1. 2009
Ingeniería de Sistemas - VIII
CICLO
Integrantes:
• Cruzado Quintana Frank
• García Duran Gianfranco
• Hinostroza Cirilo Marcela
• Valera Romero Irwin
[AUDITORÍA DE SISTEMAS DE INFORMACIÓN A LA
EMPRESA SKA INVERSIONES S.A.C.]
Proceso de Auditoría de Sistemas de Información a la Empresa SKA Inversiones S.A.C. al área de Ventas.
2. I CAPITULO:
Auditoria de Aplicaciones (Relacionado a los sistemas de información)
Procesar Auditoria de Control de Datos
Fuentes
<<i nclude>>
Procesar Auditoria de Control de Datos
de Entrada
<<i nclude>>
Auditor VENTAS
Procesar Auditoria de Control de
Procesamiento de Datos
<<i nclude>>
Procesar Auditoria de Control de
Salida de Datos
3. 1. Auditoria para el Control de datos fuentes: (Diagrama de caso de uso)
Procesar la Revision de
Preparacion de Datos
Procesar el Control de
Documentos en Blanco
VENTAS
Auditor del Sistema de Informacion (f rom Use Case View)
Procesar Generacion
Autorizacion y Control...
<<extend>>
<<extend>>
<<extend>>
Procedimiento de
Procedimiento para la
Autorizacion de Entrada Contro de Vigencia de
Documentacion y Control...
Documentos
4. 1.1. Revisión de Procedimiento para la preparación de datos
AUDITOR VENTAS
Pedir Buscar
Documentación Documentación
Identifica Entrega
Documentación Documentación
Verifica Validez
de Datos
Identifica Personal Responsable Muestra a
de Preparación de datos Personal
Evaluar Funciones de Control
de Preparación de datos
5. Cuestionario de Procedimiento para la Existe
Observaciones
preparación de datos Sí No
Los documentos se efectuará en
forma gradual, por lo que se ha
considerado necesario efectuar
a.- Identificar los documentos utilizados para cada tipo de X las siguientes aclaraciones
entrada. respecto al formato de las
Facturas y Boletas de Venta,
como tarjetas de crédito, ventas
de consumo.
Asegurarse de la validez de los
datos que se integran a cada
documento ver su validación y
b.- Asegurarse de la validez de los datos que se integran
X su vencimiento de ese
a cada documento fuente.
documentó verificar y
asegurarse de donde viene
depende del cliente.
La personal responsable de la
preparación de los datos de
c.- Identificar al personal responsable de la preparación entrada, es la responsable de
de los datos de entrada, revisar los documentos fuente y X organizar y evaluar las entradas
las autorizaciones. de los pedidos de los productos
que ingresan y salen mediante
el sistema información.
d.- Evaluar las funciones de
control de la preparación de los
d.- Evaluar las funciones de control de la preparación de datos antes de entregar cada
los datos antes de trasmitir la información para su boleta oh factura que se hace al
X
procesamiento. cliente oh al consumidor debe ir
al sistema de información oh al
sistema de control
6. 1.2. Procedimientos de: para el Control de documentos fuentes en blancos (No
procesado)
AUDITOR VENTAS
Pedir Documentación Buscar Documentación
en blanco en blanco
Verificar que documentos esten bajo personas
Entrega
ajenas a la generación de los mismos
Información
Verificar lugar de almacenamiento de
documentos
Verificar autorización de
salida de documentos
Verificar si cada persona prepara
un solo tipo de transacción
Verificar si cada persona
realiza dos actividades
7. Existe
Cuestionario de Procedimiento de: para el Control de Observaciones
documentos fuentes en blancos (No procesado) Sí No
Determinar si los documentos
a.- Determinar si los documentos fuente en blanco se fuente en blanco se encuentran
encuentran bajo la custodia de personas que no tienen X bajo la custodia, de los
nada que ver con la generación de éstos. encargados cada nivel tiene su
responsabilidad que se lo
otorgo.
Los documentos fuente en
b.- Asegurarse de que los documentos fuente en blanco blanco están almacenados en
estén almacenados en un lugar seguro. X
un sistema de información y en
una base de datos de ventas
La autorización de salida de los
c.- Determinar si la autorización de salida de los documentos fuente en blanco
X
documentos fuente en blanco requiere la firma de dos o requiere la firma del dueño de
más personas. la tienda ska..
Identificar a las personas que
preparan las transacciones,
d.- Identificar a las personas que preparan las
transacciones, determinar si cada persona prepara un solo determinar si cada persona
tipo de transacción. Por ejemplo, el establecimiento de prepara un solo tipo de
nuevos registros en el archivo maestro y la actualización X transacción. No porque la
de esos registros, deben considerarse como dos tipos transacción de ventas nada mas
diferentes de transacciones. lo hace esa área y entrega
cuentas al administrador de
ska.
e.- Identificar a las personas involucradas en las fases de X Los documentos Justificativos
preparación de la información y asegurarse de que dichas que son todas las disposiciones y
personas no lleven a cabo más de una de las siguientes documentos legales que
fases: determinan las obligaciones y
derechos de la dependencia o
entidad para demostrar que
cumplió con los ordenamientos
jurídicos y normativos
aplicables.
Los Documentos existentes son:
• Documento de venta (factura, boleta)
• Nota de Venta
• Reportes de Venta
• Registro de Pago
• Registro de Garante
8. Cajero
Cliente (from Sistema ...) ventas)
de
(from Sistema ...) ventas)
de
Registrar pago
(from Si stem a de ventas)
Juridico Natural Emitir Dcto. de venta
(from Sistema ...) ventas)
de (from Sistem a de ventas)
Pagar con tarjeta de credito
(from Sistema ...) ventas)
de
(from Sistema de ventas)
Pagar al contado
Pagar con cheque
(from Si stem a de ventas)
(from Sistema de ventas)
Emitir factura Emitir Boleta de venta
(from Sistem a de ventas)
(from Sistema de ventas)
Documentos Empleados en Facturación
Emitir nota de venta
(from Sistem a de ventas)
Cliente Vendedor
(from Sistema ...) ventas)
de (from Sistema ...) ventas)
de
Procesar venta
(from Si stem a de ventas)
<<include>>
Registrar garante
(from Si stem a de ventas)
Procesar venta al contado Procesar venta al credito
(from Si stem a de ventas)
(from Si stem a de ventas)
Documentos Empleados en Ventas
9. Jefe de ventas
(from Sistema ...) ventas)
de
Generar reporte de ventas
(from Si stema de ventas)
Listar despacho a domicilio
(from Sistema de ventas)
Listar ventas al contado
(from Si stema de ventas) Listar garantes
(from Si stema de ventas)
Listar ventas al credito
(from Si stema de ventas)
Documentos Empleados en Gestión de Reportes
1.3. Procedimiento de: Generación, autorización y control de documentos fuentes.
1.3.1. Procedimiento de autorización de entrada
AUDITOR VENTAS
Observar Proceso de
Control de Entrada
Verificar Aprobaciones
asignadas al personal
Verificar Personal cumpliendo su Desempeñar
respectiva labor labor asiganada
Verificar Manuales de Mostrar Manuales de
Experto y Usuarios Aplicaciones
Observar Estación y
Código del Operador
10. Existe
Cuestionario de Procedimiento de: Generación, Observaciones
autorización y control de documentos fuentes Sí No
El documentos Comprobatorios
son los documentos originales
a.- Observar el proceso de control de entrada X que generan y amparan los
registros contables de la
dependencia o entidad.
Los pedidos que son recibidos a
b.- Verificar que las aprobaciones correspondan la tienda ska tienen que ser
precisamente al personal responsable de estas X
comprobado por administrador
autorizaciones.
o h jefe de área.
el objetivo de las aéreas es
encargare cada uno de su
c.- Confirmar que el personal responsable de la entrada X
de los datos no esté realizando tareas incompatibles. valores de trabajo , por ejemplo
el Caja no recibe oficios .
d.- En las aplicaciones en que se utiliza terminal, En las aplicaciones en que se
comprobar que los procedimientos del usuario incluyan la utiliza terminal, comprobar que
X
utilización, el mantenimiento, el control de la estación de los procedimientos , Manuales
trabajo y los códigos del operador. de usuario y expertos
e.- Observar si la estación y el código del operador se usan X el código del operador se usan y
y se modifican de acuerdo con los procedimientos se modifican de acuerdo con los
aplicables. procedimientos aplicables.
11. 1.3.2. Procedimiento para la documentación y control de la operación
AUDITOR VENTAS
Pedir autorizaciones por Mostrar
aplicación Autotizaciones
Revisar autorizaciones
por aplicación
Revisar Entrada Inicial de Mostrar Información Inicial
la Información de la Aplicacion
Revisar Mensajes de Ejecutar
Error por Aplicacion Aplicación
Revisar Establecimiento de registros
de control de errores y excepciones
Revisar Procedimientos para
depuración de errores y excepciones
Revisar Controles de
Información
Revisar Procedimiento
de Información
12. Existe
Cuestionario de Procedimiento para la Observaciones
documentación y control de la operación Sí No
Las autorizaciones adecuadas se
darán cuando la aplicación este
a.- Las autorizaciones adecuadas para cada aplicación. X correcta oh si no se rechazara. La
autenticación (para identificar a
los clientes de la aplicación)
La revisión se dará con el
b.- Revisión de las autorizaciones. X
administrador oh el encargado
La decisión usada y la entrada se
c.- Edición usada o la entrada inicial de la información. X
dará depende de la información
d.- Mensaje de error por aplicación.
X Buscar solución
e.- Establecimiento de registros de control de errores y X Describe la ventana Lista de errores
excepciones. buscar ayuda sobre los errores.
Solucionarlo
f.- Procedimientos para depuración de errores y Solución
excepciones.
g.- Controles que garanticen que la información de la Los controles serán garantizados
entrada sea revisada por una unidad de control antes mediante el sistema. De entrada si
de procesarse. es aceptado oh no
h.- Procedimientos de comunicación, en caso de que Buscar soluciones y ayuda a los
falte información. especializados al tema.
X
i.- Controles sobre la extensión de la corrección de Describe procedimientos
errores mediante la unidad de control de información. para comprender un
X comportamiento
inesperado en el código
del diseñador
personalizado.
j.- Controles de cambios y actualizaciones del archivo X Representa la clase de excepción de
maestro. las excepciones específicas del
analizador.
13. 1.3.3. Control de vigencia de documentos
AUDITOR VENTAS
Pedir Documentos Mostrar Documentos
Fuente Fuente
Verificar si los documentos fuente son
retenidos el tiempo suficiente
Verificar si los documentos fuente
tienen impreso periodo de vigencia
Verificar Medios de almacenamiento Mostrar Medios de
de documentos fuente almacenamiento
Evaluar medios de almacenamiento de
documentos fuente
Verificar Personal a cargo de Mostrar Personal
documentos fuente a cargo
Evaluar
Personal
Verificar que se hace con
documentos al expirarse
14. Existe
Observaciones
Cuestionario de Control de Vigencia de Documentos
Sí No
1.- Determinar si los documentos fuente son
Necesario tener una copia de la
retenidos el tiempo suficiente para permitir la X base de datos oh del sistema de
reconstrucción de la información en caso de que se información
pierdan ésta y el procesamiento posterior.
El documento pasa
2.- Determinar si en cada tipo de documento fuente primeramente por el gerente
X
se ha impreso previamente su periodo de vigencia. general de la entra el elige la
opción rechazar oh aprobar.
Los medios se almacena y
3.- Evaluar los medios con que se almacenan y X recuperan los documentos de
recuperan los documentos fuente. datos fuentes
4.- Determinar si el departamento que origina la El departamento que origina la
información guarda copias de los archivos de los informaron guarda copias de
X
documentos fuente y si éstos se turnaran a otros los archivos de los documentos
departamentos. fuente.
5.- Determinar si los documentos fuente contenidos Los documentos contenidos en
en el archivo del departamento que los originó sólo el archivo del departamento de
X los origino solo esta disposición
están a disposición de personal autorizado.
del personal autorizado.
6.- Determinar si, al expirar los documentos fuente, El documento fuente, se saca
se sacan del almacén y se destruyen de acuerdo con del almacén y se distribuye
las clasificaciones y los procedimientos de seguridad X de acuerdo con las
existentes en la organización. clasificaciones y los
procedimientos de seguridad
existentes en la organización.
15. 2. Auditoria para el Control de Datos de entrada:
Procesar la conversion y
entrada de datos
Procesar la conversion y
entrada en linea
Auditor del Sistema de Informacion
VENTAS
(from Auditoria de Control de Datos Fuente)
Procesar la validacion y la (from Use Case View)
edicion de datos
Procesar errores de entrada
de datos
16. 2.1. Procedimiento de conversión y entrada de datos
AUDITOR VENTAS
Solicitar Documentación Mostrar
de Entrada de Datos Documentacion
Verificar
Documentación
Solictar ver Personal Mostrar Personal
cumpliendo su respectiva labor laborando
Verificar si cada persona
realiza dos actividades
Verificar Grupo de control
de Ingreso de datos
Verificar si datos son
ingresados simultáneamente
Verificar protección de
documentos contra duplicación
17. Existe
Cuestionario de Ventas Observaciones
Sí No
El sistema indica al usuario los pasos
1.- Determinar si existen procedimientos documentados que expliquen la manera X
que se convierten e introducen los datos. de registro.
2.- Identificar a las personas que ejecutan el trabajo en el proceso de entrada de Mediante una contraseña el sistema
datos. Cerciórese de que ninguna persona realiza más de una de las siguientes X
reconoce quien la esta manejando.
operaciones:
Los trabajadores independientemente
3.- Determinar si dentro del departamento de sistemas de información existe un
grupo separado que es responsable de realizar las operaciones de entrada de X son encargados de realizar el registro
datos. de datos.
4.- Determinar si existe un grupo de control en el departamento usuario o en el El sistema identifica los datos que se
departamento de sistemas de información que, en forma independiente, controle X ingresaran, si es que no es adecuado
los datos que se introducirán. no ingresa.
Los datos ingresan de acuerdo a las
5.- Si el grupo de control del departamento usuario controla los datos de entrada,
determinar si la entrada y el registro de los datos fuente se realizan en forma X ventas que se van ejecutando, todo es
simultanea en el punto origen. administrado en la base de datos.
Los datos ingresados son duplicados,
6.- Determinar si los documentos fuente utilizados en la conversión o en la
entrada de los datos, son marcados para proteger contra duplicaciones o X por si haya reclamos, por un periodo
reentradas. de 24 horas.
18.
19. 2.2. Procedimiento de conversión y entrada en línea
AUDITOR VENTAS
Identificar terminales Mostrar terminales para
para ingreso de datos ingreso de datos
Verificar si terminales
son puestas bajo llave
Verificar si los supervisores habilitan
cada terminal
Verificar si entrada de datos se hacen
desde terminales autorizados
Verificar uso de
contraseñas
Verificar uso de matriz
de acceso a los datos
Verificar numero de
transacciones por usuario
20. Existe
Procedimiento de validación y edición de datos Observaciones
Sí No
Los terminales de entrada de datos, no
1.- Determinar si las terminales para la entrada de datos, son puestas
X cuentan con medidas de contingencia
bajo llave, en un cuarto físicamente seguro.
respecto a seguridad física.
Se elaboro un documento el cual justifico que
2.- Determinar si se requiere que los supervisores habiliten cada
X se requería obligatoriamente la supervisión de
terminal, antes de que el usuario inicie su trabajo diario.
las maquinas antes de ser usadas.
El sistema solo esta instalado en las maquinas
3.- Determinar si la entrada de los datos solo puede hacerse desde
del supermercado; y los instaladores se
terminales que tienen asignados previamente ciertos niveles de X
encuentran totalmente protegidos por el
autoridad.
gerente.
Para ingresar datos al sistema se requiere una
4.- Determinar si se utilizan las claves de accesos, passwords, para
X contraseña y asignar el nivel que tiene a su
evitar el uso no autorizado de las terminales.
cargo.
5.- Asegurarse de que las claves de accesos, o los códigos de
Las contraseñas son privadas, y el personal
autorización no sean desplegados en la pantalla ni impresos ni X
esta capacitado para mantener la discreción.
tecleados sobre campos enmascarados.
Al momento de ingresar al sistema es
obligatoriamente asignar el cargo que dispone
6.- Determinar si se utiliza una matriz de acceso a los datos para
X en la empresa, esto genera que el usuario
restringir el acceso no autorizado a datos clasificados.
común no pueda ingresar a los módulos que
pertenecen al gerente o supervisor.
El sistema no se encuentra consistenciado
7.- Determinar si se le permite a cada usuario, mediante claves de
respecto a privacidad en transacciones,
acceso, o códigos de autorización, entrar solamente en uno o en un X
cualquier usuario puede realizar diversas
número limitado de tipos de transacciones.
transacciones.
8.- Investigar si el grupo de control del departamento usuario maneja
totales de control de lote, generados por terminales o por El departamento usuario supervisa y controla
x
concentradores, para asegurarse de que cada lote esta completo. la distribución diaria.
2.3. Procedimiento de validación y edición de datos
21. AUDITOR VENTAS
Solicitar Formatos para Mostrar
ingreso de datos Formatos
Verificar
Formatos
Verificar Uso de
Apuntadores
Verificar existencia de
terminales inteligentes
NO EXISTE Implementar terminales
inteligentes
SI EXISTE
Verificar Validacion y
Edicion de datos
Verificar manipulacion
de datos
22. Existe
Procedimiento de validación y edición de datos Observaciones
Sí No
1.- Comprobar si se utilizan formatos pre programados de captura para El sistema genera formatos
asegurarse de que los datos se incorporan en el campo y en el formato X programados de captura, donde
adecuado, etc. confirman el registro de los datos.
2.- Determinar si hay apuntadores ínter construidos para facilitar la El sistema contiene apuntadores
X
entrada de los datos y reducir el número de errores. facilitando el ingreso de los datos.
3.- Determinar si se utilizan terminales inteligentes para permitir la
validación, la edición y el control de principio a fin. Si no se utilizan El sistema valída la edición y
X
terminales inteligentes, evaluar, mediante el análisis de costo-beneficio, control de los datos.
si se deben introducir.
4.- Determinar el punto en el cual se validan y editan los datos de Los datos de entrada son validados
X
entrada. Investigar si los datos incorrectos son rechazados. antes en el punto de ingreso.
5.- Determinar si los procedimientos de validación y edición de los datos
Si no son correctos no ingresan los
se aplican a todos los campos de un registro de entrada, a pesar de que X
datos, sin mostrar errores previos.
se haya detectado un error en un campo previo.
23. a.) Código de aprobación o autorización, nivel El lenguaje utilizado esta validado y
superior e individual. X consistenciado, cumpliendo lo
requerido.
b.) Dígitos verificadores en todas las llaves de No cuentas con dígitos
X verificadores, lo cual no se pueden
identificación.
encontrar la raíz del error
c.) Dígitos verificadores al final de un conjunto de
x No cuenta con dígitos verificadores
datos numéricos que no está sujeto a balanceo.
d.) Validación de códigos. X El sistema contiene codificación
confiable y confirmada.
e.) Valores numéricos o alfanuméricos. X Puede soportar diversos tipos de
6.- Determinar si datos.
los procedimientos El tamaño de los campos depende
de validación y f.) Tamaño de los campos. X del tipo de información que
edición realizan las ingresara.
siguientes Existen campos que pueden
g.) Combinación de campos X
comparaciones: ingresar números o letras
h.) Limite o rango de valores. X El campo viene establecido por el
sistema.
i.) Signos. X Las contraseñas son privadas y
asignadas por el administrador.
j.) Cotejo de registros. X El sistema confirma la aprobación
de los datos antes de ser ingresado.
El registro cuenta con pasos que
k.) Secuencias. X facilitan su ejecución con el
usuario.
l.) Referencias cruzadas. X Las referencias son enviadas a
Asuntos Pendientes
24. 2.4. Procedimiento de errores en entrada de datos
AUDITOR VENTAS
Solicitar Documentacion de Mostrar
datos rechazados Documentacion
Verificar
Documentacion
Solicitar Mensajes Ejecutar
de Error Aplicacion
Verificar Mensajes
de Error
Solicitar archivos de Mostrar archivos de
asuntos pendientes asuntos pendientes
Verificar registros de los archivos
de asuntos pendientes
Verificar Revision de reportes de
achivos de asuntos pendientes
25.
26. Existe
Procedimiento de errores en entrada de datos Observaciones
Si No
1.- Determinar si se establecieron y documentaron los procedimientos
Los procedimientos se establecieron pero no fueron
relacionados con la identificación, corrección y reentrada de datos x
documentados.
rechazados.
2.- Determinar si los errores son desplegados o listados inmediatamente El sistema de registro de ventas no muestra los errores y no
x
después de su detección, para facilitar su rápida corrección. capacitan a las cajeras para diagnosticar las fallas del sistema.
3.- Evaluar si los mensajes de error son claros y fácilmente comprensibles, Como el sistema no muestra los errores, no se puede localizar
x
de manera que se puedan tomar de inmediato las medidas correctivas. el origen de estos.
4.- Investigar si todos los datos rechazados son grabados automáticamente
Los errores no son grabados por el sistema, solo son reclamos
en los archivos de asuntos pendientes, clasificados por aplicaciones. x
que las cajeras realizan al jefe de Soporte.
a.) Códigos para indicar tipos de error. x No disponen de códigos para errores.
5.- Revisar los registros de los
b.) Fecha y hora en que se graba el
archivos de asuntos
registro en el archivo de asuntos Los procesos que ocurren e el archivo de asuntos pendientes
pendientes, para establecer si x
pendientes. como el registro son grabados en el sistema.
incluyen información como la
que sigue: c.) Identificación del usuario que origino
El registro del usuario es almacenado en el sistema, pero no
el registro de entrada. x
identificado como origen de error.
6.- Determinar si los archivos de asuntos pendientes tienen un registro
automático de conteo, para controlar el número de registros en los El registro de archivos se encuentra almacenado, ordenado y
x
archivos. enumerado en la base de datos.
7.- Determinar las áreas autorizadas para hacer correcciones.
El grupo control del Departamento de Usuario trata de
Determinar si el grupo de control del departamento usuario proporciona x corregir los errores pero no dispone de conteo de las
un control independiente de estas correcciones. soluciones.
8.- Determinar si los archivos de asuntos pendientes producen mensajes
Las transacciones erradas no corregidas, son olvidadas por los
de seguimiento y reportan el estado de las transacciones no corregidas en x supervisores ya que no son almacenadas ni reportadas por el
forma regular. sistema.
9.- Determinar si todos los supervisores revisan y aprueban las
Los errores no son registrados y los supervisores no tienen
correcciones antes de su entrada. x
idea de la existencia de estos.
10.- Determinar si la gerencia del departamento usuario revisa los reportes
de los archivos de asuntos pendientes, para analizar el nivel de
transacciones erróneas y el estado de las transacciones corregidas. El Departamento Usuario revisa los reportes de archivos
Preguntar si la gerencia del departamento usuario esta consciente de que x pendientes, pero estos no almacenan todos los errores y no
recae en ella la responsabilidad final por la integridad y exactitud de los envían mensajes de seguimiento a los archivos olvidados.
datos de entrada.
27.
28. DOCUMENTOS
• DOCUMENTO DE VENTA (FACTURA, BOLETA)
El modelo de Factura Indicado tiene todos los campos necesitados.
• Nombre
• Domicilio
• Fecha
• Numero de Factura
• REPORTES DE VENTAS
Venta
Venta
Venta
Venta
29. El Reporte de Venta debería mostrar:
• Código del Cajero.
• Nombre y Apellidos
• REGISTRO DE PAGO
El Registro del Pago cumple con todos los requisitos.
30. • REGISTRO DE GARANTE O CLIENTE
El Registro de Cliente y Garante cumple con todos los campos necesarios para el
manejo adecuado de la información.