auditoria de aplicación
TRANSCRIPT
Docente : Ing. Carlos Chávez Monzón
Ciclo : VIII
Integrantes:
- ALEJOS SOLÍS Karina- JARA PANIAGUA Maicol- PORRAS GUEVARA Carlos- RAMOS BERNARDO Rubén
2009
UNIVERSIDAD CESAR VALLEJO
Escuela Académica Profesional de Ingeniería de
SistemasAUDITORIA DE SISTEMAS
Universidad César Vallejo Auditoria
2
1. DATOS GENERALES DE LA EMPRESA
RAZON SOCIAL: CORPORACION PFB - CENTINELA SAC
GIRO DEL NEGOCIO: Producción de Harina de Pescado y Conservas
1.1. Visión
Somos una empresa de prestigio en el mercado internacional, líder en el sector pesquero, que proporciona al mundo proteínas de alta calidad nutritiva e inocuidad garantizada.
1.2. Misión
Ser líder en el mercado internacional en la producción de aria de pescado y conservas mediante una producción de calidad, para satisfacer los diferentes mercados a nivel nacional e internacional.
Somos una empresa líder en el procesamiento y producción de harina de pescado (alimentación de animales como aves, aves ponedoras, cerdos, rumiantes, vacas lecheras, ganado vacuno, ovino), y conservas (nutrición humana).
1.3. Análisis interno
1.3.1.Fortalezas
Institución altamente especializada en seguridad
social del trabajador del la empresa
Dirección Gerencial hacia la administración por
objetivos.
Política de innovación tecnológica que ha llevado a
aprobar el Plan de Sistema Integrado de Gestión Se
ha aprobado también el Manual de Riesgos de
Tecnología de Información que está en vías de
implementación.
Universidad César Vallejo Auditoria
3
Política de contratación de personal altamente
calificado para cargos de direcciones y jefaturas.
Capacidad gerencial para lograr cooperación
interinstitucional como el pago de pensiones por el
Banco de la Nación.
1.3.2.Debilidades
Insuficiencia de activos para respaldar la Reserva
Técnica. Según los Estados Financieros la 30 de
setiembre del 2007, el patrimonio es negativo en más
de S/.544 millones de soles.
Dependencia importante de los volúmenes de
extracción de anchoveta para uso industrial, recurso
explotado con prolongados periodos de veda, que por
la carencia de reservas, limita el accionar financiero
de la CBSSP.
Alto nivel de rotación en cargos jefaturales que no
permite desarrollar estrategias que le den
continuidad a la CBSSP y que generan una débil
identidad del personal operativo con la misma.
Bajo nivel de compromiso e identidad del personal
operativo con la necesidad de implementar cambios
organizacionales.
Inexistencia de un área de Planificación y Desarrollo
que se encargue, entre otras funciones, de
estrategias para la previsión y rentabilización de los
recursos financieros que permitan la sostenibilidad de
las operaciones en el corto, mediano y largo plazo.
Controles burocráticos que limitan el accionar
operativo
Universidad César Vallejo Auditoria
4
1.4. Análisis externo 1.4.1 Oportunidades
La expansión del negocio
Las fiestas patronales
Posibles alianzas estratégicas internas
Buenas relaciones con el gobierno
La suscripción del Tratado de Libre Comercio con los
Estados Unidos de Norteamérica que contempla,
como países miembros de la Organización
Internacional de Trabajo (OIT), estándares
internacionales para la protección de los derechos
laborales fundamentales.
Alternativas de instrumentos financieros a la luz de
las facultades conferidas a la CBSSP considerando el
Decreto Supremo Nº 006-2000-PE.
1.4.2.Amenazas
Contradicciones de disposiciones del Estado para el
Sub Sector Pesquería en materia de
sobredimensionamiento de flota y la probable
orientación de nuevas políticas a la asignación de
cuotas de pesca sobre bases históricas de captura las
que se concentrarían en grupos económicos
predominantes y ocasionará la disminución sustantiva
de 1a masa laboral activa de pescadores industriales
y artesanales. Asimismo, en el Sector Trabajo y
Promoción del Empleo, la indefinición en la fijación
respecto a la remuneración de participación de 22.4 y
18% sobre bases de cálculo diferentes como
regímenes de los trabajadores del mar.
Universidad César Vallejo Auditoria
5
La incertidumbre sobre la suscripción del Acta de
Adhesión del Perú a la Convención del. Mar
(Convemar) que reduciría la soberanía del. Estado
Peruano sobre el mar territorial de 200 a 12 millas
marinas y que establecería un régimen jurídico
supranacional con arreglo a dicha convención y otras
normas de derecho internacional por encima de
nuestra legislación en materia de nuestros mares.
La suscripción de Tratados de Libre Comercio del Perú
con países desarrollados de Norteamérica, Europa y
Asia, que apertura nuevos mercados de exportación
sobre todo para la pesca para consumo humano
directo y la acuicultura, que impulsará la reconversión
de nuestra flota preponderantemente anchovetera y
la incorporación de nuevas embarcaciones para
proveer dichos mercados. Estos pescadores no
aportan principalmente a la CBSSP.
La posición antagónica a la reactivación de la CBSSP
por grupos de interés.
Reglamento del Fondo de Pensiones fragilizado por
modificaciones con normatividad de menor jerarquía,
que ha posibilitado la existencia de jurisprudencia
que incentiva las demandas de pescadores y las
contingencias contra los fondos y recursos que
administra la CBSSP que respaldan dicho Fondo.
Dependencia importante de los volúmenes de
extracción de anchoveta para uso industrial, recurso
plenamente explotado con prolongados periodos de
veda y como consecuencia de ello, la irregularidad de
los ingresos.
Universidad César Vallejo Auditoria
6
La preocupante generación de fallos judiciales que
afectan a la CBSSP al desconocer el carácter
intangible de los fondos provisionales que ella
administra que tienden a identificarla como
responsable solidario de una obligación delegada por
el Estado y erosionan la correcta captación y
administración de los fondos establecidos por las
leyes Nº 27301, 28193 y 28320 y demás
disposiciones complementarias.
GERENTE GENERAL
GERENTE ADMINISTRATIVO GERENTE DE LOGISTICAGERENTE DE PRODUCCION GERENTE DE COMERCIALIZACION
SUB GERENTE FINANCIERO
SUB GERENTE DE RECURSOS HUMANOS
JEFE DE SISTEMAS
SUPERINTENDENTES DE PLANTA
S.P. PISCOS.P. CHIMBOTE
S.P. TAMBO DE MORA
JEFE DE IMPORTACIONES
JEFE DE COMPRAS LOCALES
JEFE DE EXPORTACIONES
JEFE DE VENTAS LOCALES
Universidad César Vallejo Auditoria
7
1.5. ORGANIGRAMA DE LA EMPRESA
SECRETARIA EJECUTIVA
Universidad César Vallejo Auditoria
8
1.6. AREAS DE PRODUCCION DE LA EMPRESA
ÁREA DONDE SE VA AUDITAR:
AREA PRODUCCION DE HARINA DE PESCADOEn esta área se va a determinar si existen procedimientos documentados, que expliquen la manera de cómo convierten e introducen los datos.
CORPORACION PFB - CENTINELA SAC
AREAS DE PRODUCCION
PRODUCCION DE HARINA DE PESCADO
PRODUCCION DE CONSERVAS DE PESCADO
Universidad César Vallejo Auditoria
10
Auditoria de Aplicaciones (Relacionado a los sistemas de información)
Universidad César Vallejo Auditoria
11
1. Auditoria para el Control de datos fuentes: (Diagrama de caso de uso)
Universidad César Vallejo Auditoria
12
1.1. Revisión de Procedimiento para la preparación de datos
Revisión de Procedimiento para la preparación de datos
Existe
Si
No
Observación
a. Identificar los documentos utilizados para cada tipo de entrada. X
Comprobantes de pago.(Facturas, Boletas)
b. Asegurarse de la validez de los datos que se integran a cada documento fuente. X
Firmas y sellos del superintendente general
c. Identificar al personal responsable de la preparación de los datos de entrada, revisar los documentos fuente y las autorizaciones.
X
Secretaria ejecutiva, Jefe de Producción
d. Evaluar las funciones de control de la preparación de los datos antes de trasmitir la información para su procesamiento.
XA cargo del Jefe de
Producción
Universidad César Vallejo Auditoria
14
Solicitar datos nota de salida de producto
Procesa nota de salida
Solicitar produtos
Recibir nueva orden
Preparar nota de salida
Preparar productos
Producto[Crear producto]
Recibir nota de salida
Jefe ProduccionProduccionAlmacenAuditor
Universidad César Vallejo Auditoria
15
1.2. Procedentitos de: para el Control de documentos fuentes en blancos (No procesado)
Procedentitos de: para el Control de documentos fuentes en blancos (No
procesado)
Existe
Si No
Observación
a. Determinar si su documento fuente ha sido diseñado especialmente para guiar el registro inicial de la información en un formato uniforme.
x No se ha previsto eso
b. Determinar si están perfoliados los documentos fuente.
x Organizados y archivados por fechas
c. Determinar si, por cada tipo de transacción, el documento fuente cuenta con un código o identificador único.
x Por cada área existe un código especifico respecto a sus transacciones
d. Determinar si existe un número de referencia cruzada en el documento fuente y en las transacciones, para facilitar su seguimiento.
x
[TRANSACCION]
e. Identificar a las personas que preparan las transacciones, determinar si cada persona prepara un solo tipo de transacción. Por ejemplo, el establecimiento de nuevos registros en el archivo maestro y la actualización de esos registros, deben considerarse como dos tipos diferentes de transacciones.
x
Jefe de área (cada uno realiza su transacción según su area)
Universidad César Vallejo Auditoria
16
[TRANSACCION]
Documento Preparación de Transacciones Responsable
Guía remisión del Cliente Asistente ProducciónNota de Entrada Asistente ProducciónGuía de Devolución al Proveedor
Jefe de Producción
KARDEX Asistente Producción
Universidad César Vallejo Auditoria
17
Recibir orden de produccion
Enviar pedidos
Emitir DFB
Solicitar permiso de salida de DFB
Enviar DFB
Permitir salida
Solicitar datos nota de salida de producto(f rom State/Activ ity Model)
Procesa nota de salida
(f rom State/Activ ity Model)
Solicitar produtos
(f rom State/Activ ity Model)
Recibir nueva orden
(f rom State/Activ ity Model)
Preparar nota de salida
(f rom State/Activ ity Model)
Preparar productos
(f rom State/Activ ity Model)
Producto
Recibir nota de salida
(f rom State/Activ ity Model)
Jefe ProduccionAlmacenPersonal autorizadoProduccionJefe ProduccionProduccionAlmacenAuditor
Universidad César Vallejo Auditoria
18
1.3. Procedimiento de: Generación, autorización y control de documentos fuentes.
1.3.1.Procedimiento de autorización de entradaSe debe establecer procedimientos de autorización adecuadas para la entrada de los datos.
Procedimiento de autorización de entrada Existe
Si
No
Observación
a. Observar el proceso de control de entrada
X
Laboratoristas encargados de verificar la valides de los datos
b. Verificar que las aprobaciones correspondan precisamente al personal responsable de estas autorizaciones.
XSe encargan los supervisores de cada área
c. Confirmar que el personal responsable de la entrada de los datos no esté realizando tareas incompatibles. X
Bajo la responsabilidad de los supervisores de cada área
d. En las aplicaciones en que se utiliza terminal, comprobar que los procedimientos del usuario incluyan la utilización, el mantenimiento, el control de la estación de trabajo y los códigos del operador.
X
El superintendente ofrece garantías de los datos que brinda
e. Observar si la estación y el código del operador se usan y se modifican de acuerdo con los procedimientos aplicables.
X
Bajo la responsabilidad del jefe de sistemas
Universidad César Vallejo Auditoria
20
Solicitar pedidos
Verificar stock
Hay?
[ Si ]
Recibir nuevos pedidos
Procesar pedido
[ No ]
Empaquetarpedidos
ProduccionAlmacen
Universidad César Vallejo Auditoria
21
1.3.2.Procedimiento para la documentación y control de la operaciónSe deben documentar completamente todos los procedimientos de control de información.
Procedimiento para la documentación y control de la operación
Existe
Si
No
Observación
a. Las autorizaciones adecuadas para cada aplicación. X Los superintendente
general o de plantab. Revisión de las autorizaciones. X Superintendente general
o de plantac. Edición usada o la entrada inicial de la
información. X Jefe de Sistemas
d. Mensaje de error por aplicación. X Analistase. Establecimiento de registros de control de
errores y excepciones X Analistas
f. Procedimientos para depuración de errores y excepciones. X Analistas
g. Controles que garanticen que la información de la entrada sea revisada por una unidad de control antes de procesarse.
X Jefe de Sistemas
h. Procedimientos de comunicación, en caso de que falte información X Analistas
i. Controles sobre la extensión de la corrección de errores mediante la unidad de control de información.
X Jefe de Sistemas
j. Controles de cambios y actualizaciones del archivo maestro. X Analistas
Universidad César Vallejo Auditoria
23
Solicitar nueva orden
Listar productos
Recibir nueva orden
Autorizar orden
Archivar documento
Actualizar stock
Recibir orden de pedidos
Realizar orden de produccion
Revisar nota
Conforme?
Mandar a produccion nota
Atender orden
Emitir nota de produccion
Dpto ProduccionJefe ProduccionJefe AlmacenDpto Almacen
Universidad César Vallejo Auditoria
24
1.3.3.Control de vigencia de documentosSe deben retener los documentos fuente para facilitar la recuperación o la reconstrucción de la información.
Control de vigencia de documentosExiste
Si
No
Observación
1. Determinar si los documentos fuente son retenidos el tiempo suficiente para permitir la reconstrucción de la información en caso de que se pierdan ésta y el procesamiento posterior.
XSecretaria (Superintendente General)
2. Determinar si en cada tipo de documento fuente se ha impreso previamente su periodo de vigencia.
X Secretaria
3. Evaluar los medios con que se almacenan y recuperan los documentos fuente. X Jefe de Sistemas
4. Determinar si el departamento que origina la información guarda copias de los archivos de los documentos fuente y si éstos se turnaran a otros departamentos.
X Analistas
5. Determinar si los documentos fuente contenidos en el archivo del departamento que los originó sólo están a disposición de personal autorizado.
X Superintendente y Secretaria
6. Determinar si, al expirar los documentos fuente, se sacan del almacén y se destruyen de acuerdo con las clasificaciones y los procedimientos de seguridad existentes en la organización.
X Superintendente y Jefe de Sistema
Universidad César Vallejo Auditoria
26
Controlar tiempo de retencion
Evaluar tiempo
Hacer informe
Imprimir documentos fuentes
Comparar vigencia de documentos
Ok?
Verificar fin de Documentos Fuente
Evaluar situacion
Capacitar sobre meojras de procesos
AlmacenAuditor
Universidad César Vallejo Auditoria
28
2.1. Procedimiento de conversión y entrada de datos
Procedimiento de validación y edición de datos ExisteSí No Observacion
1.- Determinar si existen procedimientos documentados que expliquen la manera que se convierten e introducen los datos.
XAnalistas
2.- Identificar a las personas que ejecutan el trabajo en el proceso de entrada de datos. Cerciórese de que ninguna persona realiza más de una de las siguientes operaciones:
X Analistas y Jefe de Sistemas
3.- Determinar si dentro del departamento de sistemas de información existe un grupo separado que es responsable de realizar las operaciones de entrada de datos.
XJefe de Sistemas
4.- Determinar si existe un grupo de control en el departamento usuario o en el departamento de sistemas de información que, en forma independiente, controle los datos que se introducirán.
X Analistas y Jefe de Sistemas
5.- Si el grupo de control del departamento usuario controla los datos de entrada, determinar si la entrada y el registro de los datos fuente se realizan en forma simultánea en el punto origen.
X Jefe de Sistemas y Analistas
6.- Determinar si los documentos fuente utilizados en la conversión o en la entrada de los datos, son marcados para proteger contra duplicaciones o reentradas.
X Jefe de Sistemas y Analistas
Universidad César Vallejo Auditoria
30
2.2. Procedimiento de conversión y entrada en líneas Se deben establecer procedimientos de conversión y entrada de datos por medio de terminales, para evitar el uso autorizado o doloso.
Procedimiento de validación y edición de datos ExisteSí No Observación
1.- Determinar si las terminales para la entrada de datos, son puestas bajo llave, en un cuarto físicamente seguro.
X No cuenta con esto
2.- Determinar si se requiere que los supervisores habiliten cada terminal, antes de que el usuario inicie su trabajo diario.
XAnalistas
3.- Determinar si la entrada de los datos solo puede hacerse desde terminales que tienen asignados previamente ciertos niveles de autoridad.
XAnalistas y Jefe de Sistemas
4.- Determinar si se utilizan las claves de accesos, passwords, para evitar el uso no autorizado de las terminales.
XJefe de Sistemas
5.- Asegurarse de que las claves de accesos, o los códigos de autorización no sean desplegados en la pantalla ni impresos ni tecleados sobre campos enmascarados.
X
Jefe de Sistemas
6.- Determinar si se utiliza una matriz de acceso a los datos para restringir el acceso no autorizado a datos clasificados.
XJefe de Sistemas
7.- Determinar si se le permite a cada usuario, mediante claves de acceso, o códigos de autorización, entrar solamente en uno o en un número limitado de tipos de transacciones.
XJefe de Sistemas
Universidad César Vallejo Auditoria
32
2.3. Procedimiento de validación y edición de datosSe deben validar y editar los datos de entrada o más cerca posible del punto origen.
Procedimiento de validación y edición de datos ExisteSí No Observación
1.- Comprobar si se utilizan formatos pre programados de captura para asegurarse de que los datos se incorporan en el campo y en el formato adecuado, etc.
XJefe de Sistemas
2.- Determinar si hay apuntadores ínter construidos para facilitar la entrada de los datos y reducir el número de errores.
X Jefe de Sistemas
3.- Determinar si se utilizan terminales inteligentes para permitir la validación, la edición y el control de principio a fin. Si no se utilizan terminales inteligentes, evaluar, mediante el análisis de costo-beneficio, si se deben introducir.
XAnalista y Jefe de Sistemas
4.- Determinar el punto en el cual se validan y editan los datos de entrada. Investigar si los datos incorrectos son rechazados.
X Analista y Jefe de Sistema
5.- Determinar si los procedimientos de validación y edición de los datos se aplican a todos los campos de un registro de entrada, a pesar de que se haya detectado un error en un campo previo.
XAnalista y Jefe de Sistema
6.- Determinar si los procedimientos de validación y edición realizan las siguientes comparaciones:
a.) Código de aprobación o autorización, nivel superior e individual.b.) Dígitos verificadores en todas las llaves de identificación.c.) Dígitos verificadores al final de un conjunto de datos numéricos que no está sujeto a balanceo.d.) Validación de códigos.e.) Valores numéricos o alfanuméricos.f.) Tamaño de los campos.g.) Combinación de camposh.) Limite o rango de valores.i.) Signos.j.) Cotejo de registros.k.) Secuencias.l.) Referencias cruzadas.
X
XXXXXXXXXXX
Jefe de Sistemas
7.- Determinar si se le permite a cada usuario, mediante claves de acceso, o códigos de autorización, entrar solamente en uno o en un número limitado de tipos de transacciones.
XJefe de Sistema
8.- Investigar si el grupo de control del departamento usuario maneja totales de control de lote, generados por terminales o por concentradores, para asegurarse de que cada lote esta completo.
XJefe de Sistema y Analistas
Universidad César Vallejo Auditoria
34
2.4. Procedimiento de errores en entrada de datos Los procedimientos para manejo de errores deben estar en un lugar adecuado, para facilitar la reentrada oportuna y precisa de los datos corregidos.
Procedimiento de errores en entrada de datos ExisteSi No observación
1.- Determinar si se establecieron y documentaron los procedimientos relacionados con la identificación, corrección y reentrada de datos rechazados.
XJefe de Sistemas
2.- Determinar si los errores son desplegados o listados inmediatamente después de su detección, para facilitar su rápida corrección.
XAnalistas
3.- Evaluar si los mensajes de error son claros y fácilmente comprensibles, de manera que se puedan tomar de inmediato las medidas correctivas.
XJefe de Sistemas y Analistas
4.- Investigar si todos los datos rechazados son grabados automáticamente en los archivos de asuntos pendientes, clasificados por aplicaciones.
XJefe de Sistemas
5.- Revisar los registros de los archivos de asuntos pendientes, para establecer si incluyen información como la que sigue:
a.) Códigos para indicar tipos de error.
X Jefe de Sistemas
b.) Fecha y hora en que se graba el registro en el archivo de asuntos pendientes.
X Jefe de Sistemas
c.) Identificación del usuario que origino el registro de entrada.
X Analistas
6.- Determinar si los archivos de asuntos pendientes tienen un registro automático de conteo, para controlar el número de registros en los archivos.
XSecretaria Ejecutiva (archivadora)
7.- Determinar las áreas autorizadas para hacer correcciones.Determinar si el grupo de control del departamento usuario proporciona un control independiente de estas correcciones.
XAnalistas
8.- Determinar si los archivos de asuntos pendientes producen mensajes de seguimiento y reportan el estado de las transacciones no corregidas en forma regular.
XJefe de Sistema
9.- Determinar si todos los supervisores revisan y aprueban las correcciones antes de su entrada.
XAnalista
10.- Determinar si la gerencia del departamento usuario revisa los reportes de los archivos de asuntos pendientes, para analizar el nivel de transacciones erróneas y el estado de las transacciones corregidas. Preguntar si la gerencia del departamento usuario está consciente de que recae en ella la responsabilidad final por la integridad y exactitud de los datos de entrada.
XSuperintendente, Jefe de Sistemas y Analistas