
X Los documentos Justificativos que son todas las disposiciones y documentos legales que determinan las obligaciones y derechos de la dependencia o entidad para demostrar que cumplió con los ordenamientos jurídicos y normativos aplicables.
Los Documentos existentes son: Documento de venta (factura, boleta) Nota de Venta Reportes de Venta Registro de Pago Registro de Garante
Pagar al contado
(from Sistema de ventas)Pagar con cheque
(from Sistema de ventas)
Pagar con tarjeta de credito
(from Sistema de ventas)
Cajero
(from Sistema de ventas)...)
Juridico
(from Sistema de ventas)...)
Registrar pago
(from Sistema de ventas)
Emitir factura
(from Sistema de ventas)
Cliente
(from Sistema de ventas)...)
Emitir Dcto. de venta
(from Sistema de ventas)
Natural
(from Sistema de ventas)...)
Emitir Boleta de venta
(from Sistema de ventas)
Documentos Empleados en Facturación
Emitir nota de venta
(from Sistema de ventas)
Cliente
(from Sistema de ventas)...)
Procesar venta al contado
(from Sistema de ventas)
Procesar venta al credito
(from Sistema de ventas)
Vendedor
(from Sistema de ventas)...)
Procesar venta
(from Sistema de ventas)
Registrar garante
(from Sistema de ventas)
<<include>>
Documentos Empleados en Ventas
Listar garantes
(from Sistema de ventas)
Listar ventas al contado
(from Sistema de ventas)
Listar ventas al credito
(from Sistema de ventas)
Listar despacho a domicilio
(from Sistema de ventas)
Jefe de ventas
(from Sistema de ventas)...)
Generar reporte de ventas
(from Sistema de ventas)
Documentos Empleados en Gestión de Reportes
1.3. Procedimiento de: Generación, autorización y control de documentos fuentes.
1.3.1. Procedimiento de autorización de entrada
Observar Proceso de Control de Entrada
Verificar Aprobaciones asignadas al personal
Verificar Personal cumpliendo su respectiva labor
Verificar Manuales de Experto y Usuarios
Observar Estación y Código del Operador
Desempeñar labor asiganada
Mostrar Manuales de Aplicaciones
VENTASAUDITOR
Cuestionario de Procedimiento de: Generación, Existe Observaciones
autorización y control de documentos fuentesSí No
a.- Observar el proceso de control de entrada X
El documentos Comprobatorios son los documentos originales que generan y amparan los registros contables de la dependencia o entidad.
b.- Verificar que las aprobaciones correspondan precisamente al personal responsable de estas autorizaciones.
X
Los pedidos que son recibidos a la tienda ska tienen que ser comprobado por administrador o h jefe de área.
c.- Confirmar que el personal responsable de la entrada de los datos no esté realizando tareas incompatibles.
X
el objetivo de las aéreas es encargare cada uno de su valores de trabajo , por ejemplo el Caja no recibe oficios .
d.- En las aplicaciones en que se utiliza terminal, comprobar que los procedimientos del usuario incluyan la utilización, el mantenimiento, el control de la estación de trabajo y los códigos del operador.
X
En las aplicaciones en que se utiliza terminal, comprobar que los procedimientos , Manuales de usuario y expertos
e.- Observar si la estación y el código del operador se usan y se modifican de acuerdo con los procedimientos aplicables.
X el código del operador se usan y se modifican de acuerdo con los procedimientos aplicables.
1.3.2. Procedimiento para la documentación y control de la operación
Pedir autorizaciones por aplicación
Revisar autorizaciones por aplicación
Revisar Entrada Inicial de la Información
Revisar Mensajes de Error por Aplicacion
Revisar Establecimiento de registros de control de errores y excepciones
Revisar Procedimientos para depuración de errores y excepciones
Revisar Controles de Información
Revisar Procedimiento de Información
Mostrar Autotizaciones
Mostrar Información Inicial de la Aplicacion
Ejecutar Aplicación
VENTASAUDITOR
Cuestionario de Procedimiento para la Existe Observaciones
documentación y control de la operaciónSí No
a.- Las autorizaciones adecuadas para cada aplicación. X
Las autorizaciones adecuadas se darán cuando la aplicación este correcta oh si no se rechazara. La autenticación (para identificar a los clientes de la aplicación)
b.- Revisión de las autorizaciones. XLa revisión se dará con el administrador oh el encargado
c.- Edición usada o la entrada inicial de la información. XLa decisión usada y la entrada se dará depende de la información
d.- Mensaje de error por aplicación. X Buscar solución
e.- Establecimiento de registros de control de errores y excepciones.
X Describe la ventana Lista de errores buscar ayuda sobre los errores. Solucionarlo
f.- Procedimientos para depuración de errores y excepciones.
Solución
g.- Controles que garanticen que la información de la entrada sea revisada por una unidad de control antes de procesarse.
Los controles serán garantizados mediante el sistema. De entrada si es aceptado oh no
h.- Procedimientos de comunicación, en caso de que falte información.
X
Buscar soluciones y ayuda a los especializados al tema.
i.- Controles sobre la extensión de la corrección de errores mediante la unidad de control de información.
X
Describe procedimientos para comprender un comportamiento inesperado en el código del diseñador personalizado.
j.- Controles de cambios y actualizaciones del archivo maestro.
X Representa la clase de excepción de las excepciones específicas del analizador.
1.3.3. Control de vigencia de documentos
Verificar si los documentos fuente son retenidos el tiempo suficiente
Pedir Documentos Fuente
Verificar si los documentos fuente tienen impreso periodo de vigencia
Evaluar medios de almacenamiento de documentos fuente
Verificar Medios de almacenamiento de documentos fuente
Verificar Personal a cargo de documentos fuente
Evaluar Personal
Verificar que se hace con documentos al expirarse
Mostrar Documentos Fuente
Mostrar Medios de almacenamiento
Mostrar Personal a cargo
VENTASAUDITOR
Cuestionario de Control de Vigencia de Documentos
ExisteObservaciones
Sí No
1.- Determinar si los documentos fuente son retenidos el tiempo suficiente para permitir la reconstrucción de la información en caso de que se pierdan ésta y el procesamiento posterior.
XNecesario tener una copia de la base de datos oh del sistema de información
2.- Determinar si en cada tipo de documento fuente se ha impreso previamente su periodo de vigencia. X
El documento pasa primeramente por el gerente general de la entra el elige la opción rechazar oh aprobar.
3.- Evaluar los medios con que se almacenan y recuperan los documentos fuente.
XLos medios se almacena y recuperan los documentos de datos fuentes
4.- Determinar si el departamento que origina la información guarda copias de los archivos de los documentos fuente y si éstos se turnaran a otros departamentos.
X
El departamento que origina la informaron guarda copias de los archivos de los documentos fuente.
5.- Determinar si los documentos fuente contenidos en el archivo del departamento que los originó sólo están a disposición de personal autorizado.
X
Los documentos contenidos en el archivo del departamento de los origino solo esta disposición del personal autorizado.
6.- Determinar si, al expirar los documentos fuente, se sacan del almacén y se destruyen de acuerdo con las clasificaciones y los procedimientos de seguridad existentes en la organización.
X
El documento fuente, se saca del almacén y se distribuye de acuerdo con las clasificaciones y los procedimientos de seguridad existentes en la organización.
2. Auditoria para el Control de Datos de entrada:
Auditor del Sistema de Informacion
(from Auditoria de Control de Datos Fuente)
Procesar la conversion y entrada de datos
Procesar la conversion y entrada en linea
Procesar la validacion y la edicion de datos
Procesar errores de entrada de datos
VENTAS
(from Use Case View)
2.1. Procedimiento de conversión y entrada de datos
Solicitar Documentación de Entrada de Datos
Verificar Documentación
Solictar ver Personal cumpliendo su respectiva labor
Verificar si cada persona realiza dos actividades
Verificar Grupo de control de Ingreso de datos
Verificar si datos son ingresados simultáneamente
Verificar protección de documentos contra duplicación
Mostrar Documentacion
Mostrar Personal laborando
VENTASAUDITOR
Cuestionario de VentasExiste
ObservacionesSí No
1.- Determinar si existen procedimientos documentados que expliquen la manera que se convierten e introducen los datos.
XEl sistema indica al usuario los pasos de registro.
2.- Identificar a las personas que ejecutan el trabajo en el proceso de entrada de datos. Cerciórese de que ninguna persona realiza más de una de las siguientes operaciones:
XMediante una contraseña el sistema reconoce quien la esta manejando.
3.- Determinar si dentro del departamento de sistemas de información existe un grupo separado que es responsable de realizar las operaciones de entrada de datos.
XLos trabajadores independientemente son encargados de realizar el registro de datos.
4.- Determinar si existe un grupo de control en el departamento usuario o en el departamento de sistemas de información que, en forma independiente, controle los datos que se introducirán.
XEl sistema identifica los datos que se ingresaran, si es que no es adecuado no ingresa.
5.- Si el grupo de control del departamento usuario controla los datos de entrada, determinar si la entrada y el registro de los datos fuente se realizan en forma simultanea en el punto origen.
XLos datos ingresan de acuerdo a las ventas que se van ejecutando, todo es administrado en la base de datos.
6.- Determinar si los documentos fuente utilizados en la conversión o en la entrada de los datos, son marcados para proteger contra duplicaciones o reentradas.
XLos datos ingresados son duplicados, por si haya reclamos, por un periodo de 24 horas.
2.2. Procedimiento de conversión y entrada en línea
Identificar terminales para ingreso de datos
Verificar si terminales son puestas bajo llave
Verificar si los supervisores habilitan cada terminal
Verificar si entrada de datos se hacen desde terminales autorizados
Verificar uso de contraseñas
Verificar uso de matriz de acceso a los datos
Verificar numero de transacciones por usuario
Mostrar terminales para ingreso de datos
VENTASAUDITOR
Procedimiento de validación y edición de datos Existe ObservacionesSí No
1.- Determinar si las terminales para la entrada de datos, son puestas bajo llave, en un cuarto físicamente seguro. X
Los terminales de entrada de datos, no cuentan con medidas de contingencia respecto a seguridad física.
2.- Determinar si se requiere que los supervisores habiliten cada terminal, antes de que el usuario inicie su trabajo diario. X
Se elaboro un documento el cual justifico que se requería obligatoriamente la supervisión de las maquinas antes de ser usadas.
3.- Determinar si la entrada de los datos solo puede hacerse desde terminales que tienen asignados previamente ciertos niveles de autoridad. X
El sistema solo esta instalado en las maquinas del supermercado; y los instaladores se encuentran totalmente protegidos por el gerente.
4.- Determinar si se utilizan las claves de accesos, passwords, para evitar el uso no autorizado de las terminales.
X Para ingresar datos al sistema se requiere una contraseña y asignar el nivel que tiene a su cargo.
5.- Asegurarse de que las claves de accesos, o los códigos de autorización no sean desplegados en la pantalla ni impresos ni tecleados sobre campos enmascarados.
XLas contraseñas son privadas, y el personal esta capacitado para mantener la discreción.
6.- Determinar si se utiliza una matriz de acceso a los datos para restringir el acceso no autorizado a datos clasificados. X
Al momento de ingresar al sistema es obligatoriamente asignar el cargo que dispone en la empresa, esto genera que el usuario común no pueda ingresar a los módulos que pertenecen al gerente o supervisor.
7.- Determinar si se le permite a cada usuario, mediante claves de acceso, o códigos de autorización, entrar solamente en uno o en un número limitado de tipos de transacciones.
XEl sistema no se encuentra consistenciado respecto a privacidad en transacciones, cualquier usuario puede realizar diversas transacciones.
8.- Investigar si el grupo de control del departamento usuario maneja totales de control de lote, generados por terminales o por concentradores, para asegurarse de que cada lote esta completo.
x El departamento usuario supervisa y controla la distribución diaria.
2.3. Procedimiento de validación y edición de datos
Solicitar Formatos para ingreso de datos
Verificar Formatos
Verificar Uso de Apuntadores
Verificar existencia de terminales inteligentes
NO EXISTE
Verificar Validacion y Edicion de datos
SI EXISTE
Verificar manipulacion de datos
Mostrar Formatos
Implementar terminales inteligentes
VENTASAUDITOR
Procedimiento de validación y edición de datos Existe ObservacionesSí No
1.- Comprobar si se utilizan formatos pre programados de captura para asegurarse de que los datos se incorporan en el campo y en el formato adecuado, etc.
XEl sistema genera formatos programados de captura, donde confirman el registro de los datos.
2.- Determinar si hay apuntadores ínter construidos para facilitar la entrada de los datos y reducir el número de errores.
X El sistema contiene apuntadores facilitando el ingreso de los datos.
3.- Determinar si se utilizan terminales inteligentes para permitir la validación, la edición y el control de principio a fin. Si no se utilizan terminales inteligentes, evaluar, mediante el análisis de costo-beneficio, si se deben introducir.
X El sistema valída la edición y control de los datos.
4.- Determinar el punto en el cual se validan y editan los datos de entrada. Investigar si los datos incorrectos son rechazados.
X Los datos de entrada son validados antes en el punto de ingreso.
5.- Determinar si los procedimientos de validación y edición de los datos se aplican a todos los campos de un registro de entrada, a pesar de que se haya detectado un error en un campo previo.
XSi no son correctos no ingresan los datos, sin mostrar errores previos.
6.- Determinar si los procedimientos de validación y edición realizan las siguientes comparaciones:
a.) Código de aprobación o autorización, nivel superior e individual. X
El lenguaje utilizado esta validado y consistenciado, cumpliendo lo requerido.
b.) Dígitos verificadores en todas las llaves de identificación.
XNo cuentas con dígitos verificadores, lo cual no se pueden encontrar la raíz del error
c.) Dígitos verificadores al final de un conjunto de datos numéricos que no está sujeto a balanceo.
x No cuenta con dígitos verificadores
d.) Validación de códigos. X El sistema contiene codificación confiable y confirmada.
e.) Valores numéricos o alfanuméricos. X Puede soportar diversos tipos de datos.
f.) Tamaño de los campos. X El tamaño de los campos depende
del tipo de información que ingresara.
g.) Combinación de campos X Existen campos que pueden ingresar números o letras
h.) Limite o rango de valores. X El campo viene establecido por el sistema.
i.) Signos. X Las contraseñas son privadas y asignadas por el administrador.
j.) Cotejo de registros. XEl sistema confirma la aprobación de los datos antes de ser ingresado.
k.) Secuencias. XEl registro cuenta con pasos que facilitan su ejecución con el usuario.
l.) Referencias cruzadas. X Las referencias son enviadas a Asuntos Pendientes
2.4. Procedimiento de errores en entrada de datos
Solicitar Documentacion de datos rechazados
Verificar Documentacion
Solicitar Mensajes de Error
Verificar Mensajes de Error
Verificar registros de los archivos de asuntos pendientes
Verificar Revision de reportes de achivos de asuntos pendientes
Solicitar archivos de asuntos pendientes
Mostrar Documentacion
Ejecutar Aplicacion
Mostrar archivos de asuntos pendientes
VENTASAUDITOR
Procedimiento de errores en entrada de datosExiste
ObservacionesSi No
1.- Determinar si se establecieron y documentaron los procedimientos relacionados con la identificación, corrección y reentrada de datos rechazados.
xLos procedimientos se establecieron pero no fueron documentados.
2.- Determinar si los errores son desplegados o listados inmediatamente después de su detección, para facilitar su rápida corrección.
x El sistema de registro de ventas no muestra los errores y no capacitan a las cajeras para diagnosticar las fallas del sistema.
3.- Evaluar si los mensajes de error son claros y fácilmente comprensibles, de manera que se puedan tomar de inmediato las medidas correctivas. x
Como el sistema no muestra los errores, no se puede localizar el origen de estos.
4.- Investigar si todos los datos rechazados son grabados automáticamente en los archivos de asuntos pendientes, clasificados por aplicaciones. x
Los errores no son grabados por el sistema, solo son reclamos que las cajeras realizan al jefe de Soporte.
5.- Revisar los registros de los archivos de asuntos pendientes, para establecer si incluyen información como la que sigue:
a.) Códigos para indicar tipos de error. x No disponen de códigos para errores.
b.) Fecha y hora en que se graba el registro en el archivo de asuntos pendientes.
x Los procesos que ocurren e el archivo de asuntos pendientes como el registro son grabados en el sistema.
c.) Identificación del usuario que origino el registro de entrada. x
El registro del usuario es almacenado en el sistema, pero no identificado como origen de error.
6.- Determinar si los archivos de asuntos pendientes tienen un registro automático de conteo, para controlar el número de registros en los archivos.
x El registro de archivos se encuentra almacenado, ordenado y enumerado en la base de datos.
7.- Determinar las áreas autorizadas para hacer correcciones.Determinar si el grupo de control del departamento usuario proporciona un control independiente de estas correcciones.
xEl grupo control del Departamento de Usuario trata de corregir los errores pero no dispone de conteo de las soluciones.
8.- Determinar si los archivos de asuntos pendientes producen mensajes x Las transacciones erradas no corregidas, son olvidadas por los
de seguimiento y reportan el estado de las transacciones no corregidas en forma regular.
supervisores ya que no son almacenadas ni reportadas por el sistema.
9.- Determinar si todos los supervisores revisan y aprueban las correcciones antes de su entrada. x
Los errores no son registrados y los supervisores no tienen idea de la existencia de estos.
10.- Determinar si la gerencia del departamento usuario revisa los reportes de los archivos de asuntos pendientes, para analizar el nivel de transacciones erróneas y el estado de las transacciones corregidas. Preguntar si la gerencia del departamento usuario esta consciente de que recae en ella la responsabilidad final por la integridad y exactitud de los datos de entrada.
xEl Departamento Usuario revisa los reportes de archivos pendientes, pero estos no almacenan todos los errores y no envían mensajes de seguimiento a los archivos olvidados.
DOCUMENTOS DOCUMENTO DE VENTA (FACTURA, BOLETA)
El modelo de Factura Indicado tiene todos los campos necesitados. Nombre Domicilio Fecha Numero de Factura
REPORTES DE VENTAS
Venta
Venta
Venta
Venta
El Reporte de Venta debería mostrar: Código del Cajero. Nombre y Apellidos
REGISTRO DE PAGO
El Registro del Pago cumple con todos los requisitos.
REGISTRO DE GARANTE O CLIENTE
El Registro de Cliente y Garante cumple con todos los campos necesarios para el manejo adecuado de la información.