Академический Документы
Профессиональный Документы
Культура Документы
MARCO REFERENCIAL
Antecedentes de la Investigación
9
Duarte (2012), presentó su tesis de grado titulada, “Procesos de
Auditoria en Sistemas de Información en la Empresa Industrial
Productos Lácteos González CIA. LTDA”, propuso una revisión minuciosa
en dicha organización por revelar cierto malestar interno referente a la
operatividad del Sistema Informático que utiliza, por lo tanto, se requería de
una evaluación sistemática sobre la funcionalidad del mismo, la cual se
realizó siguiendo las pautas establecidas por La metodología usada fue la
Auditoria de Sistemas Computacionales (2002). Sin mencionar que entre los
hallazgos se descubrió que la empresa no contaba con un manual de
políticas y funciones actualizadas. Se tomo en consideración este trabajo de
investigación por el hecho que se concentra en la revisión del sistema de
información de la empresa y se pretende descubrir las fallas que posea, para
posteriormente brindar soluciones factibles a las problemáticas..
9
características que lo han posicionado como uno de los modelos más
utilizados en el mundo por usuarios, directivos y auditores. Como se
mencionó anteriormente, la auditoria utilizada fue la COBIT, y de esta se
tomaron algunas referencias metodológicas por ser la más completa en
cuanto a asociaciones y prácticas para el control de las tecnologías de la
información.
Bases Teóricas
Sistemas
10
rodean al ser humano. Según Seen (1998), “Un sistema es simplemente un
conjunto de componentes que interactúan para alcanzar un objetivo”. (p.11).
Por lo que se determina que los sistemas tienen a lograr dos grandes
objetivos; satisfacer las necesidades operacionales o técnicas de una
empresa y disminuir las necesidades físicas y mentales del ser humano, para
ello debe existir un profesional que se encargue de verificar que el sistema
desempeñe sus procesos correctamente y que sus resultados sean los
esperados.
11
Homeostasis: es el equilibrio dinámico entre las partes de sistema. Los
sistemas tienen una tendencia a adaptarse con el fin de alcanzar un
equilibrio interno frente a los cambios externos del entorno.
Tipos de Sistemas
12
Auditoria
Tipos de Auditorias
Según Quintero (2006) [Documento en línea], los tipos de auditoría
son los siguientes:
13
Auditoría externa: es la revisión independiente que realiza un
profesional de la auditoria, con total libertad de criterio y sin ninguna
influencia, con el propósito de evaluar el desempeño de las
actividades, operaciones y funciones que se realizan en la empresa
que lo contrata, así como de la razonabilidad en la emisión de sus
resultados financieros.
Auditoria Operacional: se define como una técnica para evaluar
sistemáticamente una función o unidad con referencia a normas de la
empresa utilizando personal no especializado en el área de estudio,
con el objeto de asegurar la administración, que sus objetivos se
cumplan y determinar qué condiciones pueden mejorarse. Como por
ejemplo la auditoria de operaciones y la evaluación de cumplimiento
de políticas de compra.
Auditoria Administrativa: es un examen detallado de la administración
de un organismo social realizado por un profesional de la
administración con el fin de evaluar la eficiencia de sus resultados, sus
metas fijadas con base en la organización, sus recursos humanos,
financieros, materiales, sus métodos y controles, y su forma de operar.
Auditoria Integral: es un examen que proporciona una evaluación
objetiva y constructiva acerca del grado en que los recursos humanos,
financieros y materiales son manejados con debidas economías,
eficacia y eficiencia.
Auditoria legalidad: este tipo de auditoría tiene como finalidad revisar
si la dependencia o entidad, en el desarrollo de sus actividades, ha
observado el cumplimiento de disposiciones legales que sean
aplicables (leyes, reglamentos, decretos, circulares, entre otros).
Auditoria de sistemas: es la revisión independiente que realiza un
auditor profesional, aplicando técnicas, métodos y procedimientos
especializados, a fin de evaluar el cumplimiento de las funciones,
14
actividades, tareas y procedimientos de una entidad administrativa, así
como dictaminar sobre el resultado de dicha evaluación.
Normas de Auditoria
15
Normas generales: la auditoria debe ser realizada por una persona o
personas que cuentan con la capacitación técnica adecuada y la
competencia de auditor. Debe tenerse cuidado con el desempeño de
la auditoria y en la preparación del informe.
Normas para el trabajo: el trabajo ha de ser planteado adecuadamente
y los asistentes deben ser supervisados de forma adecuada.
16
cumplimiento de cada una de estas cualidades, con lo cual
proporciona la garantía de calidad profesional y moral que demandan
de esta actividad, las empresas y personas.
17
hacia algún lado en cualquier auditoria. Además como profesional de
la auditoria, siempre debe estar dispuesto a reconocer errores y
cambiar de posición, creencia y acciones cuando sea necesario, y
debe procurar actuar siempre con un amplio compromiso de justicia
equidad, tolerancia y trato igual con los funcionarios y empleados que
audite.
18
empleado), siempre estará en contacto con los demás, pero desde
una posición de supervisión.
19
refiere a la utilización de herramientas, métodos y procedimientos de
auditoría, con las cuales se puede obtener datos fidedignos.
Tecnología
Sistema de Variables
20
estudiar con el objetivo investigado. Las variables son
características observables, susceptibles de adoptar distintos
valores o ser expresados en varias categorías y siempre están
referidas a las unidades del análisis. (p.107).
Cuadro 1.
Sistema de Variables
VARIABLE DEFINICION
Bases Legales
21
para la evaluación de la auditoria, que de acuerdo a lo expresado por Solano
(2004) [Documento en línea], referente a las normas ISO, dice:
22
Evaluación y manejo del riesgo: proporciona enfoques sobre la
importancia de efectuar una administración de riesgos para definir los
controles aplicables. Necesidad de un continuo seguimiento y
administración de los riesgos.
Dominios: contienen controles, y estos a su vez objetivos,
constituyéndose así en el punto de partida para el desarrollo de
políticas, normas, procedimientos y estándares propios de cada
organización.
23
5. Seguridad física y del entorno: identificar los parámetros de
seguridad, de forma que se puedan establecer controles en el manejo
de equipos, transferencias de información y control de los accesos a
las distintas áreas con base en el tipo de seguridad establecida.
6. Gestión de comunicaciones y operaciones: integrar los
procedimientos de operación de la infraestructura tecnológica y el de
controles de seguridad documentados, que van desde el control de
cambio en la configuración de los equipos, manejo de incidentes,
administración de aceptación de sistemas, hasta el control de códigos
maliciosos.
7. Control de accesos: habilitar los mecanismos que permitan monitorear
el acceso a los activos de información, que incluyen los
procedimientos de administración de usuarios, definición de
responsabilidades o perfiles de seguridad y el control de accesos a
las aplicaciones.
8. Desarrollo y mantenimiento de sistemas: la organización debe
disponer de procedimientos que garanticen la calidad y seguridad de
los sistemas desarrollados para las tareas especificas de la
organización.
9. Gestión de continuidad del negocio: el sistema de administración de la
seguridad debe integrar los procedimientos de recuperación en caso
de contingencias, los cuales deberán ser revisados de manera
constante y puestos a pruebas con la finalidad de determinar las
limitaciones de los mismos.
10. Cumplimiento o conformidad de la legislación: la organización
establecerá los requerimientos de seguridad que deben cumplir todos
sus proveedores, socios y usuarios; estos se encontraran
formalizados en los contratos o convenios.
24
De estos dominios nombrados se derivan 36 objetivos de control y
127 o más controles, ambos se encuentran destinados a dotar y esparcir
seguridad a la información en el ambiente digital, a través de numerosas
auditorias, consultorías y/o paradigmas. (Ver figura 1).
25
De la citada ley se tomaran en cuenta cada uno de los artículos para
evaluar la Vulnerabilidad del Sistema del Departamento de Recepción de la
Empresa “Corporación Hotelera Playa El Tirano”, y de esta manera
establecer cuales aplican a la hora de proponer la auditoría computacional
enfocados en la seguridad, confidencialidad, integridad de la información de
los usuarios y de la organización.
26
Entrenamiento y Capacidad Profesional: el trabajo de auditoría debe ser
desempeñado por personas que, teniendo en título profesional legalmente
expedido y reconocido, tenga entrenamiento técnico adecuado y capacidad
profesional como auditores. (Definición operacional).
27
Normas de auditoría: son los requisitos mínimos de calidad, relativas a la
personalidad del auditor, al trabajo que desempeña y a la información que
rinde como resultado de ese trabajo. (Quintero, 2006) [Documento en línea].
28