Administrasjon og kontroll av selskapets porteføljesystem

Det nåværende arbeidet har som et av sine primære mål å veilede fremtidige generasjoner om de viktige aspektene som må vurderes ved evaluering av kontroller og verdipapirer i selskapenes porteføljesystem.

Det enkle og direkte språket som er brukt i utdypingen, letter forståelsen og vil tillate en større visjon, anvendelse og innovasjon av det samme, og ønsker å gjøre det til et nyttig referansemateriale for studenter og nyutdannede.

På samme måte kan vi fremheve bidraget fra arbeidet som et støttemateriell for gründere, siden denne globale vurderingen i miljøet til selskapets porteføljesystemer, inneholder de grunnleggende retningslinjene for de viktigste kontrollene og verdipapirene som må implementeres i en av hovedkontiene på omløpsmidler som utgjør selskapenes kortsiktige kontanter.

På det økonomiske feltet skiller viktigheten av å definere forsvarlige kreditt- og inkassopolitikker uløselig sammen med organisasjonens mål, skissert i selskapets forretningsstrategi, misjon og visjon om selskapet.

Innen revisjon og kontroll fremhever det viktigheten av kontroller og sikkerhet for nåværende informasjonsbehandlingssystemer.

På det administrative området skisserer han viktigheten av en adekvat definisjon av organisasjonsstrukturen til selskapet som gjør det mulig å definere funksjonene til hvert av medlemmene i en organisasjon og avgrense ansvaret i henhold til deres stilling.

Disse bidragene fremhever viktigheten av porteføljesystemer i alle hovedområdene i en organisasjon.

Tilskudd til kundefordringer i gruppen av omløpsmidler har betydning for selskapenes arbeidskapital. Derfor representerer porteføljen, i mange aktiviteter, hovedelementet av økonomisk betydning i omsetningsmidlene til et selskap.

Kredittomsetning er allerede en presserende nødvendighet hvis vi ønsker å innhente kreditt, hver gang vi implementerer kredittpolicyer, må vi opprettholde streng kontroll over kredittområdet og administrasjonen av kundefordringer, ikke bare fordi det kan representere alvorlige tap, men som er den viktigste og mest umiddelbare kilden til midler.

Når man tar opp det primære utgangspunktet for dette arbeidet, skal viktigheten og betydningen av administrasjonen av kundefordringer fremheves og fremheves, på grunn av viktigheten av kontrollene og verdipapirene som fortjener å bli implementert.

De viktigste faktorene som må tas med i behandlingen av kundefordringer er:

• Salgsvolum på kreditt Sesongens karakter av salg Regler for kredittgrenser Salgsbetingelser og kredittpolitikk for enkelte selskaper Innkrevingspolicy

Hvis det ikke er tilstrekkelig hensyn til faktorene beskrevet ovenfor, og hvis våre kontroller og forsikringer er gale, vil våre økonomiske planer bli alvorlig berørt.

Deretter er det nødvendig å gjennomgå, evaluere og oppdatere relaterte aspekter som har en tendens til en effektiv kontroll av samlingene.

Som et første punkt vil vi nevne salgsavdelingens tendens til dens frihet i tildeling av kreditter, vilkår og verdipapirer.

Selv om en stiv og streng policy for å innvilge lån, gir den avkastningssikkerhet kan derimot miste muligheter som betyr tap eller fravær av faste og viktige kunder.

Økonomisjefen eller personen som er ansvarlig for å kontrollere denne varen må finne ønsket saldo. Målet med administrasjon av kundefordringer vil være at balansen som tilpasses virksomhetens omstendigheter gir en sunn omsetningsgrad ledsaget av en rimelig prosentandel av maksimal fortjeneste.

En veldig viktig innflytelse, i kredittpolicyene, tollene og variasjonene i salgsbetingelsene, er produktens forgjengelige karakter, en annen er analysen av kundene. Selskapet som tilbyr kreditt, må være mindre tilgivende når det avgjør at en kunde er et dårlig kredittemne, derfor må den ansvarlige for å vurdere kredittrisikoen vurdere de fem "Cs", som er:

1. CharacterCapacityCapitalColateralConditions

KARAKTER.- Den moralske faktoren til klienten er den viktigste i evalueringen av æren for oppfyllelse av forpliktelsen.

KAPASITET. - Subjektiv og visuell vurdering av klientens økonomiske potensial.

KAPITAL.- Økonomisk stilling, spesielt den materielle kapitalen i selskapet.

SAMLING.- Representert av eiendelene som klienten kan tilby som kredittgaranti.

BETINGELSER.- Analyse av selskapets generelle økonomiske trender eller hendelser som kan påvirke kundens evne til å oppfylle sine forpliktelser.

Disse faktorene er viktige for tildeling av kreditt i seg selv for å bestemme hvor mye investering vi er villige til å pådra oss i salget av kreditt.

Et selskap kan selge mange, utkonkurrere konkurrentene hvis det er villig til å innvilge: volum og vilkår; men til slutt kan lån av denne art få slutt på selskapet, hvis det ikke har tilstrekkelig kontroll.

Derfor er det viktig at et kredittavdeling er forberedt på å teknisk håndtere disse sakene, fra den første kontakten som er evaluering og innvilgelse av kreditt, til lykkelig slutt på salget som belastes.

Finansadministratoren må gripe inn i utformingen av kredittavdelingens planer, foreta permanente analyser og evalueringer av deres utvikling for å bekrefte at det er kapasitet i utviklingen av området, og fremfor alt at det er en kontantstrøm som allerede er forutsett, samt bruke de grunnleggende kontrollene og verdipapirene.

Evalueringene av kontrollene og verdipapirene til porteføljesystemet til selskapene utgjør en av de grunnleggende pilarene som bidrar til å nå de økonomiske målene og derfor veksten og utviklingen av selskapene.

1.2 Årsaker til tilsynet

Blant de viktigste begrunnelsene eller årsakene til en revisjon finner vi følgende:

• Betydelig og uberettiget økning i budsjettet til databehandlingsavdelingen Mangel på kunnskap på ledernivå for selskapets databehandlingssituasjon Total eller delvis mangel på logisk og fysisk sikkerhet for å sikre integriteten til personell, utstyr og informasjon Svindelfunnelser gjort med bruken av datamaskinen. Mangel på dataplanlegging. Organisasjon som ikke fungerer som den skal, på grunn av mangel på politikk, mål, normer, metodikk, standarder, delegering av myndighet, tildeling av oppgaver og tilstrekkelig administrasjon av menneskelige ressurser. Generell misnøye med brukere, generelt motivert av manglende overholdelse av tidsfrister og dårlig kvalitet på resultater Mangel på dokumentasjon eller ufullstendig dokumentasjon av systemer, som avdekker vanskeligheter eller umuligheten ved å opprettholde systemene i produksjon.

Innenfor dette området av begrunnelser som er av spesiell analyse i en revisjon, har det blitt vurdert for vår studie, de som påvirker selskapet som utelukkende henviser til anvendelsen av porteføljen og er de potensielle årsakene til vår revisjon. Blant disse har vi følgende:

1. Total eller delvis mangel på logiske forsikringer

Datamaskiner er et instrument som lagrer og strukturerer store mengder informasjon, som kan være konfidensiell for enkeltpersoner, selskaper eller institusjoner, og som kan misbrukes eller avsløres av personer som misbruker den. Svindel eller sabotasje kan også oppstå, noe som kan føre til total eller delvis ødeleggelse av databehandlingsaktivitet.

Behovet for kontroll i tilgang til systemer er av vital betydning siden konsentrasjonen av mange tidligere spredte funksjoner blir særlig kritisk dersom informasjonen som legges inn og behandles av et datastyrt system på grunn av mangel på effektive kontrollprosedyrer blir med vilje eller utilsiktet ødelagt eller forvrengt.. Derav viktigheten av systemvurdering i logiske verdipapirer som initial kontroll av kreditt- og inkassosystemet.

1. Feil i systemet

Et system er en applikasjon som kan utvikles internt i samme selskap, og derfor er den laget for å bestille eller kan kjøpes som en pakke som normalt tilbys av spesialiserte programvareutviklingsselskaper. Når det gjelder selskapet i vår analyse, ble porteføljesystemet utviklet internt, derfor må det tilfredsstille de reelle behovene.

Før vi beskriver systemet og årsakene til funksjonsfeil i en applikasjon, må vi fokusere på de forskjellige systemene som er utviklet i et selskap.

Det som er ment å oppnå i Computer Area innen utvikling av systemer eller applikasjoner ved mange anledninger er et resultat, men målsettingen må være at systemet fungerer i henhold til de funksjonelle spesifikasjonene, slik at brukeren har tilstrekkelig informasjon for deres bruk. håndtering, drift og aksept.

Systemene oppfyller noen faser, blant annet: analyse, design, programmering, testing og vedlikehold, som kontinuerlig mates tilbake. Hvis et av disse stadiene ikke vurderes med rett betydning, oppstår fremtidige ulemper og med dette systemfeil.

Systemene på grunn av funksjonsfeil kan presentere forvrengt informasjon eller gjenspeile inkonsekvente data i feltene og definerte informasjonsområder, i andre tilfeller kan de være et problem i stedet for en løsning, kort sagt viser de seg å være upraktiske.

Blant de vanligste systemproblemene er følgende:

• Mangel på standarder i utvikling, analyse og programmering Mangelfull spesifikasjon av systemet på tidspunktet for å lage detaljprosjekteringen Dårlig utforming Problemer i konvertering og implementering Svak kontroll i faser av utdyping av systemet og over selve systemet Ingen erfaring med analysen og programmering Ny teknologi som ikke er brukt eller brukt feil.

• Alt det nevnte kan være årsaken til funksjonsfeil i systemene, som bør tas i betraktning for denne gjennomgangen.

Derfor er det viktig at de nødvendige verifiseringene blir utført slik at systemene og programmene blir grundig testet for å sikre deres samsvar med de originale spesifikasjonene, det er ingen misnøye med brukerne og transaksjoner blir utført korrekt.

1. Misnøye med brukerne

Misnøyen hos brukerne er en av grunnene som genererer en gjennomgang og evaluering av systemene.

Det oppstår normalt for behørig begrunnede årsaker, og det er nødvendig for ledernivået å utføre undersøkelsen av årsakene som kommer fra nevnte misnøye.

I mange tilfeller skyldes dette mangelen på brukermedvirkning i selve applikasjonsanalyseprosessen. Kriteriene til sluttbrukeren, som skal bruke applikasjonen og hvem som skal bli kjent med bruken, bør aldri settes til side, derfor må brukeren være motivert for å delta i denne prosessen.

For at systemet skal være vert for brukeren, må det oppfylle de felles definerte kravene. Derfor kreves fullstendig kommunikasjon mellom brukeren og personen som er ansvarlig for å utvikle systemet. Denne kommunikasjonen må tydelig definere elementene som brukeren har, informasjonsbehandlingsbehovene og kravene til utdatainformasjon, lagret eller skrevet ut.

På tidspunktet for definering av systemet i analysefasen, burde kvaliteten på informasjonen behandlet av datamaskinen ha blitt definert, etablere passende kontroller, nivåene på tilgangen til informasjonen, blant andre aspekter.

Målet med å implementere et system er å bidra til hastigheten og nøyaktigheten i prosesser som er utført av en bruker, redusere tiden og kreftene som blir utført i en oppgave og øke fordelene og nytten av selskapet.

1.3 Revisjonsmål

Målene med en systemrevisjon kan være forskjellige, de avhenger alle av datamaskinens situasjonsanalyse.

Blant hovedmålene som motiverer en revisjon har vi:

• Søk et bedre forhold mellom kostnad og nytte av automatiserte eller datastyrte systemer designet og implementert av databehandlingsområdet. Øk brukertilfredshet Sikre større integritet, konfidensialitet og pålitelighet av informasjon gjennom anbefaling av sikkerhetsregler og kontroller. Kjenne til dagens situasjon på databehandlingsområdet og aktiviteter og innsats for å oppnå de mål som er satt.

Et selskap kan be om analyse av følgende punkter:

1. Forbedre den logiske sikkerheten til systemet

Datamaskiner i dette århundret tilbyr fasiliteter for etablering av logisk sikkerhet for systemer og utgjør et programvarealternativ som er tilgjengelig på markedet for å garantere tilgang til datamaskinen bare av autoriserte personer.

Det er viktig å opprettholde sikkerheten til systemene for å ha relevant informasjon til rett tid.

Ved hjelp av dette arbeidet foreslås det å utstede en liste over kontroller som har som mål å forbedre den logiske sikkerheten til porteføljesystemet til dette selskapet.

1. Sørg for større konfidensialitet for informasjon

Fortrolighet forstås som beskyttelse av informasjon i karakterer som er reservert og eksklusivt for autoriserte tjenestemenn.

Informasjonen om konfidensialitet gir tilgang til data og informasjon bare for autorisert personell, slik at transaksjoner foretatt av en bruker blir registrert som det eneste ansvaret til personen som er autorisert til å utføre enhver transaksjon.

1. Forbedre funksjonen til systemet

Før du kjører programmene med reelle data, må de testes med testdata, til de tømmer alle mulige unntak.

Målet med systemene er at de gir rettidig og effektiv informasjon, som de måtte utvikles for i en riktig planlagt prosess.

Det ferdige systemet må leveres til brukeren etter opplæring og utarbeidelse av respektive manualer, som garanterer riktig bruk av systemet.

1. Øk tilfredsheten hos brukerne av porteføljesystemet

Misnøye hos brukerne oppstår på grunn av manglende forståelse og koordinering av behov og den markante skilsmissen mellom elementene som griper inn, mellom de som leverer og mottar tjenesten.

Når resultatene av et system ikke er i samsvar med brukerens behov, oppstår visst ubehag som skaper misnøye. Dette fenomenet er skadelig for selskapet selv fordi brukeren foretrekker å ikke bruke systemet som støtte på grunn av de kontinuerlige ulempene det genererer.

Det er viktig å merke seg at rimelig utformede, korrekt testede og effektivt kontrollerte systemer kan slites ut og bli et annet oppdatert, irrasjonelt, ineffektivt og ukontrollert system eller program som vil forårsake ubehag for sluttbrukere.

Derfor er det viktig å analysere systemene, finne manglene og forbedre dem for å øke tilfredsheten med systemene, hovedsakelig i vårt tilfelle anvendeligheten av porteføljesystemet. Dette tar sikte på å finne nøyaktig det nåværende arbeidet, de viktigste svakhetene som vil bli korrigert, etter opprettelse og levering av tilsynsrapporten.

1.4 Tilsynets omfang

Basert på målene og begrunnelsene beskrevet ovenfor, ligger omfanget av tilsynet i:

1.- Evaluer inngangs-, prosesserings- og utgangskontrollene implementert i

Pung

Disse kontrollene er ment å:

• Sikre datakompatibiliteten, men ikke nøyaktigheten eller presisjonen, slik er tilfelle, av valideringen av typen data som feltene inneholder, eller for å verifisere om de er innenfor et bestemt område, sikkerhetsverifisering for tilgang til terminaler, programmer, filer, data og konfidensiell informasjon. Forsikre deg om at alle data blir behandlet av datamaskinen. Forsikre deg om at dataene som behandles av datamaskinen er behørig autorisert. Sørg for tilstrekkelig distribusjon av utgangene som leveres av systemet.

2.- Definer kontrollene som skal implementeres

Etter at observasjonen er gjort, må de nødvendige kontrollene opprettes for å garantere integriteten og konfidensialiteten til informasjonen, det være seg:

• Kontroller på brukertilgang Kontroller av tilgangskoder Kontroller av innlagte data Kontroller av dårlig utførte transaksjoner, blant andre

3.- Etablere anbefalinger til ledelsen.

Når tilnærmingen til det utførte arbeidet er blitt analysert, må den respektive rapporten leveres til ledelsen for gjennomgang og påfølgende oppnåelse av arbeidet og aksept av forbedringsforslaget.

KAPITTEL II

Porteføljesystembeskrivelse

Avsnitt 2

Porteføljesystembeskrivelse

Porteføljesystem

Porteføljesystemet oppstår som et behov for selskapet å tilfredsstille de viktigste kundene ved å gi en definert kreditt gjennom generelle selskapets policyer.

De viktigste kundene vurderes på grunnlag av deres moralske og økonomiske soliditet som et middel til å garantere porteføljens utvinnbarhet.

For godkjenning av et lån til de beste kundene, må selskapet be om en bankgaranti som tilsvarer hundre prosent av transaksjonene. Denne verdien blir deretter utbetalt til selskapet innen en periode på opptil 30 dager.

På samme måte vurderes nivåene av kredittgodkjenning for å unngå mulige feiltolkninger eller utilstrekkelige kredittfullmakter i selskapet.

Derfor utgjør dette ikke en høy kredittrisiko, siden kreditten er sjalu beskyttet av sjefen for området og i tilfeller av høyere beløp for nærstående selskaper, av lederen av selskapet . Derfor er det en lavere risiko for å inngå dårlig eller dårlig gjeld.

I mange kredittsaker gir selskaper en forlengelse av lånet på en bestemt periode med rentekostnad. I andre selskaper er dette ikke oppfylt, derfor blir kundefordringene gjeldende i angitt periode og blir en ekte eiendel i den tiden.

Porteføljeapplikasjonen som er detaljert i dette dokumentet ble utviklet av selskapets systemområde i Foxpro 2.5 for DOS og ble implementert i mai 1997 etter å ha mottatt klarsignal fra selskapets prosessreengineering-område.

Målet med porteføljesystemet oppstår som et behov for å svare på ledelsens krav om å gi kreditter til hovedkundene, noe som gir dem komfortable betalingsmuligheter, i henhold til deres tidligere etablerte forespørsel.

Formålet med denne applikasjonen er å administrere all informasjon om porteføljen, som samhandler med kontanter / banker og faktureringsmoduler.

2.1 Maskinvare- og programvaremiljø

2.1.1 Datanettverksmiljø

Selskapet har et lite datasenter som er det området som er bestemt for sjefen for systemer, programmerere og operatører og utstyr generelt som gjør det mulig å gi nødvendig teknisk oppmerksomhet som støtte i maskinvare og programvare i selskapet.

På dette området har selskapet et Novell Netware 3.0-nettverk installert på den dedikerte serveren som alle systembrukere samhandler gjennom.

Nettverket har 15 smarte terminaler integrert i selskapet.

2.1.2 Tilgjengelig utstyr

Datamaskinene som er i bruk med Wallet System er Compaq Prolínea 466 personlige datamaskiner for brukere av systemet, med følgende egenskaper:

• Prosessor 804868 Mb RAM 420 Mb med diskplass

Serveren bruker en Pentium-datamaskin med følgende egenskaper:

• INTEL-prosessor 16 Mb RAM 1,2 GB diskplass

2.1.3 Operativsystem

Nettverksoperativsystemet er Novell 3.0 Netware og i tillegg er DOS versjon 6.2 operativsystem installert.

2.1.4 Programvare for systemer og verktøy

Programmerings språk:

Selskapet bruker FOXPRO 2.5 programmeringsspråk for å administrere databasene i DOS-operativsystem.

Applikasjonssystemer:

I selskapet er det utviklet noen systemer, hvor vi finner de mest fremragende:

Brukernavn

(Avdelinger)

Personlig lønn

Lagerbeholdninger

Anleggsmidler regnskap

Regnskap Regnskap

verktøy:

De viktigste verktøyene som brukes i dette selskapet er:

• Windows 3.1 for grafisk ledelse av kommandomiljøer, Excel for utvikling av regneark og kommunikasjon, Tilgang for manipulering av informasjon som ikke er lagt inn i systemet

2.2 Systemdrift

2.2.1 Prosessbeskrivelse

Portfolio-applikasjonen er integrert i fakturering og kontanter / banker-modulene. I denne applikasjonen får du informasjon om fakturaer, debetnoter, kreditnotaer som mater systemet i daglig behandling.

Oppdateringen av applikasjonsfilene er øyeblikkelig og behandlingen deres er sentralisert.

Når du utfører prosessen, fortsetter systemet med å evaluere de godkjente studiepoengene og generere de tilsvarende kreditnotaene. Ved avslutningen genereres en midlertidig fil som inneholder detaljene i fakturaene til distributørene og relaterte selskaper som valgte kreditt, som systemet på slutten av dagen genererer en kreditnota og sender den til porteføljesystemet til morselskap

1. Moduler integrert i Caja / Bancos porteføljesystem

Informasjon om betalingskuponger, debetnoter og kreditnotaer mottas fra Caja / Bancos-applikasjonen.

1. Billing

Fakturaer fra nærstående selskaper mottas fra faktureringssøknaden

(Landbruk, industri, husdyr), fra hoveddistributørene og andre kunder.

1. prosesser

1. håndbøker

Inndata av informasjon som mater Fakturerings- og kontantsystemet legges inn av mottakeren av transaksjonen, derfor utgjør den den manuelle behandlingen som samhandler med porteføljemodulen.

1. automatisert

Prosessene i systemet er automatisert siden det tar informasjonen fra andre moduler og utfører de respektive beregningene og distribusjonen av informasjonen til de andre basene i systemet.

2.2.3.3 Sentralisert

Genereringen av prosessen som mater de andre basene i systemet, på slutten av dagen, kanaliseres av en enkelt bruker slik at operasjonen blir sentralisert til en enkelt datamaskin, som ligger i Computersenteret.

2.3 Prosessdiagram

1. Informasjon oppføring (fakturering-kontanter)

Fakturaene til de relaterte selskapene går inn i Fakturerings- og kontantmodulen: Landbruk, industri, husdyr; fra distributører og andre kunder. Informasjon mottas også på betalingskuponger, debetnoter og kreditnotaer.

1. Online- og batch-prosesser

De viktigste eksisterende prosessene i søknaden er:

1. a) Søknader om kreditt

• Inntektsendring eliminering

b) Godkjenningsprosess for kreditt

1. c) Dokumenter som kan mottas

• Inntektsendring eliminering

1. d) Rentefordringsprosess

• Antikviteter av balanser Sammendrag / Detalj av balanser

1. e) Prosess for betalingsdokument

• Inntekts eliminering

1. Utganger til filer (kundefordringer og midlertidig)

Etter behandling genereres en midlertidig faktureringsfil for forhandler. På samme måte blir faktureringsfilen oppdatert og de tilsvarende postene blir generert i filen for kundefordringer der informasjonen er lagret som gjør det mulig å ta avgjørelser angående forfalt portefølje.

2.3.5 Trykte utganger (forskjellige oppføringer)

Blant hovedlister som er generert i dette systemet er:

• Amortiseringstabell

• Kontoutskrifter Venter på betalingsdokumenter Registrerte dokumenter dato

2.4 Informasjonsflyt

Informasjonsflyten, observert i vedlegg RC1, viser samspillet mellom dataene og systemene som samhandler med porteføljesystemet.

Se vedlegg RC1

Blant de viktigste inngangene til systemet har vi:

• Faktureringsfiler

• CajaFacturasN / DN / C-filer

Blant hovedutgangene til systemet har vi:

1.- Lagring av informasjon i følgende filer:

• Billing

• Kundefordringer Midlertidig produktfakturering

2.- Skjermhenvendelser av:

• Utstedelse av søknader Amortiseringstabell Kontoutdrag (Se vedlegg RC2) Venter på betalingsdokumenter.

3.- Liste over:

• Utstedelse av søknader

• Amortiseringstabell Forskjellige lister Venter på betalingsdokumenter

Denne korte forklaringen er bekreftet grafisk i flytskjemaet vist i vedlegg RC 1

KAPITTEL III

Kontroller og sikkerhetsvurdering

kapittel 3

Kontroller og sikkerhetsvurdering

Kontroller forstås som settet med metodiske bestemmelser, der formålet er å overvåke selskapenes funksjoner og holdninger, og for dette formålet er det mulig å kontrollere om alt blir utført i samsvar med programmene som er vedtatt, ordrer som er utstedt og prinsipper som er akseptert.

Når vi snakker om verdipapirer, viser vi til alle aktiviteter som er utført for å opprettholde konfidensialiteten til informasjonen: i håndtering, behandling, arkivering og bruk av informasjonen av personellet som driver og administrerer systemet.

Denne gjennomgangen er veldig viktig fordi mer enn å bestemme eksistensen av sikkerhetstiltak og kontroller eller effektiviteten og effektiviteten til de som allerede eksisterer, er detaljene som må analyseres i dybden.

Forsikringene fra vår studie skyldes utelukkende logiske forsikringer, det vil si av applikasjonssystemet.

3.1 Kontroller på systemtilgangskoder

Tilgangsnøkkelkontroller er viktige for å unngå systemsårbarhet.

Det er ikke praktisk at tilgangskodene består av ansattkoder, siden en uautorisert person gjennom enkle tester eller fradrag kan finne denne koden.

For å omdefinere nøklene til alle brukere, må de være:

Enkeltpersoner.- Et passord må tilhøre en enkelt bruker, det vil si individuelt og personlig, for å forenkle og bestemme personene som utfører transaksjonene, samt tildele ansvar.

Fortrolig.- Brukere må formelt instrueres om bruk av passord.

Ikke vesentlig.- Nøklene må ikke samsvare med sekvensnumre og heller ikke navn eller datoer.

I revisjonen av tilgangsnøkkelkontrollen bør følgende punkter vurderes:

• Bare et begrenset utvalg av aktiviteter og menyer er tilgjengelige.

• Autoriserte brukere må identifiseres for hovedtransaksjoner, gjennom userid Passord må være kjent utelukkende av autoriserte brukere, og må endres med jevne mellomrom Tilgang til data i systemet må begrenses i henhold til hver ansattes rolle.

Under vårt besøk ble vi informert om at flere brukere kan ha det samme passordet på et bestemt tidspunkt, noe som er tillatt av systemet.

Derfor er passordkontrollene null for denne applikasjonen, siden enhver bruker som kjenner et passord kan få tilgang til denne applikasjonen, som er så følsom og delikat for at selskapet fungerer godt. (P / I) (Rapportpunkt)

1. Gjennomgang av brukerautoriseringsfil (IDEA)

For å få tilgang til informasjonen ber vi om tilsvarende dokumentasjon fra systemet, noe som vil gjøre det lettere å tolke systemet og spare analysetid. Imidlertid var slik dokumentasjon ufullstendig og utdatert.

Av denne grunn, gjennom revisjonsprogramvaren kalt IDEA (Interactive Data Extracting and Analysis), programvare internasjonalt anerkjent av Canadian Institute of Certified Accountants for bruk i revisjoner og / eller systemanmeldelser, fortsatte vi å gjennomgå autorisasjonsfilen av brukere. Informasjonen i denne filen kan sees i vedlegg RC3 der de respektive autorisasjonene til brukerne av systemet kan etableres, i binær koding.

Se vedlegg RC 3

Til tross for at det er eksplisitte autorisasjoner for å få tilgang til menyalternativer, gjennom autorisasjonsfilen, har mange brukere uautoriserte alternativer i menyene på grunn av dårlig meny- og alternativstyring, og dermed mister konfidensialiteten til informasjonen. (P / I) (Rapportpunkt)

1. Hyppighet av endring av tilgangskoder

Det er praktisk at tilgangskodene til programmene endres med jevne mellomrom. Brukere beholder vanligvis det samme passordet som de opprinnelig ble tildelt.

Hvis du ikke endrer tastene med jevne mellomrom, øker muligheten for at uvedkommende kjenner og bruker tastene til brukere av datasystemet. Det er praktisk å endre passordene, minst hvert kvartal.

Periodisiteten i endringen av tilgangskodene til brukerne til porteføljesystemet inntar ikke en viktig plass i kontrollen som må gis til applikasjonen.

Fra gjennomgangen av casestudien som referanse, var det mulig å fastslå at det ikke var noen periodisitet i endringen av tilgangskodene, fordi porteføljelederen i mange tilfeller ikke har nok tid til å administrere denne applikasjonen på riktig måte. (P / I) (Rapportpunkt)

3.1.3 Få tilgang til passordadministrasjon

Administrering av tilgangskoder gis til to personer som er systemanalytikeren og porteføljebehandleren, som er personen som er direkte ansvarlig for administrasjonen av applikasjonen som inkluderer opprettelse av brukere samt respektive tillatelser og autorisasjoner til alternativer for Meny for applikasjonen som skal analyseres, mens analytikeren samler inn visse krav som uttrykkelig er bedt om av porteføljelederen.

Videre kunne det sees at tilgangskodene som er opprettet er små og betydningsfulle (se vedlegg RC3), i noen tilfeller er de ikke individuelle eller fortrolige, men det er fremdeles brukere som får tilgang til systemet uten passord.. (P / I) (Rapportpunkt)

3.2 Analyse av verdipapirer til menyalternativer

3.2.1 Detaljer om brukere og funksjoner

Denne applikasjonen gir tilgang til tjenestemenn fra forskjellige områder, hovedsakelig de som er knyttet til vurderingsprosessen på høyere nivå. Nedenfor beskriver vi brukerne av denne applikasjonen:

• Regnskapssjef

• Administrativ leder Markedssjef Økonomisjef Assistent Administrasjonssjef Comptroller Assistent Økonomisjef Administrasjonssjef Porteføljeforvalter Porteføljeleverandør Systemanalytiker Klientkodingssjef

3.2.2 Evaluering av menyvalgstildeling

Administrasjonen av applikasjonens sikkerhet er ansvarlig for Portfolio Manager, som har ansvaret for å opprette og slette brukere, samt gi dem tillatelser angående operasjoner som de kan bruke, men tillatelsene gitt av brukeren er dårlig tildelt I henhold til funksjonene som de utfører, har systemanalytikeren i tillegg tillatelse til alle operasjonene i systemet og er oppført som dets veileder, slik at den til slutt kan utføre operasjoner på datafilene uten å etterlate noe spor.. (P / I) (Rapportpunkt)

Vi kunne også finne menyalternativer som ikke er utviklet og som ikke er nødvendige.

3.2.2.1 Oppføring av kredittsøknader

Som standard, med inngangen til en ny ansatt, genereres en meny som inneholder hovedalternativene i det daglige arbeidet ditt. I mange tilfeller kan denne menyen være en kopi av en eksisterende meny, noe som betyr at alternativene til en brukers meny er de samme som for en annen bruker, noe som gjør sikkerheten sårbar i denne og andre alternativer.

Derfor er det ingen tilstrekkelige verdipapirer i dette alternativet, fordi forskjellige brukere har overdreven tilgang til dette alternativet, som bør begrenses. (P / I) (Rapportpunkt)

3.2.2.2 Endring av kredittsøknader

Veileder kan endre en kredittforespørsel hvis den faller innenfor kredittområdet som er fastsatt for klienten.

I vår gjennomgang ble det bestemt at det er andre arbeidere som har tilgang til nevnte modifikasjon, noe som genererer feil i sikkerheten til alternativet.

Det er viktig å understreke at dette alternativet holder en revisjonsspor av brukerne som har tilgang til det, slik at du kan ha kontroll over det. Vi anser det som viktig å standardisere bruken.. (P / I) (Rapportpunkt)

1. Eliminering av kredittapplikasjoner

Sikringene for dette alternativet er ikke de mest hensiktsmessige, siden på dette nivået er mange tilganger registrert i alternativer tildelt i de forskjellige menyene, derfor er det viktig å standardisere bruken av det.. (P / I) (Rapportpunkt)

Det er viktig å definere at denne transaksjonen ikke er spredt i flere menyer, men at bruken er begrenset.

1. Kredittgodkjenning

Godkjenningen av kreditten er ansvarlig for både porteføljelederen og daglig leder for selskapet, basert på fastsatte beløp, men mange brukere kan observere dette alternativet og få tilgang til det uten å kunne godkjenne det på grunn av en upassende melding for saken, som indikerer følgende: »Godkjenningsbeløp er ikke definert av selskapet», noe som indikerer feil i verdipapirene i dette alternativet. (P / I) (Rapportpunkt)

1. Vedlikehold av opsjoner

Dette alternativet refererer til den globale oppdateringen av tabeller, konsepter, dokumenter, sitater, foretak etter selskaper, brukere, autorisasjoner, parametere.

Disse alternativene for global vedlikehold av porteføljeapplikasjonen har hovedsakelig tilgang til porteføljeforvalteren og systemanalytikeren, som utfører vedlikehold av opsjoner på forespørsel fra porteføljeområdet (se vedlegg RC 3).

Ledere, assistentledere, kontrollør, administrasjonssjef har vedlikeholdsadgang til noen alternativer angående ledelse og anvendelse.

Fra gjennomgangen av casestudien som referanse, var det mulig å fastslå at det er mangler i sikkerheten til dette alternativet siden det ikke føres en revisjonsrapport av brukerne som endret noen spesifikk tabell.. (P / I) (Rapportpunkt)

Dette er en feil i systemet som må vurderes og korrigeres.

3.3 Tilgangskontroller til hovedmodulprogrammer

Hovedprogrammene i porteføljemodulen er:

Kredittforespørsler.- Gjennom innmelding av forespørsler begynner strømmen av systembehandlingen, og genererer den grunnleggende bevegelsen av kredittgodkjenning eller avvisning. De viktigste alternativene dine er: Inntekt, endring og eliminering

Et annet tilleggsprogram er vedlikehold av alternativer, som utgjør en av de mest kritiske prosessene i modulen.

3.3.1 Kredittapplikasjoner

1. Inngang

Oppføringen av forespørsler er ansvarlig for porteføljestyreren som legger inn forespørsel fra klienten som er i vinduet eller via telefonlinje.

Denne forespørselen legges inn etter å ha vurdert basene i betalingshistorikken din, og hvis den vises på listen over kunder som kan velge å kjøpe kreditt. Hvis ingen av de to tingene som er nevnt ovenfor blir oppfylt, kan veilederen gå inn i det gjennom systemet i påvente av et svar fra porteføljeforvalteren.

Når forespørselen er lagt inn, er det porteføljelederens eller daglig leder for selskapet å godkjenne eller avslå forespørselen.

Kontroller ved innreise blir gitt gjennom områdene til tillatte beløp.

Derfor, i dette alternativet, er det ingen tilstrekkelige tilgangskontroller fordi forskjellige brukere kan få tilgang til det, når bruken bør spesialiseres. (P / I) (Rapportpunkt)

3.3.1.2 Endring

Veileder kan endre en kredittforespørsel hvis den faller innenfor kredittområdet som er fastsatt for klienten. Hvis dette overstiger beløpet og det er besluttet å gi kreditt, må det godkjennes av porteføljelederen.

Fra gjennomføringen ble det bestemt at det ikke er tilstrekkelige tilgangskontroller i modifiseringen av forespørselen, men som en advarsel blir navnet til brukeren som gjorde modifiseringen lagret. (P / I) (Rapportpunkt)

3.3.1.3 Avhending

For å slette en kredittforespørsel fremsatt ved en ufrivillig feil, må du utarbeide en debetnotat som registrerer motsatt bevegelse.

Ellers kan en applikasjon automatisk slettes hvis den etter 24 timer etter at den er kommet inn i systemet ikke er godkjent av noen brukere. Denne mekanismen lar prosesser av batch-type eliminere forespørsler som ikke ble fulgt eller som har nektet kreditt som indikator om natten.

Kontrollene på dette nivået er veldig gode, da det registrerer identifikatoren til brukeren som gjennomførte transaksjonen, samt navnene på programmene i tilfelle disse forespørslene ble eliminert ved batchprosesser. (P / I) (Rapportpunkt

1. Kredittgodkjenning

Dette alternativet gjør det mulig for den som er ansvarlig for kredittgodkjenning å gjennomgå applikasjonene som vurderes innenfor sitt godkjenningsområde og legge inn godkjenningsalternativet med S i tilfelle kredittbeløpet blir godkjent eller N i søknaden. i tilfelle det blir nektet.

Alle brukere av systemet har tilgang til dette alternativet. Den grunnleggende begrensningen er synligheten av tillatte studiepoeng i henhold til rangering.

Godkjenningen av kreditten er ansvarlig for sjefen for porteføljen, som er den som autoriserer beløpene for de fleste kredittkjøp, bare i tilfelle beløpet overskrider de normale grensene, er det godkjent av ledelsen.

Selv om mange brukere har tilgang til dette alternativet og utfører operasjonen eller ikke, gis forbehold i kontrollene ved å registrere navnet på brukeren som godkjente kreditten . (P / I) (Rapportpunkt)

3.3.3 Vedlikehold av alternativer

Dette alternativet refererer til den globale oppdateringen av tabeller, konsepter, dokumenter, sitater, foretak etter selskaper, brukere, autorisasjoner, parametere.

Disse alternativene for global vedlikehold av porteføljeapplikasjonen har hovedsakelig tilgang til porteføljeforvalteren og systemanalytikeren, som utfører vedlikehold av opsjoner på forespørsel fra porteføljeområdet (se vedlegg RC 3).

Ledere, assistentledere, kontrollør, administrasjonssjef har vedlikeholdsadgang til noen alternativer angående ledelse og anvendelse.

Minste handlingsgrad for vedlikehold av opsjoner holdes av porteføljestyreren og klientkodingssjefen.

Vi mener at det ikke er tilstrekkelig kontroll for å regulere endringene i vedlikeholdet av disse sensitive alternativene. Vi mener at kriterier bør være enhetlige og maksimalt tre ansvarlige for opprettholdelse av opsjoner, og at de fleste hovedfunksjonærer bør ha muligheter for deres konsultasjon . (P / I) (Rapportpunkt)

3.4 Programredigering og valideringskontroller

Kontroller for redigering og validering av inndata til programmer er basert på behovet for konsistente og komplette data, som vil sikre pålitelig utdata fra en gitt prosess.

Det er mange kontroller for redigering og validering av data, som er detaljert av hovedmenyalternativene.

3.4.1 Verifisering av data i inngangs- og modifikasjonsalternativer

Typen data som skal legges inn eller endres, må gå hånd i hånd med rimeligheten til dataene. Av denne grunn vil kontrollen av de mest sensitive feltene i denne modulen bli vurdert i analysen.

3.4.1.1 Formatkontroll

Formatkontrollen gjør det mulig å bekrefte om dataene er passende (numerisk, alfabetisk eller alfanumerisk) og tilsvarer den spesifikke lengden, det vil si at de ikke er for små slik at hele innholdet i feltet kan sees.

Det er veldig viktig å bekrefte datatypene som feltene inneholder, samt bekrefte om de er innenfor det tillatte verdiområdet.

For applikasjonsobjektet for vår analyse var det mulig å bestemme at det er avvik i definisjonen av datatypen, noe som forårsaker alvorlige konsekvenser som å vise en uvirkelig portefølje, feil forårsaket av den definerte datatypen.

For applikasjonen som er undersøkt, er valideringskontroller virkelig en generell feil som finnes i begge alternativene. (P / I) (Rapportpunkt)

I tillegg var det mulig å fastslå at det er feil i redigeringskontrollene, noe som tillater å legge inn feilaktige verdier som alfabetiske verdier. Denne typen feil oppstår på grunn av at du ikke har registrert noen feltvalideringsrutine. (P / I) (Rapportpunkt)

3.4.1.2 Manglende felt

Følsomme felt må fylles ut før du aksepterer noen transaksjon i systemet. Denne bekreftelsen foretas i evalueringen av kontrollene, det vil si at de viktige feltene må være fullstendige.

Ved prioritert informasjon som RUC-nummer eller ID. Disse feltene skal ikke utelukkes fra å være sammenkoblet i transaksjonen, det vil si at dette feltet ikke skal tillates utelatt når du foretar en kredittransaksjon.

Med dette eksemplet spesifiserer vi at operasjonsoppføringen ikke skal tillates hvis mest følsomme felt er liggende blanke. Dette problemet må oppdages og kontrolleres gjennom systemet.

Denne typen feil er til stede i denne applikasjonen, som ikke vurderes av applikasjonen . (P / I) (Rapportpunkt)

3.4.1.3 Rimeligheten

Dataene skal ikke overstige virkelig verdi. Dermed i timer: 24; Måneder: 12; etc.

Rimeligheten vurderer også automatisk verifisering av tabeller, koder, minimums- og maksimumsgrenser eller revisjon av visse tidligere etablerte forhold.

For applikasjonen som ble analysert, fant vi svakheter i avdragsfasen og utbyttefeltene.

I tillegg oppdager vi at det er rimelighetsfeil i dette systemet, hovedsakelig ved håndtering av debetnoter og kreditnoter der nummereringen av disse dokumentene så vel som verdiene ikke er tillatt, bør det brukes en tilstrekkelig verifiseringsrutine som bør inkluderes i system. (P / I) (Rapportpunkt)

KAPITTEL IV

Sluttrapport

Kapittel 4

Sluttrapport

4.1 Generell informasjon

4.1.1 Utarbeidelse av rapporten

Rapporten er kulminasjonen på en revisjon eller gjennomgang. Det representerer det kritiske aspektet av prosessen fordi det er den pålitelige, synlige representasjonen som tredjeparter kan stole på. Rapporten må således tydelig vise omfanget av det utførte arbeidet og det ansvar som er påtatt seg når det gjelder systemenes rimelighet. Når bevisene er samlet, bør revisor rense og dømme med den største profesjonelle iver for å oppnå passende konklusjoner. Ved å avgi sin mening, setter tredjepart tilliten til den, til det punktet at de lovlig kan holde den ansvarlig for sin mening.

Rapporter funksjoner

etterprøvbarhet

Rapportene må være verifiserbare, leseren kan ikke alltid være i stand til å bekrefte dem personlig, men hvis ofte aksepterte navn blir brukt eller det henvises til bestemte elementer eller nettsteder på stedet for gjennomgangen, forbedres verifiseringen av informasjonen.

slutninger

En slutning er en uttalelse om noe ukjent, gjort på bakgrunn av noe kjent. Man bør være klar over hvilke slutninger som blir gjort.

Teknikken for datainnsamling og analyse vil tillate slutninger å bli presentert på en forståelig og logisk måte.

Trials

Dommer er uttrykk for godkjenning eller avvisning. På samme måte som konklusjoner ikke kan unngås, bør du være klar over dommer som er gjort i rapporten.

Sammendrag

Sammendraget er den viktige delen av hele rapporten. Rapportens troverdighet og aksept for fordelene når en vurdering av global atferd er inkludert.

Klarhet

Tydelighet er en hovedfunksjon i en rapport fordi formålet er å presentere situasjoner på en mest mulig forståelig måte. Unngå å bruke veldig komplekse og tekniske termer, bortsett fra hvis betydningen er spesifisert.

Det må alltid tas i betraktning at innholdet i rapporten må forstås av andre mennesker som ikke har kunnskap, eller som har liten kunnskap om emnet.

Objektivitet

Rapporten må presenteres med uvurderlige kriterier, det vil si at den ikke har blitt påvirket av fordommer eller predisposisjoner til den som utarbeidet den.

knapphet

Hele rapporten må være kortfattet og presis: Tittelen, strukturen, utformingen av konklusjonene, anbefalingene og ordforrådet.

Denne egenskapen gjenspeiler det særegne at bare det som er essensielt skal være en del av rapporten.

Følgende bør tas i betraktning når rapporten presenteres:

Utseende

Rapporten må demonstrere god smak og personlighet. Det skal ikke skrives på farget papir, og heller ikke brukes i farget understreket tekst. Lederen må vise nøkternhet for ikke å fremstå som påfallende.

Utvidelse

Rapporten må være kortfattet. Språket som brukes må være direkte, passende og enkelt for å sikre god kommunikasjon. Den skal ikke være usedvanlig lang.

Mulighet

Utarbeidelsen av rapporten må være rettidig slik at anbefalingene som blir foreslått trer i kraft. Dette sikrer at rapporten forblir i kraft hele dagene til den er reprodusert.

Deler av rapporten

Rapporten må skrives i ledelsesmessige vilkår. En eller to setninger av de viktige funnene, hvis noen, bør gå i presentasjonen.

Generelt sett skal rapporten hovedsakelig inneholde følgende:

1.- Bakgrunn

2.- Mål for tilsynet

3.- Evalueringsresultater

Nåværende situasjon

effekter

anbefalinger

Rapporten presenterer nødvendig og konkret informasjon som identifiserer funnene eller observasjonene som ble fanget på tidspunktet for tilsynet med Portfolio Application Controls, i hovedmodulene og alternativene.

4.1.2 Støttende dokumentasjon

Det er viktig at dokumentasjonen med høyeste prioritet legges ved som en fysisk oversikt over det utførte arbeidet, som et resultat av gjennomgangen.

Dette kan omfatte informasjon fra undersøkelsene som er utført eller evalueringsveiledninger formulert til brukerne av systemet, samt dokumentasjon utstedt av systemet under evaluering, bevis på nyhetene som er funnet eller bare systemets utganger.

For utarbeidelse av den endelige rapporten er vedlagt som underlagsdokumentasjon: Kontoutskrifter, Liste over autorisasjoner, brukertjenestregister.

4.1.3 Lukkingsfase

Avslutningsfasen for gjennomgangen og evalueringen av et system dekker aktivitetene som følger utstedelsen av den formelle rapporten. Disse aktivitetene kan klassifiseres i:

1. Responsevaluering

1. Presentasjon av rapporten og endelig avslutning av tilsynet Korrigerende tiltak Svar på rapporten

Disse elementene er nært beslektede, derfor er det praktisk å starte med en forklaring på dem.

1. Responsvurdering

Når rapporten er ferdig, må et utkast presenteres for å bli diskutert med ledelsen, slik at nødvendige observasjoner blir gjort for å avklare kriterier som ikke er spesifisert med den nødvendige klarhet eller dybde.

1. Presentasjon av rapporten og formell nedleggelse

Presentasjonen av rapporten og den formelle avslutningen skal gjøres ved hjelp av et brev eller et notat, når alle nødvendige rettelser som er gjort i evalueringen av svaret er gjort, blir den endelige rapporten levert etter en presentasjon av det utførte arbeidet, behørig støttet støttedokumentasjon, som arbeidet delvis er fullført med da revisor etter denne leveransen må følge opp nyhetene som er funnet i en angitt periode.

1. Korrigerende tiltak

Et av de grunnleggende prinsippene for evalueringen av svaret fra lederen er at de ugunstige forholdene for kvaliteten på systemet må identifiseres og korrigeres umiddelbart. For vesentlige uheldige årsaker, må ledelsen iverksette nødvendige tiltak for å unngå tilbakefall.

Denne siste delen av korreksjonsprosessen er ofte den vanskeligste å implementere, derfor må korrigerende tiltak være en seriøs og kontinuerlig prosess.

1. Svar på rapporten

Tretti dager etter mottak av rapporten er en typisk periode for å svare.

Det er normalt teamlederens ansvar som gjennomfører gjennomgangen å følge opp svarene på en rapport. Hvis svaret ikke blir mottatt innen den forespurte datoen, bør et teammedlem ringe kunden som ba om tjenesten for å minne organisasjonen om at de seriøst må forplikte seg til korrigerende tiltak.

Praktisk sak

Rapport presentert for daglig leder for selskapet Fertilizantes Agrícolas X av Alice Naranjo Sánchez, president i revisjonsselskapet Naranjo-Arrobo Asociados, for perioden 1. oktober til 8. desember 1998.

Guayaquil, 8. desember 1998

Skjønn gentleman:

Vår grunnleggende forpliktelse overfor selskapet som du på en god og passende måte leder, består av: Evaluering av kontroller og verdipapirer i porteføljesystemet i selskap med Agricultural Gertilizers X, som de grunnleggende problemene beskrevet nedenfor ble analysert for:

1. Total eller delvis mangel på logiske forsikringer

1. Systemfeil Bruker misnøye

Disse problemene forårsaket av porteføljesystemet ble kanalisert mot å oppnå følgende mål i vårt arbeid og er:

1. Forbedre den logiske sikkerheten til systemet

1. Sørg for større konfidensialitet for informasjon Forbedre systemets funksjon Øk tilfredsheten for brukerne av porteføljesystemet

I denne rapporten presenterer vi kontrollene som må implementeres i lys av endringene som finnes i porteføljesystemet.

Vennlig hilsen, Frøken Alice Naranjo

President

Naranjo-Arrobo assosierte revisorer

Sluttrapport

Evaluering av kontroller og verdipapirer i porteføljesystemet i et jordbruksgjødselselskap

Samler vi inn nyhetene som er funnet i systemet i forhold til svakhetene ved kontrollene etter å ha mottatt brukerproblemer og fysisk bekreftelse i systemet, fortsetter vi med å utarbeide et dokument over svakhetene som er funnet og de respektive anbefalingene til ledelsen.

BEDRIFTSBAKGRUNN

Selskapet til Fertilizantes Agrícolas X, som er bosatt i byen Guayaquil, er et datterselskap av et viktig selskap i vårt land og er dedikert til å produsere, utdype og distribuere alle slags kjemiske gjødsel for landbrukssektoren i Costa-regionen hovedsakelig.

Anlegget ligger i byen Guayaquil i industrisektoren. Det har mange salgssteder i de viktigste lokalitetene i landet som: Machala, El Triunfo, Quevedo, Naranjal, Milagro, blant andre.

Blant de viktigste lokale leverandørene har vi: Ramexco, Fertagric, Comercial Agrofam.

Blant de viktigste internasjonale leverandørene har vi: NOVARTIS, BASF, Bayer, etc.

De viktigste kundene er: Reybanpac, Cartonera Andina SA, Expoplast, blant andre.

Dets viktigste konkurrenter er: MITSUI, SQM, Fertagric, blant andre.

Overfor en serie problemer som rammer den generelle ledelsen i selskapet på et styremøte, godkjente det ansettelse av en ekstern revisjon for å gjennomføre evalueringen av kontroller og verdipapirer i porteføljesystemet i selskapet til Agricultural Fertilizers X, av periode mellom 1. oktober til 8. desember 1998, med en estimert varighet på 84 arbeidsdager .

Sluttrapport

Evaluering av kontroller og verdipapirer i porteføljesystemet i et jordbruksgjødselselskap

REVISJONS MÅL

1. Forbedre den logiske sikkerheten til systemet

1. Sørg for større konfidensialitet for informasjon Forbedre systemets funksjon Øk tilfredsheten for brukerne av porteføljesystemet

Evalueringsresultater

De viktigste svakhetene som er oppdaget i vår analyse skyldes aspekter av kontroller som brukes i de forskjellige fasene av Portfolio System-prosessen.

1. Søknadsdokumentasjon er ufullstendig og utdatert

1. Det er autorisasjoner tildelt til visse brukere som er dårlig definert. Systemet kontrollerer ikke at brukere har forskjellige passord mellom seg. Det er ingen periodisitet for endring av tilgangskoder til systemet. Brukerens passord er veldig små. sikkerhetskopiere og gjenopprette systemdatafiler Det er to systemovervåkere. Det er ubebygde og unødvendige menyalternativer Valgkontroller for dataregistrering er ufullstendige Feil transaksjonsoppføring er ikke validert Noen feilmeldinger i applikasjonen er feil Noen felt brukes til å vise data på skjermen er veldig små

Sluttrapport

Evaluering av kontroller og verdipapirer i porteføljesystemet i et jordbruksgjødselselskap

Evalueringsresultater

Følgende er en detaljert analyse av svakhetene som er funnet, effektene og en rekke anbefalinger for å eliminere disse manglene som ble oppdaget i Portfolio-applikasjonen:

Sluttrapport

Evaluering av kontroller og verdipapirer i porteføljesystemet i et jordbruksgjødselselskap

Evalueringsresultater:

1.- Søknadsdokumentasjonen er ufullstendig og utdatert

Nåværende situasjon:

Under analysen kunne vi se at nødvendig dokumentasjon for systemet ikke er tilgjengelig, siden det bare er brukermanualen, som er utdatert.

effekter:

Denne situasjonen kan føre til problemer av:

• Avhengighet av personellet som utviklet systemet

• Vanskeligheter med å implementere endringer i applikasjonen i mangel av ansatte som er kjent med applikasjonen. Vanskeligheter for nye brukere av systemet når de prøver å bruke den styrt av utdatert dokumentasjon, noe som vil føre til forvirring og bortkastet tid.

anbefalinger:

Det er viktig å opprettholde en fullstendig dokumentasjon av systemene, som inkluderer bruker-, tekniske og driftshåndbøker og dokumentasjonen av programmene. Samt en oversikt over endringene som er gjort i applikasjonen, som inkluderer dato, beskrivelse, ansvarlig analytiker, bruker, signatur av gjennomgang og godkjenning av brukeren med hensyn til endringene som er gjort, etc., dette for hver modifisering, til For å ha et støttedokument i tilfelle etterfølgende krav.

Sluttrapport

Evaluering av kontroller og verdipapirer i porteføljesystemet i et jordbruksgjødselselskap

Evalueringsresultater:

2.- Det er autorisasjoner tildelt til bestemte brukere som er dårlig definert

Nåværende situasjon:

Under gjennomgangen observerte vi at det ikke er noen prosedyrer for brukerdefinisjon som garanterer tilstrekkelig tilgangskontroll til de forskjellige applikasjonsalternativene. For eksempel har MCJ-brukeren tillatelse til å sikkerhetskopiere systemdatafilene, og være den som har ansvaret for å håndtere bare produsentkodene.

effekter:

Denne situasjonen tillater:

• Etter hvert kan en bruker innhente konfidensiell informasjon fra selskapet og muligens misbruke den.

• En bruker kan villede den innhentede informasjonen, den samme som kan komme i hånden til tredjepart, med faren som dette innebærer.

anbefalinger:

Det er viktig å gjennomføre en gjennomgang av autorisasjonene som er tilordnet brukere for å unngå lekkasjer av konfidensiell firmainformasjon, samt tildele brukerne de tilsvarende autorisasjonene i henhold til funksjonene de utfører.

Sluttrapport

Evaluering av kontroller og verdipapirer i porteføljesystemet i et jordbruksgjødselselskap

Evalueringsresultater:

3.- Systemet kontrollerer ikke at brukere har forskjellige passord mellom

de

Nåværende situasjon:

Under vårt besøk ble vi informert om at flere brukere kan ha det samme passordet på et bestemt tidspunkt, noe som er tillatt av systemet.

effekter:

Denne situasjonen tillater:

• Uautorisert tilgang til systemet, siden en person som ikke er bruker av systemet (inntrenger) kan lære passordet til en eller annen bruker A, og ettersom det er det samme passordet til en annen bruker B som kan ha autorisasjoner som gir tilgang til visse funksjoner Med begrenset informasjonsbehandling kunne angriperen få tilgang til systemet ved å bruke navnet på bruker B og passordet til bruker A, og dermed utføre uautoriserte operasjoner på applikasjonens datafiler.

• Mangel på konfidensialitet i brukerpassord.

anbefalinger:

Det er viktig å opprettholde konfidensialiteten og unikheten til brukertilgangskodene til systemet, for å unngå mulig uautorisert tilgang til applikasjonen, i tillegg bør det implementeres en programmeringsrutine som lar systemet evaluere passordet til en bruker når den opprettes eller modifiseres, og unngå dermed gjentatte taster.

Sluttrapport

Evaluering av kontroller og verdipapirer i porteføljesystemet i et jordbruksgjødselselskap

Evalueringsresultater

4.- Det er ingen periodisitet for endring av tilgangskoder til systemet

Nåværende situasjon:

Under gjennomgangen ble det observert at et tidsintervall ikke er definert for å endre brukertilgangskodene til Wallet-systemet.

effekter:

Denne situasjonen tillater:

• Uautoriserte mennesker kjenner passordet til en bruker.

• Uautorisert tilgang til systeminformasjon ved å bruke navn og passord for en uforsiktig bruker som kan utføre uautoriserte operasjoner.

anbefalinger:

Datasikkerhetspolicyer må defineres som inkluderer: tidsintervall for passordendringer, systemsikkerhetsadministrator, brukeropprettingsstandarder, blant annet.

Sluttrapport

Evaluering av kontroller og verdipapirer i porteføljesystemet i et jordbruksgjødselselskap

Evalueringsresultater

5 .- Brukertastene er veldig små

Nåværende situasjon:

Under analysen fikk vi vite at brukere har veldig små passord, som i utgangspunktet består av to eller tre bokstaver, som er tildelt av porteføljeforvalteren.

Det er også mulig å opprette brukere uten passord.

effekter:

Denne situasjonen tillater:

• Konfidensialitet og sikkerhet reduseres til systemet, siden de veldig små tastene er enkle å lære og kopiere.

• Det er mulige uautoriserte tilganger til systemet Brukere kan opprettes uten passord, noe som er en potensiell fare for informasjonssikkerhet, siden navnet (påloggingen) til brukeren som er det første som er skrevet inn når de får tilgang til systemet hvis det er Du kan se det, så siden den brukeren ikke har et passord, kan enhver uautorisert person bare angi brukerens navn uten passord, og på denne måten kunne de utføre alle operasjoner som brukeren har autorisasjon for.

anbefalinger:

Det anbefales å bruke passord med minimum fem tegn, og alternativet for oppføring av brukerpassord må også endres, slik at oppføringen er obligatorisk når du oppretter en bruker.

Sluttrapport

Evaluering av kontroller og verdipapirer i porteføljesystemet i et jordbruksgjødselselskap

Evalueringsresultater

6.- Enhver bruker kan ta sikkerhetskopi og gjenopprette systemdatafiler

Nåværende situasjon:

Etter å ha gjennomgått menyalternativene for hver bruker, kunne vi se at enhver bruker av systemet kan ta sikkerhetskopi og gjenopprette datafilene, siden de har de respektive tillatelsene.

effekter:

Denne situasjonen innebærer:

En bruker kan etter hvert skaffe seg en sikkerhetskopi av informasjonen, endre den og deretter gjenopprette den til systemet, alt dette på en uautorisert måte, noe som betyr en stor fare for sikkerheten til informasjonen, siden enhver operasjon kan utføres, registrere transaksjoner, etc.., uten å legge igjen bevis på det.

anbefalinger:

Det anbefales at sikkerhetskopierings- og restaureringsfunksjoner for informasjon tilordnes en person, enten det er fra økonomi- eller systemområdet, og bare tillater dem å ha tilgang til det systemalternativet, og denne personen skal også angis. frekvensen som sikkerhetskopiene må gjøres med.

Sluttrapport

Evaluering av kontroller og verdipapirer i porteføljesystemet i et jordbruksgjødselselskap

Evalueringsresultater

7.- Det er to systemveiledere

Nåværende situasjon:

Vi kunne se at det er to systemtilsynsførere: porteføljeforvalteren (FF) og systemanalytikeren (RG), sistnevnte vises i systemet som veileder, så hun har tilgang til alle databehandlingsfunksjonene til systemet På forespørsel fra økonomisjefen ble disse funksjonene tildelt porteføljeforvalteren, men de tilsvarende tillatelsene til systemanalytikeren er ikke trukket tilbake.

effekter:

Denne situasjonen tillater:

• Med tillatelse fra to personer til å utføre alle slags operasjoner, kan det oppstå problemer på grunn av endringer gjort av en av dem uten kunnskap om den andre.

• Det er mulighet for uautoriserte modifikasjoner av produksjonsfilene uten kunnskap om finansområdet, noe som kan føre til mange problemer når du gjennomgår resultatene.

anbefalinger:

Det er viktig å skille funksjonene til hver bruker på en slik måte at tilsynet med systemet utføres av en enkelt person som er ansvarlig for dette, i tillegg skal ikke systempersonalet ha tilgang til de operasjoner som på produksjonsfiler kan påvirke applikasjon, bør du bare ha tillatelse til å utføre operasjoner på utviklingsfiler (tester)

Sluttrapport

Evaluering av kontroller og verdipapirer i porteføljesystemet i et jordbruksgjødselselskap

Evalueringsresultater

8.- Det er menyalternativer som ikke er utviklet og ikke er nødvendige

Nåværende situasjon:

Under gjennomgangen ble det observert at i applikasjonsprosessmenyen er det alternativer som ikke er utviklet, for eksempel; Generering av sene gebyrer og overføring av fordringer, som ikke vil bli utviklet. De er foreløpig bare nevnt på menyen.

effekter:

Denne situasjonen kan forårsake:

• Forvirring og avsky for brukere når de prøver å bruke disse alternativene

• At et galt kriterium genereres på applikasjonen

anbefalinger:

Det anbefales at bare alternativene som blir brukt eller som vil bli brukt i fremtiden, vises i alle menyene, slik at brukeren kan sette pris på hva systemet virkelig kan gjøre.

Sluttrapport

Evaluering av kontroller og verdipapirer i porteføljesystemet i et jordbruksgjødselselskap

Evalueringsresultater

9.- Valideringskontrollene for dataregistrering er ufullstendige

Nåværende situasjon:

Under gjennomgangen ble det observert at validering av dataregistrering mangler, for eksempel: Når det blir lagt inn en debetnotat, kan en negativ verdi defineres for feltet for innleveringsperiode, og også den totale verdien av notatet kan deles inn i 99 utbytter.

effekter:

Denne typen feil kan forårsake:

• Årsak betydelige forskjeller i systemresultater

• Fremkalle ubalanser i totalen i forhold til de fra andre systemer. Påvirker direkte påliteligheten og sannheten av informasjonen uttrykt i årsregnskapet.

anbefalinger:

Vi anbefaler at systemområdet gjennomgår valideringen av dataregistrering av denne applikasjonen, ved hjelp av brukere som gir dem informasjon for å løse dette problemet, for å forhindre at de nevnte problemene oppstår i fremtiden.

Sluttrapport

Evaluering av kontroller og verdipapirer i porteføljesystemet i et jordbruksgjødselselskap

Evalueringsresultater

10.- Oppføringen av uriktige transaksjoner er ikke validert

Nåværende situasjon:

Under gjennomgangen observeres det at det ikke er opprettet noen transaksjonsvalideringsrutiner med feilaktige data eller rutiner som ikke tillater utelatelse av sensitive felt i applikasjonen, for eksempel: Hvis vi legger inn en debetnotat med en avdragsperiode (40) og 99 utbytte som skal betales, systemet godtar det og ingen etterfølgende varsel oppstår om at en feil transaksjon er inngått.

effekter:

Slike feil kan:

• Årsak betydelige forskjeller i systemresultater

• Årsak misforhold av totalen i forhold til andre systemer Genererer vanskeligheter med å oppdage uriktige transaksjoner. Påvirker direkte påliteligheten og sannheten av informasjonen uttrykt i årsregnskapet.

anbefalinger:

Det anbefales at det opprettes programmeringsrutiner som lar systemet oppdage uriktige transaksjoner selv etter at de er lagt inn, og samtidig slette dem og registrere dem i en midlertidig fil for senere gjennomgang og korreksjon av noen som stopper dem. effekten er utpekt.

Sluttrapport

Evaluering av kontroller og verdipapirer i porteføljesystemet i et jordbruksgjødselselskap

Evalueringsresultater

11.- Noen applikasjonsfeilmeldinger er feil

Nåværende situasjon:

Noen av feilmeldingene som systemet viser, gjenspeiler ikke den virkelige feilen som hadde oppstått, for eksempel: Når en debetnotat ble lagt inn og et negativt nummer ble lagt inn i valutakursfeltet, viste systemet følgende melding "Valutakursen er ikke lagt inn", noe som er helt feil.

effekter:

Denne situasjonen kan:

• Forårsaker forvirring og bortkastet tid for systembrukere

• Når brukere legger inn feil data, vet de ikke hva den virkelige feilen er, siden systemet viser dem feil melding. Graden av vanskeligheter med å betjene systemet øker.

anbefalinger:

• Det anbefales at systemområdet gjennomgår feilmeldingene som vises av denne applikasjonen, slik at systemet gir større fasiliteter for brukerne.

Sluttrapport

Evaluering av kontroller og verdipapirer i porteføljesystemet i et jordbruksgjødselselskap

Evalueringsresultater

12.- Noen felt som brukes til å vise data på skjermen, er veldig små

Nåværende situasjon:

Enkelte felt på skjermen er ikke store nok til å vise resultatet av en aritmetisk operasjon, for eksempel: Når en dollar-kreditnota ble lagt inn, og resultatet av å multiplisere valutakursen med verdien av notatet var større enn verdien som utdatafeltet kunne vise, kunne ikke suksessekvivalensen til transaksjonen vises.

effekter:

Denne situasjonen kan:

• Forårsaker forvirring og bortkastet tid for systembrukere

• Genererer irritasjon for brukere når de legger inn data og ikke kan visualisere resultatene av aritmetiske operasjoner, så de vil bli tvunget til å utføre dem manuelt for å bekrefte dataene sine.

anbefalinger:

Det anbefales at systemområdet gjennomgår utgangsfeltene til denne applikasjonen hvor de aritmetiske driftsresultatene er vist, for at systemet skal gi større fasiliteter til brukerne og for å forhindre at de nevnte ulemper oppstår i framtid.

konklusjoner:

Datamaskiner og databehandling er fagdisipliner eller teknikker som har innflytelse på all menneskelig virksomhet, uten hvilke det ikke ville være mulig å lagre eller behandle store datamengder, skaffe informasjon på minimum tid eller med stor presisjon, relatere data for å skaffe alternativer for løsning på økonomiske, administrative og til og med sosiale problemer.

Følgelig kan et selskap ikke tenkes der dette følsomme området blir forsømt av de periodiske kontrollene som informasjonsmiljøet krever.

Revisjonsområdet i sine mange former begynner å bli anerkjent av næringslivet som et effektivt middel for å forbedre kvaliteten.

Systemrevisjonen må være en integrert del av generell revisjon. På denne måten utføres periodiske kontroller for å eliminere risikoen som er utformet ved utformingen av noen systemer.

Risikoer og generelle kontroller påvirker risikoen og kontrollene i applikasjonen, derfor bør hver av dem vektlegges fra inngangskontrollene, behandlingen til utgangskontrollene, noe som vil minimere risikoen i den grad de generelle kontrollene er oppfylt.

I vårt arbeid kunne vi finne en serie av anomalier i kontrollene, for eksempel:

• Feil tildeling av brukerprofiler, alvorlig feil som genererer kritisk tilgang til sensitive alternativer. Dårlig administrasjon og administrasjon av nøkler.

• Redigering av kontrollfeil Dårlig tillatelsesoppgave forårsaket av feilstyring av verdipapirer.

Men i noen tilfeller hvis redningsmuligheter blir presentert, for eksempel å redde brukeren av personen som fikk tilgang til systemet, noe som kan hjelpe når du identifiserer eller oppdager et problem.

Derfor bør brukeravdelinger gjøres oppmerksom på viktigheten av å være involvert i utviklingen av applikasjoner med sikte på å oppdage feil i systemene før de begynner å operere, samt sikkerheten og betydningen av å dele tilgangskoder med kolleger i samme område eller utenforstående.

Informasjonssystemer er en del av organisasjonens totale ressurser, faktisk i noen selskaper, de er like viktige som markedsstrategi, produktdesign, etc. Derfor må ledere, i tillegg til å fordele monetære ressurser, delta i utformingen av systemer som vil resultere i en reell vei mot å oppnå selskapets mål og mål.

I dette arbeidet er grunnleggende konsepter og teorier om systemrevisjonsprosessen blitt utsatt. Det er også gjort et forsøk på å presentere noen måter å implementere teorien på. Når anvendelsen av revisjoner er etablert, vil visse metoder utvikles og andre forsvinne. Dette skyldes vitenskapens evolusjonsprosess. Uansett endringer; Hensikten med en revisjon eller evaluering vil alltid være å gi ledelsen meningsfull informasjon for å basere beslutningen som driver selskapets jevne drift.

vedlegg

Informasjonsflyt av porteføljesystemet

Terminologi

Terminologi

File.- Det er et informasjonslagringselement som består av en serie poster, som hver inneholder lignende informasjon. Dermed kan en fil inneholde informasjonen til alle kundene i selskapet, og hver post vil være en bestemt klient.

Revisjon.- Uavhengig, strukturert og dokumentert evaluering av tilstrekkeligheten og gjennomføringen av en aktivitet med hensyn til spesifiserte krav.

System Audit.- Det gjør det mulig å vite hvordan man identifiserer eksisterende svakheter i systemområdet, lære hvordan man verifiserer graden av troverdighet til den behandlede informasjonen, og øker kapasiteten til å definere det aktuelle sikkerhetsmiljøet for informasjonsbehandling og forstå håndteringen av datastyrte verktøy for å utføre revisjonstester.

Flow diagram.- Det er en grafisk fremstilling av en sekvens av operasjoner der et forhåndsbestemt sett med symboler blir brukt for å illustrere trinnene som er involvert i flyten av data i en gitt prosedyre eller system, det kan være generelle eller detaljert.

Interaktivt.- System som tillater interaksjon mellom menn og maskiner gjennom en eller annen terminalenhet.

Multiprosessering.- Det er koblingen mellom to eller flere prosessorer for å håndtere store datamengder og tilby flerfrogrammeringstjenester, eller timeshare-tjenester eller begge deler.

Multiprogrammering.- Datasystem som lar to eller flere forskjellige programmer kjøres samtidig.

Behandler.- Det er selve utførelsen av oppgavene til et system.

Distribuert prosess.- Databehandlingssystem som innebærer en design, kontroll og desentralisert operasjon, ved hjelp av en serie nettverksmaskiner.

Søknadsprogrammer. Er de som er nødvendige for å utføre oppgaver i et spesifikt transaksjonsbehandlingssystem.

Symbologi.- Blant hovedsymbolene som brukes i et flytskjema har vi følgende:

Lagringsprosess

Rapport om data

Manuell inngang Skjerminngang

Beslutningsstart / slutt flytskjema

Operativsystem.- Det er systemprogrammer som kontrollerer maskinens ressurser og fungerer som en kobling mellom disse ressursene og brukerne. Også kalt masterkontrollprogrammer, skjermer eller systemkontrollprogrammer. Hver produsent har et unikt navn på systemet eller operativsystemene de leverer.

Programvare.- Program som gir instruksjoner til datamaskinen. Dette er også navnet på operativsystemet.

Timeshare.- Utføre to eller flere funksjoner i samme periode, tilordne små inndelinger av den totale tiden til hver funksjon.

Det gjør at datamaskinen kan brukes på en måte som betjener flere brukere på samme tid.

Responstid.- Tid som er nødvendig for å overføre informasjon fra en datamaskin og motta svar.

Sanntid.- Lagring av informasjon i systemet skjer på det tidspunktet transaksjonene skjer. Sanntidsapplikasjoner er viktige i de tilfellene dataene modifiseres flere ganger i løpet av en dag og krever å bli konsultert nesten umiddelbart med endringene som er gjort.

Validering.- Planlagt bekreftelse av data eller resultater, for å sikre at de oppfyller forhåndsbestemte standarder.

Bibliografi

• Cohen Daniel, Sistemas de Información, Ed..McGraw Hill, 1995Ettinger Richard og Golieb David, Créditos y Cobranzas, De. Continental, México, 1980.Institute Mexicano de Contadores Publicos, Norms and Procedures for Auditing, De. Litograf, México, 1972Leiva Francisco, Scientific Research, De. Ortiz, Quito, 1979. Mayne Lynette, Direkte fra toppen, De. Alfaomega, De. Presencia, Bogotá, 1995. Méndez E. Carlos, Research Methodology, Mc Graw Hill, 1994Ríos Wellington Dr, Computing Systems Audit, De. Abaco, Quito, 1994 Sanders Donald, Computing: nutid og fremtid. McGraw Hill, De. Interamericana, 1990The Canadian Institute of Chartered vs. 5.0, IDEA Interactive Data Extracting and Analysis- Brukerhåndbok, Toronto, 1994

Last ned originalfilen