1. 2009Ingeniera de Sistemas - VIIICICLO Integrantes: Cruzado Quintana Frank Garca Duran Gianfranco Hinostroza Cirilo Marcela Valera Romero Irwin [AUDITORA DE SISTEMAS DE INFORMACIN A LA EMPRESA SKA INVERSIONES S.A.C.] Proceso de Auditora de Sistemas de Informacin a la Empresa SKA Inversiones S.A.C. al rea de Ventas.

2. I CAPITULO:Auditoria de Aplicaciones (Relacionado a los sistemas de informacin) Procesar Auditoria de Control de DatosFuentes Procesar Auditoria de Control de Datosde EntradaAuditor VENTASProcesar Auditoria de Control de Procesamiento de Datos Procesar Auditoria de Control deSalida de Datos 3. 1. Auditoria para el Control de datos fuentes: (Diagrama de caso de uso)Procesar la Revision de Preparacion de DatosProcesar el Control deDocumentos en Blanco VENTAS Auditor del Sistema de Informacion(f rom Use Case View) Procesar Generacion Autorizacion y Control... Procedimiento de Procedimiento para la Autorizacion de Entrada Contro de Vigencia de Documentacion y Control...Documentos 4. 1.1. Revisin de Procedimiento para la preparacin de datos AUDITOR VENTASPedir BuscarDocumentacinDocumentacin Identifica EntregaDocumentacinDocumentacinVerifica Validez de Datos Identifica Personal Responsable Muestra ade Preparacin de datos Personal Evaluar Funciones de Controlde Preparacin de datos 5. Cuestionario de Procedimiento para la ExisteObservacionespreparacin de datos S NoLos documentos se efectuar en forma gradual, por lo que se ha considerado necesario efectuar a.- Identificar los documentos utilizados para cada tipo de X las siguientes aclaraciones entrada.respecto al formato de las Facturas y Boletas de Venta, como tarjetas de crdito, ventas de consumo. Asegurarse de la validez de los datos que se integran a cada documento ver su validacin y b.- Asegurarse de la validez de los datos que se integran X su vencimiento de ese a cada documento fuente. document verificar y asegurarse de donde viene depende del cliente.La personal responsable de la preparacin de los datos de c.- Identificar al personal responsable de la preparacin entrada, es la responsable de de los datos de entrada, revisar los documentos fuente yX organizar y evaluar las entradas las autorizaciones. de los pedidos de los productos que ingresan y salen mediante el sistema informacin.d.- Evaluar las funciones de control de la preparacin de los d.- Evaluar las funciones de control de la preparacin de datos antes de entregar cada los datos antes de trasmitir la informacin para su boleta oh factura que se hace al X procesamiento.cliente oh al consumidor debe ir al sistema de informacin oh al sistema de control 6. 1.2. Procedimientos de: para el Control de documentos fuentes en blancos (Noprocesado)AUDITORVENTAS Pedir DocumentacinBuscar Documentacin en blancoen blancoVerificar que documentos esten bajo personasEntregaajenas a la generacin de los mismosInformacinVerificar lugar de almacenamiento de documentos Verificar autorizacin de salida de documentosVerificar si cada persona preparaun solo tipo de transaccin Verificar si cada personarealiza dos actividades 7. ExisteCuestionario de Procedimiento de: para el Control deObservaciones documentos fuentes en blancos (No procesado)S No Determinar si los documentos a.- Determinar si los documentos fuente en blanco se fuente en blanco se encuentran encuentran bajo la custodia de personas que no tienen Xbajo la custodia, de los nada que ver con la generacin de stos. encargados cada nivel tiene suresponsabilidad que se lootorgo.Los documentos fuente en b.- Asegurarse de que los documentos fuente en blancoblanco estn almacenados en estn almacenados en un lugar seguro. Xun sistema de informacin y enuna base de datos de ventas La autorizacin de salida de los c.- Determinar si la autorizacin de salida de los documentos fuente en blancoX documentos fuente en blanco requiere la firma de dos o requiere la firma del dueo de ms personas.la tienda ska.. Identificar a las personas quepreparan las transacciones, d.- Identificar a las personas que preparan las transacciones, determinar si cada persona prepara un solodeterminar si cada persona tipo de transaccin. Por ejemplo, el establecimiento deprepara un solo tipo de nuevos registros en el archivo maestro y la actualizacinX transaccin. No porque la de esos registros, deben considerarse como dos tipos transaccin de ventas nada mas diferentes de transacciones. lo hace esa rea y entregacuentas al administrador deska.e.- Identificar a las personas involucradas en las fases deX Los documentos Justificativos preparacin de la informacin y asegurarse de que dichas que son todas las disposiciones y personas no lleven a cabo ms de una de las siguientes documentos legales que fases: determinan las obligaciones yderechos de la dependencia oentidad para demostrar quecumpli con los ordenamientosjurdicos y normativosaplicables.Los Documentos existentes son: Documento de venta (factura, boleta) Nota de Venta Reportes de Venta Registro de Pago Registro de Garante 8. CajeroCliente(from Sistema ...) ventas) de (from Sistema ...) ventas) deRegistrar pago (from Si stem a de ventas) JuridicoNatural Emitir Dcto. de venta (from Sistema ...) ventas) de (from Sistem a de ventas) Pagar con tarjeta de credito (from Sistema ...) ventas) de(from Sistema de ventas)Pagar al contado Pagar con cheque(from Si stem a de ventas)(from Sistema de ventas) Emitir facturaEmitir Boleta de venta (from Sistem a de ventas) (from Sistema de ventas)Documentos Empleados en FacturacinEmitir nota de venta(from Sistem a de ventas)Cliente Vendedor(from Sistema ...) ventas)de(from Sistema ...) ventas)deProcesar venta(from Si stem a de ventas)Registrar garante(from Si stem a de ventas) Procesar venta al contado Procesar venta al credito (from Si stem a de ventas)(from Si stem a de ventas)Documentos Empleados en Ventas 9. Jefe de ventas (from Sistema ...) ventas) deGenerar reporte de ventas(from Si stema de ventas) Listar despacho a domicilio (from Sistema de ventas) Listar ventas al contado(from Si stema de ventas)Listar garantes (from Si stema de ventas)Listar ventas al credito (from Si stema de ventas)Documentos Empleados en Gestin de Reportes 1.3. Procedimiento de: Generacin, autorizacin y control de documentos fuentes. 1.3.1.Procedimiento de autorizacin de entrada AUDITOR VENTAS Observar Proceso deControl de EntradaVerificar Aprobaciones asignadas al personal Verificar Personal cumpliendo su Desempearrespectiva laborlabor asiganadaVerificar Manuales deMostrar Manuales deExperto y Usuarios Aplicaciones Observar Estacin yCdigo del Operador 10. ExisteCuestionario de Procedimiento de: Generacin, Observaciones autorizacin y control de documentos fuentes SNoEl documentos Comprobatorios son los documentos originales a.- Observar el proceso de control de entradaXque generan y amparan los registros contables de la dependencia o entidad. Los pedidos que son recibidos a b.- Verificar que las aprobaciones correspondan la tienda ska tienen que ser precisamente al personal responsable de estasX comprobado por administrador autorizaciones. o h jefe de rea.el objetivo de las areas es encargare cada uno de su c.- Confirmar que el personal responsable de la entrada X de los datos no est realizando tareas incompatibles. valores de trabajo , por ejemplo el Caja no recibe oficios .d.- En las aplicaciones en que se utiliza terminal, En las aplicaciones en que se comprobar que los procedimientos del usuario incluyan lautiliza terminal, comprobar queX utilizacin, el mantenimiento, el control de la estacin de los procedimientos , Manuales trabajo y los cdigos del operador. de usuario y expertose.- Observar si la estacin y el cdigo del operador se usan Xel cdigo del operador se usan y y se modifican de acuerdo con los procedimientosse modifican de acuerdo con los aplicables. procedimientos aplicables. 11. 1.3.2.Procedimiento para la documentacin y control de la operacinAUDITORVENTAS Pedir autorizaciones por Mostraraplicacin Autotizaciones Revisar autorizacionespor aplicacinRevisar Entrada Inicial de Mostrar Informacin Inicialla Informacinde la Aplicacion Revisar Mensajes deEjecutar Error por AplicacionAplicacinRevisar Establecimiento de registros de control de errores y excepcionesRevisar Procedimientos paradepuracin de errores y excepciones Revisar Controles de InformacinRevisar Procedimientode Informacin 12. Existe Cuestionario de Procedimiento para la Observacionesdocumentacin y control de la operacinS NoLas autorizaciones adecuadas se darn cuando la aplicacin este a.- Las autorizaciones adecuadas para cada aplicacin.X correcta oh si no se rechazara. La autenticacin (para identificar a los clientes de la aplicacin) La revisin se dar con el b.- Revisin de las autorizaciones. X administrador oh el encargadoLa decisin usada y la entrada se c.- Edicin usada o la entrada inicial de la informacin. X dar depende de la informacin d.- Mensaje de error por aplicacin. X Buscar solucin e.- Establecimiento de registros de control de errores yX Describe la ventana Lista de errores excepciones.buscar ayuda sobre los errores. Solucionarlof.- Procedimientos para depuracin de errores y Solucin excepciones.g.- Controles que garanticen que la informacin de la Los controles sern garantizados entrada sea revisada por una unidad de control antesmediante el sistema. De entrada si de procesarse.es aceptado oh no h.- Procedimientos de comunicacin, en caso de queBuscar soluciones y ayuda a los falte informacin.especializados al tema. X i.- Controles sobre la extensin de la correccin de Describe procedimientos errores mediante la unidad de control de informacin.para comprender un Xcomportamientoinesperado en el cdigodel diseadorpersonalizado.j.- Controles de cambios y actualizaciones del archivoX Representa la clase de excepcin de maestro.las excepciones especficas del analizador. 13. 1.3.3. Control de vigencia de documentos AUDITOR VENTASPedir DocumentosMostrar DocumentosFuenteFuenteVerificar si los documentos fuente sonretenidos el tiempo suficienteVerificar si los documentos fuentetienen impreso periodo de vigencia Verificar Medios de almacenamientoMostrar Medios de de documentos fuente almacenamiento Evaluar medios de almacenamiento dedocumentos fuente Verificar Personal a cargo deMostrar Personal documentos fuentea cargo Evaluar Personal Verificar que se hace con documentos al expirarse 14. Existe Observaciones Cuestionario de Control de Vigencia de Documentos SNo1.- Determinar si los documentos fuente sonNecesario tener una copia de la retenidos el tiempo suficiente para permitir la Xbase de datos oh del sistema de reconstruccin de la informacin en caso de que se informacin pierdan sta y el procesamiento posterior.El documento pasa 2.- Determinar si en cada tipo de documento fuente primeramente por el gerente X se ha impreso previamente su periodo de vigencia.general de la entra el elige laopcin rechazar oh aprobar. Los medios se almacena y 3.- Evaluar los medios con que se almacenan y Xrecuperan los documentos de recuperan los documentos fuente. datos fuentes4.- Determinar si el departamento que origina la El departamento que origina la informacin guarda copias de los archivos de los informaron guarda copias de X documentos fuente y si stos se turnaran a otros los archivos de los documentos departamentos. fuente.5.- Determinar si los documentos fuente contenidos Los documentos contenidos en en el archivo del departamento que los origin sloel archivo del departamento de Xlos origino solo esta disposicin estn a disposicin de personal autorizado.del personal autorizado.6.- Determinar si, al expirar los documentos fuente, El documento fuente, se saca se sacan del almacn y se destruyen de acuerdo con del almacn y se distribuye las clasificaciones y los procedimientos de seguridad Xde acuerdo con las existentes en la organizacin. clasificaciones y losprocedimientos de seguridadexistentes en la organizacin. 15. 2. Auditoria para el Control de Datos de entrada:Procesar la conversion yentrada de datosProcesar la conversion yentrada en lineaAuditor del Sistema de Informacion VENTAS(from Auditoria de Control de Datos Fuente)Procesar la validacion y la (from Use Case View)edicion de datosProcesar errores de entrada de datos 16. 2.1. Procedimiento de conversin y entrada de datosAUDITOR VENTASSolicitar Documentacin Mostrar de Entrada de Datos Documentacion VerificarDocumentacinSolictar ver Personal Mostrar Personal cumpliendo su respectiva labor laborando Verificar si cada persona realiza dos actividadesVerificar Grupo de controlde Ingreso de datos Verificar si datos son ingresados simultneamente Verificar proteccin dedocumentos contra duplicacin 17. ExisteCuestionario de Ventas ObservacionesS No El sistema indica al usuario los pasos 1.- Determinar si existen procedimientos documentados que expliquen la maneraX que se convierten e introducen los datos.de registro.2.- Identificar a las personas que ejecutan el trabajo en el proceso de entrada de Mediante una contrasea el sistema datos. Cercirese de que ninguna persona realiza ms de una de las siguientesXreconoce quien la esta manejando. operaciones:Los trabajadores independientemente 3.- Determinar si dentro del departamento de sistemas de informacin existe un grupo separado que es responsable de realizar las operaciones de entrada de Xson encargados de realizar el registro datos. de datos.4.- Determinar si existe un grupo de control en el departamento usuario o en elEl sistema identifica los datos que se departamento de sistemas de informacin que, en forma independiente, controleX ingresaran, si es que no es adecuado los datos que se introducirn. no ingresa. Los datos ingresan de acuerdo a las 5.- Si el grupo de control del departamento usuario controla los datos de entrada, determinar si la entrada y el registro de los datos fuente se realizan en formaX ventas que se van ejecutando, todo es simultanea en el punto origen. administrado en la base de datos. Los datos ingresados son duplicados, 6.- Determinar si los documentos fuente utilizados en la conversin o en la entrada de los datos, son marcados para proteger contra duplicaciones oX por si haya reclamos, por un periodo reentradas.de 24 horas. 18. 2.2. Procedimiento de conversin y entrada en lnea AUDITOR VENTAS Identificar terminalesMostrar terminales para para ingreso de datos ingreso de datosVerificar si terminalesson puestas bajo llave Verificar si los supervisores habilitancada terminal Verificar si entrada de datos se hacendesde terminales autorizadosVerificar uso de contraseasVerificar uso de matrizde acceso a los datosVerificar numero detransacciones por usuario 19. ExisteProcedimiento de validacin y edicin de datosObservaciones SNoLos terminales de entrada de datos, no 1.- Determinar si las terminales para la entrada de datos, son puestas Xcuentan con medidas de contingencia bajo llave, en un cuarto fsicamente seguro.respecto a seguridad fsica.Se elaboro un documento el cual justifico que 2.- Determinar si se requiere que los supervisores habiliten cada Xse requera obligatoriamente la supervisin de terminal, antes de que el usuario inicie su trabajo diario.las maquinas antes de ser usadas.El sistema solo esta instalado en las maquinas 3.- Determinar si la entrada de los datos solo puede hacerse desdedel supermercado; y los instaladores se terminales que tienen asignados previamente ciertos niveles deXencuentran totalmente protegidos por el autoridad.gerente.Para ingresar datos al sistema se requiere una 4.- Determinar si se utilizan las claves de accesos, passwords, para Xcontrasea y asignar el nivel que tiene a su evitar el uso no autorizado de las terminales.cargo. 5.- Asegurarse de que las claves de accesos, o los cdigos deLas contraseas son privadas, y el personal autorizacin no sean desplegados en la pantalla ni impresos niXesta capacitado para mantener la discrecin. tecleados sobre campos enmascarados.Al momento de ingresar al sistema esobligatoriamente asignar el cargo que dispone 6.- Determinar si se utiliza una matriz de acceso a los datos para Xen la empresa, esto genera que el usuario restringir el acceso no autorizado a datos clasificados.comn no pueda ingresar a los mdulos quepertenecen al gerente o supervisor.El sistema no se encuentra consistenciado 7.- Determinar si se le permite a cada usuario, mediante claves derespecto a privacidad en transacciones, acceso, o cdigos de autorizacin, entrar solamente en uno o en unXcualquier usuario puede realizar diversas nmero limitado de tipos de transacciones.transacciones. 8.- Investigar si el grupo de control del departamento usuario maneja totales de control de lote, generados por terminales o por El departamento usuario supervisa y controla x concentradores, para asegurarse de que cada lote esta completo.la distribucin diaria.2.3. Procedimiento de validacin y edicin de datos 20. AUDITORVENTASSolicitar Formatos paraMostraringreso de datosFormatosVerificarFormatos Verificar Uso deApuntadoresVerificar existencia de terminales inteligentes NO EXISTE Implementar terminales inteligentes SI EXISTEVerificar Validacion y Edicion de datos Verificar manipulacion de datos 21. Existe Procedimiento de validacin y edicin de datos ObservacionesS No 1.- Comprobar si se utilizan formatos pre programados de captura paraEl sistema genera formatos asegurarse de que los datos se incorporan en el campo y en el formatoX programados de captura, donde adecuado, etc. confirman el registro de los datos. 2.- Determinar si hay apuntadores nter construidos para facilitar laEl sistema contiene apuntadoresX entrada de los datos y reducir el nmero de errores. facilitando el ingreso de los datos. 3.- Determinar si se utilizan terminales inteligentes para permitir la validacin, la edicin y el control de principio a fin. Si no se utilizanEl sistema valda la edicin yX terminales inteligentes, evaluar, mediante el anlisis de costo-beneficio, control de los datos. si se deben introducir. 4.- Determinar el punto en el cual se validan y editan los datos deLos datos de entrada son validadosX entrada. Investigar si los datos incorrectos son rechazados. antes en el punto de ingreso. 5.- Determinar si los procedimientos de validacin y edicin de los datosSi no son correctos no ingresan los se aplican a todos los campos de un registro de entrada, a pesar de queXdatos, sin mostrar errores previos. se haya detectado un error en un campo previo. 22. a.) Cdigo de aprobacin o autorizacin, nivel El lenguaje utilizado esta validado ysuperior e individual. X consistenciado, cumpliendo lo requerido.b.) Dgitos verificadores en todas las llaves de No cuentas con dgitos X verificadores, lo cual no se puedenidentificacin. encontrar la raz del errorc.) Dgitos verificadores al final de un conjunto de x No cuenta con dgitos verificadoresdatos numricos que no est sujeto a balanceo. d.) Validacin de cdigos. X El sistema contiene codificacin confiable y confirmada.e.) Valores numricos o alfanumricos. X Puede soportar diversos tipos de 6.- Determinar si datos. los procedimientosEl tamao de los campos depende de validacin yf.) Tamao de los campos.X del tipo de informacin que edicin realizan lasingresara. siguientesExisten campos que puedeng.) Combinacin de camposX comparaciones:ingresar nmeros o letrash.) Limite o rango de valores. X El campo viene establecido por el sistema.i.) Signos.X Las contraseas son privadas y asignadas por el administrador.j.) Cotejo de registros. X El sistema confirma la aprobacin de los datos antes de ser ingresado. El registro cuenta con pasos quek.) Secuencias.X facilitan su ejecucin con el usuario.l.) Referencias cruzadas.X Las referencias son enviadas a Asuntos Pendientes 23. 2.4. Procedimiento de errores en entrada de datosAUDITORVENTAS Solicitar Documentacion de Mostrardatos rechazados Documentacion Verificar Documentacion Solicitar MensajesEjecutar de Error Aplicacion Verificar Mensajes de ErrorSolicitar archivos deMostrar archivos deasuntos pendientes asuntos pendientesVerificar registros de los archivosde asuntos pendientes Verificar Revision de reportes deachivos de asuntos pendientes 24. ExisteProcedimiento de errores en entrada de datos Observaciones SiNo 1.- Determinar si se establecieron y documentaron los procedimientosLos procedimientos se establecieron pero no fueron relacionados con la identificacin, correccin y reentrada de datos xdocumentados. rechazados. 2.- Determinar si los errores son desplegados o listados inmediatamenteEl sistema de registro de ventas no muestra los errores y no x despus de su deteccin, para facilitar su rpida correccin.capacitan a las cajeras para diagnosticar las fallas del sistema. 3.- Evaluar si los mensajes de error son claros y fcilmente comprensibles,Como el sistema no muestra los errores, no se puede localizar x de manera que se puedan tomar de inmediato las medidas correctivas.el origen de estos. 4.- Investigar si todos los datos rechazados son grabados automticamenteLos errores no son grabados por el sistema, solo son reclamos en los archivos de asuntos pendientes, clasificados por aplicaciones. xque las cajeras realizan al jefe de Soporte.a.) Cdigos para indicar tipos de error. xNo disponen de cdigos para errores. 5.- Revisar los registros de losb.) Fecha y hora en que se graba el archivos de asuntosregistro en el archivo de asuntos Los procesos que ocurren e el archivo de asuntos pendientes pendientes, para establecer sixpendientes. como el registro son grabados en el sistema. incluyen informacin como la que sigue: c.) Identificacin del usuario que originoEl registro del usuario es almacenado en el sistema, pero noel registro de entrada.xidentificado como origen de error. 6.- Determinar si los archivos de asuntos pendientes tienen un registro automtico de conteo, para controlar el nmero de registros en los El registro de archivos se encuentra almacenado, ordenado y x archivos.enumerado en la base de datos.7.- Determinar las reas autorizadas para hacer correcciones.El grupo control del Departamento de Usuario trata de Determinar si el grupo de control del departamento usuario proporcionaxcorregir los errores pero no dispone de conteo de las un control independiente de estas correcciones.soluciones.8.- Determinar si los archivos de asuntos pendientes producen mensajesLas transacciones erradas no corregidas, son olvidadas por los de seguimiento y reportan el estado de las transacciones no corregidas en xsupervisores ya que no son almacenadas ni reportadas por el forma regular. sistema. 9.- Determinar si todos los supervisores revisan y aprueban lasLos errores no son registrados y los supervisores no tienen correcciones antes de su entrada. xidea de la existencia de estos. 10.- Determinar si la gerencia del departamento usuario revisa los reportes de los archivos de asuntos pendientes, para analizar el nivel de transacciones errneas y el estado de las transacciones corregidas.El Departamento Usuario revisa los reportes de archivos Preguntar si la gerencia del departamento usuario esta consciente de quexpendientes, pero estos no almacenan todos los errores y no recae en ella la responsabilidad final por la integridad y exactitud de losenvan mensajes de seguimiento a los archivos olvidados. datos de entrada. 25. DOCUMENTOS DOCUMENTO DE VENTA (FACTURA, BOLETA) El modelo de Factura Indicado tiene todos los campos necesitados. Nombre Domicilio Fecha Numero de Factura REPORTES DE VENTAS Venta Venta Venta Venta 26. El Reporte de Venta debera mostrar: Cdigo del Cajero. Nombre y Apellidos REGISTRO DE PAGO El Registro del Pago cumple con todos los requisitos. 27. REGISTRO DE GARANTE O CLIENTEEl Registro de Cliente y Garante cumple con todos los campos necesarios para el manejo adecuado de la informacin. 28. 3. Auditoria para el Control de Procesamiento de datos Auditar el procesamiento dedatos (PD)Auditar estado de Programas para PD Auditar la v alidacin yedicin en el PD Auditar el manejo de erroresen el PDAuditar la Prohibicin de anulacin de etiquetas Auditor interv encin de los Ventas Auditoroperadores Auditar el procedimiento deproceso Auditar la identif icacin y seguimiento de los erroresAuditar el inf orme de errores auxiliado por computadoraAuditar procedimiento de alto y reinicio por mal f uncion3.1. Auditar la integridad del procesamiento de dato 29. Auditor VentasSolicitar documentacion deMostrarProcesamiento Datos Informacion VerificarDocumentacionSolicitar ver personal realizando Mostrar Personal su labor respectivoLaborandoVerificar la existencia de Auditoriapara la Reconstruccion de DatosSolicitar Prueba deMostrar OrigenesRastro de Datosde Datos Verificar la Impresion de fecha yhora de transaccionesVerificar si el sistema de Informacion tieneun adecuado grupo de controlSI NO OBSERVACIONES 30. 1.Determinar si existen procedimientos documentados Solo existen apuntes informales que no que expliquen la manera en queX estn documentados. se procesan los datos.2. Identificar a las personas que realizan el trabajo en el ciclo del procesamientodedatos. Confirmar que ninguna persona En muchos casos es la misma persona realice mas de una de las que realiza mas de dos de estos X siguientes operaciones: procesos creando inseguridad en el a) Generacin de los datossistema. b) Entrada de los datos c) Procesamiento de los datos d) Distribucin de los datos 3. Determinar si existen pistas de auditoria (por ejemplo, bitcoras) para permitir la reconstruccin X de archivos de datos.4. Probar si se pueden rastrear los datos hasta el punto de X origen.5. Determinar si se imprimen la fecha y hora en las transacciones, para propsitos de registro o X bitcora.6. Determinar si el departamento de sistemas de informacin tiene un grupo de control que lleve a cabo actividades como las siguientes: a) Control de la actividad de las terminales b) Investigacin y correccin de cualquier problema de las terminales que no se pueda Si poseen un grupo de control, pero, resolver en la fuente X este grupo de control es el mismo en c)Investigar cualquier otras situaciones de control. intervencin del operador d) Investigar cualquier desviacin del operador, con respecto a los procedimientos establecidos e) Asegurarse de que los reinicios se realicen adecuadamente f) Balanceo de los contadores de lotes de datos procesados g) Balanceo de los contadores de registros de datos procesados 31. h) Balanceo de los totales de control de datos procesados3.2. Auditar las condiciones de los programas para el procesamiento de datosAuditor Ventas Verificar la entrada de Datos a los ProgramasVerificar la Actualizacion de Datos Verificar si el Programa Identifica el tipo de Dato ingresado Verificar la Existencia de Opeciones Estandarizadas de Valores Predeterminados Verificar si el programa procesa toda la venta Verificar si los Programas contienen rutinaspara verificar etiquetas iniciales de archivos Verificar que todos los registros seencuentren en el archivo Verificar si el programa contiene mensajes que confirmen el procesamiento de DatosSINO OBSERVACIONES 32. 1. Determinar si los programas de aplicacin impiden la entradaX de datos. 2. Determinar si los programas de aplicacin tienen condicionesTodas las actualizaciones requieren de o medidas que impiden laXautorizacin superior. actualizacin concurrente de los archivos. 3. Determinar si los programas de aplicacin identificanExcepto algunos casos, pero en su positivamente el tipo de losXmayora s. datos de entrada que se procesaran. 4. Determinar si existen opciones estandarizadas de valores fijos oEn la mayora de los casos si los hay, predeterminados (default), nterXsalvo campos que no lo requieren. constituido en la lgica de los programas. 5. Determinar si los programas de aplicacin generan totales de Si todo el proceso de clculo es de X control y llevan a cabo todo elforma automtica. proceso. 6. Determinar si los programas de aplicacin incluyen rutinas para verificar las etiquetas X inciales internas (internal file header labels) de los archivos, antes del procesamiento. 7. Determinar si las etiquetas finales internas (internal trailer labels), contienen totales de X control, para comprobar que todos los registros se encuentran en el archivo. 8. Determinar si los programas de aplicacin incluyen la verificacin de la terminacin deEn la mayora de los procesos fue los archivos, para confirmar queXcorrecto salvo en 2 procesos. tanto el archivo de transacciones como el archivo maestro han sido completamente procesados.3.3. Auditar la validacin y edicin en el procesamiento de datos 33. AuditorVentasIdentificar el punto de Mostrar punto de edicion yvalidacion y edicion de Datos validacion de DatosAplicar los procedimientos atodos los campoVerficar si las transacciones de entrada y los archivos maestros son exactos y apropiados Verificar la existencia de mecanismos queaseguren la exactitud de valores.Verificar si el Programa procesa imagenesanterior y posterior de actualizacion del registro Verificar si produce registro de transacciones identificando usuarioSI NOOBSERVACIONES 1. Establecer el punto en que se realiza la validacin y edicin de los datos. Asegurndose de queX se rechazan los datos incorrectos antes de la actualizacin del archivo maestro. 2. Asegurarse de que se aplican los procedimientos de validacinLos errores se corrigen de uno a uno, y edicin a todos los campos, Xprovocando prdida de tiempo y aunque puedahaberseusabilidad. detectado un error en un campo anterior. 34. 3. Determinar si se realiza una edicin relacionada entre las transacciones de entrada y losX archivos maestros para verificar que sean apropiados y exactos antes de que sean actualizados. 4. Cuando un programa incluya una tabla de valores, determinar si existe un mecanismo paraX asegurar la exactitud de esos valores. 5. Cuando los archivos se actualicendirectamente,Si estos eventos son realizados aunque determinar si el programase verifico que hay momentos en elX produce una imagen anterior ysistema que no los hace, debido a una imagen posterior del registroerrores de codificacin. que se esta actualizando. 6. Cuando los archivos se actualicendirectamente, determinar si el programa produce un registro (log) de Correcto, pero los registros grabanX transacciones que muestre la tambin informacin innecesaria. fecha y la hora de la transaccin, as como la identificacin de la persona que inicio la transaccin.3.4. Auditar el manejo de errores en el Procesamiento de datos 35. AuditorVentasVerificar establecimiento y documentacion de identificacion y correcion de Datos rechazados Verificar claridad demensajes de error Grabar automaticamente los Datos Rechazados al archivo de asuntos pendientesSolicitar registros de Mostrar Archivos de Asuntos pendientes Asuntos pendientesVerificar Archivos deAsuntos pendientesVerificar existencia de Registro Automatico Verificar mensajes deseguimiento de transaccionesVerificar aprovacion de correccionesVerificar conciencia de ResponsabilidadSINOOBSERVACIONES 1. Determinar si se ha establecido y documentado los Nuevamente existendocumentos procedimientos relacionados con X informales y no documentados en la identificacin, la correccin y archivo sobre estos sucesos. el reprocesamiento de los datos rechazados previamente. 2. Evaluar si los mensajes de error son claros y fcilmente Las especificaciones y mensajes son comprensibles, de modo que se X demasiado tcnicos lo que dificulta su puedan tomar de inmediato las comprensin rpida. medidas correctivas. 3. Asegurarse de que todos los X datos rechazados se graban 36. automticamente en archivos de asuntos pendientes (suspense files), clasificados por aplicacin. 4. Revisar los registros de los archivos de asuntos pendientes para determinar si incluyen la siguiente informacin: a) Cdigos para identificar los tipos de error.X Existen aun mas campos innecesarios. b) Fecha y hora en que se grabo un registro en el archivo de asuntos pendientes c) Identificacin del usuario que origino la transaccin 5. Determinar si los archivos de pendientes tienen un registro automtico de conteo, para X controlar el nmero de registros de los archivos. 6. Determinar si los archivos de asuntos pendientes producen mensaje de seguimiento yX reportan regularmente el estado de las transacciones no corregidas. 7. Determinar si, antes del proceso, los supervisores revisanSon procesados de forma automticaX y apruebantodaslas prestndose a vulnerabilidades. correcciones. 8.Determinarsilos procedimientos para el procesamientodelas transacciones corregidas son los mismos que procesan las transacciones originales, con la X excepcindequeel procesamientodelas transaccionescorregidas requiere la revisin y la aprobacin de un supervisor. 9. Determinar si la gerencia del departamentousuarioesta consciente de que tiene la Piensan que estos procesos son responsabilidad final de laX tomados automticamente por el integridad y la exactitud delsistema. procesamiento de los datos.3.5. Auditar la Prohibicin de anulacin de etiquetas o errores en dispositivos 37. Auditor v entas Verificar limitaciones a condiciones de error de etiquetasVerificar capacitacion y orienacion a nuevos operadores Solicitar BitacorasMostrar BitacorasVerificar intervenciones del operadorSolicitar Estandares Mostrar Estandaresde aplicacionde AplicacionVerificar las opracionesde mensajes de etiqueta Verificar especificacion de acciones a problemasEstimar a los empleados elregistro de problemasSI NO OBSERVACIONES 38. 1.Determinar silos procedimientosestndar especifican las limitaciones de laX intervencin de un operador en cuanto a condiciones de error en etiquetas o en dispositivos. 2. Verificar que se capacite y oriente a los nuevos operadores en cuanto a los estndares delX departamento, antes de que acepten la responsabilidad de su trabajo. 3. Comprobar si la gerencia de operaciones revisa las bitcoras (logs) de consola en relacin conX intervenciones del operador, anulacin de etiquetas y comprobaciones (checks). 4. Confirmar si los estndares de operacin hacen hincapi en el uso de verificaciones internas deLos mensajes se muestran pero no dan etiquetas y especifican lasXlugar a optar por alguna opcin opciones del operador para cuando aparezcan mensajes de etiquetas. 5. Observar si las instrucciones de operacin especifican las Solo muestran el mensaje de error sin acciones para el manejo de X dar lugar a como solucionar el problemas conetiquetas problema. internas. 6. Estimar si se pide a los operadores que registren en todos los problemas anormalesX que detecten, incluyendo los de etiquetas y los de comprobacin de equipos. 39. 3.6. Auditoria en la restriccin de la intervencin de los operadores AuditorVentasSolicitar procedimientos del Mostrar obligaciones operadordel peradorVerificar si comprendetransaction data VerificarprocedimientosVerificar intervencionesdel operador Verificar restricciones al operador SI NO OBSERVACIONES 1. Verificar los procedimientos que especifiquen las obligaciones X del operador. 2. Comprobarquelas obligaciones del operador no comprendan la contabilidad o X Esta obligacin no esta especificada. transacciones de los datos (transaction data).3. Revisar los procedimientos X No son especificadas, por lo que el para determinar si se definen operador puede intervenir en cualquier claramente las condiciones quecaso. requieren las intervenciones del operador durante la ejecucin de 40. un trabajo. 4. Observar si las actividadesMuchas veces se salen de sus funciones actuales del operador cumplen X por que las especificaciones no son lo con las funciones definidas.suficientemente claras. 5. Investigar, dondesea apropiado, si la consola o el El sistema de log se encuentra a registro del sistema (system log) X disponibilidad de todos las personas es controlado y revisado, para que manejan el sistema. controlar las intervenciones del operador. 6. Analizar las intervenciones actuales del operador de la consola, para posibles cambios de las funciones de control deSe graban todos los eventos realizadosX datos de entrada, controles por el operador. programados o transferencia del control de la consola o mensajes del sistema a reportes impresos. 7. Confirmar que cualquier procedimiento de correccin, realizado por los operadores, Si son supervisados pero pocas vecesX estenecesariamente bien documentados. documentado y revisado por supervisores. 8. Cerciorarse de que este restringido solo a los operadores Si la poca documentacin existente esta el acceso a la documentacin de solo en el departamento de informticaX los sistemas de aplicacin, donde personal no autorizado no programas y datos, y software accede. del sistema. 3.7. Auditar el procedimiento de proceso auditorVentas Verificar puntos de controlde corrida a corridaVerificar diseo con estandares Verificar recuperacionde errores 41. SI NOOBSERVACIONES 1. Determinar si los estndares especifican la creacin de puntosX de control de corrida a corrida. 2. Determinar si los sistemas de procesamiento se disearon deX acuerdo con los estndares. 3. Determinar si la recuperacin de errores se puede, en realidad,En casos no se pueden realizar debido aX llevar a cabo en los puntos de problemas del sistema y codificacin. control adecuado. 3.8. Auditar la identificacin y seguimiento de los errores de procesamientoAuditorVentas Verificar deteccion de erroresEspecificar metodos oportunos para errores Verificar los reprocesos dela computadoraVerificar identificion oportuna de erroresVerificar la implantacion de acciones correctivas 42. SI NOOBSERVACIONES 1.Determinar siexisten estndares departamentales que especifiquen mensajes de X deteccin de errores del procesamiento. 2. Asegurarse de que los estndares y procedimientos especifiquenun mtodoX oportuno para la correccin y el reprocesamiento de errores. 3. Analizar los reprocesos de computadora en cuanto a lasEn todos los casos son analizados losX causas y en el punto en que se reprocesos de computadora. detectaron los errores. 4. Determinar si los errores del procesamiento se identificaron Este tipo de procesamiento no se da en X en el punto ms prximo o msel sistema. cercano al inicio. 5. Determinar si las accionesEn su mayora de casos no por falta de correctivas especificadas son Xtiempo y personal encargado. implantadas. 6. Determinar si la gerencia ha consideradolasaccionesX diseadas para eliminar o reducir los errores futuros. 7. Determinar si todo el procesamiento subsecuente, que fue basado en el procesamiento X errneo original, ha sido identificado. 43. 3.9. Auditar el informe de errores auxiliado por computadora Auditor VEntasVerificar facilidades de software y hardware Especificar individualmente los sistemas de control Solicitar caracteristicas y Mostrar caracteristicas yconvenciones de instalacion convenciones Verificar si el sistema generareportes por anomaliaVerificar procedimientos de control de errores 44. SI NOOBSERVACIONES 1. Determinar que facilidades del El hardware y utilidades del software hardware y utilidades del X que utiliza la empresa estn disponibles software estn disponibles para para detectar y corregir errores. detectar y corregir errores. 2. Asegurarse de que sean Las informaciones son individuales y individuales las especificaciones X tambin el sistema de control. de los sistemas de control. 3. Conocer las caractersticas y las convenciones de instalacinXSin informacin. para utilizarlas. 4. Verificar que la contabilidad de los trabajos y los reportes dela contabilidad de los trabajos y los error incluyan: reportes de error incluyen los: a) Nombre del trabajo X b) Numero del trabajo a) Nombre del trabajo c) Tiempos de ejecucin, inicio y b) Numero del trabajo final.c) Tiempos de ejecucin, inicio y final. d) Razn de terminacin (si hay d) Razn de terminacin (si hay alguna) alguna) e) Mensajes de error e) Mensajes de errorf) Todas las interrupciones del trabajo y f) Todas las interrupciones del las intervenciones del operador (si es trabajo y las intervenciones delque hay alguna). operador (si es que hay alguna). 5. Observar si el sistema genera reportes por excepcin de las el sistema genera reportes por actividades no usuales queexcepcin de las actividades no usuales incluyan: y incluyen: a) Intentos no autorizados de a) Intentos no autorizados de acceso a acceso a archivos restringidosarchivos restringidos b) Exceso de tiempo de corridab) Exceso de tiempo de corrida por por trabajo X trabajo c) Reproceso de aplicaciones de c) Reproceso de aplicaciones de produccinproduccin d) Terminaciones anormales yd) Terminaciones anormales y errores errores detectados en las detectados en las estadsticas de control estadsticas de control6. Confirmar que operen los procedimientospara la Operan los procedimientos para la disposicin y el control de todos X disposicin y el control de todos los los errores y de todos loserrores y de todos los reportes de erros reportes de error.En el sistema de informacin. 45. 3.10.Auditar el procedimiento de alto y reinicio en caso de mal funcionamiento de equipo y que efecto tiene en el S.I. Incluido la bitcora del sistema o consolaAuditor Ventas Verificar lista deoperaciones anormalesSolicitar revision deMostrarregistrosRegistrosVerificar si contienen unlistado de mensajes Verificar las bitacoras del sistema Graficar lasbitacorasVerificar terminaciones anormalesVerificar la extencion decontrolesVerificar mensajes del operador dentro del programaDiscutir Justificacion Verificar informacionintroducidaDeterminar la necesidad de informacion 46. SI NOOBSERVACIONES 1. Confirmar que este completa la lista de las operacionesX Esta completa la lista de operaciones anormales, para lo cual se anormales, ya existe los requerimientos requierenregistros de registros documentales. documentados. 2. Entrevistar a la gerencia responsable de la revisin de losLa gerencia es responsable de la registrosde operacionesrevisin de los registros de operaciones anormales y determinar loX anormales y terminar lo adecuado los adecuado los pasos que sepasos que se tomaron para asegurar la tomaron para asegurar la continuidad de procesamiento continuidad de procesamiento. 1. Determinar si las operacionesLas operaciones de procesamiento de de procesamiento de datosdatos generan, revisan y mantienen un generan, revisan y mantienen unX listado de todos los mensajes del listado de todos los mensajes delsistema de informacin o de la consola. sistema o de la consola. 2. Asegurarse de que el listado de los mensajes del sistema o de la X consola secontrolaEl listado de los mensajes del sistema o numricamente o de alguna otrade la consola se controla. manera, para garantizar que se contabiliza completamente cada bitcora diaria. 3. Revisar las bitcoras del X Las bitcoras del sistema o de la consola sistema o de la consola en cuantoen cuanto a su claridad y congruencia a su claridad y congruencia concon los estndares de operacin estn los estndares de operacin. revisadas. 4. Graficarun numero seleccionado de das de lasX Seleccionan los das de las bitcoras y bitcoras y compararlo con elcomparan con el calendario de trabajos calendario de trabajos enen las operaciones. operacin. 5. Examinar las terminacionesX Las terminaciones anormales de anormales de trabajos ocurridastrabajos ocurridas durante el periodo durante el periodo seleccionado. seleccionado. 6. Calcular la cantidad de tiempoX La cantidad de tiempo perdido en esas perdido en esas corridas.corridas 7. Determinar la extensin del control administrativo que seLa extensin del control administrativo mantiene por medio del listado que se mantiene por medio del listado de la bitcora del sistema o de la X de la bitcora del sistema o de la consola y su periodo deconsola y su periodo de retencin retencin. 8. Investigar si la bitcora cumpleLa bitcora cumple con todos los conlos estndaresdel X estndares del departamento de la departamento.empresa 9. Comparar la bitcora con losLa bitcora con los reportes de la reportes de la contabilidad de los contabilidad de los trabajadores, el trabajos, para determinar el apego de las operaciones actuales a la 47. apego de las operaciones X actuales a la programacin deprogramacin de cargas de trabajo cargas de trabajo. 10. Evaluar la coherencia delLa coherencia del nmero de trminos nmero de terminacionesXanormales y el tiempo perdido es un anormales y el tiempo perdidotipo de terminaciones. en este tipo de terminaciones. 11. Revisar la bitcora del sistema o de la consola, enLa bitcora del sistema o de la consola, cuanto a los mensajes dellos mensajes del operador dentro de los operadordentro delos X programas de produccin programas de produccin. 12. Si se encuentran talesSi encontramos tales mensaje, discuten mensajes, discutir su justificacinsu justificacin y necesidad , con el y necesidad, con el gerente deX gerente de procesamiento de datos procesamientode datosadecuado adecuado. 13. Revisar los tipos deLos tipos de informacin introducida informacin introducida por losXpor los operadores mediante las operadores mediantelasconsolas consolas. 14. Determinar la necesidad de laX informacinintroducida y La necesidad de la informacin discutir medios alternos deintroducida y medios alternos de entrada para este tipo deentrada para este tipo de informacin informacin. 15. Determinar que totales deX control y otros controlesLos totales de controles relacionados relacionados con los mensajes de con los mensajes de la bitcora del la bitcora del sistema o de lasistema o de la consola no podrn ser consola no podrn ser alteradosalterados por los operadores de la por los operadores de la computadora computadora. 1. Determinar si las operaciones XLas operaciones de procesamiento de de procesamiento de datosdatos generan y revisan y mantienen un generan, revisan y mantienen unlistado de todo los mensajes del sistema listado de todos los mensajes delde informacin o de la consola sistema o de la consola. 48. 4. Auditoria del control de salida de la informacin:Auditoria para revisar lasalida de la informacin Auditar el balanceo de la salida de la informacin Auditar la distribucin de las salidas de informacinVentas Auditor Auditar el manejo de errores(from AuditoriaParaElControldeProcesamientodeDat ...) (from AuditoriaParaElControldeProcesamientodeDatos)...) de salida de informacin Auditar el manejo y retencin de salida de informacinAuditar las medidas deseguridad para los R.S. 49. 4.1. Auditoria para revisar la salida de la informacinSINO OBSERVACIONES 1. Determinar si se ha Sea establecido y se ha documentado establecido y documentado los Xlos procedimientos relacionados con el 50. procedimientos relacionados con el balanceo y la conciliacin debalanceo y la conciliacin de salidas salidas. 2. Juzgar si el departamento de El departamento de sistemas de sistemas de informacin tiene un informacin tiene un grupo de control grupo de control responsable de X responsable de la revisin de la la revisin de la aceptacin e aceptacin e integridad de todas las integridad de todas las salidas salidas generadas por las aplicaciones generadas por las aplicaciones. 3. Estimar si el grupo de control de sistemas de informacinEl grupo de control de sistemas de controla el flujode informacin controla el flujo de procesamientos para garantizarX procesamientos para garantizar que los que los programas de aplicacin programas de aplicacin se procesen de se procesen de acuerdo con losacuerdo con los calendarios de proceso calendarios de proceso. 4. Comprobar si los reportes Los reportes contienentodala contienen toda la informacin X informacin necesaria necesaria. 5.Revisar si todaslas Todas las excepciones son reconocidas y excepciones son reconocidas y X reportadas reportadas. 6. Examinar si los reportes estn Los reportes estn hechos para todas hechosparatodas las X las excepciones posibles. excepciones posibles. 7. Evaluar si todos los campos de X Los campos de los reportes de los reportes de excepcin estn excepcin estn completos y son completos y son exactos.exactos 8. Valorar si los totales de losX Los reportes son exactos reportes son exactos. 9. Revisarlosreportes conjuntamente con los usuarios del procesamiento electrnico de datos y determinar: a) Si para ellos son importantes Los reportes conjuntamente con los los reportes que reciben usuarios del procesamiento electrnico b) Si ellos encuentran la de datos y determinarlos son: informacin que se presenta en a) son importantes los reportes que los reportes es exacta, confiable X reciben y til. b) la informacin que se presenta en los c) Determinar si deben darse de reportes es exacta, confiable y til. baja de la lista de distribucin de los reportes de salida d) la lista de distribucin, para recibir d) Si ellos debieran ser agregados reportes adicionales a la lista de distribucin, para recibir reportes adicionales e) Si ellos tienen sugerencias relacionadas con el formato, el contenido, la frecuencia y la oportunidad de los reportes que reciben. 51. 4.2. Auditar el balanceo de la salida de la informacin contra los totales de control SINO OBSERVACIONES 1. Saber si el grupo de control del El grupo de control del departamento departamento de sistemas de de sistemas de informacin concilia informacin concilia cada total cada total de la salida de lote (batch) de la salida de lote (batch) concon los totales de la entrada (batch), 52. los totales de la entrada (batch), X antes de que se distribuya laantes de que se distribuya la salida, se salida, para asegurar que no sesegura que no se agregue o se perdiera agrego o se perdi ningn dato ningn dato durante el proceso. durante el procesamiento. 2. Vigilar si se mantiene unaSe mantiene una bitcora, por bitcora, por aplicacin, paraaplicacin, para proporcionar una pista proporcionar una pista deXde auditora de las transacciones que se auditoria de las transaccionesestn procesando. que se estn procesando. 3. Descubrir si se mantiene unaSe mantienen una bitcora de las bitcora de las terminales del Xterminales del usuario, por medio de las usuario, por medio de las cualescuales se transmite la salida. se transmite la salida. 4. Determinar si la bitcora de lasLa bitcora de las terminales de cada terminales de cada usuario seusuario se compara con la bitcora de compara con la bitcora de Xtransacciones por aplicacin, para transacciones por aplicacin,garantizar que todas las salidas se han para garantizar que todas lastransmitido adecuadamente a os salidas se han transmitidousuarios adecuadamente a los usuarios. 5. Revisar si las transaccionesLas transacciones pueden rastrearse pueden rastrearsehaciahacia adelante, para las salidas finales, y adelante, para las salidas finales,X hacia atrs ,para los documentos y hacia atrs, para losfuentes originales documentos fuente original. 6. Establecer si se conocen y se XNo se conoce reportan todas las excepciones. 7. Investigar si se hicieron losSi se hacen los reportes para todas las reportespara todas las Xexcepciones posibles. excepciones posibles. 8. Examinar si son completos ySon completos y exactos todos los exactos todos los campos de losXcampos de los reportes de excepciones. reportes de excepcin. 9. Decidir si son exactos todos losSon exactos todos los totales de los totales de los reportes. reportes. 10. Revisarlosreportes los reportes conjuntamente con los conjuntamente con los usuarios usuarios del procesamiento electrnico del procesamiento electrnico de de datos y determinar: datos y determinar: a) Si para ellos son importantes a) son importantes los reportes que los reportes que reciben reciben. b) Si consideran que lab) la informacin presentada en los informacin presentada en losreportes es exacta, confiable y til. reportes es exacta, confiable yc) lista de distribucin de los reportesX til.de salida. c) Si deben darse de baja de lad) la lista de distribucin para recibir lista de distribucin de los reportes adicionales reportes de salida. d) Si debieran agregarse a la lista de distribucin para recibir 53. reportes adicionales e) Si tienen sugerencias relativas al formato, contenido, la frecuencia y la oportunidad de los reportes que reciben 11. Determinarsi el El departamento de usuario tiene un departamento usuario tiene un X grupo de control responsable de la grupo de control responsable de revisin de todas las salidas la revisin de todas las salidas. 12. Estimar si el grupo de control El grupo de control del departamento deldepartamentousuario de usuario concilia cada total de la concilia cada total de la salida X salida batch (lote) con los totales de la batch (lote) con los totales de la entrada batch, antes que se libere la entrada batch, antes que se salida libere la salida. 13. Confirmar si el grupo de control del usuario haX proporcionado: a) Relaciones de todos losEl grupo de control del usuario ha cambios a los datos del archivo proporcionado: maestrodel sistemadea) cambios a los datos del archivo aplicacinmaestro del sistema de aplicacin b) Relaciones de todas lasb)transacciones generadas transacciones generadas internamente, producidas por la internamente, producidas por la aplicacin aplicacinc) transacciones intermedias procesadas c) Relaciones de todas laspor la aplicacin. transacciones intermedias d) las transacciones introducidas en el procesadas por la aplicacin. sistema. d) Relaciones de todas las transacciones introducidas en el sistema. 14. Juzgar si el grupo de control del departamento usuario hace El grupo de control del departamento uso de las relaciones citadas en el de usuario hace uso de las relaciones punto 8, para verificar laX citadas en el punto 8, para verificar la exactitud e integridad de toda la exactitud e integridad de toda la salida salida. 15. Evaluar si la gerencia del La gerencia del departamento usuario departamento usuarioesta est consciente de que, finalmente, es consciente de que, finalmente, es X responsable de la exactitud de todas las responsable de la exactitud de salidas. todas las salidas. 54. 4.3. Auditar la distribucin de las salidas de informacin o los resultadosSINOOBSERVACIONES 1. Revisar las instrucciones en XSin informacin cuanto a integridad y exactitud. 2. Determinar si todas las Todas las instrucciones y sus instruccionesysus Xmodificaciones estn por escrito y modificaciones estn por escrito.guardadas en el sistema de informacin 55. 3. Verificar si existe una la lista de distribucin para cada X Si existe aplicacin. 4. Estimar si en todas las salidas Si todas las salidas de cada aplicacin se de cada aplicacin se incluyenX incluyen relaciones de distribucin relaciones dedistribucin apropiadas apropiadas. 5. Confirmar si se actualizan las relaciones dedistribucin Se actualiza las relaciones de siempre que se hace algn X distribucin siempre que se hace algn cambio en los requisitos de cambio en los requisitos de distribucin. distribucin. 6. Establecer si las listas detallan suficientemente:6. las listas detallan suficientemente: a) La frecuencia del reporte oa) La frecuencia del reporte o documento X documento b) La disposicin del original o de b) La disposicin del original o de las las copias del carbn copias del carbn c) Los tiempos calendarizados c) Los tiempos calendarizados para la para la distribucin de cadadistribucin de cada reporte reporte d) Las instrucciones especiales para d) Las instrucciones especiales cualquier reporte para cualquier reporte 7. Observar la distribucin La distribucin existente de las salidas existente de las salidas para para determinar el flujo de los determinar el flujo de losX documentos. documentos. 8. Probar la entrega de las salidas La entrada de las salidas contra el contra el calendario de entrega calendario de entrega respecto de la respecto de la oportunidad y la X oportunidad ya la exactitud con que se exactitud con que se hace esto. hace esto. 9. Experimentar el mtodo para No experimentanlos errores de corregirlos erroresde X distribuciones distribucin. 10. Discutir con el personal de Cada fin de semana todos los personal distribucin, su opinin en X de trabajo tienen reuniones para cuanto al sistema existente y sus entregar cuentas y documentos de sus sugerencias para mejorarlo. procesos 11. Analizar con los usuarios de procesamiento electrnico deLos usuariosdeprocesamiento datos, su opinin sobre elX electrnico de datos, estn satisfechos sistemaexistente ysus por el sistema. sugerencias para mejorarlo. 12. Determinar si existe unaExiste una bitcora de distribucin de bitcora de distribucin de salidas, y realizar: salidas, y realizar lo siguiente: a) Revisar el formato de estosa) los registros y determinar si registros y determinar si contienen suficiente informacin que contienen suficiente informacinpermita determinar la distribucin que permita determinar la existente de las salidas el responsable distribucin existente de las X es el gerente 56. salidas y quien es el responsable de su ordenacin b) Observar el mtodo utilizado b) el personal oh encargado de por el personal de distribucin distribucin para el llenado de esta para el llenado de esta bitcora bitcora c) Comparar los errores de distribucin contra la bitcora para determinar si es exacta y til 4.4. Auditar el manejo de errores de salida de informacinSI NOOBSERVACIONES 1. Determinar si se han Los documentosestablecidosy establecido y documentado los procedimientos relacionados esta con la procedimientos relacionados con X comunicacin y el control la comunicacin y el control. 2. Precisar si el grupo de control El grupo de control del departamento del departamento usuario X usuario notifica inmediatamente al notificainmediatamenteal usuario y los problemas de salida usuario los problemas de salida. 3. Investigar si el grupo de control deldepartamento El grupo de control del departamento usuario guarda una bitcora de Xde usuario guarda una bitcora de todas todas las salidas que contienelas salidas que contiene errores errores. 57. 4. Estimar si la bitcora se utiliza La bitcora se utiliza para los siguientes para los siguientes propsitos: propsitos: a) Identificar los problemas b) Identificar al personal de a) Para Identificar los problemas sistemas de informacin b) Identificar al personal de sistemas de c) Registrar la hora y la fecha en informacin que se contacto al personal de c) Registrar la hora y la fecha en que se sistemas de informacin contacto al personal de sistemas de d) Registrar la accin correctivaXinformacin efectuada por el departamento d) Registrar la accin correctiva de sistemas de informacin efectuada por el departamento de e) Registrar la fecha y la hora en sistemas de informacin que se recibi la salida corregida e) Registrar la fecha y la hora en que se f) Identificar las causas y las recibi la salida corregida tendencias de los errores de f) Identificar las causas y las tendencias salida de los errores de salida g) Garantizar que se corrijan g) Garantizar que se corrijan oportunamente los errores de oportunamente los errores de salida salida 5. Establecer si la salida generada por el reproceso de trabajos esta La salida generada por el reproceso de sujeta a la misma revisin de X trabajos est sujeta a la misma revisin calidad que la salida errnea de calidad que la salida errnea original. original. 4.5. Auditar el manejo y retencin de salida de informacin 58. SINO OBSERVACIONES 1. Determinar si se ha establecido un periodo deX Establece un periodo de retencin para retencin para los registros y los registros y documentos documentos. 2. Investigar si el periodo deEl periodo de retencin es razonable retencin es razonable parapara propsitos de respaldo de la propsitos de respaldo y Xauditoria. auditoria. 3. Comprobar si se han utilizadoSe utiliza mtodos apropiados para mtodos apropiadospara Xdisponer de los registros y documentos disponer de los registros yinnecesarios. documentos innecesarios. 4. Verificar si el acceso a los registros y documentos estaLos registros y documentos est restringido solo a personalX restringido solo a personal autorizado autorizado. 5. Confirmar si se efectanX revisiones peridicas para No efectan ninguna revisin peridica determinarsilasalida para determinar si la salida transmitida transmitida a los usuarios esa los usuarios. todava necesaria para ellos. 6. Revisar si se utilizan las tcnicas de custodia dual para Se utilizan las tcnicas de custodia dual controlar la transmisin, la para controlar la transmisin, la distribucin, la destruccin o elX distribucin, la destruccin y regreso regreso para el almacenamiento para el almacenamiento de la salida de la salida. 4.6. Auditar las medidas de seguridad para los R.S. 59. SI NO OBSERVACIONES 1.Determinarsilos procedimientos escritos Losprocedimientosescritos proporcionan listados de los Xproporcionan listados de los reportes de reportes de salida clasificados salida clasificados como crticos. como crticos o decisivos. 2. Evaluar los riesgos asociadoslos riesgos asociados con los reportes de con los reportes de salida crticos salida crticos o decisivos y los o decisivos y los procedimientos Xprocedimientos de prueba utilizan para de prueba utilizados para lala proteccin de estos reportes o proteccin de estos reportes. documentaciones 3. Estimar si se estn tomando las medidas de seguridad Todos los documentos estn seguros en adecuadas en relacin con la X la base de datos y en el sistema de proteccin de reportes de salida informacin de la empresa. crticos o decisivos que se van a distribuir.