examen de auditoria final11
TRANSCRIPT
2009
EXAMEN DE AUDITORIA DE SISTEMAS
INTEGRANTES:
Calderón Barriga Eddy
Franco delgado Jhonny
Ticeran López Chritopher
Ing. Carlos Chávez Monzón
ESCUELA
INGENIERIA DE
SISTEMAS
EMPRESA CORPORACION PESQUERA COISHCO
Corporación Pesquera Coishco S.A es una empresa privada del sector pesquero, produce harina
(tipo FAQ mejorada) y aceite de pescado para consumo indirecto, utiliza como materia prima a
la anchoveta peruana, su capacidad instala de licencia es 80 Tm/h, esta ubicada en el distrito de
Coishco, provincia del Santa, Departamento de Ancash.
En ese contexto ser competitivo y sobresaliente obliga hacer las cosas bien. No basta con
realizar enormes adquisiciones, sino que lo fundamental es realizar las gestiones para generar
buenos productos, obtener las mejores rentabilidades y ser responsable con el medio ambiente y
la comunidad.
Estratégicamente la empresa para lograr subsistir y creces en el negocio, ha mejorado su
proceso con la innovación tecnológica de sus equipos y maquinarias, los cuales necesitan de un
mayor control y seguimiento para evitar las fallas y averías durante el proceso productivo; esto
ha obligado a sus directivos ha aumentar los recursos en el área de mantenimiento, creando
estrategias de gestión para el buen funcionamiento de sus activos así como la capacitación al
factor recurso humano a fin de lograr en planta la máxima productividad.
ORGANIGRAMA DE LA EMPRESA
GERENTE GENERAL
SUPERINTENDENTE
ADMINISTRACION JEFE DE PRODUCCION JEFE DE CONTROL
CALIDAD
JEFE DE PRODUCCION
CONSERVAS
R.R.I.I ASITENTE DE
ADMINISTRACION
ASISTENCIA
SOCIAL CAJERA
CONTABILIDAD
PRODUCTOS
TERMINADOS
FACTURACION
PESCA
ALMACEN DE
MATER. Y
SERV. GENER.
JEFE DE TURNO
MANTENIMIENTO
MECANICO
MANTENIMIENTO
ELECTRICO
ORGANIGRAMA DE LA EMPRESA Y POSICION DE LOS DEPARTAMENTOS DE
MANTENIMIENTO
VISIÓN
Ser reconocidos como una empresa de alto nivel en el suministro de nutrientes
hidrobiológicos de alta calidad para el mercado nacional e internacional.
MISIÓN
Ofrecer harina y aceite de pescado de alta calidad y máxima seguridad alimentaria al
sector industrial de elaboración de alimentos balanceados para consumo humano
indirecto; y productos elaborados de alto estándar para consumo humano directo.
SUPERINTENDENCIA
GENERAL
JEFE DE PRODUCCION DE
HARINA DE PESCADO
MANTENIMIENTO
MECANICO
MANTENIMIENTO
ELECTRICO
MECANICO
MECANICO CALDERERO
SOLDADOR CALDERERO
LUBRICADOR
AYUDANTE
ELECTRICISTA
AYUDANTE
I CAPITULO:
Auditoria de Aplicaciones (Relacionado a los sistemas de información)
Auditor
Procesar Auditoria de Control de Datos de Entrada
Mantenimiento
Procesar Auditoria de Control de Datos Fuentes
Procesar Auditoria de Control de Salida de Datos
Procesar Auditoria de Control de Procesamiento de
Datos
<<include>>
<<include>>
<<include>>
1. Auditoria para el Control de datos fuentes: (Diagrama de caso de uso)
Control de vigencia de documentos
Procesar la Revision de Procedimiento
para la preparación de datos
Procesar Procedimientos para el Control de
documentos fuentes en blancosAuditor Mantenimiento
Procesar de Generación, autorización y
control de documentos fuentes
Procedimiento de autorización de
entrada
Procedimiento para la
documentación y control de...
<<extend>>
<<extend>> <<extend>>
1.1. Revisión de Procedimiento para la preparación de datos
Los Documentos existentes son:
Reportes de Fallas
Informe de repuestos
Reporte de costos de mantenimiento
Registro de Reparaciones.
Registrar dossier
Nota de Salida
Jefe de Mantenimiento
Mecanico
Jefe de Mantenimiento
Electrico
Mantenimiento Emite dossier de mantenimiento
Reporte de fallas Reporte de Costo de Mantenimiento Registro de reparaciones
Asistente
Administrativo
Actualizar dossier
Emitir informe de repuestos
Almacenero
Emitir Nota de Salida de Repuestos
Mantenimiento
Registrar Reparaciones
1.1.1. Procedimiento de autorización de entrada
Cuestionario de Procedimiento de: para el Control de
documentos fuentes en blancos (No procesado)
Existe
Observaciones
Sí No
a.- Determinar si los documentos fuente en blanco se
encuentran bajo la custodia de personas que no tienen nada
que ver con la generación de éstos.
X
Los documentos fuente en
blanco de los encargados ya que
cada uno tiene su
responsabilidad.
b.- Asegurarse de que los documentos fuente en blanco
estén almacenados en un lugar seguro.
X
Los documentos fuente en
blanco están almacenados en un
sistema de información y en
una base de datos donde lleva
un seguimiento continuo.
c.- Determinar si la autorización de salida de los
documentos fuente en blanco requiere la firma de dos o
más personas.
X
La autorización de salida de los
documentos fuente en blanco
requiere la firma del
superintendente
d.- Identificar a las personas que preparan las
transacciones, determinar si cada persona prepara un solo
tipo de transacción. Por ejemplo, el establecimiento de
nuevos registros en el archivo maestro y la actualización
de esos registros, deben considerarse como dos tipos
diferentes de transacciones.
X
No porque la transacción de
mantenimiento nada mas lo
hace esa área que le
corresponde y quien le entrega
los informes es el jefe de
mantenimiento.
e.- Identificar a las personas involucradas en las fases de
preparación de la información y asegurarse de que dichas
personas no lleven a cabo más de una de las siguientes
fases:
X Las personas involucradas en las
fase de preparación de la
información están estrictamente
dedicados a su función
establecida.
1.1.2. Procedimiento para la documentación y control de la operación
Cuestionario de Procedimiento para la documentación y control de la operación
Existe Observaciones
Sí No
a.- Las autorizaciones adecuadas para cada aplicación.
X
Las autorizaciones adecuadas para cada aplicación se dará cuando este correcta de lo contrario rechazara dicha aplicación.
b.- Revisión de las autorizaciones.
X La revisión el jefe de mantenimiento
o el encargado
c.- Edición usada o la entrada inicial de la información.
X Esto se dará dependiendo de la
información
d.- Mensaje de error por aplicación.
X Buscara la solución correcta para los
errores por aplicación
e.- Establecimiento de registros de control de errores y excepciones.
X Arrojara las lista de errores para
luego solucionarlo . Solucionarlo
f.- Procedimientos para depuración de errores y
excepciones.
Se harán las respectivas soluciones
g.- Controles que garanticen que la información de la entrada sea revisada por una unidad de control antes de procesarse.
Los controles se garantiza por el
sistema si es o no aceptado.
h.- Procedimientos de comunicación, en caso de que falte
información.
X
Busca las posibles soluciones.
i.- Controles sobre la extensión de la corrección de errores
mediante la unidad de control de información.
X
Describe procedimientos para comprender un comportamiento inesperado en el código del diseñador.
j.- Controles de cambios y actualizaciones del archivo
maestro.
X Representa la clase de excepción de
las excepciones específicas del
analizador.
1.1.3. Control de vigencia de documentos
Cuestionario de Control de Vigencia de Documentos
Existe Observaciones
Sí No
1.- Determinar si los documentos fuente son retenidos el tiempo suficiente para permitir la reconstrucción de la información en caso de que se pierdan ésta y el procesamiento posterior.
X Se debe tener una copia del sistema de información.
2.- Determinar si en cada tipo de documento fuente se ha impreso previamente su periodo de vigencia.
X Eso dependerá del encargado si
decide aprobar o rechazar.
3.- Evaluar los medios con que se almacenan y recuperan los documentos fuente.
X
Los medios se almacenaran y
luego se recuperan los
documentos.
4.- Determinar si el departamento que origina la
información guarda copias de los archivos de los
documentos fuente y si éstos se turnaran a otros
departamentos.
X
El departamento que origina la
informaron debe guardar las
copias de los archivos de los
documentos fuente.
5.- Determinar si los documentos fuente contenidos
en el archivo del departamento que los originó sólo
están a disposición de personal autorizado.
X
Los documentos contenidos en
el archivo del departamento
solo estarán a disposición del
personal autorizado.
6.- Determinar si, al expirar los documentos fuente,
se sacan del almacén y se destruyen de acuerdo con
las clasificaciones y los procedimientos de seguridad
existentes en la organización.
X
El documento fuente, se saca
del almacén y se distribuye
de acuerdo con las
clasificaciones y los
procedimientos de seguridad
existentes en la organización.
2. Auditoria para el Control de Datos de entrada:
2.1. Procedimiento de conversión y entrada de datos
Cuestionario de Ventas Existe
Observaciones Sí No
1.- Determinar si existen procedimientos documentados que expliquen la manera que se convierten e introducen los datos.
X
El sistema le indicara al
usuario lo que se debe hacer
para poder registrarse.
2.- Identificar a las personas que ejecutan el trabajo en el proceso de entrada de datos. Cerciórese de que ninguna persona realiza más de una de las siguientes operaciones:
X
Debe ingresar una contraseña
y esperar que el sistema
reconozca al usuario.
3.- Determinar si dentro del departamento de sistemas de información existe un grupo separado que es responsable de realizar las operaciones de entrada de datos.
X
Los trabajadores
independientemente son
encargados de realizar los
registros de datos.
4.- Determinar si existe un grupo de control en el
departamento usuario o en el departamento de
sistemas de información que, en forma
independiente, controle los datos que se
introducirán.
X
El sistema se encarga de
identificar los datos que
ingresaran.
5.- Si el grupo de control del departamento usuario controla los datos de entrada, determinar si la entrada y el registro de los datos fuente se realizan en forma simultanea en el punto origen.
X
Los datos ingresan de acuerdo
a las ventas que se van
ejecutando, todo se almacena
en el sistema.
6.- Determinar si los documentos fuente utilizados en la conversión o en la entrada de los datos, son marcados para proteger contra duplicaciones o reentradas.
X
Los datos ingresados serán
duplicados, en caso que haya
reclamos.
2.2. Procedimiento de conversión y entrada en línea
Procedimiento de validación y edición de datos
Existe Observaciones
Sí No
1.- Determinar si las terminales para la entrada de datos, son puestas bajo llave, en un cuarto físicamente seguro.
X No cuentan con medidas de contingencia respecto a seguridad física con debería tenerlo.
2.- Determinar si se requiere que los supervisores habiliten cada terminal, antes de que el usuario inicie su trabajo diario.
X Se requiere para la revisión de las maquinarias antes de usar para no tener problemas.
3.- Determinar si la entrada de los datos solo puede hacerse desde terminales que tienen asignados previamente ciertos niveles de autoridad.
X Los instaladores se encuentran totalmente protegidos por el gerente.
4.- Determinar si se utilizan las claves de accesos, passwords, para evitar el uso no autorizado de las terminales.
X Para poder ingresar datos al sistema deben identificarse poner el cargo que tiene y su respectiva contraseña.
5.- Asegurarse de que las claves de accesos, o los códigos de autorización no sean desplegados en la pantalla ni impresos ni tecleados sobre campos enmascarados.
X Todas las contraseñas que se les asigna debe ser privadas.
6.- Determinar si se utiliza una matriz de acceso a los datos para restringir el acceso no autorizado a datos clasificados.
X
Cuando deben ingresar al sistema deben siempre poner el cargo que desempeña para identificar y que otros no puedan ingresar a donde no le corresponde.
7.- Determinar si se le permite a cada usuario, mediante claves de acceso, o códigos de autorización, entrar solamente en uno o en un número limitado de tipos de transacciones.
X El sistema esta designado a cada gargo que cumple los trabajadores cada uno realiza sus transacciones.
8.- Investigar si el grupo de control del
departamento usuario maneja totales de
control de lote, generados por terminales
o por concentradores, para asegurarse de
que cada lote esta completo.
x El departamento usuario supervisa y controla la distribución diariamente.
2.3. Procedimiento de validación y edición de datos
Procedimiento de validación y edición de datos Existe
Observaciones Sí No
1.- Comprobar si se utilizan formatos pre programados de captura para asegurarse de que los datos se incorporan en el campo y en el formato adecuado, etc.
X Si utilizan donde confirman los registros de los datos
2.- Determinar si hay apuntadores ínter construido para facilitar la entrada de los datos y reducir el número de errores.
X Si existen apuntadores que facilitan el ingreso de datos
3.- Determinar si se utilizan terminales inteligentes para permitir la validación, la edición y el control de principio a fin. Si no se utilizan terminales inteligentes, evaluar, mediante el análisis de costo-beneficio, si se deben introducir.
X El sistema valida la edición y control de los datos.
4.- Determinar el punto en el cual se validan y editan los datos de entrada. Investigar si los datos incorrectos son rechazados.
X Los datos de entrada son validados antes en el punto de ingreso y los datos ingresados incorrecto rechazados.
5.- Determinar si los procedimientos de validación y edición de los datos se aplican a todos los campos de un registro de entrada, a pesar de que se haya detectado un error en un campo previo.
X Si no son correctos no ingresan los datos, sin mostrar errores previos.
6.- Determinar si los procedimientos de validación y edición realizan las siguientes comparaciones:
a.) Código de aprobación o
autorización, nivel superior e
individual. X
El lenguaje utilizado esta validado y consistenciado, cumpliendo lo requerido.
b.) Dígitos verificadores en todas las
llaves de identificación. X No cuentas con dígitos verificadores, lo cual
no se pueden encontrar la raíz del error
c.) Dígitos verificadores al final de un
conjunto de datos numéricos que no
está sujeto a balanceo.
x No cuenta con dígitos verificadores
d.) Validación de códigos. X Es confiable y confirmada.
e.) Valores numéricos o alfanuméricos. X Puede soportar diversos tipos de datos.
f.) Tamaño de los campos. X Los tamaños del campo es variable porque depende del texto ingresado.
g.) Combinación de campos X Pueden ingresar números o letras
h.) Limite o rango de valores. X El campo viene establecido por el sistema.
i.) Signos. X Las contraseñas son privadas y asignadas por el administrador.
j.) Cotejo de registros. X El sistema confirma la aprobación de los datos antes de ser ingresado.
k.) Secuencias. X El registro cuenta con pasos que facilitan su ejecución con el usuario.
l.) Referencias cruzadas. X Las referencias son enviadas a Asuntos Pendientes
2.4. Procedimiento de errores en entrada de datos
Procedimiento de errores en entrada de datos Existe
Observaciones Si No
1.- Determinar si se establecieron y documentaron los procedimientos relacionados con la identificación, corrección y reentrada de datos rechazados.
x Los procedimientos no serán documentados pero si se establecerán.
2.- Determinar si los errores son desplegados o listados inmediatamente después de su detección, para facilitar su rápida corrección.
x El sistema de registro no mostrara los errores.
3.- Evaluar si los mensajes de error son claros y fácilmente comprensibles, de manera que se puedan tomar de inmediato las medidas correctivas.
x No se podrá localizar los errores ya que el sistema no los muestra.
4.- Investigar si todos los datos rechazados son
grabados automáticamente en los archivos de
asuntos pendientes, clasificados por aplicaciones.
x Los errores no son grabados por el sistema.
5.- Revisar los registros de los
archivos de asuntos
pendientes, para establecer si
incluyen información como la
que sigue:
a.) Códigos para
indicar tipos de
error.
x No se disponen de códigos para errores.
b.) Fecha y hora en
que se graba el
registro en el
archivo de asuntos
pendientes.
x Todos los procesos que se haga quedaran grabados en el sistema.
c.) Identificación del
usuario que origino
el registro de
entrada.
x El registro del usuario quedara grabado en el sistema.
6.- Determinar si los archivos de asuntos pendientes
tienen un registro automático de conteo, para
controlar el número de registros en los archivos.
x El registro de archivos se encuentra almacenado, ordenado y enumerado en el sistema.
7.- Determinar las áreas autorizadas para hacer
correcciones.
Determinar si el grupo de control del departamento
usuario proporciona un control independiente de
estas correcciones.
x El usuario trata de corregir los errores pero no dispone de conteo de las soluciones.
8.- Determinar si los archivos de asuntos pendientes
producen mensajes de seguimiento y reportan el
estado de las transacciones no corregidas en forma
regular.
x
Las transacciones erradas no corregidas, quedaran olvidadas por los supervisores ya que no son almacenadas ni reportadas por el sistema.
9.- Determinar si todos los supervisores revisan y
aprueban las correcciones antes de su entrada. x Los errores no son quedaran registrados.
10.- Determinar si la gerencia del departamento x Se revisara todos los reportes de
DOCUMENTOS
Registro de Repuestos
usuario revisa los reportes de los archivos de asuntos
pendientes, para analizar el nivel de transacciones
erróneas y el estado de las transacciones corregidas.
Preguntar si la gerencia del departamento usuario
esta consciente de que recae en ella la
responsabilidad final por la integridad y exactitud de
los datos de entrada.
archivos pendientes, pero estos no se almacenaran.
Reporte de Fallas