1. 1647609-3266763SEMESTRE 2009 – IICICLO VIIIDocente: Ing. Carlos Chávez MonzónAlumnos:Blanco Rubina, DiegoHidalgo Matheus, YalussaLomparte Sánchez, RenzoTrujillo Genovez, Pierre D.-710565-602615AUDITORIA DE SISTEMAS“Año de la Unión Nacional Frente a la Crisis Externa”Domingo, 04 de octubre del 2009. Caja Municipal del Santa Auditoria de Aplicación: Auditoria para el Control de Datos Fuentes: Revisión de Procedimiento para la preparación de datos: Identificar los documentos utilizados para cada tipo de entrada. Asegurarse de la validez de los datos que se integren a cada documento fuente. Identificar al personal responsable de la preparación de los datos de entrada, revisar los documentos fuente y las autorizaciones. Evaluar las funciones de control de la preparación de los datos antes de transmitir la información para su procesamiento. 329565459105 Procedimiento para la preparación de datosExisteSíNoPorquea.- Identificar los documentos utilizados para cada tipo de entrada.XSon documentos donde va escribo el tipo de crédito están brindando y el monto.b.- Asegurarse de la validez de los datos que se integran a cada documento fuente.XAsegurar la validez de los datos que están en el diferente documento para solicitar el préstamo.c.- Identificar al personal responsable de la preparación de los datos de entrada, revisar los documentos fuente y las autorizaciones.XLos datos ingresados deben ser verificados por la empresa en especial el área de créditos. d.- Evaluar las funciones de control de la preparación de los datos antes de trasmitir la información para su procesamiento.XVerificar que los requisitos estén bien, sean datos reales y que no sean personas o empresas con deudas a otras entidades financieras. Procedimientos de: para el Control de documentos fuentes en blancos (No procesado): -13335556895Los documentos fuente en blanco deben estar resguardados por personas que no están involucradas en la generación de los mismos. Deben ser independientes entre sí las funciones de aprobación y de generación de los documentos fuente. -704854596130205740224155 Procedimiento de: para el Control de documentos fuentes en blancos (No procesado)ExisteSíNoPorquea.- Determinar si los documentos fuente en blanco se encuentran bajo la custodia de personas que no tienen nada que ver con la generación de éstos.XSon Documentos importantes que solo la empresa, en especial el área de créditos, puede tener en su poder.b.- Asegurarse de que los documentos fuente en blanco estén almacenados en un lugar seguro.XDeben estar en un buen lugar de almacenamiento como un sistema de información y copias de los documentos de los diferentes prestamos hechos y los que están en estudioc.- Determinar si la autorización de salida de los documentos fuente en blanco requiere la firma de dos o más personas.XSi el estudio del préstamo es aceptado, se hará el llenado correspondiente de los documentos con las firmas de las autoridades correspondientes, para efectuar el préstamo.d.- Identificar a las personas que preparan las transacciones, determinar si cada persona prepara un solo tipo de transacción. Por ejemplo, el establecimiento de nuevos registros en el archivo maestro y la actualización de esos registros, deben considerarse como dos tipos diferentes de transacciones.XLas personas responsables son los que están en el área de créditos y la autorización lo hace el Gerente de la Caja del Santa.e.- Identificar a las personas involucradas en las fases de preparación de la información y asegurarse de que dichas personas no lleven a cabo más de una de las siguientes fases.XEl analista de créditos es el único involucrado en la preparación de la información, pero con datos reales de los diferentes usuarios Procedimiento de: Generación, autorización y control de documentos fuentes: 15240309245 672465506730Procedimiento de autorización de entrada: Procedimiento de: Generación, autorización y control de documentos fuentesExisteSíNoPorquea.- Observar el proceso de control de entradaxPorque se muestra la información al momento de su ingresob.- Verificar que las aprobaciones correspondan precisamente al personal responsable de estas autorizaciones.xPorque toda transacción o función dada por el personal esta bajo su responsabilidadc.- Confirmar que el personal responsable de la entrada de los datos no esté realizando tareas incompatibles. xPorque primero se hace un estudio del usuario y se toma recién la decisión del préstamod.- En las aplicaciones en que se utiliza terminal, comprobar que los procedimientos del usuario incluyan la utilización, el mantenimiento, el control de la estación de trabajo y los códigos del operador. xToda terminal cuenta con un formulario con todas esas aplicacionese.- Observar si la estación y el código del operador se usan y se modifican de acuerdo con los procedimientos aplicables.xLa estación y el código siempre están en constante actualización 529590467360Procedimiento para la documentación y control de la operación: Procedimiento para la documentación y control de la operaciónExisteSíNoPorquea.- Las autorizaciones adecuadas para cada aplicación.xb.- Revisión de las autorizaciones. xTodas las autorizaciones tienen revisiónc.- Edición usada o la entrada inicial de la información.xNo cuenta con una edición de la informaciónd.- Mensaje de error por aplicación.xEn todo error que surja siempre envía mensaje de advertenciae.- Establecimiento de registros de control de errores y excepciones.xSi existe establecimientos donde se almacenan los registros de control de erroresf.- Procedimientos para depuración de errores y excepciones. xSi existen procedimientos de depuración de los errores ya dadosg.- Controles que garanticen que la información de la entrada sea revisada por una unidad de control antes de procesarse.xToda información es revisada y estudiada antes de procesarseh.- Procedimientos de comunicación, en caso de que falte información.xSi falta información se notifica el error y se pasa a completari.- Controles sobre la extensión de la corrección de errores mediante la unidad de control de información.xCuenta con una unidad de control de informaciónj.- Controles de cambios y actualizaciones del archivo maestro.xSi existe un terminal de controles de cambio para los archivos maestros Control de vigencia de documentos: 24130311785 Control de vigencia de documentosExisteSíNoObservaciones1.- Determinar si los documentos fuente son retenidos el tiempo suficiente para permitir la reconstrucción de la información en caso de que se pierdan ésta y el procesamiento posterior.XLos requisitos que la Caja del Santa pide para el préstamo son retenidos en caso de accidentes para poder tenerlos almacenados en la base de datos de su sistema2.- Determinar si en cada tipo de documento fuente se ha impreso previamente su periodo de vigencia.XTodos los documentos que requiere la Caja del Santa son verificados minuciosamente por el Gerente para poder aceptar o rechazar los diferentes préstamos. 3.- Evaluar los medios con que se almacenan y recuperan los documentos fuente.XPara el almacenamiento y recuperación de datos esta en el sistema de la Caja del Santa.4.- Determinar si el departamento que origina la información guarda copias de los archivos de los documentos fuente y si éstos se turnaran a otros departamentos.XEl área de Crédito si guarda copias de los diferentes documentos fuente y los almacena en un lugar seguro libre contra posibles accidentes.5.- Determinar si los documentos fuente contenidos en el archivo del departamento que los originó sólo están a disposición de personal autorizado.XSi otra institución financiera quiera saber si dicho usuario tiene deuda en esta financiera se le puede dar información del usuario.6.- Determinar si, al expirar los documentos fuente, se sacan del almacén y se destruyen de acuerdo con las clasificaciones y los procedimientos de seguridad existentes en la organización.XLos documentos fuente al perder su expiración siguen siendo almacenados. Auditoria para el Control de Datos de entrada: Para procesar los datos de entrada, se deben validar y editar lo más cerca posible del punto de origen. Los procedimientos para el manejo de errores deben colocarse en el lugar apropiado, para facilitar, oportuna y precisa, de todos los datos corregidos. Procedimiento de Conversión y Entrada de Datos: -356235528320Deben estar establecidos los procedimientos de conversión y entrada de datos, que garanticen la separación de tareas, así como la rutina de verificación del trabajo realizado en el proceso de entrada de datos. Determinar si existen procedimientos documentados que expliquen la manera que se convierten e introducen los datos. En la caja Municipal del Santa si existen documentos que afirman la entradas de datos como por ejemplo: Boleta. Factura. Boucher de Pago. Boucher de Retiro de Efectivo. Boucher de Deposito de Efectivo. Identificar a las personas que ejecutan el trabajo en el proceso de entrada de datos. Cerciórese de que ninguna persona realiza más de una de las siguientes operaciones: a.) Generación de los datos: Analista de Crédito. b.) Entrada de datos: Ventanilla. c.) Procesamiento de los datos: Operaciones. d.) Distribución de los datos: Administración. Determinar si dentro del departamento de sistemas de información existe un grupo separado que es responsable de realizar las operaciones de entrada de datos. Dentro del Departamento de Sistemas de Información no existe un grupo específico que se encargue de los datos de entrada, sino ellos mismo cumplen esa tarea. Determinar si existe un grupo de control en el departamento usuario o en el departamento de sistemas de información que, en forma independiente, controle los datos que se introducirán. Identificar los dispositivos de control utilizados, como los siguientes: a) Flujo administrativo del documento. b) Técnicas de notificación. c) Conteo de registros. d) Totales de control predeterminados. e) Técnicas de registro. Si el grupo de control del departamento usuario controla los datos de entrada, determinar si la entrada y el registro de los datos fuente se realizan en forma simultánea en el punto origen. Un Auxiliar de Operaciones se encarga del registro de datos y si se efectúa simultáneamente la entrada y registros de datos fuente en este capo de cliente nuevo Determinar si los documentos fuente utilizados en la conversión o en la entrada de los datos, son marcados para proteger contra duplicaciones o reentradas. La Caja Municipal del Santa no cuenta con un seguro para sus documentos de entrada Procedimiento de Conversión y Entrada en Líneas: -413385478155Se deben establecer procedimientos de conversión y entrada de datos por medio de terminales, para evitar el uso autorizado o doloso. Determinar si las terminales para la entrada de datos, son puestas bajo llave, en un cuarto físicamente seguro. Se encuentran en un cuarto físicamente seguro. Determinar si se requiere que los supervisores habiliten cada terminal, antes de que el usuario inicie su trabajo diario. Si se requiere que habiliten las terminales para poder iniciar el trabajo diario. Determinar si la entrada de los datos solo puede hacerse desde terminales que tienen asignados previamente ciertos niveles de autoridad. Solo algunas terminales tiene la opción de datos de entrada proporcionados por el Área de Sistemas Determinar si se utilizan las claves de accesos, passwords, para evitar el uso no autorizado de las terminales. Se utilizan passwords para la entrada y modificación de datos de usuario en el sistema. Asegurarse de que las claves de accesos, o los códigos de autorización no sean desplegados en la pantalla ni impresos ni tecleados sobre campos enmascarados. Estos passwords que emplean no son desplegados ni impresos ni tecleados sobre campos enmascarados. Determinar si se utiliza una matriz de acceso a los datos para restringir el acceso no autorizado a datos clasificados. Si se utiliza una matriz hay parámetros prediseñados para la autorización de ingresos a los datos del sistema. Determinar si se le permite a cada usuario, mediante claves de acceso, o códigos de autorización, entrar solamente entrar solamente en uno o en un número limitado de tipos de transacciones. Solo se le permite un número limitado de transacciones es decir las generales las privadas o las transacciones clasificadas solo con uso de password. Procedimiento de Validación y Edición de Datos: 49149064135 Se deben validar y editar los datos de entrada o más cerca posible del punto origen. Comprobar si se utilizan formatos pres programados de captura para asegurarse de que los datos se incorporan en el campo y en el formato adecuado, etc. Si utilizan formatos pre - programados para el ingreso de los datos. Determinar si hay apuntadores ínter construido para facilitar la entrada de los datos y reducir el número de errores. Si existe el uso de apuntadores para facilitar la entrada de los datos. Determinar si se utilizan terminales inteligentes para permitir la validación, la edición y el control de principio a fin. Si no se utilizan terminales inteligentes, evaluar, mediante el análisis de costo-beneficio, si se deben introducir. No utilizan terminales inteligentes desde las mismas terminales comunes hacen el ingreso de datos. Determinar el punto en el cual se validan y editan los datos de entrada. Investigar si los datos incorrectos son rechazados. Si cumple con todos los requerimientos predispuestos se ingresan los datos del usuario. Los datos incorrectos si son rechazados e incluso si falta llenar alguna casilla de datos también es rechazado. Determinar si los procedimientos de validación y edición de los datos se aplican a todos los campos de un registro de entrada, a pesar de que se haya detectado un error en un campo previo. Si se aplican a todos los campos de registro. Determinar si los procedimientos de validación y edición realizan las siguientes comparaciones: Código de aprobación o autorización, nivel superior e individual. Dígitos verificados en todas las llaves de identificación. Dígitos verificadores al final de un conjunto de datos numéricos que no está sujeto a balanceo. Validación de códigos. Valores numéricos o alfanuméricos. Tamaño de los campos. Combinación de campos. Límite o rango de valores. Signos. Cotejo de registros. Secuencias. Referencias cruzadas. Determinar que a ninguna persona se le permita cancelar o rescribir los datos validados o los errores editados. Si esto se permite a los supervisores, asegurarse de que existe un registro automático de estas funciones y que se analice posteriormente para ver si las acciones fueron acertadas. El usuario cuando solicita una actualización de sus datos solo el terminal está autorizado de realizar dicha acción. Investigar si el grupo de control del departamento usuario maneja totales de control de lote, generados por terminales o por concentradores, para asegurarse de que cada lote esta completo. Si utiliza totales para el control de la empresa. -32385116205Procedimiento de Errores en Entrada de Datos: Los procedimientos para manejo de errores deben estar en un lugar adecuado, para facilitar la reentrada oportuna y precisa de los datos corregidos. Determinar si se establecieron y documentaron los procedimientos relacionados con la identificación, corrección y reentrada de datos rechazados. Todos los documentos de entrada y demás son documentados. Determinar si los errores son desplegados o listados inmediatamente después de su detección, para facilitar su rápida corrección. Todos los errores son desplegados para facilitar su corrección Evaluar si los mensajes de error son claros y fácilmente comprensibles, de manera que se puedan tomar de inmediato las medidas correctivas. Todos los errores son desplegados para facilitar su corrección Investigar si todos los datos rechazados son grabados automáticamente en los archivos de asuntos pendientes, clasificados por aplicaciones. Si todos los datos rechazados son grabados para su previa evaluación. Revisar los registros de los archivos de asuntos pendientes, para establecer si incluyen información como la que sigue: Códigos para indicar tipos de error. Fecha y hora en que se graba el registro en el archivo de asuntos pendientes. Identificación del usuario que origino el registro de entrada. Determinar si los archivos de asuntos pendientes tienen un registro automático de conteo, para controlar el número de registros en los archivos. Si cuentan con un registro automático para control el número de sus registros Determinar las áreas autorizadas para hacer correcciones.Determinar si el grupo de control del departamento usuario proporciona un control independiente de estas correcciones. Solo las terminales autorizadas son las encargadas de las correcciones. Determinar si los archivos de asuntos pendientes producen mensajes de seguimiento y reportan el estado de las transacciones no corregidas en forma regular. Siempre reportan los estados de las transacciones cada ves que el sistema levanta. Determinar si todos los supervisores revisan y aprueban las correcciones antes de su entrada. Hay un estudio determinado por los supervisores para la aprobación de las correcciones de entrada. Determinar si la gerencia del departamento usuario revisa los reportes de los archivos de asuntos pendientes, para analizar el nivel de transacciones erróneas y el estado de las transacciones corregidas. Preguntar si la gerencia del departamento usuario está consciente de que recae en ella la responsabilidad final por la integridad y exactitud de los datos de entrada. Si obviamente después de que el terminal autorizado registre o corrija entradas del cliente previamente autorizado o estudiado por los supervisores toda esta información va al departamento de gerencia que también lo estudia para facilitar y mejorar la integridad de los datos de entrada