Trabajo 04 Auditoria De Sistemas De InformacióN Examen

Universidad Privada “César Vallejo” – Filial Chimbote Escuela de Ingeniería de Sistemas

UNIVERSIDAD CÉSAR VALLEJO

FACULTAD DE INGENIERÍA

ESCUELA DE INGENIERÍA DE SISTEMAS

AUDITORIA DE SISTEMAS DE INFORMACION DEL AREA DE CUENTAS POR PAGAR DE LA GERENCIA DE FINANZAS DE LA

EMPRESA SIDER PERU S.A.A.

AUTORES:

Blas Fermín Jonathan Córdova Meneses Gregorio David

Delgado Sucari Víctor Eduardo Miranda Luján Hugo Herbert

Vara Medina Martin

PROFESOR:

Ing. Mg. Carlos Chávez Monzón

CHIMBOTE – PERÚ

2009


AUDITOR DE SISTEMA DE INFORMACION

PROCESAMIENTO DE AUDITORIA DE DATO

FUENTE

AUDITORIA DE CONTROL DE DATO DE ENTRADA

PROCESAR AUDITORIA DE CONTROL DE

PROCESAMIENTO DE DATOS

CUENTAS POR PAGAR

PROCESAR AUDITORIA DE SALIDA DE DATO

<<include>>

<<include>>

<<include>>

AUDITOR DE SISTEMAS DE INFORMACION

1.1.REVISAR PROCEDIMIENTO

CONTROL DATO

(f rom Business Use-Case Model)

1.2.PROCEDIMIENTO PARA EL

CONTROL DEL DOC EN BLANCO

(f rom Business Use-Case Model)

1.3.PROCESAR LA GENERACION

AUTORIZACION Y CONTROL...

Cuentas por Pagos

1.3.3.CONTROL DE VIGENCIA DE

DOC.

1.3.2.PROCESO PARA LA DOC. Y

CONTROL DE LA OPERACION

1.3.1.PROCE. DE AUTORIZACION

DE ENTRADA

<<extend>>

<<extend>>

<<extend>>

Documentos que se

Recepcionan:

1.- Factura.

2.- Guia de Remision de

Ingreso de Materiales.

Procedimiento de

Preparacion de Datos de

los Documentos Pago:

1.-Orden de Pago.

2.- Orden de Compra

3.- Nota Ingreso

<<include>>

<<include>>

AUDITORIA DE CONTROL A SISTEMAS DE INFORMACIÓN

I. Diagrama de Caso de Uso del Negocio de Auditoria de Aplicación:

1. Diagrama de Casos de Uso de Auditoria para el Control de Datos Fuente:


Procedimiento De Preparacion de

Datos Entradas del Produ...


Datos Entradas del Prov eedor (Gu...


Datos Entradas de los Monto...


Datos Entradas de Productos (G...


Datos Entradas de Prov eedor (G...


Datos Entradas de Produc...


Datos Entradas de Orden de Compra

<<extend>><<extend>>


Datos Entradas de Nota de Ingreso

<<extend>> <<extend>>

Auditor del Sistema de Inf ormación


Datos Entradas de Orden de PagoCuentas por Pagos

(from AUDITORIA)<<include>>

<<include>>

<<extend>>

<<extend>>

Procedimiento para la Preparación de Datos

Existe Observaciones

Sí No

a.- Identificar los documentos utilizados para cada tipo de entrada.

X

Guía de remisión del proveedor. Factura del proveedor. Orden de pago. Nota de ingreso. Orden de compra. Requisición.

b.- Asegurarse de la validez de los datos que se integran a cada documento fuente.

X Todos los datos de los documentos fuente son previamente registrados antes de su ingreso al sistema.

c.- Identificar al personal responsable de la preparación de los datos de entrada, revisar los documentos fuente y las autorizaciones.

X

Guía de remisión del proveedor – Asist. Almacén

Factura del proveedor – Asist. Almacén Orden de pago – Jefe de cuentas por pagar Nota de ingreso – Asist. Almacén Orden de compra – Agente de compra Requisición – Usuario cliente

d.- Evaluar las funciones de control de la preparación de los datos antes de trasmitir la información para su procesamiento.

X Cuentan con un procedimiento donde se especifica el flujo de trabajo detallado para comprobar la información y efectuar los pagos correspondientes

1.1 Diagrama de Casos de Uso de Auditoria para la revisión del Procedimiento para la

Preparación de datos:


RECEPCIONA Y REVISA DOCUMENTOS

INICIO

REGISTRA DOCUMENTOS EN CUADERNO

ENTRAGA DOCUMENTOS HACIENDO FIRMAR EL CARGO

APROBACION VISTUAL DE ORDEN DE COMPRA

EMISION DE ORDEN DE COMPRA EN EL SISTEMA

APROBADA LA ORDEN DE COMPRA EL AGENTE DE COMPRA REALIZA EL EL ENVIO A CUENTAS POR PAGAR PARA EL PAGO

ENVIA FISICAMENTE LA ORDEN DE COMPRA A FINANZAS CHIMBOTE PARA PAGO

LLEGADA DE LOS MATERIALES EN ALMACEN

SE GESTIONA LA CONFORMIDAD TECNICA

SE VERIFICA Y REGISTRA LA INFORMACION TECNICA Y SE EMITE LA NOTA DE INGRESO

ENVIA DE NOTA DE INGRESO Y GUIA DE REMISION A FINANZAS

RECEPCIONA DOCUMENTOS DE LAS DIFERENTES AREAS

VERIFICA SI LOS DOCUUMENTOS FISICOS ESTAN CORRECTOS

DOCUMENTOS CORRECTOS?

VERIFICA EN EL SISTEMA SI LA ORDEN DE COMPRA ESTA APROBADA

VERIFICA EN EL SISTEMA LA NOTA DE INGRESO

ORDEN DE COMRPA APROBADA?

NOTA DE INGRESO CORRECTA?

CONTRASTAR VERACIDAD DE INFORMACION DE ORDEN DE COMPRA,NOTA DE INGRESO Y FACTURA

REGISTRAR FACTURA Y CONTABILIZARLA

ENVIAR EL ARCHIVO CON LA DOCUMENTACION PARA PAGO EN TESORERIA

SE FOLIAN Y ARCHIVAN LOS DOCUMENTOS

FIN

VERIFICA DOCUMENTACION

PROCESA Y EMITE ORDEN DE PAGO

AUTORIZACION DE FIRMA DE APODERADOS EN LINEA

PAGO A PROVEEDORES

VERIFICA CONFORMIDAD DEL PAGO EN LOS BANCOS

CONFORMIDAD DE PAGOS EN EL SISTEMA

[ SI ]

[ SI ]

[ SI ]

TESORERIACUENTAS POR PAGARALMACENESSUMINISTROSMESA DE PARTES

DIAGRAMA DE ACTIVIDADES DE AUDITORIA PARA LA REVISIÓN DEL PROCEDIMIENTO

PARA LA PREPARACIÓN DE DATOS:


Documentos - Preparacion de Transacciones

Responsables

-------------------------------------------------------------------------

1.- Orden de pago -- Jefe de Cuentas por Pagar

2.- Nota de Ingreso -- Asistente de Almacen

3.- Orden de Compra -- Agente de Compras

Auditor de Sistemas de Información

A.- Verificar si Documentos Fuente

en Blanco esta Bajo Custodia...

B.- Verificar si Documentos Fuente

en Blanco esta en un Lugar Seguro

C.- Verificar Número Firmas de

Documentos Fuente en Blanco p...

D.- Responsables de las

Transacciones (Cargo)

E.- Diagramas de Actividades

Persona en Custodia de Documentos en Blanco

1.2 Diagrama de Casos de Uso de Auditoria de Procedimiento para el Control de

Documentos Fuente en Blanco:


INICIO

SOLICITA DOCUMENTOS

FUENTE EN BLANCO

SE COLOCA A DISPOSICION

PARA SU USO

FIN

VERIFICA NECESIDAD

SOLICITADA

CUENTA CON DOCUMENTOS

FUENTE EN BLANCO?

ELABORA NOTA DE

SALIDA EN EL SISTEMA

FIRMA DE DOCUMENTOS FUENTE

EN BLANCO PARA SU USO

APROBACION DE

NOTA DE SALIDA

VERIFICAR APROBACION

DE NOTA DE SALIDA

NOTA DE SALIDA

APROBADA?

[ NO ]

ENTREGA DE

MATERIAL

[ SI ]

ENTREGA DE NOTA

DE SALIDA

[ SI ]

ALMACENGERENTE DE FINANZASJEFE CUENTAS POR PAGARASISTENNTE CUENTAS POR PAGAR

DIAGRAMA DE ACTIVIDADES DE AUDITORIA DE PROCEDIMIENTO PARA EL CONTROL DE

DOCUMENTOS FUENTE EN BLANCO:






Procedimiento de: para el Control de documentos fuentes en blancos (No procesado)

Existe

Sí No Observaciones

a.- Determinar si los documentos fuente en blanco se encuentran bajo la custodia de personas que no tienen nada que ver con la generación de éstos.

X

Todos los documentos fuente en blanco son utilizados y archivados por el personal autorizado para su manipulación.

b.- Asegurarse de que los documentos fuente en blanco estén almacenados en un lugar seguro.

X

Se comprobó los documentos fuente en blanco se encuentran en un archivador en el sótano de la empresa del cual solo tienen acceso el jefe del área y el personal de seguridad patrimonial.

c.- Determinar si la autorización de salida de los documentos fuente en blanco requiere la firma de dos o más personas.

X

Para la salida de los documentos fuente en blanco es necesaria la firma autorizada solo del jefe del área.

d.- Identificar a las personas que preparan las transacciones, determinar si cada persona prepara un solo tipo de transacción. Por ejemplo, el establecimiento de nuevos registros en el archivo maestro y la actualizacion de esos registros, deben considerarse como dos tipos diferentes de trasacciones.

x

Los usuarios del sistema realizan más de una transacción debido a que cada uno de ellos maneja un área de la empresa.

e.- Identificar a las personas involucradas en las fases de preparación de la información y asegurarse de que dichas personas no lleven a cabo más de una de las siguientes fases.

x


1.3.1. PROCESAR AUTORIZACION

DE ENTRADA

1.3.3. CONTROLAR VIGENCIA DE

DOCUMENTO

AUDITOR DE SISTEMA DE INFORMACION

(from GENERAL)

1.3.2. PROCESAR

DOCUMENTACION Y CONTROL...JEFE DE AREA CUENTA POR PAGAR

1.3 Diagrama de Casos de Uso de Auditoria de Procedimiento de Generación, Autorización y

Control de Documentos Fuentes:


RECEPCIONA Y REVISA DOCUMENTOS

INICIO

REGISTRA DOCUMENTOS EN CUADERNO

ENTRAGA DOCUMENTOS HACIENDO FIRMAR EL CARGO

APROBACION VISTUAL DE ORDEN DE COMPRA

EMISION DE ORDEN DE COMPRA EN EL SISTEMA

APROBADA LA ORDEN DE COMPRA EL AGENTE DE COMPRA REALIZA EL EL ENVIO A CUENTAS POR PAGAR PARA EL PAGO

ENVIA FISICAMENTE LA ORDEN DE COMPRA A FINANZAS CHIMBOTE PARA PAGO

LLEGADA DE LOS MATERIALES EN ALMACEN

SE GESTIONA LA CONFORMIDAD TECNICA

SE VERIFICA Y REGISTRA LA INFORMACION TECNICA Y SE EMITE LA NOTA DE INGRESO

ENVIA DE NOTA DE INGRESO Y GUIA DE REMISION A FINANZAS

RECEPCIONA DOCUMENTOS DE LAS DIFERENTES AREAS

VERIFICA SI LOS DOCUUMENTOS FISICOS ESTAN CORRECTOS

DOCUMENTOS CORRECTOS?

VERIFICA EN EL SISTEMA SI LA ORDEN DE COMPRA ESTA APROBADA

VERIFICA EN EL SISTEMA LA NOTA DE INGRESO

ORDEN DE COMRPA APROBADA?

NOTA DE INGRESO CORRECTA?

CONTRASTAR VERACIDAD DE INFORMACION DE ORDEN DE COMPRA,NOTA DE INGRESO Y FACTURA

REGISTRAR FACTURA Y CONTABILIZARLA

ENVIAR EL ARCHIVO CON LA DOCUMENTACION PARA PAGO EN TESORERIA

SE FOLIAN Y ARCHIVAN LOS DOCUMENTOS

FIN

VERIFICA DOCUMENTACION

PROCESA Y EMITE ORDEN DE PAGO

AUTORIZACION DE FIRMA DE APODERADOS EN LINEA

PAGO A PROVEEDORES

VERIFICA CONFORMIDAD DEL PAGO EN LOS BANCOS

CONFORMIDAD DE PAGOS EN EL SISTEMA

[ SI ]

[ SI ]

[ SI ]

TESORERIACUENTAS POR PAGARALMACENESSUMINISTROSMESA DE PARTES

DIAGRAMA DE ACTIVIDADES de AUDITORIA DE PROCEDIMIENTO DE GENERACIÓN,

AUTORIZACIÓN Y CONTROL DE DOCUMENTOS FUENTES:


2.1. PROCEDIMIENTO DE

CONVERSION Y ENTRADA...


CONVERSION Y ENTRADA...


VALIDACION Y EDICION DE DATOS

AUDITOR DE SISTEMAS DE INFORMACION

(f rom AUDITORIA)

CUENTAS POR PAGAR


ERRORES EN ENTRADA DE DATOS

2. Auditoria para el Control de Datos de entrada:

2.1 Procedimiento de conversión y entrada de datos

Procedimiento de validación y edición de datos Existe

Observaciones Sí No

1.- Determinar si existen procedimientos documentados que expliquen la manera que se convierten e introducen los datos.

X

Este documento se encuentra en la jefatura del área de “cuantas por pagar”, se capacita al personal en este procedimiento cada vez que se realiza una actualizacion o modificación de este


2.- Identificar a las personas que ejecutan el trabajo en el proceso de entrada de datos. Cerciórese de que ninguna persona realiza más de una de las siguientes operaciones:

X

Cada colaborador cuenta con un perfil de tareas definidas y en relación a estas se atribuyen los permisos al sistema.

3.- Determinar si dentro del departamento de sistemas de información existe un grupo separado que es responsable de realizar las operaciones de entrada de datos. X

Cada colaborador del área de sistemas cuenta con un grupo de áreas a las cuales le brinda el servicio de soporte, mas no estas autorizados para el ingreso de datos, salvo orden superior para modificar errores de usuario.

4.- Determinar si existe un grupo de control en el departamento usuario o en el departamento de sistemas de información que, en forma independiente, controle los datos que se introducirán.

X

El usuario del sistema es el único responsable del ingreso de datos pero se somete a revisión de su superior par la posterior aprobación de los documentos.

5.- Si el grupo de control del departamento usuario controla los datos de entrada, determinar si la entrada y el registro de los datos fuente se realizan en forma simultánea en el punto origen. X

El área usuario cuenta con mas de un colaborador que tienen permiso para ingresar datos de entrada al sistema, puesto que cada uno de ellos maneja áreas diferentes de la empresa

6.- Determinar si los documentos fuente utilizados en la conversión o en la entrada de los datos, son marcados para proteger contra duplicaciones o reentradas. X

El sistema de información solicita los números correlativos de los documentos que sirven como fuentes de los datos de entrada, para evitar el reingreso de las mismas.

2.2 Procedimiento de conversión y entrada en línea

Se deben establecer procedimientos de conversión y entrada de datos por medio de terminales, para evitar el uso autorizado o doloso.




1.- Determinar si las terminales para la entrada de datos, son puestas bajo llave, en un cuarto físicamente seguro.

X

Dichas terminales se encuentran alojadas en la oficinas del área responsable las cuales son cerradas y custodiadas por el personal de seguridad patrimonial, quienes son los encargados de custodiar las oficinas

2.- Determinar si se requiere que los supervisores habiliten cada terminal, antes de que el usuario inicie su trabajo diario. X

Cada usuario cuenta con una contraseña de seguridad para el inicio de sesión de cada terminal y una contraseña para el acceso al sistema.

3.- Determinar si la entrada de los datos solo puede hacerse desde terminales que tienen asignados previamente ciertos niveles de autoridad.

X

Cada terminal que tenga instalado el sistema asignara los permisos según el usuario registrado a nivel de sistema operativo y contraseña ingresada, evitando de esta manera usuarios no asignados al sistema.

4.- Determinar si se utilizan las claves de accesos, passwords, para evitar el uso no autorizado de las terminales. X

El sistema cuenta con usuario y clave los cuales pueden ser modificados por el usuario en el momento que este lo requiera.

5.- Asegurarse de que las claves de accesos, o los códigos de autorización no sean desplegados en la pantalla ni impresos ni tecleados sobre campos enmascarados.

X

El sistema cuenta con la función de encriptamiento de clave para proteger la clave original y el sistema operativo cuenta con una imagen patrón que no permita instalar ningún software sin la autorización del administrador.

6.- Determinar si se utiliza una matriz de acceso a los datos para restringir el acceso no autorizado a datos clasificados. X

El área de sistemas cuenta con una aplicación con la cual pueden otorgar o denegar acceso a información clasificada.

7.- Determinar si se le permite a cada usuario, mediante claves de acceso, o códigos de autorización, entrar solamente en uno o en un número limitado de tipos de transacciones.

X Cada colaborador dispone de un usuario y contraseña para cada tipo de sistema.


2.3 Procedimiento de validación y edición de datos Se deben validar y editar los datos de entrada o más cerca posible del punto origen.



1.- Comprobar si se utilizan formatos pre programados de captura para asegurarse de que los datos se incorporan en el campo y en el formato adecuado, etc.

X

Los usuarios del sistema proceden a ingresar la información directamente de los documentos recepcionados, por lo que ellos no cuentan con formatos que especifiquen la correcta carga de datos al sistema.

2.- Determinar si hay apuntadores ínter construidos para facilitar la entrada de los datos y reducir el número de errores.

X

3.- Determinar si se utilizan terminales inteligentes para permitir la validación, la edición y el control de principio a fin. Si no se utilizan terminales inteligentes, evaluar, mediante el análisis de costo-beneficio, si se deben introducir.

X

4.- Determinar el punto en el cual se validan y editan los datos de entrada. Investigar si los datos incorrectos son rechazados.

X

El sistema posee validaciones a nivel de usuario, dichas validaciones se ejecutan antes de grabar la información a la base de datos; en caso se encuentre datos erróneos o redundantes estos son rechazados por el sistema.

5.- Determinar si los procedimientos de validación y edición de los datos se aplican a todos los campos de un registro de entrada, a pesar de que se haya detectado un error en un campo previo. X

el sistema posee validación, pero esta se detiene al encontrar el primer campo con dato erróneos, lo cual no permite la validación del resto de campos, es decir la validación es campo por campo.

6.- Determinar si los procedimientos de validación y edición realizan las siguientes comparaciones:

a.) Código de aprobación o autorización, nivel superior e individual. b.) Dígitos verificadores en todas las llaves de identificación.

X

El sistema de información esta desarrollado bajo la estructura de un framework que fue diseñado para la elaboración del sistema en mención.


2.4 Procedimiento de errores en entrada de datos

Los procedimientos para manejo de errores deben estar en un lugar adecuado, para facilitar la reentrada oportuna y precisa de los datos corregidos.



1.- Determinar si se establecieron y documentaron

los procedimientos relacionados con la

identificación, corrección y reentrada de datos

rechazados.

X

No cuentan con un procedimiento para el registro de documentación de dichos errores.

2.- Determinar si los errores son desplegados o

listados inmediatamente después de su

detección, para facilitar su rápida corrección.

X

Todos los errores que surgen en el transcurso de la tarea son informados vía telefónica al área de sistemas para su solución. Dichos errores no se registran para un posterior mantenimiento.

c.) Dígitos verificadores al final de un conjunto de datos numéricos que no está sujeto a balanceo. d.) Validación de códigos. e.) Valores numéricos o alfanuméricos. f.) Tamaño de los campos. g.) Combinación de campos h.) Limite o rango de valores. i.) Signos. j.) Cotejo de registros. k.) Secuencias.

l.) Referencias cruzadas.

7.- Determinar si se le permite a cada usuario, mediante claves de acceso, o códigos de autorización, entrar solamente en uno o en un número limitado de tipos de transacciones.

X Cada colaborador dispone de un usuario y contraseña para cada tipo de sistema.

8.- Investigar si el grupo de control del departamento usuario maneja totales de control de lote, generados por terminales o por concentradores, para asegurarse de que cada lote esta completo.

X


3.- Evaluar si los mensajes de error son claros y

fácilmente comprensibles, de manera que se

puedan tomar de inmediato las medidas

correctivas. X

Se pudo comprobar que algunos mensajes de error tienen como contenido números de errores del software en el que se desarrollo el sistemas.

4.- Investigar si todos los datos rechazados son

grabados automáticamente en los archivos de

asuntos pendientes, clasificados por

aplicaciones. X

No se cuenta con un registro de errores del sistema, por lo cual no se realiza un mantenimiento de los mismos, solo se procede a solucionar errores comunicados por el usuario.

5.- Revisar los registros

de los archivos de

asuntos pendientes,

para establecer si

incluyen

información como la

que sigue:

a.) Códigos para indicar

tipos de error. X

Se comprobó que los códigos de errores del sistema tienen una matriz de interpretación para el área de sistemas.

b.) Fecha y hora en que

se graba el registro en el

archivo de asuntos

pendientes.

X No existe aplicación de asuntos pendientes.

c.) Identificación del

usuario que origino el

registro de entrada. X

El sistema registra de manera automática el usuario que realiza cualquier tipo de movimiento en el sistema.

6.- Determinar si los archivos de asuntos

pendientes tienen un registro automático de

conteo, para controlar el número de registros

en los archivos.


7. - Determinar las áreas autorizadas para hacer

correcciones. Determinar si el grupo de control

del departamento usuario proporciona un

control independiente de estas correcciones.

X

No se registran los errores del sistema, solo se procede a informar al área de sistemas vía telefónica para su solución.

8.- Determinar si los archivos de asuntos

pendientes producen mensajes de seguimiento

y reportan el estado de las transacciones no

corregidas en forma regular.


9.- Determinar si todos los supervisores revisan y

aprueban las correcciones antes de su entrada. X

Se pudo constatar que no es necesario la aprobación del supervisor o jefe del área para una corrección excepto casos


especiales.

10.- Determinar si la gerencia del departamento

usuario revisa los reportes de los archivos de

asuntos pendientes, para analizar el nivel de

transacciones erróneas y el estado de las

transacciones corregidas. Preguntar si la

gerencia del departamento usuario está

consciente de que recae en ella la

responsabilidad final por la integridad y

exactitud de los datos de entrada.
