公司投资组合系统的管理和控制

本工作的主要目标之一是指导后代了解评估公司投资组合系统的控制和证券时必须考虑的重要方面。

详细说明中使用的简单直接的语言有助于其理解，并且可以使它具有更广阔的视野，更多的应用和更多的创新，并希望使其成为学生和毕业生的有用参考资料。

同样，我们可以强调工作作为企业家支持材料的贡献，因为在公司投资组合系统领域的这项全球评估为必须在企业内部实施的主要控制和证券设定了基本准则。构成公司短期现金的主要流动资产帐户中的。

在财务领域，突出定义与组织目标密不可分的合理信贷和收款政策的重要性非常重要，该组织的业务战略，使命和公司愿景概述了这一点。

在审计和控制领域，它强调了控制和当前信息处理系统安全性的重要性。

在行政领域，他概述了适当定义公司的组织结构的重要性，该定义允许客观地定义组织中每个成员的职能并根据其职位划分职责。

这些贡献突出了投资组合系统在组织所有组成部分中的重要性。

应收账款在流动资产组中的贡献在公司的营运资金中具有影响。因此，投资组合在许多活动中代表着公司流动资产中具有财务重要性的主要项目。

如果我们想获得信贷，则信贷销售已经迫在眉睫，无论何时实施信贷政策，我们都必须对信贷领域和应收账款管理进行严格控制，不仅因为这可能造成严重损失，而且这是最主要和最直接的资金来源。

在谈到这项工作的主要起点时，应强调和强调应收帐款管理的重要性和重要性，因为应执行的控制和证券的重要性。

应收帐款管理中必须考虑的主要因素是：

信贷销售量销售的季节性性质信贷限额规则个别公司的销售条件和信贷政策收款政策

如果没有充分考虑上述因素，并且我们的控制和保证有误，我们的财务计划将受到严重影响。

然后，有必要审查，评估和更新趋于有效控制馆藏的相关方面。

首先，我们将提到销售部在授予信贷，条款和证券方面趋向于自由的趋势。

尽管采取严格而严格的贷款政策，但它提供了回报的保证，另一方面，它可能会带来失去机会，这意味着失去或缺少永久和重要的客户。

财务经理或负责控制该项目的人员将必须找到所需的余额。在应收帐款管理中，其目标是使余额适合业务情况，并提供合理的营业额率和最大利润的合理百分比。

在信贷政策，习惯和销售条件的变化中，一个非常重要的影响是产品的易腐性，另一个是对客户的分析。提供信用的公司在确定客户是不良信用主体时必须宽容，因此负责评估信用风险的官员必须考虑五个“ C”，它们是：

字符容量资本抵押条件

性格-客户的道德因素在评估履行义务的信用方面最重要。

能力-对客户经济潜力的主观和视觉判断。

资本-财务状况，尤其是公司的有形资本。

COLLATERAL。-由客户可以提供作为信用担保的资产表示。

条件-分析公司的总体经济趋势或可能影响客户履行义务能力的事件。

这些因素在授予信贷本身，确定我们愿意在信贷销售中产生的投资额方面很重要。

如果一家公司愿意自由授予资金，那么它可以进行很多销售，胜过竞争对手。但最后，如果没有足够的控制权，这种性质的贷款可以终止公司。

因此，至关重要的是，信贷部门准备从技术上处理这些事情，从第一次接触即评估和授予信贷，到顺利完成所收取的销售费用。

财务管理员必须干预信贷部门计划的制定，对其发展进行永久性分析和评估，以证明该地区的发展具有能力，最重要的是，已经预见到现金流量，以及应用基本控制和证券。

对公司投资组合系统的控制和证券的评估是有助于实现财务目标，进而实现公司成长与发展的基本支柱之一。

1.2审核理由

在进行审核的主要理由或理由中，我们发现以下内容：

数据处理部门预算的大幅增加和不合理的增加缺乏公司IT状况的管理水平的知识完全或部分缺乏逻辑和物理安全性以确保人员，设备和信息的完整性计算机的缺乏。由于缺乏政策，目标，规范，方法，标准，授权，任务分配和人力资源管理不足而无法正常运行的组织。用户普遍不满，通常是由于不遵守期限和结果质量差所致；缺乏系统文件或系统文件不完整，这表明在生产中维护系统存在困难或不可能。

在审计中需要进行特殊分析的合理范围之内，我们的研究已考虑了那些仅对投资组合的应用产生影响的合理因素，这是我们进行审计的潜在原因。其中有以下内容：

完全或部分缺乏逻辑保证

计算机是一种存储和构造大量信息的工具，这些信息可能对个人，公司或机构是机密的，并且可能被滥用者泄露或泄露。还会发生欺诈或破坏活动，从而导致计算活动的全部或部分破坏。

对访问系统进行控制的需求至关重要，因为如果由于缺乏有效控制程序而由计算机系统输入和处理的信息被有意或无意破坏或扭曲，那么许多先前分散的功能的集中就变得尤为关键。。因此，系统评估在逻辑证券中作为信用和收款系统的初始控制的重要性。

系统故障

系统是可以在同一公司内部开发的应用程序，因此是定制的，也可以作为软件包购买，通常由专业软件开发公司提供。就我们分析的公司而言，投资组合系统是内部开发的，因此它必须满足公司的实际需求。

在详细说明系统和任何应用程序出现故障的原因之前，我们必须关注公司开发的不同系统。

在很多情况下，结果是打算在系统或应用程序开发的计算机领域中实现的目标，但是目标必须是系统根据功能规范工作，以便用户有足够的信息来使用。处理，操作和验收。

该系统完成某些阶段，其中包括：分析，设计，编程，测试和维护，这些阶段不断反馈。如果没有适当地考虑这些阶段之一，则将来会带来不便，并导致系统故障。

由于系统的故障，它们可能会在字段和定义的信息范围内显示失真的信息或反映不一致的数据，在其他情况下，它们可能是一个问题，而不是解决方案，总之它们是不切实际的。

以下是最常见的系统问题：

在开发，分析和编程方面缺乏标准，在进行详细设计时系统规格不充分。设计不良在转换和实施中存在问题在系统详细设计阶段以及整个系统本身方面的控制薄弱和编程新技术未使用或使用不正确。

前面提到的所有原因都可能是系统故障的原因，在进行此检查时应将其考虑在内。

因此，重要的是要进行必要的验证，以便对系统和程序进行彻底的测试，以确保它们与原始规格保持一致，不存在用户不满意的情况，并且交易必须正确执行。

用户不满

用户的不满意是对系统进行审查和评估的原因之一。

通常是由于合理的原因引起的，管理层需要对引起上述不满的原因进行调查。

在许多情况下，这是由于缺乏用户参与应用程序分析的参与。最终用户（将要使用该应用程序且应熟悉其使用情况）的判断决不能搁置，因此，必须激励用户参与该过程。

对于要由用户托管的系统，它必须满足共同定义的要求。因此，用户与负责开发系统的人员之间需要完整的通信。此通信必须明确定义用户拥有的元素，信息处理需求以及存储或打印的输出信息的要求。

在分析阶段定义系统时，应该定义计算机处理的信息的质量，建立适当的控制，信息的访问级别等。

实施系统的目的是提高用户执行流程的速度和准确性，减少在任务中执行的时间和精力，并增加公司的收益和效用。

1.3审核目的

系统审核的目标可以多种多样，它们都取决于分析的计算机状况。

激励审计的主要目标包括：

寻求由数据处理区设计和实施的自动化或计算机化系统的更好的成本效益比。提高用户满意度通过推荐保护措施和控制措施，确保信息的完整性，机密性和可靠性，了解计算区域的当前状况以及旨在实现既定目标的活动和努力。

公司可以要求对以下几点进行分析：

改善系统的逻辑安全性

本世纪的计算机为建立系统的逻辑安全性提供了便利，并构成了市场上可用的软件替代品，以保证只有经过授权的人员才能使用计算机。

重要的是维护系统的安全性，以便在正确的时间获得相关信息。

通过这项工作，建议发布一系列旨在改善该公司投资组合系统的逻辑安全性的控制措施。

确保更高的信息保密性

保密被理解为以授权官员保留和专有的字符保护信息。

信息的机密性仅允许授权人员访问数据和信息，因此将用户进行的交易记录为被授权执行任何交易的人员的唯一责任。

改善系统功能

在使用真实数据运行程序之前，必须对它们进行测试数据测试，直到耗尽所有可能的异常。

系统的目标是提供及时有效的信息，因此必须在适当计划的过程中为其开发信息。

完整的系统必须在经过培训并准备好相应手册后才能交付给用户，以确保正确使用系统。

提高投资组合系统用户的满意度

用户的不满意是由于缺乏对需求的理解和协调，以及在提供和接收服务的人员之间干预元素的明显离婚。

当系统的结果不符合用户的需求时，会产生一定的不适感，这会引起不满意。这种现象对公司本身是有害的，因为由于其产生的持续不便，用户宁愿不使用该系统作为支持。

重要的是要注意，经过合理构想，经过适当测试和有效控制的系统可能会磨损，并成为另一个修补，不合理，效率低下且不受控制的系统或程序，这将给最终用户带来不适。

因此，分析系统，发现缺陷并加以改进以提高系统的满意度非常重要，这主要是在我们的案例中，即投资组合系统的适用性。这旨在准确地找到当前工作，在创建和交付审核报告之后将要纠正的主要弱点。

1.4审核范围

根据上述目标和理由，审核范围如下：

1.- 评估实施中的输入，处理和输出控件

钱包

这些控件旨在：

确保数据的兼容性，但不保证其准确性或准确性（例如，对字段包含的数据类型进行验证），或验证其是否在特定范围内，以确保对终端的访问权限安全，程序，文件，数据和机密信息；确保所有数据都由计算机处理；确保计算机处理的数据得到适当授权；确保系统提供的输出得到适当分配。

2.- 定义要实施的控制

观察之后，必须创建适当的控件以保证信息的完整性和机密性，因为它们是：

用户访问控制访问代码控制输入数据控制不良交易控制等

3.- 建立对管理的建议。

一旦分析了完成工作的方法，就必须将相应的报告提交给管理层，以进行检查，随后完成工作以及接受改进建议。

第二章

投资组合系统说明

第2集

投资组合系统说明

投资组合系统

投资组合系统是公司需要通过一般公司政策授予明确的信用来满足其最重要的客户的需要。

对最重要的客户进行道德和经济偿付能力评估，以保证投资组合的可收回性。

为了批准向最佳客户提供贷款，公司必须要求提供相当于其交易百分百的银行担保。然后，该价值将在最多30天的时间内支付给公司。

同样，在公司内部评估信用授权级别，以避免可能的误解或信用授权不足。

因此，这并不构成高的信用风险，因为信用由地区负责人保护，如果关联公司的金额较高，则由公司经理谨慎保护。因此，降低坏账或坏账风险。

在许多信贷情况下，公司会在特定期限内延长贷款期限并收取利息。在其他公司中，这没有兑现，因此应收账款在指定期限内生效，并在那个时候成为真实资产。

本文档中详细介绍的Portfolio应用程序是由该公司的Systems Area在Foxpro 2.5中为DOS开发的，并在获得该公司的Process Reengineering Area的批准后于1997年5月实现。

投资组合系统的目的是根据管理部门的要求，根据其先前确定的要求，向主要客户授予信贷，从而为他们提供舒适的支付工具。

此应用程序的目的是管理与投资组合有关的所有信息，这些信息与“现金/银行和账单”模块进行交互。

2.1硬件和软件环境

2.1.1计算机网络环境

该公司有一个小型计算机中心，该计算机中心通常是系统，编程器和操作员以及设备负责人的区域，可以为公司的硬件和软件提供必要的技术支持。

在该区域中，该公司在专用服务器上安装了Novell Netware 3.0网络，所有系统用户都通过该网络进行交互。

该网络在公司内部集成了15个智能终端。

2.1.2可用设备

可用于电子钱包系统的计算机是针对系统用户的CompaqProlínea466个人计算机，具有以下特征：

处理器804868 Mb的RAM 420 Mb的磁盘空间

服务器使用具有以下特征的奔腾计算机：

INTEL处理器16 Mb RAM 1.2 Gb磁盘空间

2.1.3操作系统

网络操作系统是Novell 3.0 Netware，另外还安装了DOS版本6.2操作系统。

2.1.4系统和实用程序软件

编程语言：

该公司使用FOXPRO 2.5编程语言来管理DOS操作系统中的数据库。

应用系统：

公司开发了一些系统，其中最出色的是：

用户名

（部门）

个人工资单

仓库库存

固定资产会计

会计学

实用程序：

该公司使用的主要实用程序是：

Windows 3.1，用于图形命令环境管理Word，Excel，用于开发电子表格和通信Access用于处理尚未输入系统的信息

2.2系统操作

2.2.1流程说明

Portfolio应用程序已集成到Billing和Cash / Banks模块中。在此应用程序中，您会收到有关发票，借方票据，贷方票据的信息，这些信息将在日常处理中提供给系统。

应用程序文件的更新是立即的，并且它们的处理是集中的。

执行流程时，系统将继续评估批准的贷方并生成相应的贷方通知单。在结账时，将生成一个临时文件，其中包含选择信贷的分销商和相关公司的发票的详细信息，系统最终将通过该文件生成贷项通知单，并将其发送到银行的投资组合系统。母公司

集成到Caja / Bancos 投资组合系统中的模块

可从Caja / Bancos应用程序接收有关付款凭证，借记凭证和贷记凭证的信息。

开票

从开票应用程序收到关联公司的发票

（农业，工业，畜牧业），来自主要分销商和其他客户。

工艺流程

说明书

交易的接收者输入了输入记帐和现金系统的信息，因此它构成了与投资组合模块交互的手动处理。

自动化的

该系统的过程是自动化的，因为它从其他模块中获取信息并执行相应的计算并将信息分发到系统的其他基础。

2.2.3.3集中化

最终，为系统的其他基础提供服务的过程的生成由单个用户引导，因此操作集中到位于计算机中心的单个计算机上

2.3流程图

信息录入（账单现金）

相关公司的发票进入“计费和现金”模块：农业，工业，畜牧业；来自分销商和其他客户。还收到有关付款凭单，借方通知单和贷方通知单的信息。

在线和批处理

该应用程序中现有的主要流程是：

a）信用申请流程

消除收入变动

b）信贷申请批准流程

c）应收文件流程

消除收入修正

d）应收利息流程

余额古代/余额明细

e）付款凭证流程

消除收入

退出文件（应收帐款和临时帐款）

处理后，将生成一个临时的分销商账单文件。同样，将更新开票文件，并在应收帐款文件中生成相应的记录，在该应收帐款文件中存储信息，然后可以做出有关逾期投资组合的决定。

2.3.5打印输出（各种清单）

在此系统中生成的主要列表包括：

摊销表

帐户对帐单付款凭证待处理凭证注册日期

2.4信息流

附件RC1中观察到的信息流显示了数据以及与项目组合系统交互的系统之间的交互。

见附件RC1

在系统的主要输入中，我们有：

帐单文件

CajaFacturasN / DN / C文件

在系统的主要输出中，我们有：

1.-在以下文件中存储信息：

开票

应收帐款临时产品开票

2.-屏幕查询：

签发申请摊销表帐户对帐单（见附件RC2）待付款文件。

3.-清单：

签发申请

摊销表各种清单待付款文件

附件RC 1中的流程图以图形方式验证了此简要说明。

第三章

控制与安全评估

第3章

控制与安全评估

控制被理解为一套有条不紊的规定，其目的是监视公司的职能和态度，为此，有可能核实是否按照所采用的程序，发出的命令和接受的原则进行了一切。

在谈论证券时，我们指的是为了使信息保密而进行的所有活动：操作和管理系统的人员在处理，处理，归档和使用信息时。

这项审查非常重要，因为除了确定保障措施和控制措施的存在或已经存在的保障措施的有效性和效率外，还需要深入分析这些细节。

我们研究的保证完全是由于逻辑保证，即应用系统的保证。

3.1对系统访问代码的控制

访问密钥控制对于避免系统漏洞很重要。

访问代码由员工代码组成是不方便的，因为未经授权的人可以通过简单的测试或推论找到该代码。

要将密钥重新定义给所有用户，它们必须是：

个人。-密码必须属于一个用户，即个人和个人，以方便和确定执行交易以及分配职责的人员。

机密。-必须向用户正式说明密码的使用。

无关紧要。-键不得与序列号，名称或日期相对应。

在修改访问密钥控制时，应考虑以下几点：

仅可访问有限范围的活动和菜单。

必须通过用户ID标识主要交易的授权用户。密码必须由授权用户专有，并且必须定期更改。必须根据每个员工的角色来限制对系统中数据的访问。

在我们访问期间，我们获悉，某些用户在特定时间可能具有相同的密码，这是系统允许的。

因此，该访问密码控件对于该应用程序为空，因为任何知道密码的用户都可以访问该应用程序，这对于公司的正常运作是如此敏感和敏感。（P / I）（报告点）

审查用户授权文件（IDEA）

为了访问信息，我们要求系统提供相应的文档，这将有助于系统的解释并节省分析时间。但是，此类文档不完整且过时。

因此，通过称为IDEA（交互式数据提取和分析）的审计软件，该软件已获得加拿大注册会计师协会国际认可，可用于审计和/或系统审查，我们着手审查授权文件。的用户。该文件中包含的信息可以在附件RC3中找到，在附件RC3中可以用二进制编码建立系统用户的相应授权。

见附件RC 3

尽管存在明确授权通过授权文件访问菜单选项的事实，但由于菜单和选项管理不当，许多用户的菜单中仍具有未经授权的选项，从而丢失了信息的机密性。（P / I）（报告点）

访问密码的更改频率

定期更改程序的访问代码是很方便的。用户通常保留与最初分配的密钥相同的密钥。

不能定期更改密钥会增加未授权人员知道和使用计算机系统用户密钥的可能性。至少每季度更改一次密码很方便。

用户对投资组合系统的访问代码更改的周期性在必须提供给应用程序的控件中并不占据重要位置。

从参考案例研究的回顾中，可以确定访问代码的更改没有周期性，因为在很多情况下，项目负责人没有足够的时间正确管理此申请。（P / I）（报告点）

3.1.3访问密码管理

访问代码的管理由两个人负责，分别是系统分析师和投资组合经理，他们是直接负责应用程序管理的人，包括创建用户以及对选项的相应权限和授权。分析中的应用程序菜单，而分析人员包括投资组合经理明确要求的某些要求。

此外，可以看出创建的访问代码很小且很有效（请参阅附件RC3），在某些情况下它们不是个人或机密的，但仍有一些用户使用密码访问系统。。（P / I）（报告点）

3.2证券至菜单选项的分析

3.2.1用户和功能的详细信息

此应用程序允许访问来自不同领域的官员，主要是与更高级别的审核过程相关的官员。下面我们详细介绍该应用程序的用户：

会计经理

行政经理市场经理财务经理助理行政经理主计长助理财务经理行政经理投资组合经理投资组合主管系统分析师客户编码经理

3.2.2评估菜单选项分配

应用程序安全性的管理由Portfolio Manager负责，Portfolio Manager负责创建和删除用户，并向他们授予有关他们可以使用的操作的权限，但是用户授予的权限分配不当根据他们完成的功能，系统分析师还具有对系统所有操作的许可权，并可以充当其主管，因此最终它可以对数据文件执行操作而不会留下任何痕迹。。（P / I）（报告点）

同样，我们可以找到未开发且不必要的菜单选项。

3.2.2.1信用申请的录入

通常，随着新员工的进入，会生成一个包含日常工作中主要选项的菜单。在许多情况下，此菜单可以是现有菜单的副本，这意味着用户菜单的选项与另一个用户的选项相同，这会使此选项和其他选项的安全性受到损害。

因此，此选项没有足够的保护措施，因为不同的用户对此选项有过多的访问权限，应对此加以限制。（P / I）（报告点）

3.2.2.2修改信用申请

如果信用请求落在为客户建立的信用范围内，主管可以修改信用请求。

在我们的审查中，确定还有其他工人可以访问上述修改，这会导致选件的安全性失败。

需要强调的是，此选项可以跟踪访问它的用户，从而使您可以对其进行控制。我们认为标准化其使用非常重要。。（P / I）（报告点）

取消信贷申请

此选项的保护措施不是最合适的，因为在此级别上，许多访问都在不同菜单内分配的选项中进行了注册，因此标准化其使用非常重要。。（P / I）（报告点）

重要的是定义此事务不分散在多个菜单中，而应限制其使用。

信用审批

信用额度的批准由投资组合负责人和公司总经理根据既定金额来负责，但是由于该情况下出现不适当的消息，许多用户可以观察并选择该选项，而无法批准该选项，表示以下内容：»公司未定义批准金额»，表示此选择权证券的失败。（P / I）（报告点）

期权的维护

该选项指的是表，概念，文档，报价，公司，用户，授权，参数的实体的全局更新。

这些用于投资组合应用程序全球维护的选项主要可以访问投资组合管理器和系统分析师，他们根据投资组合区域的要求执行对选项的维护（请参阅附件RC 3）。

经理，助理经理，主计长，行政首长都有权维护有关其管理和应用程序的某些选项。

通过参考参考案例研究，可以确定此选项的安全性存在缺陷，因为未保留修改任何特定表的用户的审核记录。。（P / I）（报告点）

这是必须考虑和纠正的系统故障。

3.3对主模块程序的访问控制

投资组合模块的主要程序是：

信贷申请.-通过申请过程，系统处理流程开始，从而产生信贷批准或不批准的基本动向。您的主要选择是：收入，修改和消除

另一个附加程序是选项的维护，它构成了模块中最关键的过程之一。

3.3.1信用申请

条目

请求的输入由投资组合主管负责，该主管在窗口中或通过电话线输入客户的请求。

在查看您的付款历史记录的基础之后，如果该请求出现在可以选择信用购买的客户列表中，则输入此请求。如果以上两个条件均未满足，则主管可以在投资组合经理做出响应之前，通过系统将其输入。

输入请求后，投资组合负责人或公司总经理有责任批准或拒绝该请求。

通过允许的数量范围来控制进入。

因此，在此选项中，没有适当的访问控制，因为在应具体使用时，不同的用户可以访问它。（P / I）（报告点）

3.3.1.2修改

如果信用请求落在为客户建立的信用范围内，主管可以修改信用请求。如果超出金额且已决定授予贷项，则必须由投资组合经理授权。

根据进行的检查，可以确定在请求的修改中没有足够的访问控制，但是，请注意，进行修改的用户的名称得到保存。（P / I）（报告点）

3.3.1.3处理

要删除由于非自愿错误而提出的贷方请求，您必须准备记录相反移动的借方通知单。

否则，如果在进入系统24小时后未得到任何用户的批准，该应用程序可能会被自动删除。此机制允许批处理类型的流程消除晚上没有参加的请求或拒绝信用的请求。

此级别的控件非常好，因为它记录了执行事务的用户的标识符以及在批处理消除了这些请求的情况下的程序名称。（P / I）（报告点

信用审批

此选项允许信贷批准负责人查看在其批准范围内考虑的申请，并在批准信贷额的情况下使用S输入批准选项，或者在申请中输入N。以防被拒绝。

系统的所有用户都可以访问此选项。基本限制是根据信用等级对可见信用的可见性。

信贷的批准由投资组合负责人负责，该负责人授权大多数信贷购买的金额，只有在金额超过正常限额的情况下，才由管理层批准。

尽管许多用户可以访问此选项并且不能执行该操作，但控件中的警告是通过注册批准信用的用户的名称给出的。（P / I）（报告点）

3.3.3选件的维护

该选项指的是表，概念，文档，报价，公司，用户，授权，参数的实体的全局更新。

经理，助理经理，主计长，行政首长都有权维护有关其管理和应用程序的某些选项。

维持期权的最小程度的操作是由投资组合主管和客户编码经理进行的。

我们认为，没有足够的控制措施来调节这些敏感选项的维护。我们认为，应该统一标准，并建立最多三个负责维护选项的负责人，并且大多数主要官员应该具有进行磋商的选项。（P / I）（报告点）

3.4程序编辑和验证控件

用于编辑和验证程序输入数据的控件基于对一致和完整数据的需求，这将确保给定过程的可靠输出。

有许多用于编辑和验证数据的控件，主菜单选项详细介绍了这些控件。

3.4.1验证输入和修改选项中的数据

要输入或修改的数据类型必须与数据的合理性息息相关。因此，在分析中将考虑对该模块中最敏感字段的控制。

3.4.1.1格式控制

格式控件允许验证数据是否合适（数字，字母或字母数字）并且与特定长度相对应，也就是说，它不是太小，因此可以查看字段的整个内容。

验证字段包含的数据类型非常重要，并且验证它们是否在允许的值范围内。

对于我们分析的应用对象，可以确定数据类型的定义中存在异常，这会导致严重的后果，例如显示不真实的投资组合，由定义的数据类型引起的错误。

对于正在研究的应用程序，验证控件确实是这两个选项中普遍存在的缺陷。（P / I）（报告点）

此外，有可能确定编辑控件中存在错误，从而允许将错误值输入为字母值。由于未注册某些字段验证例程而导致发生此类错误。（P / I）（报告点）

3.4.1.2缺少字段

在接受系统中的任何交易之前，必须填写敏感字段。该验证是在对控件的评估中进行的，也就是说，重要字段必须完整。

对于优先级信息，例如RUC编号或ID。这些字段不应从交易中被排除，也就是说，进行信贷交易时不应允许忽略此字段。

在此示例中，我们指定不允许将最敏感字段留为空白的操作记录。必须通过系统检测和控制此问题。

此错误类型存在于此应用程序中，应用程序未考虑。（P / I）（报告点）

3.4.1.3合理性

数据不应超过其公允价值。因此，以小时为单位：24；月：12；等等

合理性还考虑自动验证表，代码，最小和最大限制或修改某些先前建立的条件。

对于所分析的应用程序，我们发现了宽限期和股息范围方面的弱点。

此外，我们检测到此系统中存在合理性错误，主要是在处理借项票据和贷项票据时，如果这些单据的编号以及值不允许超出限额，则应使用适当的验证例程，该例程应包括在系统。（P / I）（报告点）

第四章

总结报告

第四章

总结报告

4.1一般信息

4.1.1报告的准备

报告是审核或审查的高潮。它代表了过程的关键方面，因为它是第三方可以信任的可信任的，可见的代表。因此，该报告必须清楚地表明所开展工作的范围以及对系统合理性承担的责任。一旦收集到证据，审计师应以最大的专业热情进行清洗和判断，以得出适当的结论。通过发表意见，第三方可以信任该意见，以至于他们可以依法追究其意见。

报告功能

可验证性

报告必须是可验证的，读者可能无法始终对其进行个人验证，但是，如果使用公认的名称或参考审阅地点的特定元素或站点，则可以改善信息的验证。

推论

推论是对未知事物的陈述，是在已知事物的基础上做出的。应该知道做出的推论。

数据收集和分析技术将允许以一种易于理解和合乎逻辑的方式来进行推理。

试用版

判断是表示同意还是反对。正如无法避免推论一样，您应该了解报告中所做的判断。

摘要

摘要是整个报告的重要部分。当包括对全球行为的评估时，报告的可信度和接受度将受益。

明晰

清晰性是报告中的主要特征，因为其目的是以尽可能容易理解的方式呈现情况。除非指定了含义，否则避免使用非常复杂和技术性的术语。

应始终牢记，报告的内容应由对此主题不了解或知之甚少的其他人理解。

客观性

报告必须具有公正的标准，也就是说，报告不受编写者的偏见或倾向的影响。

简明

整个报告必须简洁明了：标题，结构，结论的表述，建议和词汇。

此特征反映了特殊性，即只有重要内容才应成为报告的一部分。

提交报告时应考虑以下几点：

出现

该报告必须表现出良好的品味和个性。请勿将其写在彩色纸上，也不应在带下划线的彩色文字中使用。经理必须表现出清醒态度，不要显得张扬。

延期

该报告必须简明扼要。使用的语言必须是直接，适当和简单的语言，以确保良好的沟通。它不应过长。

机会

报告的准备必须及时，以使所提出的建议生效。这样可以确保报告在复制之前一直有效。

报告内容

报告必须用管理的文字书写。重要陈述中的一两个句子（如果有的话）应该放在您的演示文稿中。

一般而言，报告应主要包括以下内容：

1.- 背景

2.- 审计目标

3.- 评估结果

现在的情况

特效

建议

该报告在其主要模块和选项中提供了必要的和特定的信息，这些信息可识别“项目组合应用程序控制”审计时捕获的发现或观察结果。

4.1.2支持文件

重要的是，作为进行审核的结果，应将最高优先级的文档作为已完成工作的物理记录附在其中。

这可能包括来自进行的调查的信息或制定给系统用户的评估指南，以及正在审查的系统发布的文档，这些文档证明了所发现的新颖性或只是系统的输出。

为了准备最终报告，随附以下附件作为支持文档：帐户对帐单，授权列表，用户注意记录。

4.1.3结束阶段

系统审查和评估的最后阶段涉及正式报告发布后的活动。这些活动可以分为：

回应评估

报告的提交和最终审计的结束纠正措施对报告的回应

这些元素是紧密相关的，因此从它们的说明开始很方便。

反应评估

报告完成后，必须出示草稿以与管理层讨论，以便做出必要的观察以澄清未以所需的清晰度或深度指定的任何标准。

报告的介绍和正式闭幕

报告的介绍和正式闭幕必须通过信件或备忘录的方式进行，一旦对答复的评估进行了所有必要的更正，在介绍了所开展的工作之后，应在适当的支持下提交最终报告。支持文件，由于审核员在交付后必须部分完成工作，因此必须跟踪确定时间内发现的新颖性。

纠正措施

管理者评估响应的基本原则之一是必须立即识别和纠正对系统质量的不利条件。对于严重的不良原因，管理者必须采取必要的措施以避免再次发生。

纠正措施过程的最后一部分通常是最难实施的，因此纠正措施必须是一个严肃而连续的过程。

回复报告

收到报告后的30天是典型的答复期。

通常，由团队负责人负责进行审核，以跟进对报告的响应。如果在请求的日期之前未收到响应，则团队成员应致电要求服务的客户，以提醒组织他们必须认真采取纠正措施。

实际案例

审计公司Naranjo-Arrobo Asociados总裁Alice NaranjoSánchez女士在1998年10月1日至12月8日期间向FertilizantesAgrícolasX公司的总经理提交了报告。

瓜亚基尔，1998年12月8日

尊敬的先生：

我们对您值得主持的公司的基本承诺包括：评估农业肥料X公司的投资组合系统的控件和证券，为此，分析了以下详细的基本问题：

完全或部分缺乏逻辑保证

系统故障用户不满

投资组合系统引起的这些问题被引导用于实现我们工作中的以下目标，并且是：

改善系统的逻辑安全性

确保更高的信息机密性改善系统的功能提高投资组合系统用户的满意度

在此报告中，我们介绍了必须根据投资组合系统中的新功能来实施的控件。

真诚的

爱丽丝·纳兰霍小姐

主席

Naranjo-Arrobo副审计师

总结报告

评估农业肥料公司投资组合系统的控件和证券

在收到用户的关注并在系统中进行了物理验证后，收集系统中与控件的弱点有关的新闻，我们着手准备有关发现的弱点和对管理人员的建议的文档。

公司背景

FertilizantesAgrícolasX公司位于瓜亚基尔市，是我国重要公司的子公司，主要致力于为哥斯达黎加地区的农业部门生产，加工和分销各种化肥。

它的工厂位于瓜亚基尔市的工业领域。它在该国的主要地区都有许多销售点，例如：Machala，El Triunfo，Quevedo，Naranjal，Milagro等。

在其主要的本地供应商中，我们拥有：Ramexco，Fertagric，Comercial Agrofam。

在其主要国际供应商中，我们拥有：NOVARTIS，巴斯夫，拜耳等。

它的主要客户是：Reybanpac，Cartonera Andina SA，Expoplast等。

它的主要竞争对手是：MITSUI，SQM，Fertagric等。

面对在董事会会议上困扰公司总经理的一系列问题，该公司批准了聘请外部审计机构，以对农业肥料X公司的投资组合系统的控制和证券进行评估，由该公司负责。期间为1998年10月1日至12月8日，预计持续时间为84个工作日。

总结报告

评估农业肥料公司投资组合系统的控件和证券

审计目标

改善系统的逻辑安全性

确保更高的信息机密性改善系统的功能提高投资组合系统用户的满意度

评估结果

在我们的分析中发现的主要弱点是由于在投资组合系统过程的不同阶段中应用的控制方面。

申请文件不完整且过时

系统为某些用户分配的权限定义不明确系统无法控制用户之间的密码不同，系统访问密码的更改没有周期性，用户的密码很小。备份和还原系统数据文件有两个系统监视器有未开发和不必要的菜单选项数据输入验证控件不完整不正确的事务输入未验证某些应用程序错误消息不正确某些字段用于在屏幕上显示数据的很小

总结报告

评估农业肥料公司投资组合系统的控件和证券

评估结果

以下是对发现的弱点，影响和一系列建议的详细分析，旨在消除在Portfolio应用程序中发现的这些缺点：

总结报告

评估农业肥料公司投资组合系统的控件和证券

评估结果：

1.- 应用程序文档不完整且过时

现在的情况：

在分析过程中，我们可以看到该系统没有必要的文档，因为只有用户手册已经过时了。

效果：

这种情况可能导致以下问题：

开发系统人员的依赖性

在没有熟悉该应用程序的人员的情况下，很难在应用程序中执行更改。在过时的文档指导下尝试使用该系统的新用户时遇到了困难，这将导致混乱和时间浪费。

建议：

维护系统的完整文档非常重要，其中包括用户，技术和操作手册以及程序的文档。以及对应用程序所做的修改的记录，包括日期，说明，负责人的分析师，用户，用户对所做更改所做的审查和批准的签名等，每次修改都要为了在随后的权利要求的情况下具有支持文件。

总结报告

评估农业肥料公司投资组合系统的控件和证券

评估结果：

2.- 分配给定义不明确的某些用户的授权

现在的情况：

在审查过程中，我们发现没有用户定义程序可以保证对不同应用程序选项的适当访问控制。例如，MCJ用户有权备份系统数据文件，因为他是仅处理生产者代码的负责人。

效果：

这种情况允许：

最终，用户可以从公司获得机密信息，并且有可能滥用信息。

用户可能会误导所获得的信息（可能会出现在第三方手中），这有潜在的危险。

建议：

必须查看分配给用户的授权，以避免泄露公司机密信息，并根据用户执行的功能为用户分配相应的授权。

总结报告

评估农业肥料公司投资组合系统的控件和证券

评估结果：

3.- 系统无法控制用户之间的密码不同

他们

现在的情况：

在我们访问期间，我们获悉，某些用户在特定时间可能具有相同的密码，这是系统允许的。

效果：

这种情况允许：

未经授权的系统访问，因为不是系统用户（入侵者）的人可以学习某个用户A的密码，因为它与另一个用户B的密码相同，后者可能具有允许访问某些功能的授权通过有限的信息处理，攻击者可以使用用户B的名称和用户A的密码访问系统，从而对应用程序的数据文件执行未经授权的操作。

用户密码缺乏机密性。

建议：

重要的是要保持用户访问代码对系统的机密性和唯一性，以便避免对应用程序的任何可能的未经授权的访问，此外，还应执行允许系统评估用户密码的编程例程。用户在创建或修改它时，因此避免重复输入。

总结报告

评估农业肥料公司投资组合系统的控件和证券

评估结果

4.- 没有周期性的系统访问密码更改

现在的情况：

在审查过程中，发现没有定义时间间隔来更改用户对电子钱包系统的访问代码。

效果：

这种情况允许：

未经授权的人知道用户的密码。

使用可能执行未经授权操作的粗心用户的名称和密码未经授权访问系统信息。

建议：

必须定义数据安全策略，其中包括：密码更改的时间间隔，系统安全管理员，用户创建标准等。

总结报告

评估农业肥料公司投资组合系统的控件和证券

评估结果

5 .- 用户密钥非常小

现在的情况：

在分析过程中，我们了解到用户有很小的键，基本上由两个或三个字母组成，由投资组合经理分配。

也可以创建没有密码的用户。

效果：

这种情况允许：

由于非常小的密钥易于学习和复制，因此降低了系统的机密性和安全性。

可能会有未经授权的系统访问。无需密码即可创建用户，这对信息安全性具有潜在的危险，因为用户名（登录名）是访问系统时输入的第一件事。您可以查看它，因为该用户没有密码，所以任何未经授权的人都只能使用没有密码的用户名输入，并以此方式可以执行该用户获得授权的所有操作。

建议：

建议使用至少五个字符的密码，并且还必须修改用户密码输入选项，以便在创建用户时必须输入该密码。

总结报告

评估农业肥料公司投资组合系统的控件和证券

评估结果

6.- 任何用户都可以备份和还原系统数据文件

现在的情况：

查看每个用户的菜单选项后，我们可以观察到系统的任何用户都可以备份和还原数据文件，因为它们具有各自的权限。

效果：

这种情况涉及：

用户最终可以以未经授权的方式获得信息的备份，对其进行修改然后再将其还原到系统中，这对信息的安全性构成了极大的危险，因为任何操作都可以执行，记录交易等。，而没有留下任何证据。

建议：

建议将信息备份和恢复功能分配给某个人，无论是从财务还是系统方面，然后仅允许他们访问该系统选项，并且还应指出此人。必须进行备份的频率。

总结报告

评估农业肥料公司投资组合系统的控件和证券

评估结果

7.- 有两名系统主管

现在的情况：

我们可以看到有两个系统主管：项目组合经理（FF）和系统分析师（RG），后者在系统中以主管身份出现，因此她可以访问系统的所有数据处理功能应财务经理的要求，这些功能已分配给投资组合经理，但尚未撤消对系统分析师的相应权限。

效果：

这种情况允许：

在两个人允许下进行各种操作的情况下，由于其中一个人在不了解对方的情况下进行了更改，可能会引起问题。

在不了解财务领域的情况下，可能会未经授权对生产文件进行修改，这可能会在检查结果时带来许多不便。

建议：

重要的是，以这样一种方式隔离每个用户的功能，即由对此负责的一个人来对系统进行监督，此外，系统人员不应有权访问生产文件上可能影响操作的操作。应用程序，则只应具有对开发文件（测试）执行操作的权限

总结报告

评估农业肥料公司投资组合系统的控件和证券

评估结果

8.- 有些菜单选项尚未开发并且没有必要

现在的情况：

在审查过程中，我们发现在申请过程菜单中有一些尚未开发的选项，例如；不会产生滞纳金和应收款转移。当前仅在菜单上提及它们。

效果：

这种情况可能导致：

用户尝试使用这些选项时会感到困惑和厌恶

在应用程序上生成了错误的标准

建议：

建议仅在所有菜单中显示已使用或将来将要使用的选项，以便用户了解系统的实际功能。

总结报告

评估农业肥料公司投资组合系统的控件和证券

评估结果

9.- 数据输入验证控件不完整

现在的情况：

在审核过程中，观察到缺少数据输入验证，例如：输入借方通知单时，可以为宽限期字段定义一个负值，并且该通知单的总值可以分为99个股息。

效果：

此类错误可能导致：

导致系统结果存在重大差异

导致总计与其他系统的不平衡直接影响财务报表中所表达信息的可靠性和准确性

建议：

我们建议系统区域在提供信息以解决此问题的用户的帮助下，复查此应用程序的数据输入验证，以防止将来发生上述问题。

总结报告

评估农业肥料公司投资组合系统的控件和证券

评估结果

10.- 不正确交易的输入未通过验证

现在的情况：

在审阅过程中，发现没有使用错误的数据或不允许遗漏应用程序中敏感字段的例程创建事务验证例程，例如：如果我们输入带有宽限期的借项通知（40），并且应付99股股息，系统接受该股息，并且没有后续通知发生，表明输入了不正确的交易。

效果：

这些类型的错误可以：

导致系统结果存在重大差异

导致总计与其他系统不匹配的情况在检测错误交易时产生困难直接影响财务报表中所表达信息的可靠性和准确性。

建议：

建议创建编程例程，以使系统即使输入了错误的交易也能检测出错误的交易，同时删除它们并将其记录在临时文件中，以供以后阻止它们的人检查和更正。效果被指定。

总结报告

评估农业肥料公司投资组合系统的控件和证券

评估结果

11.- 一些应用程序错误消息不正确

现在的情况：

系统显示的某些错误消息不能反映已发生的真实错误，例如：当输入借方通知单且在汇率字段中输入负数时，系统显示以下消息“未输入汇率”，这是完全错误的。

效果：

这种情况可以：

给系统用户造成混乱并浪费时间

当用户输入错误的数据时，他们不知道真正的错误是什么，因为系统会向他们显示错误的消息，从而增加了操作系统的难度。

建议：

建议系统区域检查此应用程序显示的错误消息，以便系统为用户提供更大的便利。

总结报告

评估农业肥料公司投资组合系统的控件和证券

评估结果

12.- 用于在屏幕上显示数据的某些字段很小

现在的情况：

屏幕上的某些字段不够大，无法显示算术运算的结果，例如：输入美元贷方票据时，将汇率乘以票据价值得到的结果为：大于输出字段可以显示的值，则无法显示事务的成功等效性。

效果：

这种情况可以：

给系统用户造成混乱并浪费时间

当用户输入数据时，他们会产生烦恼，并且无法可视化其算术运算的结果，因此，他们将被迫手动执行操作以验证其数据。

建议：

建议系统区域检查此应用程序的输出字段，其中显示了算术运算结果，以使系统为用户提供更大的便利并防止在应用程序中发生上述不便之处。未来。

结论：

计算和计算是对所有人类活动都有影响的学科或技术，没有它们，就无法存储或处理大量数据，在短时间内或以高精度获取的信息，关联数据以获取替代方案。解决财务，行政甚至社会问题。

因此，无法想象一个公司会因为信息环境所需的定期控制而忽略了这一敏感领域。

审计领域的形式多种多样，已开始被商业界认可为提高质量的有效手段。

系统审核必须是一般审核的组成部分。这样，执行定期控制以消除某些系统设计所带来的风险。

风险和一般控制会影响应用程序的风险和控制，因此应从输入控制，处理到退出控制强调每个风险和风险，这将在一般控制范围内将风险降至最低满足。

在我们的工作中，我们能够找到控件中的一系列异常，例如：

用户配置文件的错误分配，严重的错误导致对敏感选项的不加选择的访问，密钥的管理不善。

编辑控制失败由于证券管理不当导致权限分配错误。

但是，在某些情况下，如果提供了救援选项，例如保存访问系统的人员的用户，这可能有助于识别或检测问题。

因此，应该使用户部门意识到参与应用程序开发的重要性，以便在系统运行之前检测系统中的故障，以及共享的安全性和重要性。与来自同一地区或外部的同事的访问代码。

信息系统是组织总资源的一部分，实际上，在某些公司中，信息系统与市场战略，产品设计等同样重要。因此，高管们除了分配货币资源外，还必须参与系统的设计，这将为实现公司的目标和目标铺平道路。

在这项工作中，系统审核过程的基本概念和理论已被公开。还尝试了提出一些将理论付诸实践的方法。建立审计应用程序后，将开发某些方法，而其他方法将消失。这是由于科学的进化过程。不管发生什么变化；审计或评估的目的将始终是为管理层提供有意义的信息，以根据决策制定，从而推动公司的平稳运营。

附件

投资组合系统的信息流

术语

文件.-它是一个信息存储元素，由一系列记录组成，每个记录包含相似的信息。因此，文件可以包含公司所有客户的信息，每个记录将是一个特定客户。

审核 -对活动是否满足指定要求进行独立，结构化和书面记录的评估。

系统审核.-它使您知道如何识别系统领域中存在的弱点，学习如何验证所处理信息的可信度，增强为信息处理定义适当的安全环境并了解处理方式的能力。进行审计测试的计算机化工具。

流程图。-它是一系列操作的图形表示，其中使用一组预定的符号以说明给定过程或系统中数据流所涉及的步骤，它可能是通用的，也可能是详细。

交互式.-允许人机通过某些终端设备进行交互的系统。

多处理.-它是两个或多个处理器之间的链接，用于处理大量数据并提供多程序服务或分时服务或两者。

Multiprogramming.-允许两个或多个不同程序同时运行的计算机系统。

处理.-这是系统任务的实际执行。

分布式过程 -通过一系列网络计算机来进行设计，控制和分散操作的数据处理系统。

应用程序.-是在特定事务处理系统中执行任务所需的程序。

符号体系。-在流程图中使用的主要符号中，我们具有以下各项：

储存过程

数据录入报告

手动输入画面输入

决策开始/结束流程图

操作系统.-它们是控制机器资源的系统程序，并充当这些资源和用户之间的链接。也称为主控制程序，监视器或系统控制程序。每个制造商对于他们提供的系统或操作系统都有唯一的名称。

软件.-向计算机提供指令的程序。这也是操作系统的名称。

分时度假 -在同一时间段内执行两个或多个功能，将总时间的小部分分配给每个功能。

它允许同时使用多个用户的方式使用计算机。

响应时间-从计算机传输信息并接收响应所需的时间。

实时.-在交易进行时发生系统中的信息存储。在一天中要对数据进行多次修改并且几乎需要立即进行修改的情况下，实时应用是必不可少的。

验证 -计划的数据或结果验证，以确保它们符合预定的标准。

参考书目

科恩·丹尼尔（Cohen Daniel），《信息科学》（Sistemas deInformación），麦格劳·希尔（McGraw Hill）和1995年的埃丁格·理查德（Ettinger Richard）和戈利布·大卫（Golieb David），墨西哥的德克兰迪斯（Créditosy Cobranzas），1980年的墨西哥公共审计研究所，《准则和程序》，墨西哥的利托格拉夫（Li.graf），1972年弗朗西斯科，科学研究，基多，奥尔蒂斯，1979年。玛恩·莱内特，从上而下直接，阿尔法梅加德，波森，普雷森西亚，1995年。曼德斯·卡洛斯，研究方法论，麦格劳·希尔，1994年，计算系统审计，De。Abaco，基多，1994年Sanders Donald，《计算：现在与未来》。麦格劳·希尔（McGraw Hill），美洲国家间，1990年 5.0，IDEA交互式数据提取和分析-用户手册，多伦多，1994年

下载原始文件