25
Auditoria de Sistemas – Ing. De Sistemas Página 1

Examen Auditoria

  • Upload
    diego

  • View
    2.815

  • Download
    2

Embed Size (px)

Citation preview

Page 1: Examen Auditoria

Auditoria de Sistemas – Ing. De Sistemas Página 1

Page 2: Examen Auditoria

Caja Municipal del SantaAuditoria de Aplicación:

Auditor de S.I

Procesar Auditoria para el Control de Datos Fuentes

(from Auditoria_de_Aplicaciones)

Procesar Auditoria para el Control de Datos de Entrada

(from Auditoria_de_Aplicaciones)

Procesar Auditoria para elcontrol de Procesamiento de Datos

(from Auditoria_de_Aplicaciones)

Area de Creditos

Procesar Auditoria del Control de Salida de la Información

(from Auditoria_de_Aplicaciones)

1. Auditoria para el Control de Datos Fuentes:

Proc. Autorización de entrada

Proc. Document. y control de la Operación

Control de vigencia de Documentos

Auditor de S.I

(from Auditoria_de_Aplicaciones)

Procedimiento para la Preparacion de datos

Proc. Control de Documento Fuente en Blanco

Proc. Generación Autorización y Cont. de Doc. Fuentes

<<extend>><<extend>>

<<extend>>

Area de Creditos

(from Auditoria_de_Aplicaciones)

Auditoria de Sistemas – Ing. De Sistemas Página 2

Page 3: Examen Auditoria

1.1Revisión de Procedimiento para la preparación de datos:

a) Identificar los documentos utilizados para cada tipo de entrada.b) Asegurarse de la validez de los datos que se integren a cada documento fuente.c) Identificar al personal responsable de la preparación de los datos de entrada, revisar

los documentos fuente y las autorizaciones.d) Evaluar las funciones de control de la preparación de los datos antes de transmitir la

información para su procesamiento.

Auditoria de Sistemas – Ing. De Sistemas Página 3

Pedir documentos de prestamos realizados y prestamos en estudio

Identificar documentos

Verificar validez de documentos

Identificar analista (credito)responsable de preparacion de datos

Evaluar los diferentes prestamos

Buscar documentos de prestamos

Entrega de documentos de los diferentes prestamos

Muestra a Personal

Area de CreditosAuditor

Page 4: Examen Auditoria

Procedimiento para la preparación de datosExiste

Sí No Porque

a.- Identificar los documentos utilizados para cada tipo de entrada. X

Son documentos donde va escribo el tipo de crédito están brindando y el monto.

b.- Asegurarse de la validez de los datos que se integran a cada documento fuente.

X

Asegurar la validez de los datos que están en el diferente documento para solicitar el préstamo.

c.- Identificar al personal responsable de la preparación de los datos de entrada, revisar los

documentos fuente y las autorizaciones.X

Los datos ingresados deben ser verificados por la empresa en especial el área de créditos.

d.- Evaluar las funciones de control de la preparación de los datos antes de trasmitir la

información para su procesamiento.X

Verificar que los requisitos estén bien, sean datos reales y que no sean personas o empresas con deudas a otras entidades financieras.

1.2Procedimientos de: para el Control de documentos fuentes en blancos (No procesado):

Los documentos fuente en blanco deben estar resguardados por personas que no están involucradas en la generación de los mismos. Deben ser independientes entre sí las funciones de aprobación y de generación de los documentos fuente.

Auditoria de Sistemas – Ing. De Sistemas Página 4

Documentos fuentes en blanco (DFB)

Verificar DFB si esta bajo custodia, fuera de personas que generan el doc.

Auditor de S.I

(from Auditoria_de_Aplicaciones)

Verificar si los DFB estan en un lugar seguro Area de Creditos

(from Auditoria_de_Aplicaciones)

Verificar numero de firmas del DFB "auto. de salida"

Page 5: Examen Auditoria

Auditoria de Sistemas – Ing. De Sistemas Página 5

Pedir documentos en blanco

Verificar los documentos esten bajo custodia, fuera de personas que generen el documento.

Verificar el lugar donde se van a almacenar los documentos

Verificar la autorización de salida de documentos

Verificar el tipo de credito solicitado

Buscar documentos en blanco

entrega información

Analista de CreditosEditor

Emiten factura

NaturalJuridicaEmpresa

Emite boleta

Usuario Analista de Creditos

Solicitar prestamo

Verificar otros prestamos

<<include>>

aceptadoRechasado

Deudas en otras entidades

<<extend>>

<<extend>>

<<extend>>

Solicitar documentos como requisitos

<<include>>

Estudiar prestamo solicitado

<<include>>

Page 6: Examen Auditoria

Procedimiento de: para el Control de documentos fuentes en blancos (No procesado)

ExisteSí No Porque

a.- Determinar si los documentos fuente en blanco se encuentran bajo la custodia de personas que no tienen nada que ver con la generación de éstos.

X

Son Documentos importantes que solo la empresa, en especial el área de créditos, puede tener en su poder.

b.- Asegurarse de que los documentos fuente en blanco estén almacenados en un lugar seguro.

X

Deben estar en un buen lugar de almacenamiento como un sistema de información y copias de los documentos de los diferentes prestamos hechos y los que están en estudio

c.- Determinar si la autorización de salida de los documentos fuente en blanco requiere la firma de dos

o más personas.X

Si el estudio del préstamo es aceptado, se hará el llenado correspondiente de los documentos con las firmas de las autoridades correspondientes, para efectuar el préstamo.

d.- Identificar a las personas que preparan las transacciones, determinar si cada persona prepara un solo tipo de transacción. Por ejemplo, el establecimiento de nuevos registros en el archivo maestro y la actualización de esos registros, deben considerarse como dos tipos diferentes de transacciones.

X

Las personas responsables son los que están en el área de créditos y la autorización lo hace el Gerente de la Caja del Santa.

e.- Identificar a las personas involucradas en las fases de preparación de la información y asegurarse de que

dichas personas no lleven a cabo más de una de las siguientes fases.

X

El analista de créditos es el único involucrado en la preparación de la información, pero con datos reales de los diferentes usuarios

1.3Procedimiento de: Generación, autorización y control de documentos fuentes:

Auditoria de Sistemas – Ing. De Sistemas Página 6

Auditor de S.I

(from Auditoria_de_Aplicaciones)

Proc. Generación Autorización y Cont. de D...

(from 1) Auditoria_Control_de_Dato_Fuente)Area de Creditos

(from Auditoria_de_Aplicaciones)

Proc. Autorización de entrada

(from 1) Auditoria_Control_de_Dato_Fuente)

Proc. Document. y control de la Operación

(from 1) Auditoria_Control_de_Dato_Fuente)

Control de vigencia de Documentos

(from 1) Auditoria_Control_de_Dato_Fuente)

<<extend>><<extend>>

<<extend>>

Page 7: Examen Auditoria

1.3.1 Procedimiento de autorización de entrada:

Procedimiento de: Generación, autorización y control de documentos fuentes

ExisteSí No Porque

a.- Observar el proceso de control de entrada x Porque se muestra la información al

momento de su ingreso

b.- Verificar que las aprobaciones correspondan precisamente al personal responsable de estas autorizaciones.

x Porque toda transacción o función dada por el personal

esta bajo su responsabilidad

c.- Confirmar que el personal responsable de la entrada de los datos no esté realizando tareas

x Porque primero se hace un estudio del

Auditoria de Sistemas – Ing. De Sistemas Página 7

Observacion y control de los datos de entrada

Verificar aprobacion del Gerente y del Area de Credito

Pedir documentos de entrada

Realizar observaciones de los diferentes documentos

Comentar observaciones relizadas

Busqueda de los documentos de entrada

entrega de los documentos de entrada

Area de CreditosAuditor

Page 8: Examen Auditoria

incompatibles. usuario y se toma recién la decisión del

préstamod.- En las aplicaciones en que se utiliza terminal, comprobar que los procedimientos del usuario incluyan la utilización, el mantenimiento, el control de la estación de trabajo y los códigos del operador.

x Toda terminal cuenta con un formulario con

todas esas aplicaciones

e.- Observar si la estación y el código del operador se usan y se modifican de acuerdo con los procedimientos aplicables.

x La estación y el código siempre están en

constante actualización

1.3.2 Procedimiento para la documentación y control de la operación:

Procedimiento para la documentación y control de la Existe

Auditoria de Sistemas – Ing. De Sistemas Página 8

Pedir autorizaciones por operacion(prestamos) realizada

Revisar autorizaciones por operacion (prestamos)

Revisar documentos de entrada iniciales de la información

Revisar operaciones realizas y las que estan en estudio

Comentar errores encontradas en las operaciones en estudio

Mostrar operaciones (prestamos)realizadas

Mostrar Información de las operaciones realizadas

Area de CreditosAuditor

Page 9: Examen Auditoria

operación Sí No Porquea.- Las autorizaciones adecuadas para cada aplicación. xb.- Revisión de las autorizaciones. x Todas las autorizaciones

tienen revisiónc.- Edición usada o la entrada inicial de la información. x No cuenta con una edición de

la informaciónd.- Mensaje de error por aplicación. x En todo error que surja

siempre envía mensaje de advertencia

e.- Establecimiento de registros de control de errores y excepciones.

x Si existe establecimientos donde se almacenan los

registros de control de erroresf.- Procedimientos para depuración de errores y excepciones. x Si existen procedimientos de

depuración de los errores ya dados

g.- Controles que garanticen que la información de la entrada sea revisada por una unidad de control antes de procesarse.

x Toda información es revisada y estudiada antes de

procesarseh.- Procedimientos de comunicación, en caso de que falte información.

x Si falta información se notifica el error y se pasa a completar

i.- Controles sobre la extensión de la corrección de errores mediante la unidad de control de información.

x Cuenta con una unidad de control de información

j.- Controles de cambios y actualizaciones del archivo maestro. x Si existe un terminal de controles de cambio para los

archivos maestros

Auditoria de Sistemas – Ing. De Sistemas Página 9

Page 10: Examen Auditoria

1.3.3 Control de vigencia de documentos:

Auditoria de Sistemas – Ing. De Sistemas Página 10

Page 11: Examen Auditoria

Auditoria de Sistemas – Ing. De Sistemas Página 11

Pedir documentos fuente

Verificar si los documentos fuente estan bien establecidos

Verificar si los documentos fuent estan respectivamente enumeradas

evaluar y verificar medios de almacenamiento de los distintos documentos fuente

Evaluar a personal que esta a cargo de estos documentos

Mostrar muestrar de evaluación

Brindar capacitación al personal demérito

Adjuntar los documentos de los prestamos en estudio

Separar los documentos aceptados para el prestamo

Pedir documentos de prestamos en estudio

Mostrar documentos fuente

Mostrar el sistema de almacenamiento para los documentos fuente

selecionar a personal para capacitación

Mostrar documentos de prestamos en estudio

Area de CreditosAuditoria

Page 12: Examen Auditoria

Control de vigencia de documentosExiste

Sí No Observaciones

1.- Determinar si los documentos fuente son retenidos el tiempo suficiente para permitir la reconstrucción de la información en caso de que se pierdan ésta y el procesamiento posterior.

X

Los requisitos que la Caja del Santa pide para el préstamo son retenidos en caso de accidentes para poder tenerlos almacenados en la base de datos de su sistema

2.- Determinar si en cada tipo de documento fuente se ha impreso previamente su periodo de vigencia.

X

Todos los documentos que requiere la Caja del Santa son verificados minuciosamente por el Gerente para poder aceptar o rechazar los diferentes préstamos.

3.- Evaluar los medios con que se almacenan y recuperan los documentos fuente. X

Para el almacenamiento y recuperación de datos esta en el sistema de la Caja del Santa.

4.- Determinar si el departamento que origina la información guarda copias de los archivos de los documentos fuente y si éstos se turnaran a otros departamentos.

X

El área de Crédito si guarda copias de los diferentes documentos fuente y los almacena en un lugar seguro libre contra posibles accidentes.

5.- Determinar si los documentos fuente contenidos en el archivo del departamento que los originó sólo están a disposición de personal autorizado.

X

Si otra institución financiera quiera saber si dicho usuario tiene deuda en esta financiera se le puede dar información del usuario.

6.- Determinar si, al expirar los documentos fuente, se sacan del almacén y se destruyen de acuerdo con las clasificaciones y los procedimientos de seguridad existentes en la organización.

XLos documentos fuente al

perder su expiración siguen siendo almacenados.

Auditoria de Sistemas – Ing. De Sistemas Página 12

Page 13: Examen Auditoria

Usuario

(from 1.2 Proc_Control_doc_fuente_en_blanco(N.P))...)

Control de Entrada de Datos

Analista de Creditos

(from 1.2 Proc_Control_doc_fuente_en_blanco(N.P))...)

Captura de Datos del Usuario

2. Auditoria para el Control de Datos de entrada:

Para procesar los datos de entrada, se deben validar y editar lo más cerca posible del punto de origen. Los procedimientos para el manejo de errores deben colocarse en el lugar apropiado, para facilitar, oportuna y precisa, de todos los datos corregidos.

Auditor de S.I

(from Auditoria_de_Aplicaciones)

Proc. Conversión y entrada de Datos

Proc.Conversión y Entrada en Línea

Proc. Validación y Edicion de Datos

Area de Creditos

(from Auditoria_de_Aplicaciones)

Proc. de Errores en Entradas de Datos

2.1 Procedimiento de Conversión y Entrada de Datos:

Deben estar establecidos los procedimientos de conversión y entrada de datos, que garanticen la separación de tareas, así como la rutina de verificación del trabajo realizado en el proceso de entrada de datos.

1. Determinar si existen procedimientos documentados que expliquen la manera que se convierten e introducen los datos.

En la caja Municipal del Santa si existen documentos que afirman la entradas de datos como por ejemplo:

a. Boleta.

Auditoria de Sistemas – Ing. De Sistemas Página 13

Page 14: Examen Auditoria

b. Factura.

c. Boucher de Pago.

d. Boucher de Retiro de Efectivo.

e. Boucher de Deposito de Efectivo.2. Identificar a las personas que ejecutan el trabajo en el proceso de entrada de

datos. Cerciórese de que ninguna persona realiza más de una de las siguientes operaciones:

a.) Generación de los datos:

Analista de Crédito.

b.) Entrada de datos:

Ventanilla.

c.) Procesamiento de los datos:

Operaciones.

d.) Distribución de los datos:

Administración.3. Determinar si dentro del departamento de sistemas de información existe un

grupo separado que es responsable de realizar las operaciones de entrada de datos.

Dentro del Departamento de Sistemas de Información no existe un grupo específico que se encargue de los datos de entrada, sino ellos mismo cumplen esa tarea.

4. Determinar si existe un grupo de control en el departamento usuario o en el departamento de sistemas de información que, en forma independiente, controle los datos que se introducirán. Identificar los dispositivos de control utilizados, como los siguientes:

a) Flujo administrativo del documento.

b) Técnicas de notificación.

c) Conteo de registros.

Auditoria de Sistemas – Ing. De Sistemas Página 14

Page 15: Examen Auditoria

Registrar Usuario

Verificar Datos del Usuario

Usuario Analista de Creditos

Guardar Datos en la Base de Datos

d) Totales de control predeterminados.

e) Técnicas de registro.

5. Si el grupo de control del departamento usuario controla los datos de entrada, determinar si la entrada y el registro de los datos fuente se realizan en forma simultánea en el punto origen.

Un Auxiliar de Operaciones se encarga del registro de datos y si se efectúa simultáneamente la entrada y registros de datos fuente en este capo de cliente nuevo

6. Determinar si los documentos fuente utilizados en la conversión o en la entrada de los datos, son marcados para proteger contra duplicaciones o reentradas.

La Caja Municipal del Santa no cuenta con un seguro para sus documentos de entrada

2.2 Procedimiento de Conversión y Entrada en Líneas :

Se deben establecer procedimientos de conversión y entrada de datos por medio de terminales, para evitar el uso autorizado o doloso.

1. Determinar si las terminales para la entrada de datos, son puestas bajo llave, en un cuarto físicamente seguro.

Se encuentran en un cuarto físicamente seguro.

2. Determinar si se requiere que los supervisores habiliten cada terminal, antes de que el usuario inicie su trabajo diario.

Auditoria de Sistemas – Ing. De Sistemas Página 15

Page 16: Examen Auditoria

Si se requiere que habiliten las terminales para poder iniciar el trabajo diario.

3. Determinar si la entrada de los datos solo puede hacerse desde terminales que tienen asignados previamente ciertos niveles de autoridad.

Solo algunas terminales tiene la opción de datos de entrada proporcionados por el Área de Sistemas

4. Determinar si se utilizan las claves de accesos, passwords, para evitar el uso no autorizado de las terminales.

Se utilizan passwords para la entrada y modificación de datos de usuario en el sistema.

5. Asegurarse de que las claves de accesos, o los códigos de autorización no sean desplegados en la pantalla ni impresos ni tecleados sobre campos enmascarados.

Estos passwords que emplean no son desplegados ni impresos ni tecleados sobre campos enmascarados.

6. Determinar si se utiliza una matriz de acceso a los datos para restringir el acceso no autorizado a datos clasificados.

Si se utiliza una matriz hay parámetros prediseñados para la autorización de ingresos a los datos del sistema.

7. Determinar si se le permite a cada usuario, mediante claves de acceso, o códigos de autorización, entrar solamente entrar solamente en uno o en un número limitado de tipos de transacciones.

Solo se le permite un número limitado de transacciones es decir las generales las privadas o las transacciones clasificadas solo con uso de password.

Auditoria de Sistemas – Ing. De Sistemas Página 16

Page 17: Examen Auditoria

Validar Datos del Usuario

Editar Datos del UsuarioAnalista de Creditos

Actualizar Datos del Usuario

2.3 Procedimiento de Validación y Edición de Datos:

Se deben validar y editar los datos de entrada o más cerca posible del punto origen.

1. Comprobar si se utilizan formatos pres programados de captura para asegurarse de que los datos se incorporan en el campo y en el formato adecuado, etc.

Si utilizan formatos pre - programados para el ingreso de los datos.

2. Determinar si hay apuntadores ínter construido para facilitar la entrada de los datos y reducir el número de errores.

Si existe el uso de apuntadores para facilitar la entrada de los datos.

3. Determinar si se utilizan terminales inteligentes para permitir la validación, la edición y el control de principio a fin. Si no se utilizan terminales inteligentes, evaluar, mediante el análisis de costo-beneficio, si se deben introducir.

No utilizan terminales inteligentes desde las mismas terminales comunes hacen el ingreso de datos.

4. Determinar el punto en el cual se validan y editan los datos de entrada. Investigar si los datos incorrectos son rechazados.

Si cumple con todos los requerimientos predispuestos se ingresan los datos del usuario. Los datos incorrectos si son rechazados e incluso si falta llenar alguna casilla de datos también es rechazado.

5. Determinar si los procedimientos de validación y edición de los datos se aplican a todos los campos de un registro de entrada, a pesar de que se haya detectado un

Auditoria de Sistemas – Ing. De Sistemas Página 17

Page 18: Examen Auditoria

error en un campo previo.

Si se aplican a todos los campos de registro.

6. Determinar si los procedimientos de validación y edición realizan las siguientes comparaciones:

a) Código de aprobación o autorización, nivel superior e individual.

b) Dígitos verificados en todas las llaves de identificación.

c) Dígitos verificadores al final de un conjunto de datos numéricos que no está sujeto a balanceo.

d) Validación de códigos.

e) Valores numéricos o alfanuméricos.

f) Tamaño de los campos.

g) Combinación de campos.

h) Límite o rango de valores.

i) Signos.

j) Cotejo de registros.

k) Secuencias.

l) Referencias cruzadas.

7. Determinar que a ninguna persona se le permita cancelar o rescribir los datos validados o los errores editados. Si esto se permite a los supervisores, asegurarse de que existe un registro automático de estas funciones y que se analice posteriormente para ver si las acciones fueron acertadas.

El usuario cuando solicita una actualización de sus datos solo el terminal está autorizado de realizar dicha acción.

Auditoria de Sistemas – Ing. De Sistemas Página 18

Page 19: Examen Auditoria

Actualizar Datos Erroneos del Usuario

Registrar en Lista de Archivos Pendientes

Analista de Creditos

Solicitarlos para Proximas Correciones

8. Investigar si el grupo de control del departamento usuario maneja totales de control de lote, generados por terminales o por concentradores, para asegurarse de que cada lote esta completo.

Si utiliza totales para el control de la empresa.

2.4 Procedimiento de Errores en Entrada de Datos :

Los procedimientos para manejo de errores deben estar en un lugar adecuado, para facilitar la reentrada oportuna y precisa de los datos corregidos.

1. Determinar si se establecieron y documentaron los procedimientos relacionados con la identificación, corrección y reentrada de datos rechazados.

Todos los documentos de entrada y demás son documentados.

2. Determinar si los errores son desplegados o listados inmediatamente después de su detección, para facilitar su rápida corrección.

Todos los errores son desplegados para facilitar su corrección

3. Evaluar si los mensajes de error son claros y fácilmente comprensibles, de manera que se puedan tomar de inmediato las medidas correctivas.

Todos los errores son desplegados para facilitar su corrección

Auditoria de Sistemas – Ing. De Sistemas Página 19

Page 20: Examen Auditoria

4. Investigar si todos los datos rechazados son grabados automáticamente en los archivos de asuntos pendientes, clasificados por aplicaciones.

Si todos los datos rechazados son grabados para su previa evaluación.

5. Revisar los registros de los archivos de asuntos pendientes, para establecer si incluyen información como la que sigue:

a) Códigos para indicar tipos de error.

b) Fecha y hora en que se graba el registro en el archivo de asuntos pendientes.

c) Identificación del usuario que origino el registro de entrada.

6. Determinar si los archivos de asuntos pendientes tienen un registro automático de conteo, para controlar el número de registros en los archivos.

Si cuentan con un registro automático para control el número de sus registros

7. Determinar las áreas autorizadas para hacer correcciones.Determinar si el grupo de control del departamento usuario proporciona un control independiente de estas correcciones.

Solo las terminales autorizadas son las encargadas de las correcciones.

8. Determinar si los archivos de asuntos pendientes producen mensajes de seguimiento y reportan el estado de las transacciones no corregidas en forma regular.

Siempre reportan los estados de las transacciones cada ves que el sistema levanta.

9. Determinar si todos los supervisores revisan y aprueban las correcciones antes de su entrada.

Hay un estudio determinado por los supervisores para la aprobación de las correcciones de entrada.

Auditoria de Sistemas – Ing. De Sistemas Página 20

Page 21: Examen Auditoria

10. Determinar si la gerencia del departamento usuario revisa los reportes de los archivos de asuntos pendientes, para analizar el nivel de transacciones erróneas y el estado de las transacciones corregidas. Preguntar si la gerencia del departamento usuario está consciente de que recae en ella la responsabilidad final por la integridad y exactitud de los datos de entrada.

Si obviamente después de que el terminal autorizado registre o corrija entradas del cliente previamente autorizado o estudiado por los supervisores toda esta información va al departamento de gerencia que también lo estudia para facilitar y mejorar la integridad de los datos de entrada

Auditoria de Sistemas – Ing. De Sistemas Página 21