Администриране и контрол на портфейлната система на компанията

Настоящата работа има за основна цел да насочи бъдещите поколения към важните аспекти, които трябва да бъдат взети предвид при оценката на контролите и ценните книжа на портфейлната система на компаниите.

Простият и директен език, използван при подготовката му, улеснява разбирането му и ще позволи по-голямо виждане, приложение и иновация на същия, стремящ се да го направи полезен референтен материал за студенти и завършили.

По същия начин можем да подчертаем приноса на работата като помощен материал за предприемачите, тъй като тази глобална оценка в средата на портфейлните системи на компаниите определя основните насоки на основните контроли и ценни книжа, които трябва да бъдат приложени в от основните сметки за текущи активи, които представляват краткосрочните парични средства на дружествата.

Във финансовата област се откроява значението на определянето на стабилни политики за кредитиране и събиране, свързани неразделно с целите на организацията, очертани в нейната бизнес стратегия, мисия и визия на компанията.

В областта на одита и контрола тя подчертава значението на контрола и сигурността на текущите системи за обработка на информация.

В областта Административно той очертава значението на адекватното определяне на организационната структура на компанията, което позволява обективно да се определят функциите на всеки от членовете на дадена организация и да се очертаят отговорностите според тяхната позиция.

Тези приноси подчертават значението на портфейлните системи във всички съставни области на организацията.

Приносът на вземанията в групата на текущите активи има влияние върху оборотния капитал на дружествата. Следователно, в много дейности портфейлът представлява основната позиция от финансово значение в текущите активи на компанията.

Продажбите на кредити са вече спешна необходимост, ако искаме да вземем кредити, винаги когато прилагаме кредитни политики, ще трябва да поддържаме строг контрол върху кредитната зона и администрирането на вземанията, не само защото може да представлява сериозни загуби, но и което е основният и най-непосредственият източник на средства.

Когато разглеждаме основната отправна точка на тази работа, трябва да се подчертае и подчертае значението и значението на Администрацията на вземанията, поради важността на контролите и ценните книжа, които заслужават да бъдат приложени.

Основните фактори, които трябва да се вземат предвид при администрирането на вземанията са:

• Обем на продажбите по кредит Сезонен характер на продажбите Правила за кредитни лимити Условия за продажба и Кредитни политики на отделни компании Политика за събиране

Ако не се разгледа адекватно описаните по-горе фактори и ако нашите контроли и уверения са грешни, финансовите ни планове ще бъдат сериозно засегнати.

След това е необходимо да се преразгледат, оценят и актуализират свързани аспекти, които водят до ефективен контрол върху колекциите.

Като първа точка ще споменем тенденцията на отдела по продажбите към неговата либералност при отпускане на кредити, условия и ценни книжа.

Въпреки че е строга и стриктна политика за отпускане на заеми, тя дава сигурност на връщането, от друга страна, може да доведе до загуба на възможности, които означават загуба или отсъствие на постоянни и важни клиенти.

Финансовият мениджър или лицето, отговорно за контрола върху този елемент, ще трябва да намери желания баланс. Целта му в Администрацията на вземанията на сметки ще бъде балансът, който, съобразен с обстоятелствата на бизнеса, осигурява здравословен процент на оборот, придружен от разумен процент от максималната печалба.

Много важно влияние в кредитните политики, митниците и измененията в условията на продажбите е нетрайният характер на продукта, друго е анализът на клиентите. Компанията, която предлага кредита, трябва да бъде по-малко прощаваща, когато установи, че клиентът е лош предмет на кредит, следователно длъжностното лице, отговорно за оценката на кредитния риск, трябва да вземе предвид петте „С“, които са:

1. CharacterCapacityCapitalColateralConditions

ХАРАКТЕР.- Моралният фактор на клиента е най-важният при оценката на кредита за изпълнение на задължението.

КАПАЦИТЕТ. - Субективна и визуална преценка на икономическия потенциал на клиента.

CAPITAL.- Финансово състояние, особено материалния капитал на компанията.

COLLATERAL.- Представен от активите, които клиентът може да предложи като кредитна гаранция.

УСЛОВИЯ.- Анализ на общите икономически тенденции на компанията или инциденти, които могат да повлияят на способността на клиента да изпълнява задълженията си.

Тези фактори са важни при самото отпускане на кредит, при определяне на размера на инвестицията, която сме готови да предприемем в продажбите на кредити.

Една компания може да реализира много продажби, да превъзхожда своите конкуренти, ако желае свободно да предоставя: обем и условия; но в крайна сметка заемите от този характер могат да прекратят компанията, ако тя няма адекватен контрол.

Следователно, от съществено значение е кредитният отдел да е готов да се справи технически с тези въпроси, от първия контакт, който е оценка и отпускане на кредит, до щастливия край на начислената продажба.

Финансовият администратор трябва да се намеси във формулирането на плановете на кредитния отдел, като прави постоянни анализи и оценки на тяхното развитие, за да удостовери, че има капацитет в развитието на областта и най-вече, че има вече предвиден паричен поток, както и прилагайки основните контроли и ценни книжа.

Оценките на контролите и ценните книжа на портфейлната система на компаниите представляват един от основните стълбове, който допринася за постигането на финансовите цели и следователно за растежа и развитието на дружествата.

1.2 Причини за одита

Сред основните обосновки или причини за одит намираме следното:

• Значително и необосновано увеличение на бюджета на отдел за обработка на данни Липса на знания на ниво управление в ИТ ситуацията на компанията Пълна или частична липса на логическа и физическа сигурност за осигуряване на целостта на персонала, оборудването и информацията Открития за измама, направени с използването на компютъра. Липса на компютърно планиране. Организация, която не функционира правилно поради липса на политики, цели, норми, методология, стандарти, делегиране на правомощия, възлагане на задачи и адекватно администриране на човешките ресурси. Общо недоволство на потребителите, обикновено мотивирани от неспазване на крайните срокове и лошо качество на резултатите Липса на документация или непълна документация на системите, което разкрива трудностите или невъзможността за поддържане на системите в производство.

В рамките на този набор от оправдания, които са от специален анализ при одит, за нашето проучване са разгледани тези, които засягат компанията, отнасящи се изключително до прилагането на портфейла и са потенциалните причини за нашия одит. Сред тях имаме следното:

1. Пълна или частична липса на логически уверения

Компютрите са инструмент, който съхранява и структурира големи количества информация, която може да бъде поверителна за физически лица, компании или институции и може да бъде злоупотребена или разкрита от хора, които я злоупотребяват. Могат да възникнат и измами или саботажи, водещи до пълно или частично унищожаване на компютърната дейност.

Необходимостта от контрол при достъпа до системи е от жизненоважно значение, тъй като концентрацията на много преди това разпръснати функции става особено критична, ако информацията, въведена и обработена от компютърна система поради липса на ефективни процедури за контрол, е умишлено или неволно унищожена или изкривена., Оттук и значението на Системата за оценка в логическите ценни книжа като първоначален контрол на системата за кредитиране и събиране.

1. Неизправност на системата

Системата е приложение, което може да бъде разработено вътрешно в една и съща компания и затова се прави по поръчка или може да бъде закупено като пакет, който обикновено се предлага от специализирани компании за разработка на софтуер. В случая на компанията в нашия анализ, портфейлната система е разработена вътрешно, така че трябва да задоволява реалните нужди на компанията.

Преди да опишем подробно системата и причините за неизправността на всяко приложение, трябва да се съсредоточим върху различните системи, които са разработени във фирма.

В много случаи това, което се очаква да бъде постигнато в областта на компютъра в рамките на развитието на системи или приложения, е резултат, но целта трябва да бъде системата да работи в съответствие с функционалните спецификации, така че потребителят да разполага с достатъчно информация за тяхното използване. боравене, експлоатация и приемане.

Системите изпълняват някои фази, сред които са: анализ, проектиране, програмиране, тестване и поддръжка, които непрекъснато се връщат обратно. Ако един от тези етапи не бъде разгледан с надлежно значение, възникват бъдещи недостатъци, а с него и неизправността на системата.

Системите поради тяхната неизправност могат да представят изкривена информация или да отразяват несъответстващи данни в полетата и дефинираните информационни диапазони, в други случаи те могат да бъдат проблем вместо решение, накратко те се оказват непрактични.

Сред най-често срещаните системни проблеми са следните:

• Липса на стандарти в разработката, анализа и програмирането Неадекватна спецификация на системата по време на изработване на подробния дизайн Лош дизайн Проблеми при преобразуването и внедряването Слаб контрол в етапите на разработване на системата и над самата система Опит в анализа и програмиране Нова технология, която не се използва или използва неправилно.

• Всичко от горепосоченото може да е причина за неизправността на системите, което трябва да се вземе предвид при този преглед.

Следователно е важно провеждането на необходимите проверки, така че системите и програмите да бъдат внимателно тествани, за да се гарантира съответствието им с оригиналните спецификации, да няма недоволство на потребителите и транзакциите да се извършват правилно.

1. Недоволството на потребителя

Недоволството на потребителите е една от причините, която генерира преглед и оценка на системите.

Обикновено възниква поради надлежно обосновани причини и е необходимо ръководството да извърши разследването на причините, които произтичат от посоченото недоволство.

В много случаи това се дължи на липсата на участие на потребителите в процеса на анализ на приложението. Преценката на крайния потребител, който ще използва приложението и който трябва да се запознае с неговото използване, никога не трябва да се оставя настрана, следователно потребителят трябва да бъде мотивиран да участва в този процес.

За да бъде хоствана системата от потребителя, тя трябва да отговаря на съвместно дефинираните изисквания. Поради тази причина се изисква пълна комуникация между потребителя и лицето, отговорно за разработването на системата. Тази комуникация трябва ясно да дефинира елементите, които потребителят има, нуждите за обработка на информация и изискванията за изходна информация, съхранявана или отпечатана.

По време на определянето на системата във фазата на анализ, качеството на информацията, обработена от компютъра, трябва да бъде определено, да се установят съответните контроли, нивата на достъп до информация, наред с други аспекти.

Целта на внедряването на система е да допринесе за бързината и точността на процесите, осъществявани от потребителя, като намалява времето и усилията, извършени в дадена задача и увеличава ползата и полезността на компанията.

1.3 Одитни цели

Целите на системния одит могат да бъдат различни, всички те зависят от компютърната ситуация на анализа.

Сред основните цели, мотивиращи одита, имаме:

• Потърсете по -добро съотношение цена-полза на автоматизирани или компютърни системи, проектирани и внедрени от зоната за обработка на данни. Увеличете удовлетвореността на потребителите Осигурете по-добра интегритет, конфиденциалност и надеждност на информацията, като препоръчате защитни мерки и контроли.

Фирма може да поиска анализа на следните точки:

1. Подобрете логическата сигурност на системата

Компютрите през този век осигуряват удобства за установяване на логическа сигурност на системите и представляват софтуерна алтернатива, налична на пазара, за да се гарантира достъп до компютъра само от оторизирани лица.

Важно е да се поддържа сигурността на системите, за да има подходяща информация в подходящия момент.

Чрез тази работа се предлага издаване на списък от контроли, насочени към подобряване на логическата сигурност на Портфолио системата на тази компания.

1. Гарантиране на по-голяма поверителност на информацията

Под поверителност се разбира защитата на информацията в символи, запазени и изключителни само за упълномощени длъжностни лица.

Поверителността на информацията позволява достъп до данни и информация само на упълномощен персонал, така че транзакциите, извършени от потребител, да бъдат записани като единствена отговорност на лицето, което е упълномощено да извърши всяка транзакция.

1. Подобрете функционирането на системата

Преди да стартирате програмите с реални данни, те трябва да бъдат тествани с тестови данни, докато не изчерпят всички възможни изключения.

Целта на системите е те да предоставят навременна и ефективна информация, за която те трябваше да бъдат разработени в рамките на правилно планиран процес.

Завършената система трябва да бъде доставена на потребителя след обучение и изготвяне на съответните наръчници, които гарантират правилното използване на системата.

1. Увеличете удовлетвореността на потребителите на Портфолио системата

Недоволството на потребителите възниква поради липсата на разбиране и координация на нуждите и подчертания развод на елементите, които се намесват, между тези, които предоставят и получават услугата.

Когато резултатите от Системата не са в съответствие с нуждите на потребителя, възниква определен дискомфорт, който поражда недоволство. Това явление е пагубно за самата компания, тъй като потребителят предпочита да не използва системата като поддръжка, поради непрекъснатите неудобства, които създава.

Важно е да се отбележи, че разумно замислените, правилно тествани и ефективно контролирани системи могат да се износват и да се превърнат в друга закърпена, нерационална, неефективна и неконтролирана система или програма, които ще причинят дискомфорт на крайните потребители.

Затова е важно да анализираме системите, да намерим недостатъците и да ги подобрим, за да увеличим удовлетвореността на системите, главно в нашия случай, приложимостта на Портфолио системата. Целта е да се намери точно настоящата работа, основните слабости, които ще бъдат коригирани, след създаването и представянето на одитния доклад.

1.4 Обхват на одита

Въз основа на целите и обосновките, изложени по-горе, обхватът на одита се състои в:

1. - Оценка на контролите за въвеждане, обработка и извеждане, реализирани в

Портмоне

Тези контроли са предназначени за:

• Гарантирайте съвместимостта на данните, но не и нейната точност или точност, какъвто е случаят, на валидирането на типа данни, които полетата съдържат, или за да се провери дали те са в определен диапазон, проверка на сигурността за достъп до терминали, програми, файлове, данни и поверителна информация. Уверете се, че всички данни се обработват от компютъра. Уверете се, че данните, обработени от компютъра, са надлежно разрешени. Осигурете адекватно разпределение на изходите, предоставени от системата.

2.- Определете контролите, които да се прилагат

След направеното наблюдение трябва да се създадат подходящи контроли, за да се гарантира целостта и поверителността на информацията:

• Контроли за достъп на потребители Контроли на клавиши за достъп Контроли на въведени данни Контроли на лошо извършени транзакции, наред с други

3.- Създайте препоръки към ръководството.

След като бъде анализиран подходът към извършената работа, съответният доклад трябва да бъде предаден на ръководството за преглед и последващо приключване на работата и приемане на предложението за подобрение.

ГЛАВА II

Описание на портфейлната система

Епизод 2

Описание на портфейлната система

Портфолио система

Портфейлната система възниква като необходимост от компанията да удовлетвори най-важните си клиенти, като предоставя определен кредит чрез общи политики на компанията.

Най-важните клиенти се оценяват върху тяхната морална и икономическа платежоспособност като средство за гарантиране на възстановяемостта на портфейла.

За одобрение на заем на своите най-добри клиенти, компанията трябва да поиска банкова гаранция, равна на сто процента от транзакциите си. След това тази стойност се изплаща на компанията в рамките на период до 30 дни.

По същия начин, нивата на разрешение за кредит, за да се избегнат възможни грешни тълкувания или неадекватни кредитни разрешения, се оценяват в рамките на компанията.

Следователно това не представлява висок кредитен риск, тъй като кредитът ревно се охранява от ръководителя на зоната, а в случаите на по-големи суми за свързани дружества - от управителя на дружеството . Следователно съществува по-малък риск от договаряне на лоши или лоши дългове.

В много случаи на кредити компаниите предоставят удължаване на заема в определен срок с такса за лихва. В други компании това не е изпълнено, поради което вземанията влизат в сила в посочения срок и се превръщат в истински актив за това време.

Приложението за портфолио, подробно описано в този документ, е разработено от System Area на компанията, във Foxpro 2.5 за DOS и е внедрено през май 1997 г., след като получи наградата от корпоративната зона за реинженеринг на процесите.

Целта на Портфейлната система възниква като необходимост да отговори на изискванията на ръководството за отпускане на кредити на основните си клиенти, като им предоставя удобни условия за разплащане, съгласно предварително установеното им искане.

Целта на това приложение е да управлява цялата информация относно портфолиото, което взаимодейства с модулите Кеш / Банки и Фактуриране.

2.1 Хардуерна и софтуерна среда

2.1.1 Компютърна мрежова среда

Компанията разполага с малък компютърен център, който е зоната, предназначена за ръководителя на системи, програмисти и оператори и оборудване като цяло, които позволяват да се осигури необходимото техническо внимание като поддръжка в хардуера и софтуера на компанията.

В тази област компанията разполага с мрежа Novell Netware 3.0, инсталирана на специалния сървър, чрез която взаимодействат всички потребители на системата.

Мрежата има 15 интелигентни терминала, интегрирани в компанията.

2.1.2 Налично оборудване

Компютрите, които работят със системата Wallet, са персонални компютри Compaq Prolínea 466 за потребители на системата със следните характеристики:

• Процесор 804868 Mb RAM 420 Mb дисково пространство

Сървърът използва компютър Pentium със следните характеристики:

• Процесор INTEL 16 Mb RAM 1.2 Gb дисково пространство

2.1.3 Операционна система

Мрежовата операционна система е Novell 3.0 Netware и допълнително е инсталирана DOS версия 6.2 операционна система.

2.1.4 Системи за софтуер и помощни програми

Програмни езици:

Компанията използва езика за програмиране FOXPRO 2.5 за управление на базите данни в операционната система DOS.

Приложни системи:

Във фирмата са разработени някои системи, сред които откриваме най-забележителните:

Потребителски имена

(Катедри)

Лична ведомост

Складски запаси

Счетоводство с дълготрайни активи

Счетоводство Счетоводство

Utilities:

Основните комунални услуги, използвани в тази компания са:

• Windows 3.1 за графично управление на командна среда Word, Excel за разработване на електронни таблици и комуникации Достъп за манипулиране на информация, която не е въведена в системата

2.2 Работа на системата

2.2.1 Описание на процеса

Приложението Portfolio е интегрирано в модулите за таксуване и пари в брой / банки. В това приложение получавате информация за фактури, дебитни бележки, кредитни бележки, които захранват Системата при ежедневна обработка.

Актуализацията на файловете за приложения е незабавна и обработката им е централизирана.

При изпълнение на процеса Системата пристъпва към оценка на одобрените кредити и генериране на съответните кредитни бележки. При затварянето се генерира временен файл, съдържащ данните за фактурите на дистрибуторите и свързаните с тях дружества, избрали кредита, с които в края на деня системата генерира кредитна бележка и я изпраща в системата на портфейла на компания майка

1. Модули, интегрирани в портфейлната система Caja / Bancos

Информация за ваучери за плащане, дебитни бележки и кредитни бележки се получава от приложението Caja / Bancos.

1. фактуриране

Фактури от свързани фирми се получават от заявлението за фактуриране

(Селскостопански, промишлени, животновъдни), от основните дистрибутори и други клиенти.

1. процеси

1. Ръководства

Въвеждането на информация, която захранва системата за фактуриране и внасяне на пари, се въвежда от получателя на транзакцията, следователно представлява ръчната обработка, която взаимодейства с модула на портфейла.

1. автоматизирана

Процесите на системата са автоматизирани, тъй като тя приема информацията от други модули и извършва съответните изчисления и разпределение на информация към другите бази на системата.

2.2.3.3 Централизирано

Генерирането на процеса, който захранва другите бази на системата, в края на деня се канализира от един потребител, така че операцията да бъде централизирана на един компютър, разположен в компютърния център

2.3 Диаграма на процеса

1. Въвеждане на информация (Billing-Cash)

Фактурите на свързаните дружества влизат в модула за фактуриране и плащане: Земеделие, промишленост, животновъдство; от дистрибутори и други клиенти. Информацията се получава и за ваучери за плащане, дебитни бележки и кредитни бележки.

1. Онлайн и пакетни процеси

Основните съществуващи процеси в приложението са:

1. а) Процеси за кандидатстване за кредити

• Елиминиране на модификацията на дохода

б) Процес на одобрение на заявление за кредит

1. в) Процес за получаване на документи

• Елиминиране на модификацията на дохода

1. г) Процес за получаване на лихва

• Античност на везните Резюме / Детайл на балансите

1. д) Процес на плащане с документи

• Премахване на доходите

1. Излиза във файлове (вземания и временни)

След обработката се генерира временен файл за фактуриране на дистрибутора. По същия начин файлът за фактуриране се актуализира и съответните записи се генерират във файла за вземане на сметки, където се съхранява информацията, която след това позволява да се вземат решения относно портфейла на просрочените задължения.

2.3.5 Печатни резултати (различни списъци)

Сред основните списъци, които се генерират в тази система са:

• Амортизационна таблица

• Извлечения по сметки Документи за плащане в очакване Документи регистрирани

2.4 Поток на информация

Информационният поток, наблюдаван в приложение RC1, показва взаимодействието на данните, както и на системите, които взаимодействат със системата на портфейла.

Вижте приложение RC1

Сред основните входове в системата имаме:

• Файлове за фактуриране

• CajaFacturasN / DN / C файлове

Сред основните изходи на системата имаме:

1.- Съхранение на информация в следните файлове:

• фактуриране

• Временен фактуриран продукт за получаване на сметки

2. - Екранни запитвания за:

• Издаване на заявления Таблица на амортизацията Извлечения по сметки (виж приложение RC2) Висящи платежни документи.

3.- Списък на:

• Издаване на заявления

• Амортизационна таблица Различни списъци В очакване на платежни документи

Това кратко обяснение е графично потвърдено в схемата на потока, показана в приложение RC 1

ГЛАВА III

Контроли и оценка на сигурността

Глава 3

Контроли и оценка на сигурността

Контролите се разбират като набор от методически разпоредби, чиято цел е да се наблюдават функциите и нагласите на фирмите и за тази цел е възможно да се провери дали всичко се извършва в съответствие с приетите програми, издадените поръчки и приетите принципи.

Когато говорим за ценни книжа, имаме предвид всички дейности, извършвани с цел запазване на поверителността на информацията: при обработката, обработката, попълването и използването на информация от персонала, който оперира и администрира системата.

Този преглед е много важен, тъй като повече от определянето на съществуването на защитни мерки и контроли или ефективността и ефикасността на тези, които вече съществуват, са необходими подробности, които трябва да бъдат анализирани задълбочено.

Сигурността на нашето проучване се дължи изключително на логически уверения, тоест на Приложната система.

3.1 Контроли върху кодовете за достъп до системата

Контролите на ключовете за достъп са важни, за да се избегне уязвимостта на системата.

Не е удобно кодовете за достъп да са съставени от кодове на служители, тъй като неоторизирано лице чрез прости тестове или удръжки може да намери този код.

За да дефинирате ключовете на всички потребители, те трябва да бъдат:

Индивидуални лица - Паролата трябва да принадлежи на един потребител, тоест индивидуална и лична, за да улеснява и определя хората, които извършват транзакциите, както и да възлага отговорности.

Поверително.- Потребителите трябва да бъдат официално инструктирани относно използването на пароли.

Не значимо.- Ключовете не трябва да съответстват на последователни номера, нито на имена или дати.

При преразглеждането на контрола на ключа за достъп трябва да се вземат предвид следните точки:

• Достъпни са само ограничен набор от дейности и менюта.

• Оторизираните потребители трябва да бъдат идентифицирани за основните транзакции, като потребителските пароли трябва да бъдат известни изключително от оторизирани потребители и трябва да се променят периодично. Достъпът до данни в Системата трябва да бъде ограничен в зависимост от ролята на всеки служител.

По време на посещението ни бяхме информирани, че няколко потребители може да имат една и съща парола в определен момент, което е разрешено от системата.

Следователно контролите за парола за достъп са нищожни за това приложение, тъй като всеки потребител, който знае парола, може да получи достъп до това приложение, което е толкова чувствително и деликатно за правилното функциониране на компанията. (P / I) (Точка за доклад)

1. Преглед на разрешителния файл на потребителя (IDEA)

За достъп до информацията искаме съответната документация от системата, което би улеснило интерпретацията на системата и спести време за анализ. Такава документация обаче беше непълна и остаряла.

Поради тази причина, чрез софтуера за одит, наречен IDEA (Интерактивно извличане и анализ на данни), софтуер, международно признат от Канадския институт на сертифицираните счетоводители за използване при одити и / или системни прегледи, пристъпихме към преглед на файла с разрешения на потребителите. Информацията, съдържаща се в този файл, може да се види в приложение RC3, където могат да бъдат установени съответните разрешения на потребителите на системата, в двоично кодиране.

Вижте приложение RC 3

Въпреки факта, че има изрични разрешения за достъп до опциите на менюто, чрез файла за оторизация много потребители имат неоторизирани опции в менютата си поради лошо управление на менюто и опциите, като по този начин губят поверителността на информацията. (P / I) (Точка за доклад)

1. Честота на промяна на кодовете за достъп

Удобно е кодовете за достъп до програмите да се променят периодично. По принцип потребителите запазват същата парола, която са им били зададени първоначално.

Промяната на клавишите периодично увеличава възможността неоторизирани хора да знаят и използват ключовете на потребителите на компютърната система. Удобно е да сменяте паролите поне тримесечно.

Периодичността в промяната на кодовете за достъп на потребителите до Портфолио системата не заема важно място в контрола, който трябва да бъде даден на приложението.

От прегледа на референтния казус беше възможно да се установи, че няма периодичност в промяната на кодовете за достъп, тъй като в много случаи ръководителят на портфейла няма достатъчно време за правилното администриране на това приложение. (P / I) (Точка за доклад)

3.1.3 Управление на паролата за достъп

Администрирането на кодовете за достъп се дава на двама души, които са Системният анализатор и Мениджърът на портфейли, който е пряко отговорен за администрирането на приложението, което включва създаването на потребители, както и съответните разрешения и разрешения за опциите на Меню на приложението, което се анализира, докато аналитикът събира определени изисквания, изрично поискани от ръководителя на портфейла.

Освен това се видя, че създадените кодове за достъп са малки и значими (вж. Приложение RC3), в някои случаи те не са индивидуални или поверителни, но все пак има потребители, които имат достъп до системата без парола., (P / I) (Точка за доклад)

3.2 Анализ на ценни книжа към опции на менюто

3.2.1 Подробности за потребителите и функциите

Това приложение позволява достъп до длъжностни лица от различни области, главно тези, които са свързани с процеса на преглед на по-високо ниво. По-долу подробно описваме потребителите на това приложение:

• Счетоводен мениджър

• Административен мениджър Маркетинг мениджър Помощник за финансов мениджър Помощник за административен мениджър Помощник за финансов мениджър Административен мениджър Портфолио Мениджър Портфолио Супервайзор Системи Анализатор Клиент Кодиране Мениджър

3.2.2 Оценка на опциите на менюто Присвояване

Администрирането на сигурността на приложението отговаря за Портфейлния мениджър, който отговаря за създаването и изтриването на потребители, както и предоставя им разрешенията за операциите, които те могат да използват, но разрешенията, предоставени от потребителя, са лошо присвоени според функциите, които изпълняват, в допълнение системният анализатор има разрешение за всички операции на системата и се явява като негов ръководител, така че в крайна сметка да може да извършва операции над файловете с данни, без да оставя следа., (P / I) (Точка за доклад)

Също така можем да намерим опции от менюто, които не са разработени и които не са необходими.

3.2.2.1 Подаване на заявления за кредит

Стандартно с влизането на нов служител се генерира меню, съдържащо основните опции в ежедневната ви работа. В много случаи това меню може да бъде копие на съществуващо меню, което означава, че опциите на менюто на потребителя са същите като тези на друг потребител, което прави сигурността уязвима при тази и други опции.

Следователно в тази опция няма адекватни предпазни мерки, тъй като различните потребители имат прекомерен достъп до тази опция, която трябва да бъде ограничена. (P / I) (Точка за доклад)

3.2.2.2 Промяна на заявления за кредити

Надзорният орган може да модифицира искане за кредит, ако попада в установения за клиента кредитен диапазон.

В нашия преглед беше установено, че има и други работници, които имат достъп до посочената модификация, което генерира провали в сигурността на опцията.

Важно е да се подчертае, че тази опция поддържа следа за одит на потребителите, които са получили достъп до нея, което ви позволява да имате контрол върху нея. Считаме за важно да стандартизираме използването му., (P / I) (Точка за доклад)

1. Елиминиране на заявления за кредит

Защитните мерки на тази опция не са най-подходящите, тъй като на това ниво много достъпи са регистрирани в опции, зададени в различните менюта, следователно е важно да се стандартизира използването им., (P / I) (Точка за доклад)

Важно е да се определи, че тази транзакция не е разпръсната в множество менюта, а по-скоро използването й е ограничено.

1. Одобрение на кредит

Одобрението на кредита отговаря както на ръководителя на портфейла, така и на генералния мениджър на компанията въз основа на установени суми, но много потребители могат да спазват тази опция и да получат достъп до нея, без да могат да я одобрят поради неподходящо съобщение за случая, което показва следното: »Сумата за одобрение не е определена от компанията», което показва провали в ценните книжа на тази опция. (P / I) (Точка за доклад)

1. Поддръжка на опции

Тази опция се отнася до глобалната актуализация на таблици, концепции, документи, кавички, субекти по компании, потребители, разрешения, параметри.

Портфейлният мениджър и системният анализатор имат главно достъп до тези глобални опции за поддръжка на портфейлни приложения, които извършват поддръжка на опции при поискване от зоната на портфейла (виж приложение RC 3).

Мениджърите, помощник-мениджърите, контролерът, административният началник имат достъп до поддръжка до някои опции по отношение на тяхното управление и приложение.

От прегледа на референтния казус беше възможно да се установи, че има недостатъци в сигурността на тази опция, тъй като не се води одитен запис на потребителите, които са променили всяка конкретна таблица., (P / I) (Точка за доклад)

Това е отказ на системата, който трябва да бъде разгледан и коригиран.

3.3 Контрол на достъпа до програмите на главния модул

Основните програми на модула Portfolio са:

Кредитни заявки. - Чрез въвеждането на заявки започва процесът на обработка на системата, генерирайки основното движение на одобрение или неодобрение на кредита. Вашите основни опции са: Доход, изменение и премахване

Друга допълнителна програма е поддържането на опции, което представлява един от най-критичните процеси в модула.

3.3.1 Заявления за кредит

1. влизане

За въвеждането на заявките е отговорен Портфолиото, който въвежда искането на Клиента, което е в прозореца или по телефонна линия.

Тази заявка се въвежда след преглед на основите на вашата история на плащанията и ако тя се появи в списъка на клиентите, които могат да изберат да купуват на кредит. Ако нито едно от двете неща, споменати по-горе, не е изпълнено, надзорният орган може да го въведе през системата в очакване на отговор от мениджъра на портфейла.

След като заявката бъде въведена, задължение е ръководителят на портфейла или генералният мениджър на компанията да одобри или откаже искането.

Контролите при вписване се дават през диапазоните на разрешените суми.

Следователно в тази опция няма адекватен контрол на достъпа, тъй като различните потребители могат да получат достъп до него, когато използването му трябва да бъде конкретизирано. (P / I) (Точка за доклад)

3.3.1.2 Модификация

Надзорният орган може да модифицира искане за кредит, ако попада в установения за клиента кредитен диапазон. Ако това надвишава сумата и е взето решение за отпускане на кредита, той трябва да бъде упълномощен от Портфейлния мениджър.

От извършения преглед беше установено, че няма адекватен контрол на достъпа в модификацията на заявката, но като предупреждение се запазва името на потребителя, извършил модификацията. (P / I) (Точка за доклад)

3.3.1.3 Изхвърляне

За да изтриете искане за кредит, направено по неволна грешка, трябва да подготвите дебитна бележка, която записва обратното движение.

В противен случай заявка може да бъде изтрита автоматично, ако след 24 часа от влизането в системата тя не е одобрена от нито един потребител. Този механизъм позволява партидни процеси през нощта, за да се елиминират заявки, които не са били посещавани или които имат отказ на кредит като индикатор.

Контролите на това ниво са много добри, тъй като той записва идентификатора на потребителя, извършил транзакцията, както и имената на програмите, в случай че тези заявки са били елиминирани чрез пакетни процеси. (P / I) (Точка за доклад

1. Одобрение на кредит

Тази опция позволява на лицето, което отговаря за одобрението на кредит, да прегледа приложенията, които се разглеждат в рамките на обхвата им на одобрение, и да въведе опцията за одобрение с S, в случай че сумата на кредита е одобрена или N в заявлението. в случай, че е отказано.

Всички потребители на Системата имат достъп до тази опция. Основното ограничение е видимостта на допустимите кредити според техния ранг.

Одобрението на кредита е на ръководителя на портфейл, който е този, който разрешава сумите на повечето покупки на кредит, само в случай че сумата надвишава нормалните лимити, се одобрява от ръководството.

Въпреки че много потребители могат да получат достъп до тази опция и да извършат операцията или не, предостереженията в контролите се дават чрез регистриране на името на потребителя, одобрил кредита . (P / I) (Точка за доклад)

3.3.3 Поддръжка на опции

Тази опция се отнася до глобалната актуализация на таблици, концепции, документи, кавички, субекти по компании, потребители, разрешения, параметри.

Портфейлният мениджър и системният анализатор имат главно достъп до тези глобални опции за поддръжка на портфейлни приложения, които извършват поддръжка на опции при поискване от зоната на портфейла (виж приложение RC 3).

Мениджърите, помощник-мениджърите, контролерът, административният началник имат достъп до поддръжка до някои опции по отношение на тяхното управление и приложение.

Най-ниската степен на действие за поддържане на опциите се осъществява от надзора на портфейла и мениджъра за кодиране на клиенти.

Считаме, че няма адекватен контрол за регулиране на промените в поддържането на тези чувствителни опции. Считаме, че критериите трябва да бъдат унифицирани и да бъдат установени най-много трима отговорници за поддържането на опциите и че повечето от основните длъжностни лица трябва да имат възможности за консултация . (P / I) (Точка за доклад)

3.4 Контрол на редактирането и проверката на програмата

Контролите за редактиране и валидиране на входните данни към програмите се основават на необходимостта от последователни и пълни данни, което ще гарантира надежден изход от даден процес.

Има много контроли за редактиране и валидиране на данни, които са подробно описани от опциите на главното меню.

3.4.1 Проверка на данните в опциите за въвеждане и промяна

Типът данни, които ще бъдат въведени или модифицирани, трябва да върви ръка за ръка с разумността на данните. Поради тази причина контролът на най-чувствителните полета в този модул ще бъде разгледан в анализа.

3.4.1.1 Управление на форматирането

Контролът на формата позволява да се провери дали данните са подходящи (цифрови, азбучни или буквено-цифрови) и съответства на конкретната дължина, тоест не е твърде малка, за да може да се гледа цялото съдържание на полето.

Проверката на типа данни, които съдържат полетата, е много важна, както и проверката дали те са в допустимия диапазон от стойности.

За обекта на приложението на нашия анализ беше възможно да се определи, че има аномалии в дефиницията на типа данни, което причинява сериозни последици като показване на нереален портфейл, грешка, причинена от дефинирания тип данни.

За изследваното приложение контролите за валидиране наистина са общ недостатък и в двете възможности. (P / I) (Точка за доклад)

Освен това беше възможно да се определи, че има грешки в контролите за редактиране, което позволява въвеждането на грешни стойности като азбучни стойности. Този тип грешка възниква поради нерегистриране на някаква рутинна проверка на полето. (P / I) (Точка за доклад)

3.4.1.2 Липсващо поле

Чувствителните полета трябва да бъдат попълнени, преди да приемете каквато и да е транзакция в системата. Тази проверка се извършва при оценката на контролите, тоест важните полета трябва да са пълни.

В случай на информация за приоритет като номер на RUC или идентификационен номер. Тези полета не трябва да бъдат изключвани от обединяване в транзакцията, тоест това поле не трябва да бъде пропускано при извършване на кредитна транзакция.

С този пример уточняваме, че оперативният запис не трябва да се допуска, чиито най-чувствителни полета са оставени празни. Този проблем трябва да бъде открит и контролиран чрез системата.

Този тип грешка присъства в това приложение, което не се счита от приложението . (P / I) (Точка за доклад)

3.4.1.3 Разумност

Данните не трябва да надвишават справедливата му стойност. Така в часове: 24; Месеци: 12; и т.н.

Разумността включва също така автоматичната проверка на таблици, кодове, минимални и максимални граници или преразглеждане на определени предварително установени условия.

За анализираното приложение открихме слабости в гратисния период и полетата за дивиденти.

Освен това установяваме, че има грешки в разумността в тази система, главно при боравенето с дебитни банкноти и кредитни бележки, където номерирането на тези документи, както и стойностите не са разрешени превишения, трябва да се използва адекватна процедура за проверка, която трябва да бъде включена в система. (P / I) (Точка за доклад)

ГЛАВА IV

Окончателен доклад

Глава 4

Окончателен доклад

4.1 Обща информация

4.1.1 Подготовка на доклада

Докладът е кулминацията на одит или преглед. Той представлява критичния аспект на процеса, тъй като е надеждното, видимо представителство, на което могат да се доверят трети страни. По този начин докладът трябва ясно да показва обхвата на извършената работа и отговорността, поета по отношение на разумността на системите. След като бъдат събрани доказателствата, одиторът трябва да прочисти и да прецени с най-голямо професионално усърдие, за да получи съответните заключения. Като издават своето становище, трети страни се доверяват на него до степен, че могат законно да го считат за отговорно за своето мнение.

Функции на отчета

Проверимост

Отчетите трябва да са проверими, читателят може не винаги да може да ги провери лично, но ако се използват общоприети имена или се правят препратки към конкретни елементи или сайтове от мястото на преглед, проверката на информацията се подобрява.

Изводи

Изводът е изказване за нещо непознато, направено въз основа на нещо известно. Човек трябва да е наясно с направените изводи.

Техниката на събиране и анализ на данни ще позволи изводите да бъдат представени по разбираем и логичен начин.

опити

Решенията са израз на одобрение или неодобрение. Точно както заключенията не могат да бъдат избегнати, вие трябва да сте запознати с преценките, направени в доклада.

резюме

Обобщението е важната част от целия доклад. Достоверността и приемането на доклада се възползват, когато се включва оценка на глобалното поведение.

яснота

Яснотата е основна характеристика в доклада, тъй като целта е да се представят ситуации по възможно най-разбираемия начин. Избягвайте използването на много сложни и технически термини, освен ако значението им е уточнено.

Винаги трябва да се има предвид, че съдържанието на доклада трябва да бъде разбрано от други хора, които нямат знания или имат малко познания по темата.

обективност

Докладът трябва да бъде представен с безпристрастни критерии, тоест той не е засегнат от предразсъдъците или предразположенията на лицето, което го е подготвил.

стегнатост

Целият доклад трябва да бъде кратък и прецизен: Заглавието, структурата, формулирането на заключенията, препоръките и речникът.

Тази характеристика отразява особеността, че само онова, което е от съществено значение, трябва да бъде част от доклада.

Следното трябва да се вземе предвид при представянето на доклада:

Външен вид

Докладът трябва да демонстрира добър вкус и индивидуалност. Не трябва да се пише на цветна хартия, нито да се използва в цветно подчертан текст. Мениджърът трябва да проявява трезвост, за да не изглежда показен.

разширение

Докладът трябва да бъде кратък. Използваният език трябва да бъде пряк, подходящ и прост, за да се осигури добра комуникация. Не трябва да бъде изключително дълго.

Opportunity

Подготовката на доклада трябва да бъде навременна, така че предложените препоръки да влязат в сила. Това гарантира, че докладът ще остане в сила през всичките дни до неговото възпроизвеждане.

Елементи на доклада

Докладът трябва да бъде написан от управленски план. Едно или две изречения от важните открития, ако има такива, трябва да присъстват във вашата презентация.

Като цяло докладът трябва да съдържа главно следното:

1.- Предистория

2. - Цели на одита

3.- Резултати от оценката

Текущо състояние

вещи

препоръки

Докладът представя необходимата и специфична информация, която идентифицира констатациите или наблюденията, които бяха заснети по време на одита на контрола на портфейлните приложения, в основните му модули и опции.

4.1.2 Поддържаща документация

Важно е документацията с най-висок приоритет да бъде приложена като физически запис на извършената работа в резултат на извършения преглед.

Това може да включва информация от проведените проучвания или ръководства за оценка, формулирани за потребителите на системата, както и документация, издадена от ревизираната система, доказваща намерените новости или просто резултатите от системата.

За подготовката на окончателния отчет са приложени като подкрепяща документация: извлечения за акаунти, списък на разрешения, регистър на потребителските услуги.

4.1.3 Фаза на затваряне

Заключителната фаза на прегледа и оценката на системата обхваща дейностите, които следват издаването на официалния доклад. Тези дейности могат да бъдат класифицирани в:

1. Оценка на отговора

1. Представяне на доклада и окончателно приключване на одита Коригиращи действия Отговор на доклада

Тези елементи са тясно свързани, затова е удобно да се започне с обяснение на тях.

1. Оценка на отговора

След приключване на доклада трябва да бъде представен проект, който да бъде обсъден с ръководството, така че да се направят необходимите забележки, за да се изяснят всички критерии, които не са посочени с необходимата яснота или дълбочина.

1. Представяне на доклада и официално приключване

Представянето на доклада и официалното приключване трябва да се извърши с писмо или меморандум, след като са направени всички необходими корекции, разгледани при оценката на отговора, окончателният доклад се предоставя след представяне на извършената работа, надлежно подкрепен подкрепяща документация, с която работата е частично завършена, тъй като одиторът след тази доставка трябва да проследи новостите, установени в установен период.

1. Коригиращи действия

Един от основните принципи на оценката на отговора от Управителя е, че неблагоприятните условия за качеството на Системата трябва да бъдат идентифицирани и коригирани незабавно. При значителни неблагоприятни причини ръководството трябва да предприеме необходимите мерки, за да избегне рецидиви.

Тази последна част от процеса на коригиращи действия често е най-трудна за изпълнение, следователно коригиращите действия трябва да бъдат сериозен и непрекъснат процес.

1. Отговор на доклада

Тридесет дни след получаване на доклада е типичен период за отговор.

Обикновено отговорността на ръководителя на екипа, който провежда прегледа, е да проследи отговорите на доклад. Ако отговор не бъде получен до заявената дата, член на екипа трябва да се обади на клиента, поискал услугата, да напомни на организацията, че трябва сериозно да се ангажират с коригиращи действия.

Практически случай

Доклад, представен на генералния мениджър на компанията Fertilizantes Agrícolas X от г-жа Алис Наранхо Санчес, президент на одиторската компания Naranjo-Arrobo Asociados, за периода от 1 октомври до 8 декември 1998 г.

Гуаякил, 8 декември 1998 г.

Уважаемият джентълмен:

Основният ни ангажимент към компанията, на която вие и уместно председателствате, се състои от: Оценка на контролите и ценните книжа на Портфолио системата в компанията на Земеделски торове X, за които бяха анализирани основните проблеми, подробно описани по-долу:

1. Пълна или частична липса на логически уверения

1. Неизправност на системата Недоволство на потребителя

Тези проблеми, причинени от Портфолио системата, бяха насочени към постигане на следните цели в нашата работа и са:

1. Подобрете логическата сигурност на системата

1. Гарантиране на по-голяма конфиденциалност на информацията Подобряване на функционирането на системата Увеличаване на удовлетвореността на потребителите на портфейлната система

В този доклад представяме контролите, които трябва да бъдат приложени в светлината на промените, открити в системата на портфейла.

На Ваше разположение, Госпожица Алис Наранжо

президент

Naranjo-Arrobo Associated Auditors

Окончателен доклад

Оценка на контролите и ценните книжа на портфейлната система в компания за селскостопански торове

Събирайки новините, открити в Системата във връзка със слабостите на контролите след получаване на притеснения на потребителите и физическа проверка в системата, ние пристъпваме към подготовката на документа за констатираните слабости и съответните препоръки към ръководството.

ИСТОРИЯ НА КОМПАНИЯТА

Компанията на Fertilizantes Agrícolas X, пребивава в град Гуаякил, е филиал на важна корпорация на страната ни и е посветена да произвежда, разработва и разпространява всички видове химически торове предимно за селскостопанския сектор на региона Коста.

Заводът му се намира в град Гуаякил в рамките на индустриалния сектор. Той има много търговски точки в основните населени места на страната като: Machala, El Triunfo, Quevedo, Naranjal, Milagro и други.

Сред основните му местни доставчици имаме: Ramexco, Fertagric, Comercial Agrofam.

Сред основните му международни доставчици имаме: NOVARTIS, BASF, Bayer и т.н.

Основните му клиенти са: Reybanpac, Cartonera Andina SA, Expoplast и други.

Основните му конкуренти са: MITSUI, SQM, Fertagric, между другото.

Изправени пред поредица от проблеми, които засягат Общото управление на дружеството на заседание на Управителния съвет, той одобри наемането на външен одит, за да се извърши Оценката на контролите и ценните книжа на Портфейлната система в компанията на Земеделски торове X, от период между 1 октомври до 8 декември 1998 г., с приблизителна продължителност 84 работни дни .

Окончателен доклад

Оценка на контролите и ценните книжа на портфейлната система в компания за селскостопански торове

ЦЕЛИ НА ОДИТ

1. Подобрете логическата сигурност на системата

1. Гарантиране на по-голяма конфиденциалност на информацията Подобряване на функционирането на системата Увеличаване на удовлетвореността на потребителите на портфейлната система

РЕЗУЛТАТИ ОТ ОЦЕНКАТА

Основните слабости, открити в нашия анализ, се дължат на аспекти на контрола, прилагани в различните фази на процеса на Портфейлната система.

1. Документацията за кандидатстване е непълна и остаряла

1. Има разрешения, присвоени на определени потребители, които са лошо дефинирани Системата не контролира, че потребителите имат различни пароли между тях. Няма периодичност за промяна на кодовете за достъп до системата. Паролите на потребителите са много малки. архивиране и възстановяване на системни файлове с данни Има два системни монитора Има неразработени и ненужни опции за менюто Контролите за валидиране на въвеждане на данни са непълни Неправилното въвеждане на транзакции не е валидирано Някои съобщения за грешки в приложението са неточни Някои полета използвани за показване на данни на екрана са много малки

Окончателен доклад

Оценка на контролите и ценните книжа на портфейлната система в компания за селскостопански торове

РЕЗУЛТАТИ ОТ ОЦЕНКАТА

Следва подробен анализ на констатираните слабости, ефектите и редица препоръки, насочени към премахване на тези недостатъци, открити в приложението Portfolio:

Окончателен доклад

Оценка на контролите и ценните книжа на портфейлната система в компания за селскостопански торове

РЕЗУЛТАТИ ОТ ОЦЕНКАТА:

1. - Документацията за кандидатстване е непълна и остаряла

Текущо състояние:

По време на анализа видяхме, че необходимата документация за системата не е налична, тъй като има само ръководството за потребителя, което е остаряло.

Ефекти:

Тази ситуация може да доведе до проблеми на:

• Зависимост на персонала, разработил системата

• Трудност при прилагането на промените в приложението при липса на персонал, който е запознат с приложението Трудност за новите потребители на системата, когато се опитват да я използват, ръководена от остаряла документация, което би довело до объркване и загуба на време.

Препоръки:

Важно е да се поддържа пълна документация на системите, която включва ръководства за потребителя, технически и експлоатационни работи и документацията на програмите. Както и запис на промените, направени в приложението, който включва датата, описанието, отговорния аналитик, потребителя, подпис на преглед и одобрение на потребителя по отношение на направените промени и т.н., това за всяка промяна, на За да има подкрепящ документ в случай на последващи претенции.

Окончателен доклад

Оценка на контролите и ценните книжа на портфейлната система в компания за селскостопански торове

РЕЗУЛТАТИ ОТ ОЦЕНКАТА:

2. - Има определени разрешения, определени за определени потребители, които са лошо дефинирани

Текущо състояние:

По време на прегледа успяхме да забележим, че няма процедури за дефиниране на потребителите, които да гарантират адекватен контрол на достъпа до различните опции на приложението. Например, потребителят на MCJ има разрешение за архивиране на системните файлове с данни, тъй като той е лицето, което отговаря за обработката само на кодовете на производителите.

Ефекти:

Тази ситуация позволява:

• В крайна сметка потребителят може да получи поверителна информация от компанията и евентуално да я злоупотреби.

• Потребителят може да заблуди получената информация, същата, която би могла да попадне в ръцете на трети страни, с опасността, която това предполага.

Препоръки:

От съществено значение е да се извърши преглед на разрешенията, предоставени на потребителите, за да се избегне изтичане на поверителна информация за компанията, както и да се присвоят на потребителите съответните разрешения в съответствие с функциите, които изпълняват.

Окончателен доклад

Оценка на контролите и ценните книжа на портфейлната система в компания за селскостопански торове

РЕЗУЛТАТИ ОТ ОЦЕНКАТА:

3.- Системата не контролира дали потребителите имат различни пароли между тях

те

Текущо състояние:

По време на посещението ни бяхме информирани, че няколко потребители може да имат една и съща парола в определен момент, което е разрешено от системата.

Ефекти:

Тази ситуация позволява:

• Неправомерен достъп до системата, тъй като човек, който не е потребител на системата (натрапник), може да научи паролата на някой потребител A и тъй като това е същата парола на друг потребител B, който може да има разрешения, които позволяват достъп до определени функции С ограничена обработка на информация атакуващият може да получи достъп до системата, използвайки името на потребител B и паролата на потребителя A и по този начин да извърши неоторизирани операции върху файловете с данни на приложението.

• Липса на поверителност в потребителските пароли.

Препоръки:

Важно е да се запази конфиденциалността и уникалността на кодовете за достъп на потребителя до системата, за да се избегне евентуален неоторизиран достъп до приложението, освен това трябва да бъде приложена програма за програмиране, която позволява на системата да оцени паролата на потребител, когато се създава или променя, и по този начин избягвайте повтарящите се ключове.

Окончателен доклад

Оценка на контролите и ценните книжа на портфейлната система в компания за селскостопански торове

РЕЗУЛТАТИ ОТ ОЦЕНКАТА

4.- Няма периодичност за смяна на кодовете за достъп до системата

Текущо състояние:

По време на прегледа беше установено, че не е определен интервал от време за промяна на кодовете за достъп на потребителите към системата Wallet.

Ефекти:

Тази ситуация позволява:

• Неоторизирани хора знаят паролата на даден потребител.

• Неправомерен достъп до системна информация, използвайки името и паролата на небрежен потребител, който може да извършва неоторизирани операции.

Препоръки:

Трябва да се дефинират политики за сигурност на данните, които включват: интервал от време за промяна на паролата, администратор на системата за сигурност, стандарти за създаване на потребители, наред с други неща.

Окончателен доклад

Оценка на контролите и ценните книжа на портфейлната система в компания за селскостопански торове

РЕЗУЛТАТИ ОТ ОЦЕНКАТА

5 .- Ключовете на потребителите са много малки

Текущо състояние:

По време на анализа научихме, че потребителите имат много малки клавиши, които основно се състоят от две или три букви, които се назначават от мениджъра на портфолиото.

Възможно е и създаване на потребители без парола.

Ефекти:

Тази ситуация позволява:

• Конфиденциалността и сигурността се свеждат до системата, тъй като много малките клавиши са лесни за научаване и копиране.

• Възможни са неоторизирани достъпи до системата Потребителите могат да бъдат създадени без парола, което представлява потенциална опасност за информационната сигурност, тъй като името (входът) на потребителя е първото нещо, въведено при достъп до системата, ако е Можете да го видите, така че тъй като този потребител няма парола, всяко неоторизирано лице може да влезе само с името на потребителя без парола и по този начин може да изпълни всички операции, за които този потребител има разрешение.

Препоръки:

Препоръчва се използването на пароли с минимум пет знака, като опцията за въвеждане на парола на потребител също трябва да бъде променена, така че въвеждането й да е задължително при създаване на потребител.

Окончателен доклад

Оценка на контролите и ценните книжа на портфейлната система в компания за селскостопански торове

РЕЗУЛТАТИ ОТ ОЦЕНКАТА

6.- Всеки потребител може да архивира и възстановява системните файлове с данни

Текущо състояние:

След като прегледахме опциите на менюто за всеки потребител, можехме да видим, че всеки потребител на системата може да архивира и възстановява файловете с данни, тъй като имат съответните разрешения.

Ефекти:

Тази ситуация включва:

Евентуално потребителят може да получи резервно копие на информацията, да я модифицира и след това да я възстанови в системата, всичко това по неоторизиран начин, което означава голяма опасност за сигурността на информацията, тъй като всяка операция би могла да бъде извършена, да запише транзакции и т.н.., без да оставя никакви доказателства за това.

Препоръки:

Препоръчва се функциите за архивиране и възстановяване на информация да бъдат възложени на дадено лице, независимо дали от финансовата или системната област, и след това само да им позволят да имат достъп до тази опция на системата, като това лице също трябва да бъде посочено. честотата, с която трябва да се правят резервните копия.

Окончателен доклад

Оценка на контролите и ценните книжа на портфейлната система в компания за селскостопански торове

РЕЗУЛТАТИ ОТ ОЦЕНКАТА

7.- Има два системни надзора

Текущо състояние:

Можехме да видим, че има два системни надзора: портфейлен мениджър (FF) и системен аналитик (RG), последният се появява в системата като надзорник, така че тя има достъп до всички функции за обработка на данни на системата По искане на финансовия мениджър тези функции бяха възложени на портфейлния мениджър, но съответните разрешения на системния анализатор не бяха оттеглени.

Ефекти:

Тази ситуация позволява:

• С разрешението на двама души за извършване на всякакъв вид операции могат да възникнат проблеми поради промени, направени от единия от тях без знанието на другия.

• Има възможност за неоторизирани изменения на производствените файлове без знанието на финансовата област, което може да причини много неудобства при преглед на резултатите.

Препоръки:

Важно е да се разделят функциите на всеки потребител по такъв начин, че надзорът върху системата да се извършва от едно лице, което е отговорно за това, освен това персоналът на системата не трябва да има достъп до операциите, които върху производствените файлове могат да повлияят на приложение, трябва да имате само разрешение за извършване на операции върху файлове за разработка (тестове)

Окончателен доклад

Оценка на контролите и ценните книжа на портфейлната система в компания за селскостопански торове

РЕЗУЛТАТИ ОТ ОЦЕНКАТА

8.- Има опции на менюто, които не са разработени и не са необходими

Текущо състояние:

По време на прегледа се забеляза, че в менюто на процеса на кандидатстване има опции, които не са разработени, като например; Генериране на закъснели такси и трансфер на вземания на документи, които няма да бъдат разработени. В момента те се споменават само в менюто.

Ефекти:

Тази ситуация може да причини:

• Объркване и отвращение към потребителите, когато се опитват да използват тези опции

• Че в заявлението се генерира грешен критерий

Препоръки:

Препоръчва се във всички менюта да се показват само опциите, които се използват или които ще бъдат използвани в бъдеще, така че потребителят да оцени какво наистина може да направи системата.

Окончателен доклад

Оценка на контролите и ценните книжа на портфейлната система в компания за селскостопански торове

РЕЗУЛТАТИ ОТ ОЦЕНКАТА

9.- Контролите за валидиране на въвеждането на данни са непълни

Текущо състояние:

По време на прегледа беше забелязано, че липсват валидации за въвеждане на данни, например: Когато се въведе дебитна бележка, може да бъде определена отрицателна стойност за полето за гратисен период, а също така общата стойност на бележката може да бъде разделена на 99 дивидента.

Ефекти:

Тези видове грешки могат да причинят:

• Причинява значителни разлики в резултатите от системата

• Провокирайте дисбалансите в общите суми по отношение на тези на други системи Пряко влияят на надеждността и верността на информацията, изразена във финансовите отчети

Препоръки:

Препоръчваме на зоната на системите да прегледа валидирането на данните за това приложение с помощта на потребители, които им предоставят информация за решаване на този проблем, за да се предотврати появата на гореспоменатите проблеми в бъдеще.

Окончателен доклад

Оценка на контролите и ценните книжа на портфейлната система в компания за селскостопански торове

РЕЗУЛТАТИ ОТ ОЦЕНКАТА

10.- Вписването на неправилни транзакции не е валидирано

Текущо състояние:

По време на прегледа се забелязва, че не са създадени процедури за валидиране на транзакции с грешни данни или подпрограми, които не позволяват пропускането на чувствителни полета в приложението, например: Ако въведем дебитна бележка с гратисен период (40) и 99 дивидента, които се изплащат, системата го приема и не се получава последващо уведомление, в което се посочва, че е въведена неправилна транзакция.

Ефекти:

Тези видове грешки могат:

• Причинява значителни разлики в резултатите от системата

• Причина за несъответствия на сумите спрямо тези на други системи Генерира трудности при откриване на неправилни транзакции Пряко се отразява на надеждността и верността на информацията, изразена във финансовите отчети.

Препоръки:

Препоръчва се да бъдат създадени програми за програмиране, които позволяват на системата да открива неправилни транзакции дори след като са били въведени, и в същото време да ги изтрива и записва във временен файл за по-късен преглед и корекция от някой, който ги спира. ефектът е обозначен

Окончателен доклад

Оценка на контролите и ценните книжа на портфейлната система в компания за селскостопански торове

РЕЗУЛТАТИ ОТ ОЦЕНКАТА

11.- Някои съобщения за грешка в приложението са неправилни

Текущо състояние:

Някои от съобщенията за грешка, показани от системата, не отразяват истинската повреда, която е възникнала, например: При въвеждане на дебитна бележка и въвеждане на отрицателен номер в полето за валутен курс, системата показва следното съобщение „Валутният курс не е въведен“, което е напълно неправилно.

Ефекти:

Тази ситуация може:

• Предизвиква объркване и загуба на време за потребителите на системата

• Когато потребителите въвеждат грешни данни, те не знаят каква е истинската грешка, тъй като системата им показва грешно съобщение Степента на трудност в работата на системата се увеличава.

Препоръки:

• Препоръчва се зоната на системите да прегледа съобщенията за грешки, показани от това приложение, така че системата да предлага по-големи удобства на потребителите.

Окончателен доклад

Оценка на контролите и ценните книжа на портфейлната система в компания за селскостопански торове

РЕЗУЛТАТИ ОТ ОЦЕНКАТА

12.- Някои полета, използвани за показване на данни на екрана, са много малки

Текущо състояние:

Определени полета на екрана не са достатъчно големи, за да показват резултата от аритметична операция, например: Когато беше въведено кредитно известие за долар и резултатът от умножаването на валутния курс по стойността на банкнотата по-голяма от стойността, която може да показва изходното поле, тогава успешната еквивалентност на транзакцията не може да бъде показана.

Ефекти:

Тази ситуация може:

• Предизвиква объркване и загуба на време за потребителите на системата

• Генерират неудобства за потребителите, когато въвеждат данни и не могат да визуализират резултатите от своите аритметични операции, така че те ще бъдат задължени да ги извършват ръчно, за да проверят данните им.

Препоръки:

Препоръчва се системната област да прегледа изходните полета на това приложение, в които са показани резултатите от аритметичните операции, за да може системата да осигури по-големи съоръжения на потребителите и да предотврати появата на гореспоменатите неудобства в бъдеще.

Изводи:

Изчисляването и изчисляването са дисциплини или техники, които се намесват във всички човешки дейности, без които големи обеми от данни не биха могли да се съхраняват или обработват, информация, получена за кратко време или с голяма точност, свързана с данни за получаване на алтернативи за решение на финансови, административни и дори социални проблеми.

Следователно не може да се представи компания, в която тази чувствителна област е пренебрегвана от периодичните контроли, които информационната среда изисква.

Областта на одитите в многобройните й форми започва да се признава от бизнеса като ефективно средство за подобряване на качеството.

Системният одит трябва да бъде неразделна част от общия одит. По този начин се извършват периодични проверки за елиминиране на рисковете, представени от дизайна на някои системи.

Рисковете и общите контроли влияят на рисковете и контролите на приложението, следователно, всеки от тях трябва да се подчертае от контролите на входа, обработването до контролите за изход. са изпълнени.

В нашата работа успяхме да намерим серия от аномалии в контролите, като например:

• Неприсвояване на потребителски профили, сериозна грешка, която генерира безразборен достъп до чувствителни опции Лошо управление и администриране на ключовете.

• Редактиране на грешки в контрола Неправилно възлагане на разрешение поради неправилно управление на ценни книжа.

В някои случаи, обаче, ако са представени опции за спасяване, като например запазване на потребителя на лицето, което е получило достъп до системата, което може да помогне при идентифициране или откриване на проблем.

Следователно потребителските отдели трябва да бъдат осведомени за важността на участието в разработването на приложения, за да открият повреди в системите преди влизането му в експлоатация, както и безопасността и значението на споделянето Кодове за достъп с колеги от същия район или външни лица.

Информационните системи са част от общите ресурси на организацията, всъщност в някои компании са толкова важни, колкото пазарната стратегия, продуктовия дизайн и т.н. Следователно, ръководителите, освен да разпределят парични ресурси, трябва да участват в проектирането на системи, които ще доведат до реален път към постигане на целите и целите на компанията.

В тази работа бяха изложени основни понятия и теории на процеса на одит на системите. Направен е опит да се представят някои начини за прилагане на теорията. Когато бъде установено прилагането на одити, някои методи ще бъдат разработени, а други ще изчезнат. Това се дължи на еволюционния процес на науката. Независимо от промените; Целта на одита или оценката винаги ще бъде да предостави на ръководството съдържателна информация, която да основава процеса на вземане на решения, който води до безпроблемното функциониране на компанията.

приложения

Информационен поток на портфейлната система

терминология

терминология

Файл.- Това е елемент за съхранение на информация, който се състои от поредица от записи, всеки от които съдържа подобна информация. По този начин един файл може да съдържа информацията на всички клиенти на компанията и всеки запис ще бъде определен клиент.

Одит. - Независима, структурирана и документирана оценка на адекватността и изпълнението на дадена дейност по отношение на конкретни изисквания.

Системен одит. - Той позволява да се знае как да се идентифицират съществуващите слабости в областта на системите, да се научи как да се провери степента на достоверност на обработваната информация, увеличаване на капацитета за определяне на подходяща среда за сигурност за обработка на информация и разбиране на обработката на компютризирани инструменти за извършване на одитни тестове.

Диаграма на потока. - Това е графично представяне на последователност от операции, при които се използва предварително определен набор от символи, за да се илюстрират стъпките, участващи в потока на данни в дадена процедура или система, тя може да бъде обща или подробно.

Интерактивна.- Система, която позволява взаимодействието между мъжете и машините чрез някакво терминално устройство.

Multiprocessing. - Това е връзката между два или повече процесори за обработка на големи обеми от данни и предоставяне на мултипрограмни услуги или услуги за временно ползване или и двете.

Мултипрограмиране. - Компютърна система, която позволява да се стартират едновременно две или повече различни програми.

Обработка.- Това е реалното изпълнение на задачите на една система.

Разпределен процес. - Система за обработка на данни, която предполага децентрализиран дизайн, контрол и работа, посредством серия от компютърни мрежи.

Приложни програми. - Това са тези, които са необходими за изпълнение на задачи в определена система за обработка на транзакции.

Симвология. - Сред основните символи, използвани в диаграма, имаме следното:

Процес на съхранение

Доклад за въвеждане на данни

Ръчно въвеждане на екрана

Блок-схема за начало / край на решението

Операционна система. - Те са системни програми, които контролират ресурсите на машината и служат като връзка между тези ресурси и потребителите. Също така се наричат ​​главни програми за контрол, монитори или програми за контрол на системата. Всеки производител има уникално име за системата или операционните системи, които доставя.

Софтуер.- Програма, която дава инструкции на компютъра. Това е и името на операционната система.

Време за споделяне. - Извършване на две или повече функции през същия период, присвояване на малки раздели от общото време на всяка функция.

Тя позволява на компютъра да се използва по начин, който обслужва няколко потребители за едно и също време.

Отговор време.- времето необходимо за предаване на информация от един компютър и да получи отговор.

Реално време. - Съхраняването на информация в системата става в момента, в който се извършват транзакциите. Приложенията в реално време са от съществено значение в случаите, когато данните се променят няколко пъти в рамките на един ден и се изисква да се консултират почти веднага с направените промени.

Валидиране. - Планирана проверка на данни или резултати, за да се гарантира, че те отговарят на предварително определени стандарти.

библиография

• Cohen Daniel, Sistemas de Información, Ed..McGraw Hill, 1995Ettinger Richard и Golieb David, Créditos y Cobranzas, De Continental, México, 1980. Institut Mexicano de Contadores Publicos, Norms and Procedure for Auditing, De Litograf, México, 1972Leiva Франсиско, Научни изследвания, Де Ортис, Кито, 1979. Майне Линет, Директно от върха, De. Alfaomega, De Presencia, Bogotá, 1995. Méndez E. Carlos, Методология на изследване, Mc Graw Hill, 1994Ríos Wellington Dr, Одит на изчислителните системи, Deba Abaco, Quito, 1994 Sanders Donald, Computing: настояще и бъдеще. McGraw Hill, De. Interamericana, 1990 г. Канадският институт на дипломираните vs. 5.0, Интерактивно извличане и анализ на данни IDEA - Ръководство за потребителя, Торонто, 1994

Изтеглете оригиналния файл