Mercadeo I

Enviado por • 3 de Octubre de 2013 • 2.580 Palabras (11 Páginas) • 244 Visitas

Página 1 de 11

Contenido

Introducción 2

Auditoría de Sistemas 7

Objetivos Generales de una Auditoría de Sistemas 7

Principales razones para efectuar una Auditoría de Sistemas 8

Tipos de Controles en una auditoria de sistemas 9

• Controles Preventivos: 9

• Controles Detectivos: 9

• Controles Correctivos: 9

Personal participante 10

Planeación de la auditoría en sistemas 11

Investigación Preliminar 12

En la Administración: 12

En la parte de sistemas: 13

Fases de una Auditoria de sistemas 15

Conclusión 21

Bibliografía 22

Introducción

La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando.

Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas.

La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la auditoria de los Sistemas de Información.

La auditoria de los sistemas de información se define como cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

A continuación, se detallara estos y más tópicos relacionados con la auditoría de sistemas de información.

Descripción del problema

Dentro de toda organización se administra información y recursos operativos por medio de sistemas informáticos y equipo que permite su desempeño, debido a la importancia que estos activos representan tanto financieramente como en imagen respecta, es de suma importancia contar con herramientas que permitan el desarrollo óptimo de los mismos cumpliendo así los objetivos institucionales, salvaguardando estos activos y permitiendo la mejora continua de la organización.

Justificación

El presente proyecto nace de la necesidad de presentar los tópicos más importantes relacionados con la auditoría de sistemas, con el fin máximo de salvaguardar los recursos informáticos de la empresa tanto tangible como intangible. Así como presentar un caso de los riesgos de su no aplicación.

Objetivos General

Desarrollar el tema de auditoría de sistemas, así como sus pasos, procedimientos e importancia del mismo dentro de la organización.

Objetivos Específicos

Específicos

Beneficios esperados

Lograr desarrollar una cultura orientada a proteger los activos informáticos de toda organización, conociendo que son los activos más sensibles e importantes dentro del desarrollo operativo, administrativo financiero de las empresas, previendo perdidas tanto tangibles como intangibles que podrían ocurrir por su no efectiva aplicación.

Limitaciones

Entre las principales limitaciones que puede presentar una auditoría de sistemas se encuentran:

• Falta de recursos informáticos eficientes que cumplan con los estándares para los cuales fueron creados.

• Falta de apoyo de la directiva de la organización, restandole la importancia que merece la implantación de está auditoría.

• Falta de recursos financieros para la desarrollo de la auditoría, puesto que se requiere contar con personal y recursos aptos para el mismo.

Definición del tema

Auditoría de Sistemas

Es la verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.

Objetivos Generales de una Auditoría de Sistemas

• Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD.

• Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.

• Incrementar la satisfacción de los usuarios de los sistemas computarizados.

• Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.

• Promover la seguridad de personal, datos, hardware, software e instalaciones.

• Apoyo de función informática a las metas y objetivos de la organización.

• Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático.

• Minimizar existencias de riesgos en el uso de tecnología de información.

• Decisiones de inversión y gastos innecesarios.

• Capacitación y educación sobre controles en los Sistemas de Información.

Principales razones para efectuar una Auditoría de Sistemas

• Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos).

• Desconocimiento en el nivel directivo de la situación informática de la empresa.

• Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.

• Descubrimiento de fraudes efectuados con el computador.

• Falta de una planificación informática.

• Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano.

• Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados.

• Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción.

Tipos de Controles en una auditoria de sistemas

Definición de Control:

Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.

• Controles Preventivos:

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.

• Controles Detectivos:

Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.

• Controles Correctivos:

Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar dificil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores.

Personal participante

Una de las partes más importantes dentro de la planeación de la auditoría en informática es el personal que deberá participar y sus características.

Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.

Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoría. En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas.

Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería casi imposible obtener información en el momento y con las características deseadas.

También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de informática, sino también el del usuario del sistema.

Para completar el grupo, como colaboradores directos en la realización de la auditoría se deben tener personas con las siguientes características:

• Técnico en informática.

• Experiencia en el área de informática.

• Experiencia en operación y análisis de sistemas.

• Conocimientos de los sistemas más importantes.

En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias señaladas, pero si deben intervenir una o varias personas con las características apuntadas.

Planeación de la auditoría en sistemas

Para hacer una adecuada planeación de la auditoria en sistemas, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

En el caso de la auditoria en sistemas, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

• Evaluación de los sistemas y procedimientos.

• Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

Investigación Preliminar

Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.

Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos:

En la Administración:

Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.

Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del área de informática

1. Objetivos a corto y largo plazo.

2. Recursos materiales y técnicos

3. Solicitar documentos sobre los equipos, número de ellos, localización y características.

4. Estudios de viabilidad.

5. Número de equipos, localización y las características (de los equipos instalados y por instalar y programados)

6. Fechas de instalación de los equipos y planes de instalación.

7. Contratos vigentes de compra, renta y servicio de mantenimiento.

8. Contratos de seguros.

9. Convenios que se tienen con otras instalaciones.

10. Configuración de los equipos y capacidades actuales y máximas.

11. Planes de expansión.

12. Ubicación general de los equipos.

13. Políticas de operación.

14. Políticas de uso de los equipos.

En la parte de sistemas:

1. Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.

2. Manual de formas.

3. Manual de procedimientos de los sistemas.

4. Descripción genérica.

5. Diagramas de entrada, archivos, salida.

6. Fecha de instalación de los sistemas.

7. Proyecto de instalación de nuevos sistemas.

8. En el momento de hacer la planeación de la auditoria o bien su realización, debemos evaluar que pueden presentarse las siguientes situaciones.

9. Se solicita la información y se ve que:

• No tiene y se necesita.

• No se tiene y no se necesita.

• Se tiene la información pero: No se usa, es incompleta, no está actualizada, no es la adecuada.

• Se usa, está actualizada, es la adecuada y está completa.

• En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la información pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la información, se debe analizar si se usa, si está actualizada, si es la adecuada y si está completa.

Fases de una Auditoria de sistemas

• Enumeración de redes, topologías y protocolos.

• Verificación del Cumplimiento de los estándares internacionales ISO, COBIT, etc.

• Identificación de los sistemas operativos instalados.

• Análisis de servicios y aplicaciones.

• Detección, comprobación y evaluación de vulnerabilidades.

• Medidas específicas de corrección.

• Recomendaciones sobre implantación de medidas preventivas.

Caso practico

Una empresa sospechaba, que el sistema central de información estaba siendo manipulado por personal no autorizado. A consecuencia de lo antes mencionado se procedió a realizar una estricta auditoria en sistemas.

Por lo que se requiere la intervención de un equipo de auditores informáticos, quienes cuentan con la asistencia de un Abogado, quien debe asesorarlos en materia de recolección de pruebas para poder verificar la eficaz iniciación de un proceso penal. Se trata de un espionaje informático cometido por un empleado de la empresa de cierto rango jerárquico, puede no existir el acceso ilegitimo, puesto que es factible que dicho empleado cuente con la autorización para acceder a la información valiosa.

En definitiva se trata de un individuo que efectúa la técnica de acceso no programado al sistema desde adentro de la empresa con el objetivo de obtener la información de sustancial valor comercial para la empresa, la que, generalmente es vendida a la competencia. El equipo de auditoría debe recaudar evidencias comprobatorias para confirmar que la empresa fue víctima de un delito informático.

Procedimiento a seguir.

Inicialmente se debe:

• Se debe recolectar información de carácter estrictamente informático (impresiones de listados de archivos, carpetas, e.t.c).

• Se debe realizar la incautación de hardware, terminales, routers, e.t.c siempre y cuando se trate de material de propiedad de la empresa.

• Este material debe ser sellado con el fin de garantizar su inalterabilidad e intangibilidad lo que se supone por ejemplo que todos los puertos y entradas del hardware deben ser anulados de manera que no se puedan alterar.

• Investigación preliminar (situación actual)

 Administración.

 Sistemas.

• Personal Participante (altamente íntegro y capacitado)

• Evaluación del análisis (Políticas, Procedimientos y Normas)

• Evaluación del diseño lógico de los sistemas.

• Evaluación del desarrollo del sistema.

• Análisis de los controles.

• Entrevistas a los usuarios.

• Solo con aquellos altamente involucrados en el caso, debido a la confidencialidad del mismo.

• Procesamiento de pruebas e información.

• Emitir el informe final.

Análisis de resultados e informe final.

Después del análisis del caso anterior y con base en la información recopilada se puede concluir lo siguiente:

• La empresa debe invertir recursos en la obtención de un software más eficiente que impida este tipo de accesos fraudulentos en el futuro.

• La empresa debe conformar un sub-departamento dentro del departamento de Auditoria, dedicado exclusivamente a los sistemas, puesto que esto prebenda futuros casos de fraude.

• La empresa debe redoblar esfuerzos para la mejora de sus políticas, planes y procedimientos con el fin de normar y delimitar el alcance que los usuarios pueden tener de la información.

• La empresa deberá instruir a sus empleados de los riesgos del manejo de información confidencial y sus consecuencias en caso de incumplimiento.

• La empresa debe tomar las medidas legales y penales correspondientes con el funcionario involucrado en el caso de fraude con el fin de que sea indemnizados los daños y perjuicios ocasionados a la representada.

Recomendaciones

Dentro de las recomendaciones que pueden brindarse a toda organización, es la implantación periódica de una auditoría de sistemas que permita detectar de manera preventiva así como correctiva acciones que permitan identificar y proteger los activos.

Para lograr ello se debe conformar un sub-departamento dentro del departamento de auditoría, dedicado a los sistemas informáticos, contratando para ello personal con amplia experiencia, conocimiento e integridad en el área.

Establecer un cronograma de pruebas de auditoría tanto automáticas como manuales de manera periódica dentro de la organización, como parte de las acciones preventivas por las cuales se crea el departamento.

Establecer reuniones con los diferentes Directiva y los diferentes departamentos con el fin de transmitir los resultados obtenidos.

Realizar una auditoría externa anual dentro de la organización, para poder tener una perspectiva externa de los sistemas informáticos de la empresa.

Conclusión

Como parte integral en procurar el objetivo de salvaguardar los intereses de la organización, la información proveniente de los sistemas son de vital importancia ya que el desempeño y seguridad de los mismos afectan a toda la organización.

Por ende es indispensable el desempeño de una efectiva auditoría de sistemas dentro de toda empresa con un personal altamente capacitado y comprometido con la integridad, siguiendo los estándares que las normas internacionales establecen, ya que esto permitirá cumplir este objetivo tan importante, ya que de lo contrario podría repercutir en graves consecuencias para toda la organización y sus clientes.

Bibliografía

http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html

http://es.wikipedia.org/wiki/Auditor%C3%ADa_de_seguridad_de_sistemas_de_informaci%C3%B3n

http://anaranjo.galeon.com/tipos_audi.htm

http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml

http://empresite.eleconomista.es/DOC-AUDITORIA-SISTEMAS-PREVENCION.html

http://www.utvm.edu.mx/modelo_educativo/prog_educativos_ebc/ingenierias/tecnologias_de_la_informacion/3er%20Cuatrimestre/13%20Auditoria%20de%20Sistemas%20de%20TI.doc

http://www.monografias.com/trabajos12/condeau/condeau.shtml#PASOS

http://atenea.unicauca.edu.co/~gcuellar/normas.htm

http://www.cge.gob.bo/PortalCGR/uploads/Tecproaud.pdf

http://www.monografias.com/trabajos/maudisist/maudisist3.shtml

Anexos

ANEXO 1

PROGRAMA DE AUDITORIA EN SISTEMAS

INSTITUCION________________________ HOJA No.__________________ DE_____________

FECHA DE FORMULACION____________

FASE DESCRIPCION ACTIVIDAD NUMERO DE PERSONAL PERIODO ESTIMADO DIAS

HAB

EST. DIAS

HOM.

EST.

PARTICIPANTE INICIO TERMINO

ANEXO 2

AVANCE DEL CUMPLIMIENTO DEL PROGRAMA

DE AUDITORIA EN SISTEMAS

INSTITUCION_______________________ NUMERO___________ HOJA No._______ DE_______

PERIODO QUE REPORTA____________________________

FASE SITUACION DE LA AUDITORIA PERIODO REAL DE LA AUDITORIA DIAS REALES UTILIZADOS GRADO DE AVANCE DIAS HOM. EST. EXPLICACION DE LAS VARIACIONES EN RELACION CON LO PROGRAMADO

NO INICIADA EN PROCESO TERMINADA INICIADA TERMINADA

...

Descargar como txt (19.9 Kb)

Leer 10 páginas más »

txt

Guardar

Información sobre ensayo

Denunciar este ensayo

Ensayos relacionados

Mercadeo Agroalimentario
Capítulo 1 Mercadeo Agrícola y de Alimentos A medida que los individuos miembros de una sociedad se van especializando en sus actividades económicas, van dependiendo

13 Páginas • 1278 Visualizaciones
Mercadeo Estratégico
Mercadeo Estratégico Examen Final Sunsilk-Sedal Unilever Preguntas: 1. Evalúe el negocio en el que está inmerso Sunsilk-Sedal Sunsilk era una marca que paso por un

5 Páginas • 1559 Visualizaciones
Ambientes De Mercadeo
INTRODUCCION La investigación está enfocada en tres conceptos fundamentales que se deben conocer para comprender mejor el ambiente del mercadeo. El primero de los conceptos

9 Páginas • 2056 Visualizaciones
PLAN DE MERCADEO
PLAN DE MERCADEO 1. PORQUE ES IMPORTANTE ELABORAR UN PLAN DE MERCADEO? El plan de mercadeo es importante para cualquier empresa es como una lista

4 Páginas • 1935 Visualizaciones
Bodas Y Mercadeo
Las Bodas y el marketing…Un matrimonio feliz. Por: Jack Franklin G. jackfranklin@une.net.co Viajes, cruceros, destinos turísticos, trajes de novia, arreglos florales, música, joyería, salones de

3 Páginas • 1088 Visualizaciones
Eatudio De Mercadeo Para Una Crema De Afeitar
Índice Introducción 4 Objetivos. 5 1.Descripción del producto 6 2.Microentorno 7 2.1. Competencia Directa 8 2.2. Competencia Indirecta 8 3.Macroentorno 9 3.1. Fuerzas Demográficas 9

18 Páginas • 3293 Visualizaciones
Mercadeo 3 Caso Neste
Caso Nestlé: la controversia de la fórmula de leche infantil. 1. ¿Cuáles son las responsabilidades de las compañías que se encuentran en esta situación o

4 Páginas • 1320 Visualizaciones
Que Beneficios Tiene Para Una Empresa El Mercadeo Integrado
Columbia Centro Universitario Recinto de Caguas, Puerto Rico Curso: Mark 51061 Prof. Dr. Gabriel Díaz Ensayo Qué Beneficios tiene para una Empresa el Mercadeo Integrado

5 Páginas • 1621 Visualizaciones
Plan De Mercadeo De Sonic
EJEMPLO DE PLAN DE MARKETING La empresa Sonic es un gran fabricante de productos electrónicos de consumo final, entre los que se incluyen televisores, radios,

10 Páginas • 1578 Visualizaciones
Tesis De Mercadeo De Cafe
UNIVERSIDAD NACIONAL AGRARIA LA MOLINA ESCUELA DE POST GRADO MAESTRÍA EN AGRONEGOCIOS PLAN DE MERCADEO DE CAFÉ ORGÁNICO PARA EXPORTAR A COLOMBIA EN BENEFICIO deA

20 Páginas • 2746 Visualizaciones