Администрирование и контроль системы портфеля компании

Настоящая работа преследует одну из своих основных целей - ориентировать будущие поколения на важные аспекты, которые необходимо учитывать при оценке средств контроля и ценных бумаг в Системе портфелей компаний.

Простой и прямой язык, который использовался при его разработке, облегчает его понимание и позволит лучше понять, применить и внедрить то же самое, стремясь сделать его полезным справочным материалом для студентов и выпускников.

Аналогичным образом, мы можем выделить вклад работы в качестве вспомогательного материала для предпринимателей, поскольку эта глобальная оценка в области Портфельных систем компаний устанавливает основные руководящие принципы основных средств контроля и ценных бумаг, которые должны быть внедрены в основных счетов текущих активов, которые составляют краткосрочные денежные средства компаний.

В финансовой сфере подчеркивается важность определения надежной политики кредитования и сбора, неразрывно связанной с целями организации, изложенными в ее бизнес-стратегии, миссии и видении компании.

В области аудита и контроля это подчеркивает важность контроля и безопасности современных систем обработки информации.

В области администрирования он подчеркивает важность адекватного определения организационной структуры компании, которая позволяет объективно определить функции каждого из членов организации и разграничить обязанности в соответствии с их должностью.

Эти вклады подчеркивают важность Портфельных систем во всех составных областях организации.

Вклад дебиторской задолженности в группу оборотных активов оказывает влияние на оборотный капитал компаний. Следовательно, портфель представляет собой во многих видах деятельности основную статью финансового значения в текущих активах компании.

Продажа кредитов уже является насущной необходимостью, если мы хотим получить кредиты, когда бы мы ни внедрили кредитную политику, нам придется поддерживать строгий контроль над кредитной областью и администрированием дебиторской задолженности, не только потому, что это может представлять серьезные убытки, но который является основным и самым непосредственным источником средств.

При рассмотрении изначального начального пункта этой работы следует подчеркнуть важность и значимость Администрирования дебиторской задолженности в связи с важностью мер контроля и ценных бумаг, которые заслуживают реализации.

Основными факторами, которые необходимо учитывать при администрировании дебиторской задолженности, являются:

• Объем продаж в кредит Сезонный характер продаж Правила кредитных лимитов Условия продаж и Кредитная политика отдельных компаний Коллекторская политика

Если не будет должным образом учтены факторы, описанные выше, и если наши средства контроля и гарантии будут неверными, наши финансовые планы будут серьезно затронуты.

Затем необходимо рассмотреть, оценить и обновить связанные аспекты, направленные на эффективный контроль коллекций.

В качестве первого пункта отметим склонность Департамента продаж к его либеральности в предоставлении кредитов, сроков и ценных бумаг.

Хотя жесткая и строгая политика предоставления займов, она обеспечивает гарантию возврата, может, с другой стороны, привести к потере возможностей, которые означают потерю или отсутствие постоянных и важных клиентов.

Финансовый менеджер или лицо, ответственное за контроль этого элемента, должно будет найти желаемый баланс. Его цель в Управлении дебиторской задолженностью будет заключаться в том, чтобы обеспечить баланс, который, адаптированный к обстоятельствам бизнеса, обеспечивает здоровую скорость оборота, сопровождаемую разумным процентом максимальной прибыли.

Очень важное влияние, в кредитной политике, обычаях и изменениях в условиях продажи, является скоропортящийся характер продукта, другой - анализ клиентов. Компания, предлагающая кредит, должна быть менее прощающей, когда решает, что клиент является плохим субъектом кредита, поэтому должностное лицо, отвечающее за оценку кредитного риска, должно учитывать пять «C», которые:

1. CharacterCapacityCapitalColateralConditions

CHARACTER.- Моральный фактор клиента является наиболее важным при оценке кредита для выполнения обязательства.

ЕМКОСТЬ. Субъективное и визуальное суждение об экономическом потенциале клиента.

КАПИТАЛ.- Финансовое положение, особенно материальный капитал компании.

COLLATERAL.- Представлено активами, которые клиент может предложить в качестве гарантии кредита.

УСЛОВИЯ. Анализ общих экономических тенденций компании или инцидентов, которые могут повлиять на способность клиента выполнять свои обязательства.

Эти факторы важны при предоставлении самого кредита, при определении объема инвестиций, которые мы готовы осуществить при продаже кредита.

Компания может делать много продаж, превосходить своих конкурентов, если она желает свободно предоставлять: объем и сроки; но, в конце концов, кредиты такого рода могут покончить с компанией, если она не имеет адекватного контроля.

Поэтому очень важно, чтобы кредитный отдел был готов технически решать эти вопросы, начиная с первого контакта, который является оценкой и предоставлением кредита, до счастливого конца начисленной продажи.

Финансовый администратор должен вмешаться в разработку планов кредитного департамента, проводить постоянный анализ и оценку их развития, чтобы удостовериться в наличии потенциала в развитии области и, прежде всего, в том, что имеется уже предусмотренный поток денежных средств, а также применение основных средств управления и ценных бумаг.

Оценка средств управления и ценных бумаг Портфельной системы компаний является одним из основных столпов, который способствует достижению финансовых целей и, следовательно, росту и развитию компаний.

1.2 Причины аудита

Среди основных обоснований или причин аудита мы находим следующие:

• Значительное и неоправданное увеличение бюджета Департамента обработки данных. Недостаток знаний на уровне управления ИТ-ситуацией в компании. Полное или частичное отсутствие логической и физической защиты для обеспечения целостности персонала, оборудования и информации. Обнаружение мошенничества, совершенное с использованием данных. компьютера. Отсутствие компьютерного планирования. Организация, которая не функционирует должным образом из-за отсутствия политики, целей, норм, методологии, стандартов, делегирования полномочий, распределения задач и адекватного управления людскими ресурсами. Общее недовольство пользователейКак правило, мотивируется несоблюдением сроков и низким качеством результатов. Отсутствие документации или неполное документирование систем, что выявляет трудности или невозможность обслуживания систем в производстве.

В рамках этого диапазона обоснований, которые имеют особый анализ в ходе аудита, для нашего исследования были рассмотрены те, которые влияют на компанию, ссылаясь исключительно на применение портфеля, и являются потенциальными причинами нашего аудита. Среди них у нас есть следующие:

1. Полное или частичное отсутствие логических заверений

Компьютеры - это инструмент, который хранит и структурирует большие объемы информации, которая может быть конфиденциальной для отдельных лиц, компаний или учреждений, и может быть использована ненадлежащим образом или раскрыта людьми, которые ее используют. Также могут происходить мошенничество или саботаж, приводящие к полному или частичному уничтожению вычислительной деятельности.

Необходимость контроля в доступе к системам имеет жизненно важное значение, поскольку концентрация многих ранее рассредоточенных функций становится особенно важной, если информация, введенная и обработанная компьютеризированной системой из-за отсутствия эффективных процедур контроля, преднамеренно или непреднамеренно уничтожена или искажена., Отсюда важность оценки систем в логических ценных бумагах как начального контроля системы кредитов и сборов.

1. Неисправность системы

Система - это приложение, которое может быть разработано внутри одной и той же компании, и поэтому оно создается на заказ или может быть приобретено в виде пакета, который обычно предлагается специализированными компаниями-разработчиками программного обеспечения. В случае компании в нашем анализе система портфеля была разработана внутренне, поэтому она должна удовлетворять ее реальные потребности.

Прежде чем детализировать систему и причины неисправности любого приложения, мы должны сосредоточиться на различных системах, которые разрабатываются в компании.

Во многих случаях то, что должно быть достигнуто в компьютерной области при разработке систем или приложений, является результатом, однако цель должна заключаться в том, чтобы система работала в соответствии с функциональными спецификациями, чтобы у пользователя было достаточно информации для их использования. обработка, эксплуатация и приемка.

Системы выполняют несколько этапов, среди которых: анализ, проектирование, программирование, тестирование и обслуживание, которые постоянно возвращаются. Если один из этих этапов не рассматривается с должной важностью, в будущем возникают неудобства и, как следствие, неисправность системы.

Системы из-за их неисправности могут представлять искаженную информацию или отражать противоречивые данные в полях и определенных диапазонах информации, в других случаях они могут быть проблемой, а не решением, короче говоря, они оказываются непрактичными.

Среди наиболее распространенных системных проблем:

• Отсутствие стандартов в разработке, анализе и программировании. Неадекватная спецификация системы во время выполнения детального проектирования. Плохое проектирование. Проблемы при преобразовании и реализации. Слабый контроль на этапах разработки системы и самой системы. Опыт анализа и программирование Новая технология не используется или используется неправильно.

• Все вышеперечисленное может быть причиной неисправности систем, что следует учитывать при проведении этого обзора.

Следовательно, важно, чтобы необходимые проверки были выполнены таким образом, чтобы системы и программы были тщательно протестированы на предмет их соответствия первоначальным спецификациям, чтобы пользователь не испытывал неудовлетворенности, а транзакции выполнялись правильно.

1. Недовольство пользователя

Недовольство пользователей является одной из причин, которая вызывает обзор и оценку систем.

Обычно это происходит по должным образом обоснованным причинам, и руководству необходимо провести расследование причин, вызвавших указанное недовольство.

Во многих случаях это связано с отсутствием участия пользователя в самом процессе анализа приложений. Критерии конечного пользователя, который собирается использовать приложение и который должен ознакомиться с его использованием, никогда не следует оставлять в стороне, поэтому пользователь должен быть мотивирован для участия в этом процессе.

Чтобы система была размещена пользователем, она должна соответствовать совместно определенным требованиям. Следовательно, требуется полная связь между пользователем и лицом, ответственным за разработку системы. Это сообщение должно четко определять элементы, которые есть у пользователя, потребности в обработке информации и требования к выводимой информации, сохраненной или напечатанной.

Во время определения системы на этапе анализа, качество информации, обрабатываемой компьютером, должно быть определено, установить соответствующий контроль, уровни доступа к информации, среди других аспектов.

Целью внедрения системы является содействие скорости и точности процессов, выполняемых пользователем, сокращение времени и усилий, выполняемых в задаче, и увеличение выгоды и полезности компании.

1.3 Цели аудита

Цели системного аудита могут быть различными, все зависит от компьютерной ситуации анализа.

Среди основных задач, которые мотивируют аудит, мы имеем:

• Поиск лучшего соотношения затрат и выгод для автоматизированных или компьютеризированных систем, разработанных и внедренных областью обработки данных. Повышение удовлетворенности пользователей Обеспечение большей целостности, конфиденциальности и достоверности информации с помощью рекомендаций по мерам защиты и контроля. Знать текущую ситуацию в вычислительной области, а также действия и усилия, направленные на достижение поставленных целей.

Компания может запросить анализ следующих пунктов:

1. Улучшить логическую безопасность Системы

Компьютеры в этом столетии предоставляют средства для создания логической защиты систем и представляют собой альтернативу программного обеспечения, доступную на рынке, чтобы гарантировать доступ к компьютеру только уполномоченным лицам.

Важно поддерживать безопасность систем, чтобы получать необходимую информацию в нужное время.

С помощью настоящей работы предлагается выпустить список элементов управления, направленных на повышение логической безопасности системы портфелей этой компании.

1. Обеспечить большую конфиденциальность информации

Под конфиденциальностью понимается защита информации в символах, зарезервированных и эксклюзивных для уполномоченных должностных лиц.

Конфиденциальность информации разрешает доступ к данным и информации только авторизованному персоналу, поэтому транзакции, совершенные пользователем, регистрируются как исключительная ответственность лица, уполномоченного на проведение любой транзакции.

1. Улучшить функционирование Системы

Перед запуском программ с реальными данными их необходимо проверить с помощью тестовых данных, пока они не исчерпают все возможные исключения.

Целью систем является то, что они предоставляют своевременную и эффективную информацию, для которой они должны были быть разработаны в рамках правильно спланированного процесса.

Законченная система должна быть предоставлена ​​пользователю после обучения и подготовки соответствующих руководств, которые гарантируют правильное использование системы.

1. Повысить удовлетворенность пользователей Портфельной системы

Недовольство пользователей происходит из-за отсутствия понимания и координации потребностей и заметного разрыва элементов, которые вмешиваются, между теми, кто предоставляет и получает услугу.

Когда результаты Системы не соответствуют потребностям пользователя, возникает определенный дискомфорт, который вызывает недовольство. Это явление наносит ущерб самой компании, поскольку пользователь предпочитает не использовать систему в качестве поддержки из-за постоянных неудобств, которые она создает.

Важно отметить, что разумно продуманные, должным образом протестированные и эффективно управляемые системы могут изнашиваться и превращаться в другую исправленную, нерациональную, неэффективную и неконтролируемую систему или программу, которая вызовет дискомфорт для конечных пользователей.

Поэтому важно проанализировать системы, найти недостатки и улучшить их, чтобы повысить удовлетворенность систем, главным образом в нашем случае, применимостью системы портфолио. Это направлено на то, чтобы найти именно текущую работу, основные недостатки, которые будут исправлены после создания и предоставления аудиторского отчета.

1.4 Объем аудита

Исходя из целей и обоснований, изложенных выше, объем аудита заключается в:

1.- Оценить средства управления вводом, обработкой и выводом, реализованные в

Кошелек

Эти элементы управления предназначены для:

• Обеспечить совместимость данных, но не их точность или точность, например, при проверке типа данных, содержащихся в полях, или для проверки, находятся ли они в определенном диапазоне, при проверке безопасности для доступа к терминалам, программы, файлы, данные и конфиденциальная информация. Убедитесь, что все данные обрабатываются компьютером. Убедитесь, что данные, обработанные компьютером, должным образом авторизованы. Обеспечьте адекватное распределение выходов, предоставляемых системой.

2. Определите элементы управления, которые будут реализованы

После проведенного наблюдения должны быть созданы соответствующие средства контроля, чтобы гарантировать целостность и конфиденциальность информации, будь то:

• Элементы управления доступом пользователя Элементы управления ключами доступа Элементы управления введенными данными Элементы управления неудачно выполненными транзакциями, среди прочего

3.- Установить рекомендации для руководства.

После анализа подхода к выполненной работе соответствующий отчет должен быть передан руководству для проверки и последующего завершения работы и принятия предложения по улучшению.

Глава II

Портфельная система Описание

Эпизод 2

Портфельная система Описание

Портфельная система

Портфельная система возникает как необходимость для компании удовлетворить своих самых важных клиентов, предоставляя определенный кредит через общие политики компании.

Наиболее важные клиенты оцениваются на предмет их моральной и экономической платежеспособности как средства обеспечения возможности восстановления портфеля.

Для утверждения кредита своим лучшим клиентам, компания должна запросить банковскую гарантию, равную ста процентам ее транзакций. Это значение затем выплачивается компании в течение периода до 30 дней.

Аналогичным образом, уровни авторизации кредита, чтобы избежать возможных неправильных толкований или неадекватных авторизаций кредита, оцениваются внутри компании.

Следовательно, это не представляет высокого кредитного риска, поскольку кредит ревностно охраняется руководителем района, а в случае больших сумм для связанных компаний - менеджером компании . Поэтому существует более низкий риск заключения плохих или плохих долгов.

Во многих случаях кредитования компании предоставляют продление кредита в определенный срок с начислением процентов. В других компаниях это не выполняется, поэтому дебиторская задолженность вступает в силу в указанный срок и становится истинным активом за это время.

Приложение Portfolio, подробно описанное в этом документе, было разработано компанией Systems Area в Foxpro 2.5 для DOS и было внедрено в мае 1997 года после получения одобрения от зоны реинжиниринга процессов корпорации.

Целью Портфельной системы является необходимость реагировать на требования руководства предоставить кредиты своим основным клиентам, предоставляя им удобные платежные средства в соответствии с их ранее установленным запросом.

Целью этого приложения является управление всей информацией, касающейся портфеля, который взаимодействует с модулями Cash / Banks и Billing.

2.1 Аппаратная и программная среда

2.1.1 Компьютерное сетевое окружение

В компании имеется небольшой компьютерный центр, который предназначен для руководителей систем, программистов и операторов, а также для оборудования в целом, что позволяет обеспечить необходимое техническое внимание в качестве поддержки аппаратного и программного обеспечения компании.

В этой области на выделенном сервере установлена ​​сеть Novell Netware 3.0, через которую взаимодействуют все пользователи системы.

В сеть встроено 15 интеллектуальных терминалов.

2.1.2 Доступное оборудование

Компьютеры, которые работают с Системой кошелька, являются персональными компьютерами Compaq Prolínea 466 для пользователей Системы со следующими характеристиками:

• Процессор 804868 Мб оперативной памяти 420 Мб дискового пространства

Сервер использует компьютер Pentium со следующими характеристиками:

• Процессор INTEL 16 МБ ОЗУ 1,2 ГБ дискового пространства

2.1.3 Операционная система

Сетевой операционной системой является Novell 3.0 Netware, и дополнительно установлена ​​операционная система DOS версии 6.2.

2.1.4 Программное обеспечение систем и утилит

Языки программирования:

Компания использует язык программирования FOXPRO 2.5 для управления базами данных в операционной системе DOS.

Прикладные системы:

В компании разработано несколько систем, среди которых мы находим самые выдающиеся:

Имена пользователей

(Отделы)

Персональная заработная плата

Складские запасы

Учет основных средств

Бухгалтерский учет

Утилиты:

Основные утилиты, используемые в этой компании:

• Windows 3.1 для графического управления командной средой Word, Excel для разработки электронных таблиц и коммуникаций Доступ для манипулирования информацией, которая не была введена в систему

2.2 Работа системы

2.2.1 Описание процесса

Приложение Portfolio интегрировано в модули Billing и Cash / Banks. В этом приложении вы получаете информацию о счетах, дебетовых нотах, кредитных нотах, которые снабжают Систему ежедневной обработкой.

Обновление файлов приложения происходит мгновенно, а их обработка централизована.

При выполнении процесса Система переоценивает утвержденные кредиты и генерирует соответствующие Кредитные ноты. В конце создается временный файл, который содержит детали счетов дистрибьюторов и связанных компаний, которые выбрали кредит, с помощью которого в конце дня система генерирует кредитную ноту и отправляет ее в систему Портфолио Материнская компания

1. Модули, интегрированные в систему портфолио Caja / Bancos

Информация о платежных ваучерах, дебетовых и кредитных нотах поступает из приложения Caja / Bancos.

1. Billing

Счета от связанных компаний получены из биллинга

(Сельское хозяйство, промышленность, животноводство), от основных дистрибьюторов и других клиентов.

1. Процессы

1. Руководства

Ввод информации, которая поступает в Биллинговую и кассовую систему, вводится получателем транзакции, поэтому он представляет собой ручную обработку, которая взаимодействует с модулем портфеля.

1. автоматизированный

Процессы системы автоматизированы, поскольку она берет информацию из других модулей и выполняет соответствующие вычисления и распространение информации на другие базы Системы.

2.2.3.3 Централизованный

Генерация процесса, который питает другие базы системы, в конце дня направляется одним пользователем, так что операция централизована на одном компьютере, расположенном в компьютерном центре.

2.3 Схема процесса

1. Ввод информации (Billing-Cash)

Счета связанных компаний входят в модуль Billing and Cash: Сельское хозяйство, промышленность, животноводство; от дистрибьюторов и других клиентов. Информация также поступает о платежных ваучерах, дебетовых и кредитных нотах.

1. Онлайн и пакетные процессы

Основные существующие процессы в приложении:

1. а) Процессы подачи заявки на кредит

• Исключение модификации дохода

б) процесс утверждения кредитной заявки

1. в) Процесс получения документов

• Исключение модификации дохода

1. г) Проценты к получению

• Древность балансов Резюме / Деталь балансов

1. e) Процесс оплаты документов

• Исключение дохода

1. Выходы в файлы (Счета к получению и временные)

После обработки создается временный файл биллинга дилера. Аналогичным образом, файл Billing обновляется, и соответствующие записи генерируются в файле дебиторской задолженности, где хранится информация, которая затем позволяет принимать решения в отношении просроченного портфеля.

2.3.5 Печатная продукция (различные листинги)

Среди основных списков, которые создаются в этой системе:

• Стол амортизации

• Выписки по счету Платежные документы ожидающие документы Дата регистрации

2.4 Информационный поток

Поток информации, наблюдаемый в Приложении RC1, показывает взаимодействие данных, а также систем, которые взаимодействуют с Портфельной системой.

См. Приложение RC1

Среди основных входов в систему мы имеем:

• Платежные файлы

• Файлы CajaFacturasN / DN / C

Среди основных выходов Системы мы имеем:

1.- Хранение информации в следующих файлах:

• Billing

• Временная выписка счетов по дебиторской задолженности

2.- Экранные запросы:

• Выдача заявлений Амортизационная таблица Выписки по счетам (см. Приложение RC2) Платежные документы ожидают рассмотрения.

3.- Списки:

• Выдача заявок

• Таблица амортизации Различные списки Ожидающие платежные документы

Это краткое объяснение графически проверено на блок-схеме, показанной в приложении RC 1.

Глава III

Контроль и оценка безопасности

Глава 3

Контроль и оценка безопасности

Средства управления понимаются как набор методических положений, цель которых состоит в том, чтобы контролировать функции и отношение компаний, и для этой цели можно проверить, все ли выполняется в соответствии с принятыми программами, выпущенными заказами и принятыми принципами.

Когда мы говорим о ценных бумагах, мы имеем в виду все действия, выполняемые с целью обеспечения конфиденциальности информации: при обработке, обработке, хранении и использовании информации персоналом, который управляет системой.

Этот обзор очень важен, поскольку требуется больше, чем определение наличия гарантий и мер контроля или эффективности и действенности уже существующих, требующих подробного анализа деталей.

Гарантии нашего исследования обусловлены исключительно логическими гарантиями, то есть системой приложений.

3.1 Управление кодами доступа к системе

Ключи управления доступом важны, чтобы избежать уязвимости системы.

Неудобно, что коды доступа состоят из кодов сотрудников, так как неавторизованный человек с помощью простых тестов или вычетов может найти этот код.

Чтобы переопределить ключи для всех пользователей, они должны быть:

Отдельные лица. Пароль должен принадлежать одному пользователю, то есть индивидуальному и личному, чтобы облегчить и определить людей, которые выполняют транзакции, а также назначить обязанности.

Конфиденциально. - Пользователи должны быть официально проинструктированы относительно использования паролей.

Несущественно. Ключи не должны соответствовать ни порядковым номерам, ни именам, ни датам.

При пересмотре управления ключами доступа следует учитывать следующие моменты:

• Доступен только ограниченный спектр действий и меню.

• Авторизованные пользователи должны быть идентифицированы для основных транзакций, с помощью идентификатора пользователя Пароли должны быть известны исключительно авторизованным пользователям и должны периодически изменяться. Доступ к данным в Системе должен быть ограничен в соответствии с ролью каждого сотрудника.

Во время нашего визита нам сообщили, что несколько пользователей могут иметь один и тот же пароль в определенное время, что разрешено системой.

Следовательно, элементы управления паролем доступа для этого приложения являются нулевыми, поскольку любой пользователь, который знает пароль, может получить доступ к этому приложению, которое является настолько чувствительным и деликатным для надлежащего функционирования компании. (P / I) (точка отчета)

1. Просмотр файла авторизации пользователя (IDEA)

Для доступа к информации мы запрашиваем у системы соответствующую документацию, которая облегчит интерпретацию Системы и сэкономит время на анализ. Однако такая документация была неполной и устаревшей.

По этой причине с помощью программного обеспечения для аудита под названием IDEA (интерактивное извлечение и анализ данных), программного обеспечения, признанного канадским институтом сертифицированных бухгалтеров во всем мире для использования в аудитах и ​​/ или обзорах системы, мы приступили к проверке файла авторизации. пользователей. Информацию, содержащуюся в этом файле, можно увидеть в приложении RC3, где могут быть установлены соответствующие полномочия пользователей системы в двоичном кодировании.

См. Приложение RC 3

Несмотря на то, что существуют явные полномочия для доступа к параметрам меню через файл авторизации, многие пользователи имеют неавторизованные параметры в своих меню из-за плохого управления меню и параметрами, что приводит к потере конфиденциальности информации. (P / I) (точка отчета)

1. Частота смены кодов доступа

Удобно, что коды доступа к программам периодически меняются. Пользователи обычно сохраняют тот же пароль, который им изначально был назначен.

Отсутствие смены ключей периодически увеличивает вероятность того, что неавторизованные люди узнают и используют ключи пользователей компьютерной системы. Менять пароли удобно, как минимум, раз в квартал.

Периодичность изменения кодов доступа пользователей в Систему портфелей не занимает важного места в контроле, который должен быть отдан приложению.

Из обзора тематического исследования, приведенного в качестве ссылки, можно было определить, что периодичность изменения кодов доступа отсутствовала, поскольку у руководителя портфеля во многих случаях не было достаточно времени для надлежащего администрирования этого приложения. (P / I) (точка отчета)

3.1.3 Управление паролем доступа

Администрирование кодов доступа предоставляется двум лицам, являющимся системным аналитиком и менеджером портфеля, который является лицом, непосредственно отвечающим за администрирование приложения, которое включает создание пользователей, а также соответствующие разрешения и разрешения для параметров Меню анализируемой заявки, при этом аналитик собирает определенные требования, прямо запрошенные руководителем портфеля.

Кроме того, можно видеть, что созданные коды доступа являются небольшими и значительными (см. Приложение RC3), в некоторых случаях они не являются индивидуальными или конфиденциальными, но все еще есть пользователи, которые получают доступ к системе без пароля., (P / I) (точка отчета)

3.2 Анализ ценных бумаг для опций меню

3.2.1 Подробная информация о пользователях и функциях

Это приложение позволяет получить доступ к должностным лицам из разных областей, в основном тем, кто связан с процессом проверки более высокого уровня. Ниже мы подробно рассмотрим пользователей этого приложения:

• Бухгалтер менеджер

• Административный менеджер Менеджер по маркетингу Финансовый менеджер Помощник администратора Административный менеджер Контролер Финансовый менеджер Административный менеджер Портфельный менеджер Супервизор системного аналитика Менеджер клиентского кодирования

3.2.2 Оценка присвоения опций меню

За администрирование безопасности приложения отвечает менеджер портфолио, который отвечает за создание и удаление пользователей, а также за предоставление им разрешений относительно операций, которые они могут использовать, однако разрешения, предоставленные пользователем, назначены неправильно. в соответствии с выполняемыми функциями, кроме того, системный аналитик имеет разрешение на все операции системы и выступает в роли ее супервизора, так что в конечном итоге он может выполнять операции с файлами данных, не оставляя никаких следов., (P / I) (точка отчета)

Также мы могли бы найти пункты меню, которые не разработаны и которые не нужны.

3.2.2.1 Ввод кредитных заявок

Как правило, с появлением нового сотрудника создается меню, содержащее основные параметры в вашей повседневной работе. Во многих случаях это меню может быть копией существующего меню, что означает, что параметры меню пользователя совпадают с параметрами другого пользователя, что делает уязвимость безопасности в этом и других параметрах.

Следовательно, в этой опции нет адекватных ценных бумаг, потому что разные пользователи имеют чрезмерный доступ к этой опции, которая должна быть ограничена. (P / I) (точка отчета)

3.2.2.2 Модификация кредитных заявок

Супервизор может изменить запрос на кредит, если он попадает в кредитный диапазон, установленный для клиента.

В нашем обзоре было установлено, что есть другие работники, которые имеют доступ к указанной модификации, что приводит к сбоям в безопасности опции.

Важно подчеркнуть, что эта опция сохраняет контрольный журнал пользователей, которые обращались к нему, позволяя вам контролировать его. Мы считаем важным стандартизировать его использование., (P / I) (точка отчета)

1. Исключение кредитных заявок

Гарантии этой опции не являются наиболее подходящими, поскольку на этом уровне многие обращения регистрируются в опциях, назначенных в различных меню, поэтому важно стандартизировать их использование., (P / I) (точка отчета)

Важно определить, что эта транзакция не распределена по нескольким меню, а скорее, что ее использование ограничено.

1. Подтверждение кредита

За утверждение кредита отвечает как руководитель портфеля, так и генеральный директор компании, исходя из установленных сумм, однако многие пользователи могут наблюдать за этой опцией и получать к ней доступ, не имея возможности утвердить ее в связи с неподходящим сообщением для дела, что указывает на следующее: «Сумма одобрения не была определена компанией», что указывает на сбои в ценных бумагах по этой опции. (P / I) (точка отчета)

1. Обслуживание опций

Этот параметр относится к глобальному обновлению таблиц, концепций, документов, цитат, сущностей по компаниям, пользователей, полномочий, параметров.

Эти опции для глобального обслуживания Приложения портфеля имеют доступ главным образом к Менеджеру портфолио и Системному аналитику, которые выполняют обслуживание опций по запросу в области портфолио (см. Приложение RC 3).

Менеджеры, помощники менеджеров, контролер и административный руководитель имеют доступ к технической поддержке для некоторых опций, касающихся их управления и применения.

Из обзора тематического исследования, приведенного в качестве ссылки, можно было определить, что существуют недостатки в безопасности этого варианта, поскольку запись аудита пользователей, которые изменили какую-либо конкретную таблицу, не сохраняется., (P / I) (точка отчета)

Это сбой Системы, который необходимо учитывать и исправлять.

3.3 Контроль доступа к программам основного модуля

Основными программами модуля «Портфолио» являются:

Кредитные заявки. В процессе подачи заявки начинается процесс обработки Системы, генерирующий базовое движение одобрения или неодобрения кредита. Ваши основные варианты: доход, модификация и устранение

Еще одна дополнительная программа - поддержка опций, которая является одним из наиболее важных процессов в модуле.

3.3.1 Кредитные заявки

1. запись

За ввод запросов отвечает руководитель портфеля, который вводит запрос клиента, который находится в окне или по телефонной линии.

Этот запрос вводится после просмотра основ вашей истории платежей и, если он появляется в списке клиентов, которые могут выбрать покупку в кредит. Если ни одно из двух упомянутых выше условий не выполнено, супервизор может войти в него через систему в ожидании ответа от менеджера портфолио.

После того, как запрос был введен, обязанностью руководителя портфеля или генерального директора компании является утверждение или отклонение запроса.

Контроль за входом осуществляется через диапазоны разрешенных сумм.

Следовательно, в этом варианте нет адекватных средств контроля доступа, потому что разные пользователи могут получить к нему доступ, когда его использование должно быть конкретизировано. (P / I) (точка отчета)

3.3.1.2 Модификация

Супервизор может изменить запрос на кредит, если он попадает в кредитный диапазон, установленный для клиента. Если сумма превышает сумму, и было решено предоставить кредит, он должен быть авторизован менеджером портфолио.

На основании проведенного обзора было установлено, что в модификации запроса отсутствуют надлежащие средства управления доступом, однако, как предостережение, имя пользователя, который внес изменение, сохраняется. (P / I) (точка отчета)

3.3.1.3 Утилизация

Чтобы удалить кредитный запрос, сделанный по недобровольной ошибке, необходимо подготовить дебетовую записку, в которой записано противоположное движение.

В противном случае запрос может быть автоматически удален, если через 24 часа после входа в систему он не был одобрен ни одним пользователем. Этот механизм позволяет пакетным процессам в ночное время исключать запросы, которые не были обработаны или в которых в качестве индикатора использовался отказ в предоставлении кредита.

Элементы управления на этом уровне очень хороши, поскольку в них записывается идентификатор пользователя, который выполнил транзакцию, а также имена программ в случае, если эти запросы были удалены пакетными процессами. (P / I) (точка отчета

1. Подтверждение кредита

Этот параметр позволяет лицу, отвечающему за утверждение кредита, просматривать приложения, которые рассматриваются в пределах диапазона их утверждений, и вводить параметр подтверждения с помощью S в случае, если сумма кредита утверждена или N в заявке. в случае, если это отказано.

Все пользователи Системы имеют доступ к этой опции. Основным ограничением является видимость допустимых кредитов в соответствии с их рангом.

За утверждение кредита отвечает менеджер портфеля, который санкционирует суммы большинства покупок в кредит, только в случае, если сумма превышает нормальные лимиты, он утверждается руководством.

Хотя многие пользователи могут получить доступ к этой опции и выполнить операцию или нет, предостережения в элементах управления выдаются путем регистрации имени пользователя, который утвердил кредит . (P / I) (точка отчета)

3.3.3 Обслуживание опций

Этот параметр относится к глобальному обновлению таблиц, концепций, документов, цитат, сущностей по компаниям, пользователей, полномочий, параметров.

Эти опции для глобального обслуживания Приложения портфеля имеют доступ главным образом к Менеджеру портфолио и Системному аналитику, которые выполняют обслуживание опций по запросу в области портфолио (см. Приложение RC 3).

Менеджеры, помощники менеджеров, контролер и административный руководитель имеют доступ к технической поддержке для некоторых опций, касающихся их управления и применения.

Наименьшая степень действия для поддержки опций проводится Супервайзером Портфеля и Менеджером Кодирования Клиента.

Мы считаем, что нет адекватного контроля, чтобы регулировать изменения в сохранении этих чувствительных вариантов. Мы считаем, что критерии должны быть унифицированы, и должно быть установлено не более трех ответственных за поддержание вариантов, и что большинство основных должностных лиц должны иметь варианты для проведения своих консультаций . (P / I) (точка отчета)

3.4 Средства редактирования и проверки программ

Средства управления для редактирования и проверки входных данных для программ основаны на необходимости согласованных и полных данных, которые обеспечат надежный вывод из данного процесса.

Существует множество элементов управления для редактирования и проверки данных, которые подробно описаны в главном меню.

3.4.1 Проверка данных в опциях ввода и модификации

Тип данных, которые будут введены или изменены, должен идти рука об руку с разумностью данных. По этой причине контроль наиболее чувствительных полей в этом модуле будет учитываться при анализе.

3.4.1.1 Контроль формата

Элемент управления форматом позволяет проверить, соответствуют ли данные (числовые, буквенные или буквенно-цифровые) определенной длине, то есть они не слишком малы, чтобы можно было просмотреть все содержимое поля.

Очень важно проверить тип данных, содержащихся в полях, а также проверить, находятся ли они в допустимом диапазоне значений.

Для прикладного объекта нашего анализа можно было определить, что в определении типа данных есть аномалии, которые вызывают серьезные последствия, такие как отображение нереального портфолио, ошибка, вызванная определенным типом данных.

Для исследуемого приложения средства проверки достоверности являются общим недостатком, присутствующим в обоих вариантах. (P / I) (точка отчета)

Кроме того, можно было определить наличие ошибок в элементах управления редактированием, позволяющих вводить ошибочные значения в виде буквенных значений. Этот тип ошибки возникает из-за того, что не зарегистрированы некоторые процедуры проверки полей. (P / I) (точка отчета)

3.4.1.2 Недостающее поле

Чувствительные поля должны быть заполнены до принятия любой транзакции в Системе. Эта проверка выполняется при оценке элементов управления, то есть важные поля должны быть заполнены.

В случае приоритетной информации, такой как номер RUC или ID. Эти поля не должны быть исключены из конкатенации в транзакции, то есть это поле не должно быть пропущено при совершении кредитной транзакции.

В этом примере мы указываем, что запись операции не должна быть разрешена, чьи наиболее чувствительные поля были оставлены пустыми. Эта проблема должна быть обнаружена и контролироваться через Систему.

Этот тип ошибки присутствует в этой заявке, которая не рассматривается приложением . (P / I) (точка отчета)

3.4.1.3 Разумность

Данные не должны превышать их справедливую стоимость. Таким образом, в часах: 24; Месяцы: 12; и т.п.

Разумность также учитывает автоматическую проверку таблиц, кодов, минимальных и максимальных пределов или пересмотр определенных ранее установленных условий.

Для анализируемого приложения мы обнаружили недостатки в льготном периоде и полях дивидендов.

Кроме того, мы обнаруживаем, что в этой системе есть ошибки разумности, в основном при обработке дебетовых и кредитных нот, когда нумерация этих документов, а также значения имеют чрезмерные значения, которые не допускаются, следует использовать адекватную процедуру проверки, которая должна быть включена в система. (P / I) (точка отчета)

Глава IV

Заключительный отчет

Глава 4

Заключительный отчет

4.1 Общая информация

4.1.1 Подготовка отчета

Отчет является кульминацией аудита или обзора. Это представляет критический аспект процесса, потому что это заслуживающее доверия, видимое представление, которому могут доверять третьи стороны. Таким образом, в отчете должны быть четко указаны масштабы проделанной работы и принятая на себя ответственность в отношении разумности систем. Как только доказательства собраны, аудитор должен очистить и судить с предельным профессиональным усердием, чтобы получить соответствующие выводы. Выдавая свое мнение, третьи стороны доверяют ему до такой степени, что они могут на законных основаниях считать его ответственным за свое мнение.

Особенности отчета

проверяемость

Отчеты должны быть проверяемыми, читатель не всегда может проверить их лично, но если используются общепринятые имена или делается ссылка на конкретные элементы или сайты места проверки, проверка информации улучшается.

Умозаключения

Логический вывод - это утверждение о чем-то неизвестном, сделанное на основе чего-то известного. Нужно знать о сделанных выводах.

Техника сбора и анализа данных позволит сделать выводы в понятной и логичной форме.

Испытания

Суждения являются выражением одобрения или неодобрения. Так же, как нельзя избежать выводов, вы должны знать о суждениях, сделанных в отчете.

Резюме

Резюме является важной частью всего отчета. Достоверность и принятие отчета выгодны, когда включена оценка глобального поведения.

ясность

Ясность является основной функцией отчета, поскольку цель состоит в том, чтобы представить ситуации наиболее понятным способом. Избегайте использования очень сложных и технических терминов, кроме случаев, когда указано их значение.

Всегда следует иметь в виду, что содержание отчета должно быть понято другими людьми, которые не имеют знаний или мало знают предмет.

Объективность

Отчет должен быть представлен с беспристрастными критериями, то есть он не был затронут предрассудками или предрасположенностью человека, который его подготовил.

сжатость

Весь отчет должен быть кратким и точным: название, структура, формулировка выводов, рекомендации и словарь.

Эта характеристика отражает ту особенность, что только то, что необходимо, должно быть частью отчета.

При представлении отчета необходимо учитывать следующее:

Внешность

Отчет должен демонстрировать хороший вкус и индивидуальность. Он не должен быть написан на цветной бумаге и не должен использоваться в цветном подчеркнутом тексте. Менеджер должен проявить трезвость, чтобы не показаться реже.

расширение

Отчет должен быть кратким. Используемый язык должен быть прямым, подходящим и простым для обеспечения хорошего общения. Это не должно быть исключительно долго.

Возможность

Подготовка доклада должна быть своевременной, чтобы предлагаемые рекомендации вступили в силу. Это гарантирует, что отчет будет оставаться в силе в течение нескольких дней до его воспроизведения.

Элементы отчета

Отчет должен быть написан в управленческом плане. Одно или два предложения важных результатов, если таковые имеются, должны быть включены в вашу презентацию.

В целом отчет должен содержать в основном следующее:

1.- Фон

2.- Цели аудита

3.- Результаты оценки

Текущая ситуация

Последствия

рекомендации

В отчете представлена ​​необходимая и конкретная информация, которая идентифицирует выводы или наблюдения, которые были получены во время аудита контроля приложений портфеля, в его основных модулях и вариантах.

4.1.2 Вспомогательная документация

Важно, чтобы документация с наивысшим приоритетом была приложена в виде физической записи выполненной работы в результате проведенного обзора.

Это может включать информацию из проведенных опросов или руководств по оценке, разработанных для пользователей системы, а также документацию, выпущенную рассматриваемой системой, свидетельствующую о найденных новинках или просто о результатах системы.

Для подготовки окончательного отчета прилагаются сопроводительная документация: выписки со счета, список полномочий, реестр обслуживания пользователей.

4.1.3 Завершающий этап

Заключительный этап обзора и оценки Системы охватывает действия, которые следует за выпуском официального отчета. Эти виды деятельности можно классифицировать на:

1. Оценка ответа

1. Представление отчета и окончательное закрытие аудита. Корректирующее действие Ответ на отчет.

Эти элементы тесно связаны, поэтому удобно начать с их объяснения.

1. Оценка ответа

Как только отчет закончен, проект должен быть представлен для обсуждения с руководством, чтобы были сделаны необходимые наблюдения для прояснения любых критериев, которые не указаны с требуемой ясностью или глубиной.

1. Презентация отчета и официальное закрытие

Представление отчета и официальное закрытие должны быть сделаны посредством письма или меморандума, после того, как все необходимые исправления, упомянутые в оценке ответа, были сделаны, окончательный отчет передан после представления выполненной работы, должным образом поддержанный подтверждающая документация, с которой работа частично выполнена, поскольку аудитор после этой поставки должен следить за новинками, обнаруженными в установленный срок.

1. Корректирующее действие

Один из основных принципов оценки ответа Менеджера заключается в том, что неблагоприятные условия для качества Системы должны быть выявлены и немедленно исправлены. При значительных неблагоприятных причинах руководство должно принять необходимые меры, чтобы избежать повторения.

Эта последняя часть процесса корректирующих действий часто является наиболее трудной для реализации, поэтому корректирующие действия должны быть серьезным и непрерывным процессом.

1. Ответить на отчет

Тридцать дней после получения отчета - типичный период для ответа.

Обычно руководитель группы, проводящий проверку, обязан следить за ответами на отчет. Если ответ не получен к запрошенной дате, член группы должен позвонить клиенту, который запросил услугу, чтобы напомнить организации, что он должен серьезно предпринять корректирующие действия.

Практический кейс

Отчет, представленный Генеральному директору компании Fertilizantes Agrícolas X г-жой Алисой Наранхо Санчес, президентом Аудиторской компании Naranjo-Arrobo Asociados, за период с 1 октября по 8 декабря 1998 года.

Гуаякиль, 8 декабря 1998 г.

Уважаемый джентльмен

Наша основная приверженность компании, которой вы достойно и правильно руководите, состоит из: Оценка средств контроля и ценных бумаг системы портфеля в компании «Сельскохозяйственные удобрения X», для которой были проанализированы основные проблемы, подробно описанные ниже:

1. Полное или частичное отсутствие логических заверений

1. Неисправность системы Недовольство пользователя

Эти проблемы, вызванные Портфельной системой, были направлены на достижение следующих целей в нашей работе:

1. Улучшить логическую безопасность Системы

1. Обеспечение большей конфиденциальности информации. Улучшение функционирования Системы. Повышение удовлетворенности пользователей Портфельной системы.

В этом отчете мы представляем элементы управления, которые должны быть реализованы в свете изменений, обнаруженных в системе портфолио.

С уважением, Мисс Алиса Наранхо

президент

Наранхо-Арробо Ассоциированные Аудиторы

Заключительный отчет

Оценка средств контроля и ценных бумаг системы портфеля в компании по производству сельскохозяйственных удобрений

Собирая новости, обнаруженные в Системе в отношении слабых сторон средств контроля после получения опасений пользователей и физической проверки в системе, мы приступаем к подготовке документа об обнаруженных недостатках и соответствующих рекомендаций для руководства.

ФОН КОМПАНИИ

Компания Fertilizantes Agrícolas X, расположенная в городе Гуаякиль, является дочерней компанией крупной корпорации нашей страны и занимается производством, разработкой и распространением всех видов химических удобрений, главным образом, для сельскохозяйственного сектора Коста-региона.

Его завод расположен в городе Гуаякиль в промышленном секторе. Он имеет много торговых точек в основных населенных пунктах страны, таких как: Мачала, Эль Триунфо, Кеведо, Наранхал, Милагро и другие.

Среди его основных местных поставщиков: Ramexco, Fertagric, Comercial Agrofam.

Среди его основных международных поставщиков у нас есть: NOVARTIS, BASF, Bayer и др.

Его основными клиентами являются: Reybanpac, Cartonera Andina SA, Expoplast и другие.

Его основными конкурентами являются: MITSUI, SQM, Fertagric и другие.

Столкнувшись с рядом проблем, с которыми сталкивается общее руководство компании на заседании Совета, он утвердил проведение внешнего аудита для проведения оценки средств контроля и ценных бумаг системы портфеля в компании «Сельскохозяйственные удобрения X » период с 1 октября по 8 декабря 1998 года, предполагаемая продолжительность которого составляет 84 рабочих дня .

Заключительный отчет

Оценка средств контроля и ценных бумаг системы портфеля в компании по производству сельскохозяйственных удобрений

ЦЕЛИ АУДИТА

1. Улучшить логическую безопасность Системы

1. Обеспечение большей конфиденциальности информации. Улучшение функционирования Системы. Повышение удовлетворенности пользователей Портфельной системы.

РЕЗУЛЬТАТЫ ОЦЕНКИ

Основные недостатки, обнаруженные в нашем анализе, связаны с аспектами контроля, применяемого на разных этапах процесса системы портфеля.

1. Документация по заявке является неполной и устаревшей

1. Некоторым пользователям назначены полномочия, которые плохо определены. Система не контролирует наличие у пользователей разных паролей. Периодичность смены кодов доступа к системе отсутствует. Пароли пользователей очень малы. резервное копирование и восстановление файлов системных данных. Существуют два системных монитора. Имеются неразработанные и ненужные пункты меню. Элементы управления вводом данных не завершены. Неправильная запись транзакции не проверена. Некоторые сообщения об ошибках приложения неверны. Некоторые поля используется для отображения данных на экране очень маленькие

Заключительный отчет

Оценка средств контроля и ценных бумаг системы портфеля в компании по производству сельскохозяйственных удобрений

РЕЗУЛЬТАТЫ ОЦЕНКИ

Ниже приведен подробный анализ обнаруженных недостатков, последствий и серии рекомендаций, направленных на устранение этих недостатков, обнаруженных в приложении «Портфолио»:

Заключительный отчет

Оценка средств контроля и ценных бумаг системы портфеля в компании по производству сельскохозяйственных удобрений

РЕЗУЛЬТАТЫ ОЦЕНКИ:

1.- Заявочная документация является неполной и устаревшей

Текущая ситуация:

В ходе анализа мы увидели, что необходимая документация для системы недоступна, так как есть только руководство пользователя, которое устарело.

Последствия:

Эта ситуация может привести к проблемам:

• Зависимость персонала, который разработал систему

• Сложность в реализации изменений в приложении из-за отсутствия персонала, знакомого с приложением. Сложность для новых пользователей системы при ее использовании руководствуется устаревшей документацией, что может привести к путанице и пустой трате времени.

Рекомендации:

Важно вести полную документацию по системам, которая включает пользовательские, технические и эксплуатационные руководства, а также документацию по программам. А также запись изменений, внесенных в приложение, которая включает дату, описание, ответственного аналитика, пользователя, подпись проверки и одобрение пользователя в отношении внесенных изменений и т. Д., Это для каждой модификации, чтобы Для того, чтобы иметь подтверждающий документ на случай последующих претензий.

Заключительный отчет

Оценка средств контроля и ценных бумаг системы портфеля в компании по производству сельскохозяйственных удобрений

РЕЗУЛЬТАТЫ ОЦЕНКИ:

2.- Для некоторых пользователей назначены полномочия, которые плохо определены

Текущая ситуация:

В ходе обзора мы заметили, что не существует процедур определения пользователей, которые гарантировали бы адекватный контроль доступа к различным вариантам приложения. Например, пользователь MCJ имеет разрешение на резервное копирование файлов системных данных, будучи ответственным за обработку только кодов производителя.

Последствия:

Эта ситуация позволяет:

• В конечном итоге пользователь может получить конфиденциальную информацию от компании и, возможно, злоупотреблять ею.

• Пользователь может ввести в заблуждение полученную информацию, такую ​​же, которая может попасть в руки третьих лиц, с опасностью, которую это подразумевает.

Рекомендации:

Важно провести обзор полномочий, назначенных пользователям, чтобы избежать утечек конфиденциальной информации о компании, а также назначить пользователям соответствующие полномочия в соответствии с выполняемыми ими функциями.

Заключительный отчет

Оценка средств контроля и ценных бумаг системы портфеля в компании по производству сельскохозяйственных удобрений

РЕЗУЛЬТАТЫ ОЦЕНКИ:

3.- Система не контролирует, чтобы пользователи имели разные пароли между

Oни

Текущая ситуация:

Во время нашего визита нам сообщили, что несколько пользователей могут иметь один и тот же пароль в определенное время, что разрешено системой.

Последствия:

Эта ситуация позволяет:

• Несанкционированный доступ к системе, поскольку лицо, не являющееся пользователем системы (злоумышленник), может узнать пароль некоторого пользователя A, а также тот же пароль другого пользователя B, у которого могут быть полномочия, обеспечивающие доступ к определенным функциям. При ограниченной обработке информации злоумышленник может получить доступ к системе, используя имя пользователя B и пароль пользователя A, и, таким образом, выполнить несанкционированные операции с файлами данных приложения.

• Отсутствие конфиденциальности в пользовательских паролях.

Рекомендации:

Важно поддерживать конфиденциальность и уникальность кодов доступа пользователей к системе, чтобы избежать любого возможного несанкционированного доступа к приложению, кроме того, должна быть реализована процедура программирования, которая позволяет системе оценивать пароль пользователя. пользователь, когда он создается или изменяется, и, таким образом, избегать повторных ключей.

Заключительный отчет

Оценка средств контроля и ценных бумаг системы портфеля в компании по производству сельскохозяйственных удобрений

РЕЗУЛЬТАТЫ ОЦЕНКИ

4.- Отсутствует периодичность смены кодов доступа к системе.

Текущая ситуация:

В ходе обзора было отмечено, что не был определен временной интервал для изменения кодов доступа пользователей к системе кошелька.

Последствия:

Эта ситуация позволяет:

• Неавторизованные люди знают пароль пользователя.

• Несанкционированный доступ к системной информации с использованием имени и пароля неосторожного пользователя может привести к несанкционированным действиям.

Рекомендации:

Должны быть определены политики безопасности данных, которые включают: интервал времени для смены пароля, администратор безопасности системы, стандарты создания пользователей, среди прочего.

Заключительный отчет

Оценка средств контроля и ценных бумаг системы портфеля в компании по производству сельскохозяйственных удобрений

РЕЗУЛЬТАТЫ ОЦЕНКИ

5 .- Пользовательские ключи очень маленькие

Текущая ситуация:

В ходе анализа мы узнали, что у пользователей есть очень маленькие ключи, в основном состоящие из двух или трех букв, которые назначаются менеджером портфеля.

Также возможно создавать пользователей без пароля.

Последствия:

Эта ситуация позволяет:

• Конфиденциальность и безопасность сводятся к системе, так как очень маленькие ключи легко изучать и копировать.

• Возможны несанкционированные доступы к системе. Пользователи могут быть созданы без пароля, что представляет потенциальную опасность для информационной безопасности, поскольку имя (логин) пользователя, которое первым вводится при доступе к системе, если оно Вы можете просмотреть его, поэтому, поскольку у этого пользователя нет пароля, любой неавторизованный пользователь может войти только с именем пользователя без пароля, и таким образом он сможет выполнить все операции, для которых у этого пользователя есть авторизация.

Рекомендации:

Рекомендуется использовать пароли длиной не менее пяти символов, а также необходимо изменить параметр ввода пароля пользователя, чтобы его ввод был обязательным при создании пользователя.

Заключительный отчет

Оценка средств контроля и ценных бумаг системы портфеля в компании по производству сельскохозяйственных удобрений

РЕЗУЛЬТАТЫ ОЦЕНКИ

6.- Любой пользователь может создавать резервные копии и восстанавливать системные файлы данных.

Текущая ситуация:

Изучив пункты меню для каждого пользователя, мы увидели, что любой пользователь системы может выполнять резервное копирование и восстановление файлов данных, поскольку они имеют соответствующие разрешения.

Последствия:

Эта ситуация включает в себя:

Пользователь может в конечном итоге получить резервную копию информации, изменить ее и затем восстановить ее в системе, все это несанкционированным способом, что означает большую опасность для безопасности информации, поскольку любая операция может быть выполнена, записать транзакции и т. Д.., не оставляя никаких доказательств этого.

Рекомендации:

Рекомендуется, чтобы функции резервного копирования и восстановления информации были назначены на человека, будь то из области финансов или системы, а затем только для него, чтобы иметь доступ к этой опции системы, и это лицо также должно быть указано. частота, с которой должны быть сделаны резервные копии.

Заключительный отчет

Оценка средств контроля и ценных бумаг системы портфеля в компании по производству сельскохозяйственных удобрений

РЕЗУЛЬТАТЫ ОЦЕНКИ

7.- Есть два системных наблюдателя

Текущая ситуация:

Мы могли видеть, что есть два системных супервизора: менеджер портфеля (FF) и системный аналитик (RG), последний появляется в системе как супервизор, поэтому она имеет доступ ко всем функциям обработки данных системы. По запросу финансового менеджера эти функции были назначены управляющему портфелем, но соответствующие разрешения системному аналитику не были отозваны.

Последствия:

Эта ситуация позволяет:

• С разрешением двух человек выполнять все виды операций могут возникнуть проблемы из-за изменений, внесенных одним из них без ведома другого.

• Существует возможность несанкционированного изменения производственных файлов без ведома финансовой области, что может вызвать много неудобств при просмотре результатов.

Рекомендации:

Важно разделить функции каждого пользователя таким образом, чтобы надзор за системой осуществлялся одним человеком, ответственным за это, кроме того, системный персонал не должен иметь доступа к операциям, которые в производственных файлах могут повлиять на приложение, вы должны иметь разрешение только на выполнение операций над файлами разработки (тестами)

Заключительный отчет

Оценка средств контроля и ценных бумаг системы портфеля в компании по производству сельскохозяйственных удобрений

РЕЗУЛЬТАТЫ ОЦЕНКИ

8.- Есть пункты меню, которые не разработаны и не являются необходимыми

Текущая ситуация:

В ходе проверки было замечено, что в меню процесса подачи заявки есть варианты, которые не были разработаны, такие как; Генерация просроченных комиссий и передача дебиторской задолженности, которая не будет разработана. В настоящее время они упоминаются только в меню.

Последствия:

Эта ситуация может вызвать:

• Смущение и отвращение к пользователям, когда они пытаются использовать эти параметры

• Что неправильный критерий генерируется в приложении

Рекомендации:

Рекомендуется, чтобы во всех меню отображались только те параметры, которые используются или будут использоваться в будущем, чтобы пользователь мог оценить, что система действительно может сделать.

Заключительный отчет

Оценка средств контроля и ценных бумаг системы портфеля в компании по производству сельскохозяйственных удобрений

РЕЗУЛЬТАТЫ ОЦЕНКИ

9.- Элементы проверки ввода данных неполные

Текущая ситуация:

В ходе проверки было замечено, что проверки ввода данных отсутствуют, например: при вводе дебетовой ноты для поля льготного периода можно определить отрицательное значение, а также можно разделить общую стоимость ноты на 99 дивидендов.

Последствия:

Ошибки такого рода могут вызвать:

• Вызывает значительные различия в результатах системы

• Вызвать дисбалансы в итоговых показателях по сравнению с другими системами. Непосредственно повлиять на достоверность и достоверность информации, представленной в финансовой отчетности.

Рекомендации:

Мы рекомендуем системной области просмотреть проверки ввода данных этого приложения с помощью пользователей, которые предоставляют им информацию для решения этой проблемы, чтобы предотвратить возникновение вышеупомянутых проблем в будущем.

Заключительный отчет

Оценка средств контроля и ценных бумаг системы портфеля в компании по производству сельскохозяйственных удобрений

РЕЗУЛЬТАТЫ ОЦЕНКИ

10.- Ввод неправильных транзакций не подтвержден

Текущая ситуация:

В ходе проверки было замечено, что не было создано подпрограмм проверки транзакций с ошибочными данными или подпрограммами, которые не допускают пропуск чувствительных полей в приложении, например: если мы введем дебетовую заметку с льготным периодом (40) и 99 дивидендов, которые должны быть выплачены, система принимает их, и никакое последующее уведомление не появляется, указывая, что была введена неправильная транзакция.

Последствия:

Эти виды ошибок могут:

• Вызывает значительные различия в результатах системы

• Причины несоответствия итогов по сравнению с данными других систем. Сложности в обнаружении неверных транзакций. Непосредственно влияют на достоверность и достоверность информации, отраженной в финансовой отчетности.

Рекомендации:

Рекомендуется создавать подпрограммы программирования, которые позволяют системе обнаруживать неправильные транзакции даже после их ввода, и в то же время удалять их и записывать во временный файл для последующего просмотра и исправления кем-то, кто их останавливает. эффект обозначен.

Заключительный отчет

Оценка средств контроля и ценных бумаг системы портфеля в компании по производству сельскохозяйственных удобрений

РЕЗУЛЬТАТЫ ОЦЕНКИ

11.- Некоторые сообщения об ошибках приложения неверны

Текущая ситуация:

Некоторые из сообщений об ошибках, отображаемых системой, не отражают действительную ошибку, например: когда была введена дебетовая нота и введено отрицательное число в поле обменного курса, система отобразила следующее сообщение «Курс обмена не был введен», что совершенно неверно.

Последствия:

Эта ситуация может:

• Вызывает путаницу и трата времени для пользователей системы

• Когда пользователи вводят неверные данные, они не знают, что такое настоящая ошибка, поскольку система показывает им неверное сообщение. Степень сложности в работе системы возрастает.

Рекомендации:

• Рекомендуется, чтобы системная область просматривала сообщения об ошибках, отображаемые этим приложением, чтобы система предоставляла пользователям больше возможностей.

Заключительный отчет

Оценка средств контроля и ценных бумаг системы портфеля в компании по производству сельскохозяйственных удобрений

РЕЗУЛЬТАТЫ ОЦЕНКИ

12.- Некоторые поля, используемые для отображения данных на экране, очень малы

Текущая ситуация:

Некоторые поля на экране недостаточно велики, чтобы показать результат арифметической операции, например: когда была введена кредитная нота в долларах и результат умножения обменного курса на значение банкноты был чем больше значения, которое может отображать поле вывода, то эквивалент эквивалентности транзакции не может быть отображен.

Последствия:

Эта ситуация может:

• Вызывает путаницу и трата времени для пользователей системы

• Создавать неудобства для пользователей, когда они вводят данные, и не может визуализировать результаты своих арифметических операций, поэтому им придется выполнять их вручную для проверки своих данных.

Рекомендации:

Рекомендуется, чтобы системная область рассмотрела поля вывода этого приложения, в которых показаны результаты арифметической операции, чтобы система могла предоставить пользователям больше возможностей и предотвратить возникновение вышеупомянутых неудобств в будущее.

Выводы:

Вычисления и вычисления - это дисциплины или методы, которые влияют на все виды деятельности человека, без которых было бы невозможно хранить или обрабатывать большие объемы данных, получать информацию за минимальное время или с большой точностью, связывать данные для получения альтернатив для решение финансовых, административных и даже социальных проблем.

Следовательно, нельзя представить компанию, в которой эта чувствительная область игнорируется периодическим контролем, которого требует информационная среда.

Область аудита во многих ее формах начинает восприниматься деловым миром как эффективное средство повышения качества.

Системный аудит должен быть неотъемлемой частью общего аудита. Таким образом, периодические проверки выполняются для устранения рисков, связанных с проектированием некоторых систем.

Риски и общие средства управления влияют на риски и средства управления приложением, поэтому каждый из них должен быть выделен из элементов управления вводом, обработкой до элементов управления выходом, что минимизирует риски в той степени, в которой общие элементы управления выполнены.

В нашей работе нам удалось обнаружить ряд аномалий в контроле, таких как:

• Неправильное назначение профилей пользователей, серьезная ошибка, которая порождает неизбирательный доступ к конфиденциальным параметрам. Неправильное управление и администрирование ключей.

• Редактирование ошибок управления. Неправильное назначение разрешений из-за неправильного управления ценными бумагами.

Тем не менее, в некоторых случаях, если представлены варианты восстановления, например, сохранение пользователя человека, который получил доступ к системе, это может помочь при выявлении или обнаружении проблемы.

Поэтому пользовательские отделы должны быть осведомлены о важности участия в разработке приложений для выявления сбоев в системах до их запуска, а также о безопасности и важности совместного использования. коды доступа с коллегами в той же области или посторонними.

Информационные системы являются частью общих ресурсов организации, фактически в некоторых компаниях они так же важны, как рыночная стратегия, дизайн продукта и т. Д. Поэтому руководители, помимо распределения денежных ресурсов, должны участвовать в разработке систем, которые приведут к реальному пути к достижению целей и задач компании.

В этой работе были представлены основные концепции и теории процесса системного аудита. Была также сделана попытка представить некоторые способы применения теории на практике. Как только применение аудитов будет установлено, определенные методы будут разработаны, а другие исчезнут. Это связано с эволюционным процессом науки. Независимо от изменений; Целью аудита или оценки всегда будет предоставление руководству значимой информации для принятия решений, обеспечивающих бесперебойную работу компании.

Приложения

Информационный поток системы портфеля

терминология

терминология

Файл.- Это элемент хранения информации, который состоит из серии записей, каждая из которых содержит аналогичную информацию. Таким образом, файл может содержать информацию обо всех клиентах компании, и каждая запись будет конкретным клиентом.

Аудит. Независимая, структурированная и документированная оценка адекватности и осуществления деятельности с учетом указанных требований.

Системный аудит. Он позволяет узнать, как выявить существующие слабые места в системной области, научиться проверять степень достоверности обрабатываемой информации, повысить способность определять подходящую среду безопасности для обработки информации и понимать, как ее обрабатывать. компьютеризированных инструментов для проведения аудиторских испытаний.

Блок-схема. Это графическое представление последовательности операций, в которой используется заранее определенный набор символов, чтобы проиллюстрировать этапы, связанные с потоком данных в данной процедуре или системе, она может быть общей или подробно.

Интерактивный. Система, которая позволяет взаимодействие между людьми и машинами через некоторое оконечное устройство.

Многопроцессорная обработка. Это связь между двумя или более процессорами для обработки больших объемов данных и предоставления многопрограммных услуг, услуг таймшера или обоих.

Мультипрограммирование. Компьютерная система, позволяющая запускать две или более разных программ одновременно.

Обработка. Это фактическое выполнение задач системы.

Распределенный процесс. Система обработки данных, которая подразумевает проектирование, управление и децентрализованную работу с помощью ряда сетевых компьютеров.

Прикладные программы. Это те, которые необходимы для выполнения задач в конкретной системе обработки транзакций.

Символы. Среди основных символов, используемых в блок-схеме, у нас есть следующие:

Процесс хранения

Отчет о вводе данных

Ручной ввод с экрана

Диаграмма начала / окончания решения

Операционная система. Это системные программы, которые управляют ресурсами машины и служат связующим звеном между этими ресурсами и пользователями. Также называется основными программами управления, мониторами или программами управления системой. Каждый производитель имеет уникальное имя для системы или операционных систем, которые они поставляют.

Программное обеспечение. Программа, которая дает инструкции к компьютеру. Это также название операционной системы.

Таймшер. Выполнение двух или более функций в течение одного и того же периода, назначая небольшие деления общего времени для каждой функции.

Это позволяет использовать компьютер таким образом, чтобы одновременно обслуживать нескольких пользователей.

Время ответа. Время, необходимое для передачи информации с компьютера и получения ответа.

В режиме реального времени. Хранение информации в системе происходит во время транзакций. Приложения реального времени необходимы в тех случаях, когда данные изменяются несколько раз в течение дня, и требуют почти немедленной консультации с внесенными изменениями.

Проверка. Запланированная проверка данных или результатов, чтобы убедиться, что они соответствуют заранее установленным стандартам.

Библиография

• Коэн Даниэль, Системный информационный центр, изд. McGraw Hill, 199Ettinger Richard and Golieb David, Créditos y Cobranzas, De Continental, México, 1980. Мексиканский общественный институт, нормы и процедуры аудита, De. Litograf, México. Francisco, Scientific Research, De Ortiz, Кито, 1979. Мейн Линетт, «Прямо сверху», De Alfaomega, De Presencia, Богота, 1995. Мендес Э. Карлос, Методология исследования, Mc Graw Hill, 1994 Риос Веллингтон, д-р Аудит компьютерных систем, Де Абако, Кито, 1994 Сандерс Дональд, Компьютеры: настоящее и будущее. McGraw Hill, De. Interamericana, 1990, Канадский институт дипломированных против 5.0, IDEA Интерактивное извлечение и анализ данных - Руководство пользователя, Торонто, 1994

Скачать оригинальный файл