Administração e controle do sistema de portfólio da empresa

O presente trabalho tem como um de seus principais objetivos orientar as gerações futuras nos aspectos importantes que devem ser considerados na avaliação de controles e valores mobiliários do Sistema de Portfólio de Empresas.

A linguagem simples e direta usada em sua elaboração facilita seu entendimento e permitirá uma maior visão, aplicação e inovação da mesma, aspirando torná-la um material de referência útil para estudantes e graduados.

Da mesma forma, podemos destacar a contribuição do trabalho como material de apoio aos empreendedores, uma vez que essa avaliação global no ambiente dos Sistemas de Portfólio de empresas estabelece as diretrizes básicas dos principais controles e valores mobiliários que devem ser implementados das principais contas de Ativo Circulante que constituem o caixa de curto prazo das empresas.

No campo financeiro, destaca-se a importância de definir políticas sólidas de crédito e cobrança, vinculadas inseparavelmente aos objetivos da organização, delineados em sua estratégia de negócios, missão e visão da empresa.

No campo da Auditoria e Controle, destaca a importância dos controles e da segurança dos sistemas atuais de processamento de informações.

No campo Administrativo, ele destaca a importância de uma definição adequada da estrutura organizacional da empresa que permita definir objetivamente as funções de cada um dos membros de uma organização e delinear as responsabilidades de acordo com sua posição.

Essas contribuições destacam a importância dos sistemas de portfólio em todas as áreas constituintes de uma organização.

A contribuição das Contas a Receber no grupo Ativo Circulante tem seu impacto no capital de giro das empresas. Portanto, o portfólio representa, em muitas atividades, o principal item de importância financeira no ativo circulante de uma empresa.

A venda de crédito já é uma necessidade urgente, se queremos capturar créditos, sempre que implementarmos políticas de crédito, teremos de manter um controle rigoroso sobre a área de crédito e a administração do Contas a Receber, não apenas por representar perdas sérias, mas qual é a principal e mais imediata fonte de recursos.

Ao abordar o ponto de partida principal deste trabalho, a importância e o significado da Administração de Contas a Receber devem ser enfatizados e destacados, devido à importância dos controles e valores mobiliários que merecem ser implementados.

Os principais fatores que devem ser considerados na administração de contas a receber são:

• Volume de vendas sobre crédito Natureza sazonal das vendas Regras para limites de crédito Condições de vendas e Políticas de crédito de empresas individuais Política de cobrança

Se não houver uma consideração adequada dos fatores descritos acima e se nossos controles e garantias estiverem errados, nossos planos financeiros serão seriamente afetados.

Em seguida, é necessário revisar, avaliar e atualizar aspectos relacionados, tendendo a um controle efetivo das coleções.

Como primeiro ponto, mencionaremos a tendência do Departamento de Vendas à sua liberalidade na concessão de créditos, prazos e valores mobiliários.

Embora uma política rígida e estrita de concessão de empréstimos, ela ofereça segurança de retorno, por outro lado, pode perder oportunidades que significam a perda ou ausência de clientes permanentes e importantes.

O gerente financeiro ou a pessoa responsável por controlar este item terá que encontrar o saldo desejado. Seu objetivo, na Administração de Contas a Receber, será o saldo que, adaptado às circunstâncias do negócio, forneça uma taxa de rotatividade saudável acompanhada por uma porcentagem razoável dos lucros máximos.

Uma influência muito importante, nas políticas de crédito, costumes e variações nas condições de venda, é a natureza perecível do produto, outra é a análise dos clientes. A empresa que oferece o crédito deve ser menos tolerante quando determina que um cliente é um sujeito de crédito ruim; portanto, o funcionário encarregado de avaliar o risco de crédito deve considerar os cinco "Cs", que são:

1. PersonagemCapacidadeCapitalColateralCondições

PERSONAGEM.- O fator moral do cliente é o mais importante na avaliação do crédito pelo cumprimento da obrigação.

CAPACIDADE.- Julgamento subjetivo e visual do potencial econômico do cliente.

CAPITAL.- Posição financeira, especialmente o capital tangível da empresa.

COLLATERAL.- Representado pelos ativos que o cliente pode oferecer como garantia de crédito.

CONDIÇÕES.- Análise das tendências econômicas gerais da empresa ou incidentes que possam afetar a capacidade do cliente de cumprir suas obrigações.

Esses fatores são importantes na própria concessão de crédito, na determinação do valor do investimento que estamos dispostos a incorrer nas vendas a crédito.

Uma empresa pode fazer muitas vendas, superar seus concorrentes se quiser conceder livremente: volume e termos; mas, no final, créditos dessa natureza podem terminar com a referida empresa, se ela não tiver controles adequados.

Portanto, é essencial que um Departamento de Crédito esteja preparado para lidar tecnicamente com esses assuntos, desde o primeiro contato que é a avaliação e concessão de crédito até o final feliz da venda cobrada.

O administrador financeiro deve intervir na formulação dos planos do departamento de crédito, fazendo análises e avaliações permanentes de seu desenvolvimento para certificar que há capacidade no desenvolvimento da área e, acima de tudo, que já existe um fluxo de caixa já previsto, bem como aplicação dos controles e valores mobiliários básicos.

As avaliações dos controles e valores mobiliários do Sistema de Carteiras das empresas constituem um dos pilares básicos que contribuem para a consecução dos objetivos financeiros e, portanto, para o crescimento e desenvolvimento das empresas.

1.2 Motivos da auditoria

Entre as principais justificativas ou razões para uma auditoria, encontramos o seguinte:

• Aumento considerável e injustificado no orçamento do Departamento de Processamento de Dados Falta de conhecimento no nível gerencial da situação computacional da empresa Falta total ou parcial de segurança lógica e física para garantir a integridade do pessoal, equipamentos e informações Descobertas de fraudes feitas com o uso Falta de planejamento do computador. Organização que não funciona adequadamente, devido à falta de políticas, objetivos, normas, metodologia, padrões, delegação de autoridade, atribuição de tarefas e administração adequada de recursos humanos. Descontentamento geral dos usuários, geralmente motivada pelo descumprimento de prazos e baixa qualidade dos resultados Falta de documentação ou documentação incompleta dos sistemas, o que revela dificuldades ou a impossibilidade de manter os sistemas em produção.

Dentro desse intervalo de justificativas que são de análise especial em uma auditoria, aquelas que afetam a empresa que se refere exclusivamente à aplicação do portfólio foram consideradas em nosso estudo e são os possíveis motivos de nossa auditoria. Entre estes, temos o seguinte:

1. Falta total ou parcial de garantias lógicas

Os computadores são um instrumento que armazena e estrutura grandes quantidades de informações, que podem ser confidenciais para indivíduos, empresas ou instituições, e podem ser mal utilizadas ou divulgadas por pessoas que as abusam. Fraude ou sabotagem também podem ocorrer, levando à destruição total ou parcial da atividade de computação.

A necessidade de controle no acesso aos sistemas é de vital importância, uma vez que a concentração de muitas funções anteriormente dispersas se torna particularmente crítica se as informações inseridas e processadas por um sistema computadorizado devido à falta de procedimentos de controle eficazes forem intencionalmente ou inadvertidamente destruídas ou distorcidas.. Daí a importância da Avaliação de Sistemas nos títulos lógicos como controle inicial para o Sistema de Crédito e Cobrança.

1. Mal funcionamento do sistema

Um sistema é um aplicativo que pode ser desenvolvido internamente na mesma empresa e, portanto, é feito sob encomenda ou pode ser adquirido como um pacote normalmente oferecido por empresas especializadas em desenvolvimento de software. No caso da empresa em nossa análise, o sistema de portfólio foi desenvolvido internamente, portanto, deve satisfazer suas reais necessidades.

Antes de detalhar o sistema e os motivos do mau funcionamento de qualquer aplicativo, devemos nos concentrar nos diferentes sistemas desenvolvidos em uma empresa.

Em muitas ocasiões, o que se pretende alcançar na área de computadores no desenvolvimento de sistemas ou aplicativos é o resultado; no entanto, o objetivo deve ser que o sistema funcione de acordo com as especificações funcionais, para que o usuário tenha informações suficientes para seu uso. manuseio, operação e aceitação.

Os sistemas cumprem algumas fases, entre as quais: análise, projeto, programação, teste e manutenção, que são continuamente realimentadas. Se um desses estágios não for considerado com a devida importância, surgirão inconvenientes futuros e com ele o mau funcionamento do sistema.

Os sistemas, devido ao seu mau funcionamento, podem apresentar informações distorcidas ou refletir dados inconsistentes nos campos e intervalos de informações definidos; em outros casos, podem ser um problema e não uma solução; em resumo, eles são impraticáveis.

Entre os problemas mais comuns do sistema, estão os seguintes:

• Falta de padrões no desenvolvimento, análise e programação Especificação inadequada do sistema no momento da elaboração do projeto detalhado Projeto inadequado Problemas na conversão e implementação Controle fraco nas fases de elaboração do sistema e no próprio sistema Nenhuma experiência na análise e programação Nova tecnologia não usada ou usada incorretamente.

• Tudo o que foi mencionado acima pode ser a causa do mau funcionamento dos sistemas, o que deve ser levado em consideração nesta revisão.

Portanto, é importante que as verificações necessárias sejam realizadas para que os sistemas e programas sejam exaustivamente testados para garantir sua consistência com as especificações originais, não haja insatisfação do usuário e as transações sejam realizadas corretamente.

1. Insatisfação do usuário

A insatisfação dos usuários é um dos motivos que gera uma revisão e avaliação dos sistemas.

Normalmente, surge por causas devidamente justificadas e é necessário que o nível gerencial realize a investigação das causas que originam a insatisfação.

Em muitos casos, isso ocorre devido à falta de participação do usuário no próprio processo de análise de aplicativos. Os critérios do usuário final, que vai usar o aplicativo e que deve se familiarizar com ele, nunca devem ser deixados de lado; portanto, o usuário deve estar motivado para participar desse processo.

Para que o sistema seja hospedado pelo usuário, ele deve atender aos requisitos definidos em conjunto. Portanto, é necessária uma comunicação completa entre o usuário e a pessoa responsável pelo desenvolvimento do sistema. Essa comunicação deve definir claramente os elementos que o usuário possui, as necessidades de processamento de informações e os requisitos para informações de saída, armazenadas ou impressas.

No momento da definição do sistema na fase de análise, a qualidade da informação processada pelo computador deveria ter sido definida, estabelecer os controles apropriados, os níveis de acesso à informação, entre outros aspectos.

O objetivo da implementação de um sistema é contribuir para a velocidade e precisão dos processos realizados por um usuário, reduzindo o tempo e o esforço realizados em uma tarefa e aumentando o benefício e a utilidade da empresa.

1.3 Objetivos da auditoria

Os objetivos de uma auditoria de sistemas podem ser diversos, todos dependem da situação de análise do computador.

Entre os principais objetivos que motivam uma auditoria, temos:

• Procure uma melhor relação custo-benefício de sistemas automatizados ou computadorizados projetados e implementados pela área de processamento de dados. Aumentar a satisfação do usuário Garanta maior integridade, confidencialidade e confiabilidade das informações, por meio da recomendação de salvaguardas e controles, conheça a situação atual da área de computação e as atividades e esforços destinados a alcançar os objetivos estabelecidos.

Uma empresa pode solicitar a análise dos seguintes pontos:

1. Melhorar a segurança lógica do sistema

Os computadores deste século fornecem facilidades no estabelecimento de segurança lógica para os sistemas e constituem uma alternativa de software disponível no mercado para garantir o acesso ao computador somente por pessoas autorizadas.

É importante manter a segurança dos sistemas para ter informações relevantes no momento certo.

Por meio do presente trabalho, propõe-se emitir uma lista de controles que visam melhorar a segurança lógica do Sistema de Portfólio desta empresa.

1. Garantir maior confidencialidade das informações

Entende-se por sigilo a salvaguarda de informações em caracteres reservados e exclusivos a funcionários autorizados.

A confidencialidade das informações permite o acesso a dados e informações apenas ao pessoal autorizado, para que as transações realizadas por um usuário sejam registradas como de exclusiva responsabilidade da pessoa autorizada a realizar qualquer transação.

1. Melhorar o funcionamento do sistema

Antes de executar os programas com dados reais, eles devem ser testados com dados de teste, até esgotarem todas as exceções possíveis.

O objetivo dos sistemas é que eles forneçam informações oportunas e eficazes, para as quais tiveram que ser desenvolvidas dentro de um processo adequadamente planejado.

O sistema completo deve ser entregue ao usuário após o treinamento e a preparação dos respectivos manuais, que garantem o uso adequado do sistema.

1. Aumentar a satisfação dos usuários do sistema de portfólio

A insatisfação dos usuários ocorre pela falta de entendimento e coordenação das necessidades e pelo acentuado divórcio dos elementos que intervêm, entre os que prestam e recebem o serviço.

Quando os resultados de um sistema não estão de acordo com as necessidades do usuário, surge um certo desconforto que gera insatisfação. Esse fenômeno é prejudicial para a própria empresa, pois o usuário prefere não usar o sistema, como suporte, devido aos contínuos inconvenientes que gera.

É importante observar que sistemas razoavelmente concebidos, adequadamente testados e efetivamente controlados podem se desgastar e se tornar outro sistema ou programa corrigido, irracional, ineficiente e não controlado que causará desconforto aos usuários finais.

Portanto, é importante analisar os sistemas, encontrar as falhas e melhorá-las para aumentar a satisfação dos sistemas, principalmente no nosso caso, a aplicabilidade do Sistema de Portfólio. O objetivo é encontrar com precisão o presente trabalho, os principais pontos fracos que serão corrigidos após a criação e entrega do relatório de auditoria.

1.4 Escopo da Auditoria

Com base nos objetivos e justificativas estabelecidos acima, o escopo da auditoria está em:

1.- Avaliar os controles de entrada, processamento e saída implementados no

Bolsa

Esses controles destinam-se a:

• Garantir a compatibilidade dos dados, mas não sua exatidão ou precisão, como é o caso, da validação do tipo de dados que os campos contêm ou para verificar se estão dentro de um intervalo específico, verificação de segurança para acesso aos terminais, programas, arquivos, dados e informações confidenciais. Verifique se todos os dados são processados ​​pelo computador. Verifique se os dados processados ​​pelo computador estão devidamente autorizados. Garanta uma distribuição adequada das saídas fornecidas pelo sistema.

2.- Definir os controles a serem implementados

Após a observação feita, os controles adequados devem ser criados para garantir a integridade e a confidencialidade das informações, sejam elas:

• Controles de acesso de usuários Controles de chaves de acesso Controles de dados inseridos Controles de transações mal realizadas, entre outros

3.- Estabelecer recomendações para a gerência.

Uma vez analisada a abordagem do trabalho realizado, o respectivo relatório deve ser entregue à Administração para análise e conclusão subsequente do trabalho e aceitação da proposta de melhoria.

CAPÍTULO II

Descrição do sistema de portfólio

Episódio 2

Descrição do sistema de portfólio

Sistema de portfólio

O Sistema de Portfólio surge como uma necessidade da empresa de satisfazer seus clientes mais importantes, concedendo um crédito definido por meio de políticas gerais da empresa.

Os clientes mais importantes são avaliados quanto à solvência moral e econômica, como forma de garantir a recuperabilidade da carteira.

Para a aprovação de um empréstimo para seus melhores clientes, a empresa deve solicitar uma garantia bancária igual a cem por cento de suas transações. Esse valor é pago à empresa dentro de um período de até 30 dias.

Da mesma forma, os níveis de autorização de crédito para evitar possíveis interpretações errôneas ou autorizações de crédito inadequadas são avaliados dentro da empresa.

Portanto, este não constitui um alto risco de crédito, uma vez que o crédito é zelosamente guardado pelo Chefe da Área e, nos casos de valores mais altos para empresas relacionadas, pelo Gerente da empresa . Portanto, há um risco menor de contrair dívidas ruins ou ruins.

Em muitos casos de crédito, as empresas concedem uma extensão do empréstimo em um prazo específico, com uma taxa de juros. Em outras empresas, isso não é cumprido, portanto, o Contas a Receber torna-se efetivo no prazo indicado e se torna um ativo real naquele tempo.

O aplicativo Portfólio detalhado neste documento foi desenvolvido pela Área de Sistemas da empresa, no Foxpro 2.5 para DOS e foi implementado em maio de 1997 após o recebimento da aprovação da Área de Reengenharia de Processos da Corporação.

O objetivo do Sistema de Portfólio surge como uma necessidade de atender às exigências da Administração de conceder créditos a seus principais clientes, proporcionando facilidades de pagamento confortáveis, conforme solicitação previamente estabelecida.

O objetivo deste aplicativo é gerenciar todas as informações sobre o portfólio, que interage com os módulos Caixa / Bancos e Faturamento.

2.1 Ambiente de hardware e software

2.1.1 Ambiente de rede de computadores

A empresa possui um pequeno Centro de Informática, área destinada ao chefe de Sistemas, Programadores e Operadores e equipamentos em geral, que permitem prestar a necessária atenção técnica como suporte em Hardware e Software da empresa.

Nesta área, a empresa possui uma rede Novell Netware 3.0 instalada no servidor dedicado, através da qual todos os usuários do sistema interagem.

A rede possui 15 terminais inteligentes integrados à empresa.

2.1.2 Equipamento disponível

Os computadores operacionais com o Wallet System são computadores pessoais Compaq Prolínea 466 para usuários do sistema, com as seguintes características:

• Processador 804868 Mb de RAM 420 Mb de espaço em disco

O servidor usa um computador Pentium com as seguintes características:

• Processador INTEL 16 Mb de RAM 1,2 Gb de espaço em disco

2.1.3 Sistema operacional

O sistema operacional de rede é o Novell 3.0 Netware e, adicionalmente, o sistema operacional DOS versão 6.2 está instalado.

2.1.4 Software de sistemas e utilitários

Linguagens de programação:

A empresa usa a linguagem de programação FOXPRO 2.5 para gerenciar os bancos de dados no sistema operacional DOS.

Sistemas de Aplicação:

Na empresa, são desenvolvidos alguns sistemas, dentre os quais destacamos:

Nomes de usuário

(Departamentos)

Folha de Pagamento Pessoal

Inventários de Armazém

Contabilidade do imobilizado

Contabilidade Contabilidade

Serviços de utilidade pública:

Os principais utilitários usados ​​nesta empresa são:

• Windows 3.1 para gerenciamento de ambiente de comando gráfico Word, Excel para desenvolvimento de planilhas e comunicações Acesso para manipulação de informações que não foram inseridas no sistema

2.2 Operação do sistema

2.2.1 Descrição do processo

O aplicativo Portfólio é integrado aos módulos Faturamento e Caixa / Bancos. Nesta aplicação, você recebe informações sobre faturas, notas de débito, notas de crédito que alimentam o sistema no processamento diário.

A atualização dos arquivos do aplicativo é imediata e seu processamento é centralizado.

Ao executar o processo, o Sistema passa a avaliar os créditos aprovados e a gerar as Notas de Crédito correspondentes. No fechamento, é gerado um arquivo temporário que contém os detalhes das faturas dos distribuidores e empresas relacionadas que optaram pelo crédito, com as quais, no final do dia, o sistema gera uma Nota de crédito e a envia ao sistema de Portfólio do Empresa central

1. Módulos integrados ao sistema de portfólio Caja / Bancos

Informações sobre comprovantes de pagamento, notas de débito e notas de crédito são recebidas do aplicativo Caja / Bancos.

1. Faturamento

Faturas de empresas relacionadas são recebidas do aplicativo de cobrança

(Agrícola, industrial, pecuária), dos principais distribuidores e outros clientes.

1. Processos

1. Manuais

A entrada de informações que alimentam o Sistema de Faturamento e Caixa é inserida pelo destinatário da transação, portanto, constitui o processamento manual que interage com o Módulo de Portfólio.

1. Automatizado

Os processos do sistema são automatizados, pois retiram as informações de outros módulos e executam os respectivos cálculos e distribuição das informações para as outras bases do sistema.

2.2.3.3 Centralizado

A geração do processo que alimenta as outras bases do sistema, no final do dia, é canalizada por um único usuário, para que a operação seja centralizada em um único computador, localizado no Centro de Computação

2.3 Diagrama do Processo

1. Entrada de informações (faturamento em dinheiro)

As faturas das empresas relacionadas entram no módulo Faturamento e caixa: agrícola, industrial, pecuária; de distribuidores e outros clientes. Também são recebidas informações sobre comprovantes de pagamento, notas de débito e notas de crédito.

1. Processos online e em lote

Os principais processos existentes no aplicativo são:

1. a) Processos de solicitação de crédito

• Eliminação de modificação de renda

b) Processo de aprovação de pedidos de crédito

1. c) Processo de documentos a receber

• Eliminação de modificação de renda

1. d) Processo de juros a receber

• Antiguidade dos saldos Resumo / Detalhe dos saldos

1. e) Processo do documento de pagamento

• Eliminação de Renda

1. Saídas para arquivos (contas a receber e temporárias)

Após o processamento, um arquivo de cobrança temporário do distribuidor é gerado. Da mesma forma, o arquivo de Faturamento é atualizado e os registros correspondentes são gerados no Arquivo de Contas a Receber, onde as informações são armazenadas, permitindo que decisões sejam tomadas em relação ao Portfólio Vencido.

2.3.5 Saídas impressas (várias listagens)

Entre as principais listas geradas neste sistema estão:

• Tabela de amortização

• Extratos de conta Documentos de pagamento pendentes Data de registro de documentos

2.4 Fluxo de informações

O fluxo de informações, observado no anexo RC1, mostra a interação dos dados e dos sistemas que interagem com o sistema de portfólio.

Ver anexo RC1

Entre as principais entradas para o sistema, temos:

• Arquivos de cobrança

• Arquivos CajaFacturasN / DN / C

Entre as principais saídas do sistema, temos:

1.- Armazenamento de informações nos seguintes arquivos:

• Faturamento

• Faturamento temporário de contas a receber de produtos

2.- Consultas de tela de:

• Emissão de pedidos Tabela de amortização Extratos de conta (ver anexo RC2) Documentos de pagamento pendentes.

3.- Listagens de:

• Emissão de pedidos

• Tabela de amortização Várias listas Documentos de pagamento pendentes

Esta breve explicação é verificada graficamente no fluxograma mostrado no anexo RC 1

CAPÍTULO III

Controles e avaliação de segurança

Capítulo 3

Controles e avaliação de segurança

Os controles são entendidos como o conjunto de disposições metódicas, cujo objetivo é monitorar as funções e atitudes das empresas e, para esse fim, é possível verificar se tudo é realizado de acordo com os programas adotados, ordens emitidas e princípios aceitos.

Quando falamos de valores mobiliários, nos referimos a todas as atividades realizadas para manter a informação confidencial: no manuseio, processamento, arquivamento e uso de informações pelo pessoal que opera e administra o sistema.

Essa revisão é muito importante porque, além de determinar a existência de salvaguardas e controles ou a eficácia e eficiência das que já existem, são necessários os detalhes que devem ser analisados ​​em profundidade.

As garantias de nosso estudo são exclusivamente devidas a garantias lógicas, isto é, do Sistema de Aplicação.

3.1 Controles nos códigos de acesso do sistema

Os controles da chave de acesso são importantes para evitar a vulnerabilidade do sistema.

Não é conveniente que os códigos de acesso sejam compostos por códigos de funcionários, pois uma pessoa não autorizada, através de testes ou deduções simples, pode encontrar esse código.

Para redefinir as chaves para todos os usuários, eles devem ser:

Indivíduos.- Uma senha deve pertencer a um único usuário, ou seja, individual e pessoal, para facilitar e determinar as pessoas que realizam as transações, bem como atribuir responsabilidades.

Confidencial.- Os usuários devem ser formalmente instruídos sobre o uso de senhas.

Não significativo. - As teclas não devem corresponder a números seqüenciais, nem a nomes ou datas.

Na revisão do controle da chave de acesso, os seguintes pontos devem ser considerados:

• Somente uma variedade limitada de atividades e menus é acessível.

• Os usuários autorizados devem ser identificados para as principais transações, através do ID do usuário. As senhas devem ser conhecidas exclusivamente por usuários autorizados e devem ser alteradas periodicamente. O acesso aos dados no Sistema deve ser restrito de acordo com a função de cada funcionário.

Durante nossa visita, fomos informados de que vários usuários podem ter a mesma senha em um determinado momento, o que é permitido pelo sistema.

Portanto, os controles de senha de acesso são nulos para este aplicativo, pois qualquer usuário que conhece uma senha pode acessar esse aplicativo, o que é muito sensível e delicado para o bom funcionamento da empresa. (P / I) (ponto do relatório)

1. Revisão do arquivo de autorização do usuário (IDEA)

Para acessar as informações, solicitamos a documentação correspondente do sistema, o que facilitaria a interpretação do sistema e economizaria tempo de análise. No entanto, essa documentação estava incompleta e desatualizada.

Por esse motivo, por meio do software de auditoria chamado IDEA (extração e análise interativa de dados), software reconhecido internacionalmente pelo Instituto Canadense de Contadores Certificados para uso em Auditorias e / ou Revisões do Sistema, procedemos à revisão do arquivo de autorização de usuários. As informações contidas nesse arquivo podem ser vistas no anexo RC3, onde as respectivas autorizações dos usuários do sistema podem ser estabelecidas, em codificação binária.

Ver anexo RC 3

Embora existam autorizações expressas para acessar as opções de menu, por meio do arquivo de autorização, muitos usuários têm opções não autorizadas em seus menus devido ao mau gerenciamento de menus e opções, perdendo a confidencialidade das informações. (P / I) (ponto do relatório)

1. Frequência de alteração dos códigos de acesso

É conveniente que os códigos de acesso aos programas sejam alterados periodicamente. Os usuários geralmente retêm a mesma senha que eles foram atribuídos inicialmente.

Não alterar as chaves periodicamente aumenta a possibilidade de pessoas não autorizadas conhecerem e usarem as chaves dos usuários do sistema de computador. É conveniente alterar as senhas, pelo menos trimestralmente.

A periodicidade na alteração dos códigos de acesso dos usuários ao Sistema de Portfólio não ocupa um lugar importante no controle que deve ser atribuído ao aplicativo.

A partir da revisão do estudo de caso em referência, foi possível determinar que não havia periodicidade na alteração dos códigos de acesso, porque o Chefe de Portfólio, em muitos casos, não tem tempo suficiente para administrar adequadamente esse aplicativo. (P / I) (ponto do relatório)

3.1.3 Gerenciamento de senhas de acesso

A administração dos códigos de acesso é concedida a duas pessoas que são analista de sistemas e gerente de portfólio, pessoa diretamente responsável pela administração do aplicativo que inclui a criação de usuários, bem como as respectivas permissões e autorizações para as opções do Menu do Aplicativo em análise, enquanto o analista inclui certos requisitos expressamente solicitados pelo Gerente de Portfólio.

Além disso, foi possível observar que os códigos de acesso criados são pequenos e significativos (consulte o Anexo RC3); em alguns casos, não são individuais ou confidenciais, mas ainda existem usuários que acessam o sistema sem senha.. (P / I) (ponto do relatório)

3.2 Análise de títulos para opções de menu

3.2.1 Detalhes de usuários e funções

Esse aplicativo permite o acesso a funcionários de diferentes áreas, principalmente aqueles que estão vinculados ao processo de revisão de nível superior. Abaixo detalhamos os usuários desse aplicativo:

• Gerente de contabilidade

• Gerente Administrativo Gerente de Marketing Gerente Financeiro Assistente Administrativo Gerente de Controladoria Assistente Financeiro Gerente Administrativo Gerente Administrativo de Portfólio Gerente de Portfólio Supervisor de Sistemas Analista de Sistemas Gerente de Codificação de Clientes

3.2.2 Avaliação da atribuição de opções de menu

A administração da segurança do aplicativo é de responsabilidade do gerente de portfólio, responsável pela criação e exclusão de usuários, além de conceder a eles as permissões referentes às operações que eles podem usar, no entanto, as permissões concedidas pelo usuário são mal atribuídas de acordo com as funções que desempenham, além disso, o analista de sistemas tem permissão para todas as operações do sistema e aparece como seu supervisor, para que, eventualmente, possa executar operações nos arquivos de dados sem deixar rastro.. (P / I) (ponto do relatório)

Também podemos encontrar opções de menu que não são desenvolvidas e que não são necessárias.

3.2.2.1 Entrada de pedidos de crédito

Como padrão, com a entrada de um novo funcionário, é gerado um menu contendo as principais opções em seu trabalho diário. Em muitos casos, esse menu pode ser uma cópia de um menu existente, o que significa que as opções do menu de um usuário são as mesmas de outro usuário, tornando a segurança vulnerável nessa e em outras opções.

Portanto, não há títulos adequados nesta opção, porque diferentes usuários têm acesso excessivo a essa opção, o que deve ser restrito. (P / I) (ponto do relatório)

3.2.2.2 Modificação de pedidos de crédito

O supervisor pode modificar uma solicitação de crédito se estiver dentro da faixa de crédito estabelecida para o cliente.

Em nossa revisão, foi determinado que existem outros trabalhadores que têm acesso à referida modificação, o que gera falhas na segurança da opção.

É importante enfatizar que essa opção mantém uma trilha de auditoria dos usuários que a acessaram, permitindo que você tenha controle sobre ela. Consideramos importante padronizar seu uso.. (P / I) (ponto do relatório)

1. Eliminação de pedidos de crédito

As salvaguardas dessa opção não são as mais apropriadas, pois nesse nível muitos acessos são registrados nas opções atribuídas nos diferentes menus; portanto, é importante padronizar o uso dela.. (P / I) (ponto do relatório)

É importante definir que essa transação não seja dispersa em vários menus, mas que seu uso seja restrito.

1. Aprovação de crédito

A aprovação do Crédito é responsável pelo Diretor de Portfólio e pelo Gerente Geral da Companhia, com base em valores estabelecidos. No entanto, muitos usuários podem observar essa opção e acessá-la sem poder aprová-la devido a uma mensagem inadequada para o caso, que indica o seguinte: »O valor da aprovação não foi definido pela empresa», que indica falhas nos valores mobiliários desta opção. (P / I) (ponto do relatório)

1. Manutenção de opções

Esta opção refere-se à atualização global de tabelas, conceitos, documentos, cotações, entidades por empresas, usuários, autorizações, parâmetros.

Essas opções para a manutenção global do aplicativo Portfolio têm acesso principalmente ao gerente do portfólio e ao analista de sistemas, que executam a manutenção das opções mediante solicitação da área do portfólio (consulte o Anexo RC 3).

Os gerentes, gerentes assistentes, controlador, chefe administrativo têm acesso de manutenção a algumas opções relacionadas a seu gerenciamento e aplicação.

A partir da revisão do estudo de caso em referência, foi possível determinar que há falhas na segurança dessa opção, pois não é mantido um registro de auditoria dos usuários que modificaram uma tabela específica.. (P / I) (ponto do relatório)

Esta é uma falha do sistema que deve ser considerada e corrigida.

3.3 Controles de acesso aos programas do módulo principal

Os principais programas do módulo Portfólio são:

Solicitações de crédito.- Através da entrada de solicitações, o fluxo do processamento do sistema é iniciado, gerando o movimento básico de aprovação ou desaprovação de crédito. Suas principais opções são: Renda, Modificação e Eliminação

Outro programa adicional é a manutenção de opções, que constitui um dos processos mais críticos no módulo.

3.3.1 Pedidos de crédito

1. Entrada

A entrada de solicitações é de responsabilidade do Supervisor de Portfólio que entra na solicitação do Cliente que está na janela ou via linha telefônica.

Essa solicitação é inserida após a revisão das bases do seu histórico de pagamentos e se ela aparece na lista de clientes que podem optar por comprar com crédito. Se nenhuma das duas coisas mencionadas acima for cumprida, o supervisor poderá inseri-la através do sistema, aguardando uma resposta do Gerente de portfólio.

Depois que a solicitação é inserida, é dever do chefe de portfólio ou do gerente geral da empresa aprovar ou negar a solicitação.

Os controles de entrada são fornecidos através dos intervalos dos valores permitidos.

Portanto, nesta opção, não há controles de acesso adequados, porque diferentes usuários podem acessá-lo, quando seu uso deve ser particularizado. (P / I) (ponto do relatório)

3.3.1.2 Modificação

O supervisor pode modificar uma solicitação de crédito se estiver dentro da faixa de crédito estabelecida para o cliente. Se exceder o valor e tiver sido decidido conceder o crédito, ele deverá ser autorizado pelo Gerente do Portfólio.

A partir da revisão realizada, foi determinado que não há controles de acesso adequados na modificação da solicitação, no entanto, como uma ressalva, o nome do usuário que fez a modificação é salvo. (P / I) (ponto do relatório)

3.3.1.3 Eliminação

Para excluir uma solicitação de crédito feita por erro involuntário, você deve preparar uma nota de débito que registre o movimento oposto.

Caso contrário, uma solicitação poderá ser excluída automaticamente se, após 24 horas de entrada no sistema, não tiver sido aprovada por nenhum usuário. Esse mecanismo permite que os processos em lote durante a noite eliminem as solicitações que não foram atendidas ou que possuem negação de crédito como indicador.

Os controles nesse nível são muito bons, pois registra o identificador do usuário que executou a transação, bem como os nomes dos programas, caso essas solicitações tenham sido eliminadas por processos em lote. (P / I) (ponto do relatório

1. Aprovação de crédito

Essa opção permite que a pessoa responsável pela aprovação de crédito revise os aplicativos considerados dentro do seu intervalo de aprovação e insira a opção de aprovação com S no caso de o valor do crédito ser aprovado ou N no aplicativo. caso seja negado.

Todos os usuários do sistema têm acesso a esta opção. A restrição básica é a visibilidade dos créditos permitidos de acordo com sua classificação.

A aprovação do Crédito é de responsabilidade do Gerente de Portfólio, que é quem autoriza os valores da maioria das compras de crédito, apenas no caso em que o valor exceda os limites normais, é aprovado pela Administração.

Embora muitos usuários possam acessar esta opção e executar a operação ou não, as advertências nos controles são fornecidas registrando o nome do usuário que aprovou o crédito . (P / I) (ponto do relatório)

3.3.3 Manutenção de opções

Esta opção refere-se à atualização global de tabelas, conceitos, documentos, cotações, entidades por empresas, usuários, autorizações, parâmetros.

Essas opções para a manutenção global do aplicativo Portfolio têm acesso principalmente ao gerente do portfólio e ao analista de sistemas, que executam a manutenção das opções mediante solicitação da área do portfólio (consulte o Anexo RC 3).

Os gerentes, gerentes assistentes, controlador, chefe administrativo têm acesso de manutenção a algumas opções relacionadas a seu gerenciamento e aplicação.

O menor grau de ação para a manutenção das opções é realizado pelo Supervisor de portfólio e pelo Gerente de codificação do cliente.

Consideramos que não há controle adequado para regular as alterações na manutenção dessas opções sensíveis. Acreditamos que os critérios devem ser unificados e, no máximo, três responsáveis ​​pela Manutenção das Opções estabelecidos, e que a maioria dos principais funcionários deve ter opções para sua Consulta . (P / I) (ponto do relatório)

3.4 Controles de edição e validação de programas

Os controles para editar e validar dados de entrada em programas são baseados na necessidade de dados consistentes e completos, o que garantirá uma saída confiável de um determinado processo.

Existem muitos controles para editar e validar dados, detalhados pelas opções do menu principal.

3.4.1 Verificação de dados nas opções de entrada e modificação

O tipo de dado a ser inserido ou modificado deve estar associado à razoabilidade dos dados. Por esse motivo, o controle dos campos mais sensíveis deste módulo será considerado na análise.

3.4.1.1 Controle de formato

O controle de formato permite verificar se os dados são apropriados (numéricos, alfabéticos ou alfanuméricos) e correspondem ao comprimento específico, ou seja, não é muito pequeno para que todo o conteúdo do campo possa ser visualizado.

Verificar o tipo de dados que os campos contêm é muito importante, bem como verificar se estão dentro do intervalo permitido de valores.

Para o objeto de aplicação de nossa análise, foi possível determinar que existem anomalias na definição do tipo de dados, o que causa sérias conseqüências, como mostrar um Portfólio irreal, erro causado pelo tipo de dados definido.

Para a aplicação em estudo, os controles de validação são realmente uma falha geral presente nas duas opções. (P / I) (ponto do relatório)

Além disso, foi possível determinar se há falhas nos controles de edição, permitindo inserir valores errados como valores alfabéticos. Esse tipo de erro ocorre devido a não ter registrado alguma rotina de validação de campo. (P / I) (ponto do relatório)

3.4.1.2 Campo ausente

Os campos sensíveis devem ser preenchidos antes de aceitar qualquer transação no sistema. Essa verificação é feita na avaliação dos controles, ou seja, os campos importantes devem ser preenchidos.

No caso de informações prioritárias, como o número RUC ou o ID. Esses campos não devem ser excluídos da concatenação na transação, ou seja, esse campo não deve ser omitido ao fazer uma transação de crédito.

Com este exemplo, especificamos que o registro da operação não deve ser permitido cujos campos mais sensíveis foram deixados em branco. Esse problema deve ser detectado e controlado pelo sistema.

Este tipo de erro está presente neste aplicativo, que não é considerado pelo aplicativo . (P / I) (ponto do relatório)

3.4.1.3 Razoabilidade

Os dados não devem exceder seu valor justo. Assim em horas: 24; Meses: 12; etc.

A razoabilidade também considera a verificação automática de tabelas, códigos, limites mínimos e máximos ou a revisão de certas condições previamente estabelecidas.

Para a aplicação em análise, encontramos fragilidades nos campos de período de carência e dividendos.

Além disso, detectamos que existem erros de razoabilidade nesse sistema, principalmente no tratamento de notas de débito e notas de crédito em que a numeração desses documentos e os valores possuem excessos não permitidos, uma rotina de verificação adequada deve ser incluída no sistema. (P / I) (ponto do relatório)

CAPÍTULO IV

Relatório final

Capítulo 4

Relatório final

4.1 Informações Gerais

4.1.1 Preparação do relatório

O relatório é o culminar de uma auditoria ou revisão. Representa o aspecto crítico do processo, porque é a representação confiável e visível em que terceiros podem confiar. Assim, o relatório deve mostrar claramente o escopo do trabalho realizado e a responsabilidade assumida em relação à razoabilidade dos Sistemas. Uma vez reunidas as evidências, o auditor deve limpar e julgar com o máximo zelo profissional, a fim de obter as conclusões apropriadas. Ao emitir sua opinião, terceiros depositam sua confiança nela, a ponto de poderem responsabilizá-lo legalmente pela sua opinião.

Recursos de relatório

Verificabilidade

Os relatórios devem ser verificáveis, o leitor nem sempre poderá verificá-los pessoalmente, mas se nomes comumente aceitos forem usados ​​ou for feita referência a elementos ou sites específicos do local da revisão, a verificação das informações será aprimorada.

Inferências

Uma inferência é uma afirmação sobre algo desconhecido, feita com base em algo conhecido. É preciso estar ciente das inferências que estão sendo feitas.

A técnica de coleta e análise de dados permitirá que as inferências sejam apresentadas de maneira compreensível e lógica.

Ensaios

Julgamentos são a expressão de aprovação ou desaprovação. Assim como as inferências não podem ser evitadas, você deve estar ciente dos julgamentos feitos no relatório.

Resumo

O resumo é a parte importante de todo o relatório. A credibilidade e a aceitação do relatório são beneficiadas quando uma avaliação do comportamento global é incluída.

Clareza

A clareza é uma característica principal de um relatório, pois o objetivo é apresentar as situações da maneira mais compreensível possível. Evite usar termos técnicos e muito complexos, exceto se o significado deles for especificado.

Deve-se sempre ter em mente que o conteúdo do relatório deve ser entendido por outras pessoas que não têm conhecimento ou têm pouco conhecimento sobre o assunto.

Objetividade

O relatório deve ser apresentado com critérios imparciais, ou seja, não foi afetado pelos preconceitos ou predisposições da pessoa que o preparou.

Concisão

Todo o relatório deve ser conciso e preciso: o título, a estrutura, a formulação das conclusões, as recomendações e o vocabulário.

Essa característica reflete a peculiaridade de que apenas o essencial deve fazer parte do relatório.

O seguinte deve ser levado em consideração ao apresentar o relatório:

Aparência

O relatório deve demonstrar bom gosto e personalidade. Não deve ser escrito em papel colorido, nem usado em texto sublinhado colorido. O gerente deve mostrar sobriedade para não parecer ostensivo.

Extensão

O relatório deve ser conciso. O idioma usado deve ser direto, apropriado e simples para garantir uma boa comunicação. Não deve ser excepcionalmente longo.

Oportunidade

A preparação do relatório deve ser oportuna para que as recomendações propostas entrem em vigor. Isso garante que o relatório permaneça em vigor ao longo dos dias até que seja reproduzido.

Elementos do relatório

O relatório deve ser escrito em termos gerenciais. Uma ou duas frases dos achados importantes, se houver, devem constar em sua apresentação.

Em geral, o relatório deve conter principalmente o seguinte:

1.- Antecedentes

2.- Objetivos da auditoria

3.- Resultados da avaliação

Situação atual

Efeitos

recomendações

O relatório apresenta as informações necessárias e específicas que identificam as descobertas ou observações capturadas no momento da auditoria de controles de aplicativos do portfólio, em seus principais módulos e opções.

4.1.2 Documentação de suporte

É importante que a documentação de maior prioridade seja anexada como um registro físico do trabalho realizado, como resultado da revisão realizada.

Isso pode incluir informações das pesquisas realizadas ou guias de avaliação formulados para os usuários do sistema, bem como documentação emitida pelo sistema em análise, evidenciando as novidades encontradas ou simplesmente os resultados do sistema.

Para a preparação do relatório final, estão anexados como documentação de suporte: Extratos de conta, Lista de autorizações, Registro de serviço do usuário.

4.1.3 Fase de fechamento

A fase de fechamento da revisão e avaliação de um Sistema abrange as atividades que se seguem à emissão do relatório formal. Essas atividades podem ser classificadas em:

1. Avaliação da resposta

1. Apresentação do relatório e encerramento final da auditoria Ação corretiva Resposta ao relatório

Esses elementos estão intimamente relacionados, portanto, é conveniente começar com uma explicação deles.

1. Avaliação da resposta

Após a conclusão do relatório, um rascunho deve ser apresentado para ser discutido com a Administração, para que sejam feitas as observações necessárias para esclarecer quaisquer critérios que não sejam especificados com a clareza ou profundidade exigida.

1. Apresentação do relatório e encerramento formal

A apresentação do relatório e o fechamento formal devem ser feitos por meio de carta ou memorando, uma vez efetuadas todas as correções necessárias na avaliação da resposta, o relatório final é entregue após a apresentação do trabalho realizado, devidamente apoiado documentação de suporte, com a qual o trabalho é parcialmente concluído, pois o auditor após essa entrega deve acompanhar as notícias encontradas em um período determinado.

1. Ação corretiva

Um dos princípios básicos da avaliação da resposta pelo Gerente é que as condições adversas à qualidade do Sistema devem ser identificadas e corrigidas imediatamente. Para causas adversas significativas, a gerência deve tomar as medidas necessárias para evitar a recorrência.

Essa última parte do processo de ação corretiva costuma ser a mais difícil de implementar; portanto, a ação corretiva deve ser um processo sério e contínuo.

1. Responder ao relatório

Trinta dias após o recebimento do relatório é um período típico para resposta.

Normalmente, é responsabilidade do líder da equipe que conduz a revisão acompanhar as respostas a um relatório. Se uma resposta não for recebida até a data solicitada, um membro da equipe deve ligar para o cliente que solicitou o serviço para lembrar a organização de que eles devem se comprometer seriamente com a ação corretiva.

Caso prático

Relatório apresentado ao Gerente Geral da empresa Fertilizantes Agrícolas X pela Sra. Alice Naranjo Sánchez, Presidente da Empresa de Auditoria Naranjo-Arrobo Asociados, no período de 1º de outubro a 8 de dezembro de 1998.

Guayaquil, 8 de dezembro de 1998

Distinto cavalheiro:

Nosso compromisso básico com a empresa que você preside de maneira digna e adequada consiste em: Avaliação de controles e valores mobiliários do Sistema de portfólio na empresa de fertilizantes agrícolas X, para os quais foram analisados os problemas básicos detalhados abaixo:

1. Falta total ou parcial de garantias lógicas

1. Mau funcionamento do sistema descontentamento do usuário

Esses problemas causados ​​pelo sistema de portfólio foram canalizados para alcançar os seguintes objetivos em nosso trabalho e são:

1. Melhorar a segurança lógica do sistema

1. Garantir maior confidencialidade das informações Melhorar o funcionamento do sistema Aumentar a satisfação dos usuários do sistema de portfólio

Neste relatório, apresentamos os controles que devem ser implementados à luz dos novos recursos encontrados no sistema de portfólio.

Atenciosamente, Miss Alice Naranjo

Presidente

Naranjo-Arrobo Auditores Associados

Relatório final

Avaliação de controles e valores mobiliários do Sistema de Portfólio de uma Empresa de Fertilizantes Agrícolas

Reunindo as notícias encontradas no Sistema em relação aos pontos fracos dos controles após receber preocupações do usuário e verificação física no sistema, procedemos à preparação de um documento dos pontos fracos encontrados e das respectivas recomendações para a gerência.

ANTECEDENTES DA EMPRESA

A empresa Fertilizantes Agrícolas X, reside na cidade de Guayaquil, é subsidiária de uma importante corporação do nosso país e dedica-se a produzir, elaborar e distribuir todos os tipos de fertilizantes químicos principalmente para o setor agrícola da região da Costa.

Sua fábrica está localizada na cidade de Guayaquil, dentro do setor industrial. Possui muitos pontos de venda nas principais localidades do país, como: Machala, El Triunfo, Quevedo, Naranjal, Milagro, entre outros.

Entre seus principais fornecedores locais, temos: Ramexco, Fertagric, Comercial Agrofam.

Entre seus principais fornecedores internacionais, temos: NOVARTIS, BASF, Bayer, etc.

Seus principais clientes são: Reybanpac, Cartonera Andina SA, Expoplast, entre outros.

Seus principais concorrentes são: MITSUI, SQM, Fertagric, entre outros.

Diante de uma série de problemas que afligem a Administração Geral da empresa em reunião do Conselho, aprovou a contratação de uma Auditoria externa para realizar a Avaliação de controles e valores mobiliários do Sistema de Portfólio na empresa de Fertilizantes Agrícolas X, pela período compreendido entre 1 de outubro e 8 de dezembro de 1998, com duração estimada de 84 dias úteis .

Relatório final

Avaliação de controles e valores mobiliários do Sistema de Portfólio de uma Empresa de Fertilizantes Agrícolas

OBJETIVOS DA AUDITORIA

1. Melhorar a segurança lógica do sistema

1. Garantir maior confidencialidade das informações Melhorar o funcionamento do sistema Aumentar a satisfação dos usuários do sistema de portfólio

RESULTADOS DA AVALIAÇÃO

Os principais pontos fracos detectados em nossa análise devem-se a aspectos dos controles aplicados nas diferentes fases do processo do Sistema de Portfólio.

1. A documentação do aplicativo está incompleta e desatualizada

1. Existem autorizações atribuídas a determinados usuários mal definidos O sistema não controla que os usuários tenham senhas diferentes entre eles.Não há periodicidade para a alteração dos códigos de acesso ao sistema.As senhas são muito pequenas. fazer backup e restaurar arquivos de dados do sistema Existem dois monitores do sistema Existem opções de menu não desenvolvidas e desnecessárias Os controles de validação de entrada de dados estão incompletos A entrada de transação incorreta não é validada Algumas mensagens de erro do aplicativo estão incorretas Alguns campos usado para exibir dados na tela são muito pequenos

Relatório final

Avaliação de controles e valores mobiliários do Sistema de Portfólio de uma Empresa de Fertilizantes Agrícolas

RESULTADOS DA AVALIAÇÃO

A seguir, é apresentada uma análise detalhada das fraquezas encontradas, dos efeitos e de uma série de recomendações destinadas a eliminar essas deficiências detectadas no aplicativo Portfólio:

Relatório final

Avaliação de controles e valores mobiliários do Sistema de Portfólio de uma Empresa de Fertilizantes Agrícolas

RESULTADOS DA AVALIAÇÃO:

1.- A documentação do aplicativo está incompleta e desatualizada

Situação atual:

Durante a análise, pudemos constatar que a documentação necessária para o sistema não está disponível, pois existe apenas o manual do usuário, que está desatualizado.

Efeitos:

Esta situação pode levar a problemas de:

• Dependência do pessoal que desenvolveu o sistema

• Dificuldade em implementar alterações no aplicativo na ausência de funcionários familiarizados com o aplicativo. Dificuldade para novos usuários do sistema ao tentar usá-lo guiado por documentação desatualizada, o que levaria a confusão e perda de tempo.

Recomendações:

É importante manter uma documentação completa dos sistemas, que inclui manuais do usuário, técnicos e de operação e a documentação dos programas. Além de um registro das modificações feitas no aplicativo, que incluem data, descrição, analista responsável, usuário, assinatura da revisão e aprovação do usuário com relação às alterações feitas, etc., para cada modificação, para Para ter um documento de apoio em caso de reivindicações subsequentes.

Relatório final

Avaliação de controles e valores mobiliários do Sistema de Portfólio de uma Empresa de Fertilizantes Agrícolas

RESULTADOS DA AVALIAÇÃO:

2.- Existem autorizações atribuídas a certos usuários mal definidos

Situação atual:

Durante a revisão, pudemos observar que não existem procedimentos de definição de usuário que garantam controle de acesso adequado às diferentes opções de aplicativos. Por exemplo, o usuário do MCJ tem permissão para fazer backup dos arquivos de dados do sistema, sendo ele o responsável por manipular apenas os códigos do produtor.

Efeitos:

Esta situação permite:

• Eventualmente, um usuário pode obter informações confidenciais da empresa e possivelmente utilizá-las incorretamente.

• Um usuário pode enganar as informações obtidas, as mesmas que poderiam estar nas mãos de terceiros, com o perigo que isso implica.

Recomendações:

É essencial realizar uma revisão das autorizações atribuídas aos usuários para evitar vazamentos de informações confidenciais da empresa, bem como atribuir aos usuários as autorizações correspondentes de acordo com as funções que executam.

Relatório final

Avaliação de controles e valores mobiliários do Sistema de Portfólio de uma Empresa de Fertilizantes Agrícolas

RESULTADOS DA AVALIAÇÃO:

3.- O sistema não controla que os usuários tenham senhas diferentes entre

eles

Situação atual:

Durante nossa visita, fomos informados de que vários usuários podem ter a mesma senha em um determinado momento, o que é permitido pelo sistema.

Efeitos:

Esta situação permite:

• Acesso não autorizado ao sistema, uma vez que uma pessoa que não é usuário do sistema (invasor) pode aprender a senha de um usuário A e, como é a mesma senha de outro usuário B, que pode ter autorizações que permitem o acesso a determinadas funções Com o processamento restrito de informações, o invasor pode acessar o sistema usando o nome do usuário B e a senha do usuário A e, assim, executar operações não autorizadas nos arquivos de dados do aplicativo.

• Falta de confidencialidade nas senhas dos usuários.

Recomendações:

É importante manter a confidencialidade e a exclusividade dos códigos de acesso do usuário ao sistema, a fim de evitar qualquer acesso não autorizado possível ao aplicativo, além disso, deve ser implementada uma rotina de programação que permita ao sistema avaliar a senha do sistema. um usuário quando ele estiver sendo criado ou modificado e, assim, evite chaves repetidas.

Relatório final

Avaliação de controles e valores mobiliários do Sistema de Portfólio de uma Empresa de Fertilizantes Agrícolas

RESULTADOS DA AVALIAÇÃO

4.- Não há periodicidade para a alteração dos códigos de acesso ao sistema

Situação atual:

Durante a revisão, observou-se que um intervalo de tempo não foi definido para alterar os códigos de acesso dos usuários para o Wallet System.

Efeitos:

Esta situação permite:

• Pessoas não autorizadas sabem a senha de um usuário.

• Acesso não autorizado às informações do sistema usando o nome e a senha de um usuário descuidado que pode realizar operações não autorizadas.

Recomendações:

Devem ser definidas políticas de segurança de dados que incluem: intervalo de tempo para alterações de senha, administrador de segurança do sistema, padrões de criação de usuários, entre outras coisas.

Relatório final

Avaliação de controles e valores mobiliários do Sistema de Portfólio de uma Empresa de Fertilizantes Agrícolas

RESULTADOS DA AVALIAÇÃO

5 .- As chaves do usuário são muito pequenas

Situação atual:

Durante a análise, descobrimos que os usuários têm chaves muito pequenas, consistindo basicamente em duas ou três letras, atribuídas pelo gerente de portfólio.

Também é possível criar usuários sem uma senha.

Efeitos:

Esta situação permite:

• A confidencialidade e a segurança são reduzidas ao sistema, pois as chaves muito pequenas são fáceis de aprender e copiar.

• Existem possíveis acessos não autorizados ao sistema. Os usuários podem ser criados sem uma senha, o que é um perigo potencial para a segurança das informações, pois o nome (login) do usuário que é a primeira coisa inserida ao acessar o sistema, se for Você pode visualizá-lo, portanto, como esse usuário não possui uma senha, qualquer pessoa não autorizada pode entrar apenas com o nome do usuário sem uma senha e, dessa forma, pode executar todas as operações para as quais esse usuário tem autorização.

Recomendações:

É recomendável usar senhas com no mínimo cinco caracteres e a opção de entrada de senha do usuário também deve ser modificada, para que sua entrada seja obrigatória ao criar um usuário.

Relatório final

Avaliação de controles e valores mobiliários do Sistema de Portfólio de uma Empresa de Fertilizantes Agrícolas

RESULTADOS DA AVALIAÇÃO

6.- Qualquer usuário pode fazer backup e restaurar arquivos de dados do sistema

Situação atual:

Após revisar as opções de menu para cada usuário, pudemos ver que qualquer usuário do sistema pode fazer backup e restaurar os arquivos de dados, pois eles têm as respectivas permissões.

Efeitos:

Esta situação envolve:

Um usuário pode, eventualmente, obter um backup das informações, modificá-las e depois restaurá-las no sistema, tudo isso de forma não autorizada, o que significa um grande perigo para a segurança das informações, pois qualquer operação pode ser realizada, registrar transações etc.., sem deixar nenhuma evidência disso.

Recomendações:

Recomenda-se que as funções de backup e restauração de informações sejam atribuídas a uma pessoa, seja na área financeira ou de sistemas, e permita apenas que elas tenham acesso a essa opção do sistema, e essa pessoa também deve ser indicada. a frequência com que os backups devem ser feitos.

Relatório final

Avaliação de controles e valores mobiliários do Sistema de Portfólio de uma Empresa de Fertilizantes Agrícolas

RESULTADOS DA AVALIAÇÃO

7.- Existem dois supervisores do sistema

Situação atual:

Pudemos ver que existem dois supervisores de sistema: o gerente de portfólio (FF) e o analista de sistemas (RG), este último aparece no sistema como supervisor, para que ela tenha acesso a todas as funções de processamento de dados do sistema A pedido do gerente financeiro, essas funções foram atribuídas ao gerente de portfólio, mas as permissões correspondentes ao analista de sistemas não foram retiradas.

Efeitos:

Esta situação permite:

• Com a permissão de duas pessoas para realizar todos os tipos de operações, podem surgir problemas devido a alterações feitas por uma delas sem o conhecimento da outra.

• Existe a possibilidade de modificações não autorizadas nos arquivos de produção sem o conhecimento da área financeira, o que pode causar muitos inconvenientes ao revisar os resultados.

Recomendações:

É importante segregar as funções de cada usuário de forma que a supervisão do sistema seja realizada por uma única pessoa responsável por isso; além disso, o pessoal do sistema não deve ter acesso às operações que nos arquivos de produção podem afetar o sistema. aplicativo, você só deve ter permissão para executar operações em arquivos de desenvolvimento (testes)

Relatório final

Avaliação de controles e valores mobiliários do Sistema de Portfólio de uma Empresa de Fertilizantes Agrícolas

RESULTADOS DA AVALIAÇÃO

8.- Existem opções de menu que não são desenvolvidas e não são necessárias

Situação atual:

Durante a revisão, observou-se que no menu do processo de aplicação existem opções que não foram desenvolvidas, como; Geração de taxas atrasadas e Transferência de Documentos a Receber, que não serão desenvolvidas. No momento, eles são mencionados apenas no menu.

Efeitos:

Esta situação pode causar:

• Confusão e repulsa aos usuários quando eles tentam usar essas opções

• Que um critério errado é gerado no aplicativo

Recomendações:

Recomenda-se que apenas as opções usadas ou que serão usadas no futuro apareçam em todos os menus, para que o usuário possa apreciar o que o sistema realmente pode fazer.

Relatório final

Avaliação de controles e valores mobiliários do Sistema de Portfólio de uma Empresa de Fertilizantes Agrícolas

RESULTADOS DA AVALIAÇÃO

9.- Os controles de validação de entrada de dados estão incompletos

Situação atual:

Durante a revisão, observou-se a falta de validações de entrada de dados, por exemplo: Quando uma nota de débito é inserida, um valor negativo pode ser definido para o campo do período de carência e também o valor total da nota pode ser dividido em 99 dividendos.

Efeitos:

Este tipo de erro pode causar:

• Causar diferenças significativas nos resultados do sistema

• Provocar desequilíbrios nos totais em relação aos de outros sistemas Afeta diretamente a confiabilidade e a veracidade das informações expressas nas demonstrações financeiras

Recomendações:

Recomendamos que a área de sistemas revise as validações de entrada de dados desse aplicativo, com a ajuda dos usuários que fornecem informações para solucionar esse problema, a fim de evitar que os problemas mencionados ocorram no futuro.

Relatório final

Avaliação de controles e valores mobiliários do Sistema de Portfólio de uma Empresa de Fertilizantes Agrícolas

RESULTADOS DA AVALIAÇÃO

10.- A entrada de transações incorretas não é validada

Situação atual:

Durante a revisão, observa-se que nenhuma rotina de validação de transação foi criada com dados ou rotinas erradas que não permitem a omissão de campos sensíveis no aplicativo, por exemplo: Se inserirmos uma nota de débito com um período de carência (40) e 99 dividendos a serem pagos, o sistema aceita e nenhuma notificação subsequente ocorre informando que uma transação incorreta foi inserida.

Efeitos:

Esses tipos de erros podem:

• Causar diferenças significativas nos resultados do sistema

• Causar descasamentos dos totais em relação aos de outros sistemas Gerar dificuldades para detectar transações incorretas Afetar diretamente a confiabilidade e a veracidade das informações expressas nas demonstrações financeiras.

Recomendações:

Recomenda-se a criação de rotinas de programação que permitam ao sistema detectar transações incorretas mesmo depois de inseridas e, ao mesmo tempo, excluí-las e registrá-las em um arquivo temporário para posterior análise e correção por alguém que as interrompa. o efeito é designado.

Relatório final

Avaliação de controles e valores mobiliários do Sistema de Portfólio de uma Empresa de Fertilizantes Agrícolas

RESULTADOS DA AVALIAÇÃO

11.- Algumas mensagens de erro do aplicativo estão incorretas

Situação atual:

Algumas das mensagens de erro exibidas pelo sistema não refletem a falha verdadeira que ocorreu, por exemplo: Ao inserir uma nota de débito e digitar um número negativo no campo da taxa de câmbio, o sistema exibiu a seguinte mensagem "A taxa de câmbio não foi inserida", o que é totalmente incorreto.

Efeitos:

Esta situação pode:

• Causar confusão e perda de tempo para os usuários do sistema

• Quando os usuários inserem os dados errados, eles não sabem qual é o erro real, pois o sistema mostra a mensagem errada.O grau de dificuldade em operar o sistema aumenta.

Recomendações:

• Recomenda-se que a área de sistemas revise as mensagens de erro exibidas por este aplicativo, para que o sistema ofereça maiores recursos aos usuários.

Relatório final

Avaliação de controles e valores mobiliários do Sistema de Portfólio de uma Empresa de Fertilizantes Agrícolas

RESULTADOS DA AVALIAÇÃO

12.- Alguns campos usados ​​para mostrar dados na tela são muito pequenos

Situação atual:

Certos campos na tela não são grandes o suficiente para mostrar o resultado de uma operação aritmética, por exemplo: Quando uma nota de crédito em dólar foi inserida, e o resultado da multiplicação da taxa de câmbio pelo valor da nota foi maior que o valor que o campo de saída poderia exibir, a equivalência da transação da transação não pôde ser exibida.

Efeitos:

Esta situação pode:

• Causar confusão e perda de tempo para os usuários do sistema

• Gere aborrecimento aos usuários quando eles estão inserindo dados e não podem visualizar os resultados de suas operações aritméticas; portanto, eles seriam forçados a executá-los manualmente para verificar seus dados.

Recomendações:

Recomenda-se que a área de sistemas revise os campos de saída desse aplicativo nos quais os resultados da operação aritmética são mostrados, para que o sistema forneça maiores facilidades aos usuários e evite que os inconvenientes mencionados ocorram no futuro.

Conclusões:

Computação e computação são disciplinas ou técnicas que influenciam todas as atividades humanas, sem as quais não seria possível armazenar ou processar grandes volumes de dados, obter informações em tempo mínimo ou com grande precisão, relacionar dados para obter alternativas para solução para problemas financeiros, administrativos e até sociais.

Consequentemente, não é possível conceber uma empresa em que essa área sensível seja negligenciada pelos controles periódicos exigidos pelo ambiente da informação.

A área de Auditorias, em suas diversas formas, começa a ser reconhecida pelo mundo dos negócios como um meio eficaz de melhorar a qualidade.

A auditoria de sistemas deve ser parte integrante da auditoria geral. Dessa maneira, são realizados controles periódicos para eliminar os riscos apresentados pelo design de alguns sistemas.

Os riscos e controles gerais afetam os riscos e controles do aplicativo, portanto, cada um deles deve ser enfatizado desde os controles de entrada, processando até os controles de saída, o que minimizará os riscos na medida em que os controles gerais se cumpram.

Em nosso trabalho, conseguimos encontrar uma série de anomalias nos controles, como:

• Atribuição incorreta de perfis de usuário, erro grave que gera acesso indiscriminado a opções confidenciais, mau gerenciamento e administração de chaves.

• Edição de falhas de controle Atribuição incorreta de permissão causada por má administração de valores mobiliários.

No entanto, em alguns casos, se forem apresentadas opções de resgate, como salvar o usuário da pessoa que acessou o sistema, o que pode ajudar na identificação ou detecção de um problema.

Portanto, os departamentos de usuários devem estar cientes da importância de se envolver no desenvolvimento de aplicativos para detectar falhas nos sistemas antes que eles entrem em operação, bem como na segurança e importância do compartilhamento. códigos de acesso com colegas de trabalho na mesma área ou pessoas de fora.

Os sistemas de informação fazem parte dos recursos totais da organização; de fato, em algumas empresas, são tão importantes quanto a estratégia de mercado, o design de produtos etc. Portanto, os executivos, além de alocar recursos monetários, devem participar do projeto de sistemas que resultarão em um caminho real para alcançar os objetivos e metas da empresa.

Neste trabalho, conceitos e teorias básicos do processo de auditoria de sistemas foram expostos. Também foi feita uma tentativa de apresentar algumas maneiras de colocar a teoria em prática. À medida que a aplicação das auditorias for estabelecida, certos métodos serão desenvolvidos e outros desaparecerão. Isto é devido ao processo evolutivo da ciência. Independentemente das mudanças; O objetivo de uma auditoria ou avaliação será sempre fornecer à gerência informações significativas para basear a tomada de decisões que impulsionam o bom funcionamento da empresa.

Anexos

Fluxo de informações do sistema de portfólio

Terminologia

Terminologia

Arquivo.- É um elemento de armazenamento de informações que consiste em uma série de registros, cada um dos quais contém informações semelhantes. Assim, um arquivo pode conter as informações de todos os clientes da empresa e cada registro será um cliente específico.

Auditoria.- Avaliação independente, estruturada e documentada da adequação e implementação de uma atividade com relação aos requisitos especificados.

Auditoria de Sistemas.- Permite saber como identificar os pontos fracos existentes na área de sistemas, aprender a verificar o grau de credibilidade das informações processadas, aumentando a capacidade de definir o ambiente de segurança apropriado para o processamento das informações e entender o manuseio. de ferramentas informatizadas para realizar testes de auditoria.

Diagrama de Fluxo.- É uma representação gráfica de uma sequência de operações na qual um conjunto predeterminado de símbolos é usado para ilustrar as etapas envolvidas no fluxo de dados em um determinado procedimento ou sistema, pode ser geral ou detalhado.

Interativo.- Sistema que permite a interação entre homens e máquinas através de algum dispositivo terminal.

Multiprocessamento.- É o elo entre dois ou mais processadores para lidar com grandes volumes de dados e fornecer serviços de multiprogramação ou serviços de timeshare ou ambos.

Multiprogramação.- Sistema de computador que permite a execução simultânea de dois ou mais programas diferentes.

Processamento.- É a execução real das tarefas de um sistema.

Processo distribuído.- Sistema de processamento de dados que implica projeto, controle e operação descentralizada, por meio de uma série de computadores em rede.

Programas de aplicação.- São aqueles necessários para executar tarefas em um sistema de processamento de transações específico.

Simbologia.- Entre os principais símbolos usados ​​em um fluxograma, temos o seguinte:

Processo de armazenamento

Relatório de entrada de dados

Entrada manual Entrada na tela

Fluxograma de Início / Fim da Decisão

Sistema operacional.- São programas de sistema que controlam os recursos da máquina e servem como um link entre esses recursos e os usuários. Também chamados de programas de controle mestre, monitores ou programas de controle do sistema. Cada fabricante possui um nome exclusivo para o sistema ou sistemas operacionais que eles fornecem.

Software.- Programa que fornece instruções para o computador. Este também é o nome do sistema operacional.

Timeshare.- Desempenhando duas ou mais funções durante o mesmo período, atribuindo pequenas divisões do tempo total a cada função.

Ele permite que o computador seja usado de uma maneira que atenda a vários usuários ao mesmo tempo.

Tempo de resposta.- Tempo necessário para transmitir informações de um computador e receber uma resposta.

Tempo real.- O armazenamento de informações no sistema ocorre no momento em que as transações estão ocorrendo. Os aplicativos em tempo real são essenciais nos casos em que os dados são modificados várias vezes ao longo de um dia e precisam ser consultados quase imediatamente com as modificações feitas.

Validação.- Verificação programada de dados ou resultados, para garantir que eles atendam aos padrões pré-determinados.

Bibliografia

• O objetivo deste trabalho é avaliar o desempenho de uma equipe de profissionais da área de segurança do trabalho, com o objetivo de orientar e orientar os colaboradores sobre a necessidade de se manter o controle de todos os riscos e garantir a segurança dos trabalhadores. Francisco, Pesquisa Científica, De. Ortiz, Quito, 1979. Mayne Lynette, Direto do Topo, De. Alfaomega, De. Presencia, Bogotá, 1995. Méndez E. Carlos, Metodologia de Pesquisa, Mc Graw Hill, 1994Rios Wellington Dr, Auditoria de Sistemas Computacionais, De. Abaco, Quito, 1994 Sanders Donald, Computação: Presente e Futuro. McGraw Hill, De. Interamericana, 1990O Instituto Canadense de Fretamento vs. 5.0, IDEA Interactive Data Extraction and Analysis - Manual do Usuário, Toronto, 1994

Baixe o arquivo original