Professional Documents
Culture Documents
- Verificar y examinar como se lleva a cabo en la vida práctica del día a día en la
empresa, los lineamientos generales que la compañía ha establecido como estándares
informáticos.
- Controlar y verificar todos los estándares informáticos que aplica la organización.
- Analizar la eficiencia y eficacia de los Sistemas de Información organizacionales.
- Examinar el uso adecuado de los recursos informáticos de la organización.
Deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad de los medios
informáticos de la empresa auditada
Una vez estudiado el sistema informático a auditar, el auditor debe establecer los
requisitos mínimos, aconsejables y óptimos para su adecuación a la finalidad para la
que ha sido diseñado.
El auditor deberá lógicamente abstenerse de recomendar actuaciones
innecesariamente que generen riesgos injustificados para el auditado.
OBJETIVOS DE UNA AI
Los objetivos de la AI dan lugar a las funciones que se desempeñarán en el proceso de
una auditoria Informática.
Si nuestro objetivo es saber qué anda mal entonces analizaremos dicha área y la
evaluaremos.
Los objetivos a cumplir en una AI son:
Algunas de las cualidades que debe tener el auditor informático son: • Pericia en los diferentes
procesos informáticos • Astucia para identificar fácilmente aspectos que son claves para
encontrar inconsistencias en los procesos auditados. • Creatividad para realizar sus funciones •
Inteligencia para la adecuada toma de decisiones • Organización para controlar paso a paso el
proceso a ser auditado • Confidencialidad para no dar a conocer a quien no se debe, sus
hallazgos • Honestidad para desempeñar a cabalidad sus funciones
Las funciones principales que debe realizar el auditor informático son: • Controlar y verificar el
cumplimiento de los estándares informáticos que aplica la organización. • Verificar y examinar
la eficiencia y eficacia de los Sistemas de Información en cualquier etapa de los mismos. •
Examinar el uso adecuado de los recursos informáticos de la organización.
1. DESCRIBIR EL TIPO DE FRAUDE QUE RESPONDE ESTE CASO DE ESTUDIO El presente caso de
estudio tiene un tipo de fraude FINANCIERO – MALVERSACION DE FONDOS. Se refiere a que
una persona que tenga un fácil acceso a las cuentas financieras puede llevar a cabo la
malversación. Tomando esta observación relacionamos con el caso de desfalco al ministerio de
defensa por parte de German Choque Parra y Vladimir Jorge Ortiz Castro que a pesar de que
eran parte del control administrativo firmaron cheques sin sustento legal y administrativo, por
esta razón no se encontraba registros de cuando el ministerio de defensa había pedido
uniformes. 2. IDENTIFICAR LAS FALENCIAS SOBRE MEDIDAS DE CONTROL IDENTIFICADAS EN
ESTE CASO DE ESTUDIO Varias medidas de control no fueron aplicadas y algunas de manera
ineficiente. En este tipo de fraude de desfalco al ministerio de defensa se identificó las
siguientes medidas de control: • De acuerdo a la Planeación y Organización (DOMINIO 1) - El
director jurídico del ministerio de defensa informo no saber nada al respecto del presente
fraude, entonces podemos observar que no existe una consistencia en la información por lo
tanto no fue funcional, rentable, oportuna, segura. (modelo de arquitectura de información
del proceso 2) - Hubo una falta en la responsabilidad de la administración de seguridad, la
ética laboral no fue propiamente ejecutada, algunos funcionarios no identificaron el fraude y
otros simplemente lo encubrieron y no cumplieron con su obligación. (responsabilidad sobre el
riesgo, la seguridad y el cumplimiento del proceso 4) - No hubo un control adecuado que
supervise y garantice que los deberes, obligaciones y responsabilidades se ejerzan de forma
apropiada, así llegar a una conclusión de que el personal trabaje y este calificado de forma
correcta. (supervisión del proceso 4) - El personal no cumplió con sus roles debidamente de
forma responsable y honesta. (competencia laboral del proceso 7) - Falta de identificación de
las amenazas y vulnerabilidades que tuvo un resultado de malversación de fondos.
(Identificación de eventos del proceso 9) - No se evaluaron los riesgos apropiadamente en un
tiempo módico (evaluación de riesgos del proceso 9) 3. LISTAR NORMATIVAS LEGALES DONDE
SE PUEDEN AMPARAR LOS IMPLICADOS El amparo constitucional tiene el objetivo de
garantizar los derechos de toda persona natural o jurídica. La autoridad judicial examinará la
competencia de los servidores públicos o personas demandadas y en caso de encontrar cierta
y efectiva la demanda, concederá la norma del amparo siguiente: • Modelo restringido El
amparo constitucional solo tutela algunos derechos humanos. • Modelo amplio Abarca
absolutamente todos los derechos humanos y fundamentales. 4. CITAR EL PROCEDIMIENTO DE
INDIGNACION QUE APLICARIA COMO EXPERTO DESDE EL PUNTO DE VISTA DE AUDITOR DE
SISTEMAS Para empezar, ubicaremos este hecho al dominio de Entrega y Soporte donde
haremos una evaluación y daremos un dictamen final: • Definir y administrar niveles de
servicio Primero definir y acordar los niveles de servicio que puedan brindar estándares de
seguridad, lo cual el ministerio de defensa con este tipo de hechos pierde prestigio. Entonces
realizar un monitoreo y reporte del cumplimiento de los niveles de servicio para identificar las
acciones positivas y negativas del ministerio de defensa. • Administrar los servicios de terceros
Identificaremos los servicios de los proveedores para tener una clara idea de quienes son
exactamente, si tienen medidas de seguridad, son fiables, confiables, honestos y responsables.
Aspecto que no está presente en el ministerio de defensa, donde Vilma Verónica Calizaya
realizo un depósito informando que era parte de una devolución de uniformes. No puede ser
posible que una entidad pública de esta magnitud no tenga definidos a los proveedores.
Además, realizar una administración de los riesgos del proveedor y previamente el monitoreo
de su desempeño. • Administrar el desempeño y la capacidad Es necesario establecer un
proceso de planeación para determinar el desempeño y la capacidad de los recursos de TI los
cuales no fueron implementados en la emisión de los cheques que firmo a libre albedrío sin
sustento el ex funcionario German Choque Parra. La manipulación de los recursos de TI tiene
que estar juntamente con un monitoreo y reporte del desempeño de dichos recursos. •
Garantizar la seguridad de los sistemas Para prever un futuro fraude que conlleve cantidades
considerables de efectivo, es necesario administrar la seguridad de TI debidamente con un
plan, que garantice las funciones que brinda el ministerio, cabe mencionar que es necesario
proteger la tecnología de seguridad para que no haya posibles sabotajes del sistema. •
Identificar y asignar costos Antes de cada adquisición es necesario tener bien definidos los
servicios así podremos identificar los costos y los niveles de facturación de los servicios, una
vez obtenida la información procede un mantenimiento del modelo de costos, donde se
revisará y comparará el modelo de costos y recargos. • Educar y entrenar a los usuarios En este
aspecto debemos identificar las necesidades de entrenamiento y de educación como valores
corporativos, éticos y de seguridad. Observamos claramente que los imputados en el hecho
delincuencial no gozaban de valores profesionales así que eran personas no aptas para el cargo
que ocupaban. Una vez ejecutada la educación previamente sigue una evaluación del
entrenamiento recibido en este caso a los funcionarios. • Administrar la mesa de servicio y los
incidentes Con esta clase de hechos es necesario contar con una mesa de servicios ante
cualquier demanda de los usuarios con el ministerio de defensa, estar al tanto de cualquier
falencia o fraude para su posterior análisis. • Administración de problemas Identificar y
clasificar los problemas para evitar posibles fraudes y consecuencias mayores, el siguiente
paso es el rastreo y resolver el problema, en este caso de desfalco un contador, una servidora
pública y un coronel no solucionaron el hecho con las respectivas acciones judiciales y penales,
sino formaron parte del problema como cómplices, debido a una mala formación donde se
involucraron aspectos de amistad en importantes procesos financieros del ministerio. Al
terminar el proceso de auditoria sigue realizar un proceso de MONITOREO Y EVALUACION del
control interno realizar una revisión de auditoria para saber la efectividad de desempeño de
los controles internos.