Funciones de la auditoria informática

- Verificar y examinar como se lleva a cabo en la vida práctica del día a día en la
empresa, los lineamientos generales que la compañía ha establecido como estándares
informáticos.
- Controlar y verificar todos los estándares informáticos que aplica la organización.
- Analizar la eficiencia y eficacia de los Sistemas de Información organizacionales.
- Examinar el uso adecuado de los recursos informáticos de la organización.

Objetivos de la auditoria informática

- Entregar un informe final con el estado encontrado de los procesos informáticos

auditados, después de realizada la evaluación por parte del auditor. Este informe
contiene en forma detallada y crítica, recomendaciones a cerca de la manera en que se
cumple la eficiencia y eficacia del proceso informático auditado dentro de la
organización.

La principal función de la auditoría informática es la evaluación de actividades y observar los

resultados, para así poder realizar una auditoria satisfactoria. Una vez visto los resultados de la
auditoria se determina si son adecuados y cumplen con los objetivos y estrategias que plantea
una organización, y si algo está mal entonces se realiza los respectivos cambios.

Los objetivos de la auditoría informática son:

1. Analizar la eficiencia de los sistemas informáticos.

2. Verificar el cumplimiento de la normativa.

3. Revisar la gestión de los recursos informáticos.

FUNCIONES DE LA AUDITORIA DE INFORMATICA

 Deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad de los medios
informáticos de la empresa auditada
 Una vez estudiado el sistema informático a auditar, el auditor debe establecer los
requisitos mínimos, aconsejables y óptimos para su adecuación a la finalidad para la
que ha sido diseñado.
 El auditor deberá lógicamente abstenerse de recomendar actuaciones
innecesariamente que generen riesgos injustificados para el auditado.

OBJETIVOS DE LA AUDITORIA DE INFORMATICA.

 -Buscar una mejor relacion costo - beneficio de los sistemas automaticos o

computarizados diseñados -Incrementar la satisfaccion de los usuarios de los sistemas
computarizados
 .- Asegurar una mayor integridad, confidencialidad de la informacion mediante la
recomendacion de seguridades y controles.
 -Conocer la situacion actual del area informatica , las actividades y esfuerzos
necesarios para lograr los objetivos propuestos.

FUNCIÓN DE LA AUDITORÍA INFORMÁTICA

La auditoría informática permite detectar de forma sistemática. El uso de los recursos y los
flujos de información dentro de una organización y determinar que información es crítica
para el cumplimiento de su misión y objetivos, identificado necesidades, falsedades,
costes, calor y barreras , obstáculizan flujos de información eficientes.
OBJETOS DE LA AUDITORÍA INFORMÁTICA

 Minimizar existencia de riesgos en el uso de la tecnología de información.

 La verificación del cumplimiento de la normativa en este ámbito.
 El análisis de la eficiencia de los sistemas informáticos.
 Apoyar la toma de decisiones de inversión y gastos innecesarios.
 Apoyo de función informática a las metas y objetivos de la organización

Se puede ver entonces que las funciones de la AI se separan en:

 Recolectar la información de la organización a evaluar, haciendo uso de herramientas.

 Agrupar las evidencias o información manifestada en áreas para su evaluación.
 Controlar todos los estándares informáticos que se aplica a la organización.

 Verificar que se estén aplicando dichos estándares dentro de la organización.

 Analizar la eficiencia y eficacia de los sistemas implementados en la organización.
(Sistemas de información, App empresariales, BBDD, Sistemas cliente - servidor,
CLoud Computing, entre otros)
 Examinar el correcto y adecuado uso de los recursos informáticos de la organización.
(Servicios de Internet, Cableado - Redes, Componentes físico-lógicos. )
 Evaluar la información acumulada bajo criterios establecidos para luego dar un informe
detallado sobre los puntos o áreas evaluadas.

OBJETIVOS DE UNA AI
Los objetivos de la AI dan lugar a las funciones que se desempeñarán en el proceso de
una auditoria Informática.
Si nuestro objetivo es saber qué anda mal entonces analizaremos dicha área y la
evaluaremos.
Los objetivos a cumplir en una AI son:

 Optimizar recursos informáticos disponibles para mejorar su rendimiento.

 Establecer políticas de mantenimiento preventivo.
 Analizar la eficiencia y eficacia a futuro de los Sistemas informáticos.
 Verificar que se estén cumpliendo las normativa en esté ámbito.
 Evaluar los recursos informáticos.
El auditor de informática es aquella persona que tiene como mínimo conocimientos básicos en
las áreas de: • Gestión Empresarial • Gestión de Proyectos • Gestión Tecnológica • Tecnología
Informática • Tecnología ofimática y Telemática • Bases de Datos • Ingeniería de Software •
Seguridad Informática • Sistemas de Información

Algunas de las cualidades que debe tener el auditor informático son: • Pericia en los diferentes
procesos informáticos • Astucia para identificar fácilmente aspectos que son claves para
encontrar inconsistencias en los procesos auditados. • Creatividad para realizar sus funciones •
Inteligencia para la adecuada toma de decisiones • Organización para controlar paso a paso el
proceso a ser auditado • Confidencialidad para no dar a conocer a quien no se debe, sus
hallazgos • Honestidad para desempeñar a cabalidad sus funciones

Las funciones principales que debe realizar el auditor informático son: • Controlar y verificar el
cumplimiento de los estándares informáticos que aplica la organización. • Verificar y examinar
la eficiencia y eficacia de los Sistemas de Información en cualquier etapa de los mismos. •
Examinar el uso adecuado de los recursos informáticos de la organización.

1. DESCRIBIR EL TIPO DE FRAUDE QUE RESPONDE ESTE CASO DE ESTUDIO El presente caso de
estudio tiene un tipo de fraude FINANCIERO – MALVERSACION DE FONDOS. Se refiere a que
una persona que tenga un fácil acceso a las cuentas financieras puede llevar a cabo la
malversación. Tomando esta observación relacionamos con el caso de desfalco al ministerio de
defensa por parte de German Choque Parra y Vladimir Jorge Ortiz Castro que a pesar de que
eran parte del control administrativo firmaron cheques sin sustento legal y administrativo, por
esta razón no se encontraba registros de cuando el ministerio de defensa había pedido
uniformes. 2. IDENTIFICAR LAS FALENCIAS SOBRE MEDIDAS DE CONTROL IDENTIFICADAS EN
ESTE CASO DE ESTUDIO Varias medidas de control no fueron aplicadas y algunas de manera
ineficiente. En este tipo de fraude de desfalco al ministerio de defensa se identificó las
siguientes medidas de control: • De acuerdo a la Planeación y Organización (DOMINIO 1) - El
director jurídico del ministerio de defensa informo no saber nada al respecto del presente
fraude, entonces podemos observar que no existe una consistencia en la información por lo
tanto no fue funcional, rentable, oportuna, segura. (modelo de arquitectura de información
del proceso 2) - Hubo una falta en la responsabilidad de la administración de seguridad, la
ética laboral no fue propiamente ejecutada, algunos funcionarios no identificaron el fraude y
otros simplemente lo encubrieron y no cumplieron con su obligación. (responsabilidad sobre el
riesgo, la seguridad y el cumplimiento del proceso 4) - No hubo un control adecuado que
supervise y garantice que los deberes, obligaciones y responsabilidades se ejerzan de forma
apropiada, así llegar a una conclusión de que el personal trabaje y este calificado de forma
correcta. (supervisión del proceso 4) - El personal no cumplió con sus roles debidamente de
forma responsable y honesta. (competencia laboral del proceso 7) - Falta de identificación de
las amenazas y vulnerabilidades que tuvo un resultado de malversación de fondos.
(Identificación de eventos del proceso 9) - No se evaluaron los riesgos apropiadamente en un
tiempo módico (evaluación de riesgos del proceso 9) 3. LISTAR NORMATIVAS LEGALES DONDE
SE PUEDEN AMPARAR LOS IMPLICADOS El amparo constitucional tiene el objetivo de
garantizar los derechos de toda persona natural o jurídica. La autoridad judicial examinará la
competencia de los servidores públicos o personas demandadas y en caso de encontrar cierta
y efectiva la demanda, concederá la norma del amparo siguiente: • Modelo restringido El
amparo constitucional solo tutela algunos derechos humanos. • Modelo amplio Abarca
absolutamente todos los derechos humanos y fundamentales. 4. CITAR EL PROCEDIMIENTO DE
INDIGNACION QUE APLICARIA COMO EXPERTO DESDE EL PUNTO DE VISTA DE AUDITOR DE
SISTEMAS Para empezar, ubicaremos este hecho al dominio de Entrega y Soporte donde
haremos una evaluación y daremos un dictamen final: • Definir y administrar niveles de
servicio Primero definir y acordar los niveles de servicio que puedan brindar estándares de
seguridad, lo cual el ministerio de defensa con este tipo de hechos pierde prestigio. Entonces
realizar un monitoreo y reporte del cumplimiento de los niveles de servicio para identificar las
acciones positivas y negativas del ministerio de defensa. • Administrar los servicios de terceros
Identificaremos los servicios de los proveedores para tener una clara idea de quienes son
exactamente, si tienen medidas de seguridad, son fiables, confiables, honestos y responsables.
Aspecto que no está presente en el ministerio de defensa, donde Vilma Verónica Calizaya
realizo un depósito informando que era parte de una devolución de uniformes. No puede ser
posible que una entidad pública de esta magnitud no tenga definidos a los proveedores.
Además, realizar una administración de los riesgos del proveedor y previamente el monitoreo
de su desempeño. • Administrar el desempeño y la capacidad Es necesario establecer un
proceso de planeación para determinar el desempeño y la capacidad de los recursos de TI los
cuales no fueron implementados en la emisión de los cheques que firmo a libre albedrío sin
sustento el ex funcionario German Choque Parra. La manipulación de los recursos de TI tiene
que estar juntamente con un monitoreo y reporte del desempeño de dichos recursos. •
Garantizar la seguridad de los sistemas Para prever un futuro fraude que conlleve cantidades
considerables de efectivo, es necesario administrar la seguridad de TI debidamente con un
plan, que garantice las funciones que brinda el ministerio, cabe mencionar que es necesario
proteger la tecnología de seguridad para que no haya posibles sabotajes del sistema. •
Identificar y asignar costos Antes de cada adquisición es necesario tener bien definidos los
servicios así podremos identificar los costos y los niveles de facturación de los servicios, una
vez obtenida la información procede un mantenimiento del modelo de costos, donde se
revisará y comparará el modelo de costos y recargos. • Educar y entrenar a los usuarios En este
aspecto debemos identificar las necesidades de entrenamiento y de educación como valores
corporativos, éticos y de seguridad. Observamos claramente que los imputados en el hecho
delincuencial no gozaban de valores profesionales así que eran personas no aptas para el cargo
que ocupaban. Una vez ejecutada la educación previamente sigue una evaluación del
entrenamiento recibido en este caso a los funcionarios. • Administrar la mesa de servicio y los
incidentes Con esta clase de hechos es necesario contar con una mesa de servicios ante
cualquier demanda de los usuarios con el ministerio de defensa, estar al tanto de cualquier
falencia o fraude para su posterior análisis. • Administración de problemas Identificar y
clasificar los problemas para evitar posibles fraudes y consecuencias mayores, el siguiente
paso es el rastreo y resolver el problema, en este caso de desfalco un contador, una servidora
pública y un coronel no solucionaron el hecho con las respectivas acciones judiciales y penales,
sino formaron parte del problema como cómplices, debido a una mala formación donde se
involucraron aspectos de amistad en importantes procesos financieros del ministerio. Al
terminar el proceso de auditoria sigue realizar un proceso de MONITOREO Y EVALUACION del
control interno realizar una revisión de auditoria para saber la efectividad de desempeño de
los controles internos.