Auditor versus delitos informàticos
Es importante establecer claramente cual es el papel que juega el auditor informático en relación con la detección y minimización de la ocurrencia de delitos informáticos dentro de la organización a que presta sus servicios. Para lograr establecer dicho rol se debe examinar la actuación del auditor frente a la ocurrencia de delitos, estrategias para evitarlos, recomendaciones adecuadas, conocimientos requeridos, en fin una serie de elementos que definen de manera inequívoca el aporte que éste brinda en el manejo de los
casos de delitos informáticos.
Rol del Auditor Informático
El rol del auditor informático solamente está basado en la verificación de controles, evaluación del riesgo de fraudes y el diseño y desarrollo de exámenes que sean apropiados a la naturaleza de la auditoría asignada, y que deben razonablemente detectar:
• Irregularidades que puedan tener un impacto sobre el área auditada o sobre toda la organización.
• Debilidades en los controles internos que podrían resultar en la falta de prevención o detección de irregularidades.
Detección de delitos
Puesto que la auditoria es una verificación de que las cosas se estén realizando de la manera planificada, que todas las actividades se realicen adecuadamente, que los controles sean cumplidos, etc.; entonces el auditor informático al detectar irregularidades en el transcurso de la auditoria informática que le indiquen la ocurrencia de un delito informático, deberá realizar los siguiente:
Determinar si se considera la situación un delito realmente; Establecer pruebas claras y precisas;
Determinar los vacíos de la seguridad existentes y que permitieron el delito; Informar a la autoridad correspondiente dentro de la organización; Informar a autoridades regulatorias cuando es un requerimiento legal.
Es importante mencionar que el auditor deberá manejar con discreción tal situación y con el mayor profesionalismo posible; evitando su divulgación al público o a empleados que no tienen nada que ver.
Puesto que de no manejarse adecuadamente el delito, podría tener efectos negativos en la organización, como los siguientes:
• Se puede generar una desconfianza de los empleados hacia el sistema; • Se pueden generar más delitos al mostrar las debilidades encontradas;
• Se puede perder la confianza de los clientes, proveedores e inversionistas hacia la empresa;
• Se pueden perder empleados clave de la administración, aún cuando no estén involucrados
en la irregularidad debido a que la confianza en la administración y el futuro de la organización puede estar en riesgo.
Resultados de la auditoria
Si por medio de la auditoria informática realizada se han detectado la ocurrencia de delitos, el auditor deberá sugerir acciones especificas a seguir para resolver el vacío de seguridad, para que el grupo de la unidad informática pueda actuar.
Dichas acciones, expresadas en forma de recomendación pueden ser como las siguientes:
• Recomendaciones referentes a la revisión total del proceso involucrado;
• Inclusión de controles adicionales;
• Establecimiento de planes de contingencia efectivos;
• Adquisición de herramientas de control, etc.
Además de brindar recomendaciones, el auditor informático deberá ayudar a la empresa en el establecimiento de estrategias contra la ocurrencia de delitos, entre las que pueden destacarse:
• Adquisición de herramientas computacionales de alto desempeño;
• Controles sofisticados;
• Procedimientos estándares bien establecidos y probados.
• Revisiones continuas; cuya frecuencia dependerá del grado de importancia para la empresa de las TI; así como de las herramientas y controles existentes.
Si bien es cierto las recomendaciones dadas por el auditor, las estrategias implementadas por la organización minimizan el grado de amenaza que representa los delitos informáticos, es importante tomar en cuenta que aún cuando todos los procesos de auditoría estén debidamente diseñados y se cuente con las herramientas adecuadas, no se puede garantizar que las irregularidades puedan ser detectadas.
Por lo que la verificaciones la información y de la TI juegan un papel importante en la detección de los delitos informáticos.
Perfil del Auditor Informático
El auditor informático como encargado de la verificación y certificación de la informática dentro de las organizaciones, deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y la efectividad esperada. Para ello a continuación se establecen algunos elementos con que deberá contar:
» Conocimientos generales.
• Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización;
• Normas estándares para la auditoría interna;
• Políticas organizacionales sobre la información y las tecnologías de la información.
• Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización, etc.
• Aspectos legales;
» Herramientas.
• Herramientas de control y verificación de la seguridad;
• Herramientas de monitoreo de actividades, etc.
» Técnicas.
• Técnicas de Evaluación de riesgos;
• Muestreo;
• Cálculo pos operación;
• Monitoreo de actividades;
• Recopilación de grandes cantidades de información;
• Verificación de desviaciones en el comportamiento de la data;
• Análisis e interpretación de la evidencia, etc.
Auditor Externo Versus Auditor Interno
La responsabilidad del auditor externo para detectar irregularidades o fraude se establece en el prefacio de las normas y estándares de auditoría. En este prefacio se indica que aunque el cometido de los auditores externos no exige normalmente la búsqueda específica de fraudes, la auditoría deberá planificarse de forma que existan unas expectativas razonables de detectar irregularidades materiales o fraude.
Si el auditor externo detecta algún tipo de delito deberá presentar un informe detallado sobre la situación y aportar elementos de juicio adicionales durante las investigaciones criminales posteriores. El auditor externo solamente puede emitir opiniones basado en la información recabada y normalmente no estará involucrado directamente en la búsqueda de pruebas; a menos que su contrato sea extendido a otro tipo de actividades normalmente fuera de su alcance.
El cometido y responsabilidad de los auditores internos vienen definidos por la dirección de la empresa a la que pertenecen.
En la mayoría de ellas, se considera que la detección de delitos informáticos forma parte del cometido de los auditores internos.
Auditorias Eficientes En la mayoría de las empresas existe la obligación de mantener en todo momento unos registros contables adecuados y el auditor tendrá que informar si no fuera así.
Lo más probable es que el estudio completo de la seguridad y la planificación de emergencia de los sistemas mecanizados se incluyan entre las atribuciones de la mayoría de los departamentos de auditoría interna. Por ello cuando se realice un análisis de seguridad informática y de planificación de emergencia, el auditor:
• Examinará sistemáticamente todos los riesgos que intervengan y acotarán las pérdidas probables en cada caso.
• Considerará las maneras de aumentar la seguridad para reducir los riesgos.
• Recomendará todas las acciones necesarias de protección encaminadas a reducir el riesgo de que se produzca una interrupción, en caso de que se produzca.
• Cuando corresponda, estudiará la cobertura de seguros de la empresa.
Cuando se hable de eficiencia, los auditores tendrán que tener en cuenta las bases de referencia del grupo de auditoria, que considera lo siguiente:
• A que nivel informan los auditores.
• El apoyo que la dirección presta a los auditores.
• El respeto que tenga la unidad informática hacia el
grupo de auditoría.
• La competencia técnica del equipo de auditoría.
• La eficiencia de la unidad informática, en la que se
incluyen más factores de protección y seguridad.
Si, durante el curso de auditoría, los auditores tuvieran razones para pensar que las disposiciones de seguridad de la empresa y los planes de emergencia no son los adecuados, deberán reflejar sus opiniones a la Alta Dirección, a través del informe de auditoria.
Si sospechase de fraude, el auditor deberá avisar a la alta dirección para que se pongan en contacto con su asesor jurídico, o con la policía, sin levantar las sospechas del personal
o los clientes que estuviesen involucrados. El auditor deberá asegurar también que los originales de los documentos que pudieran utilizarse como prueba están custodiados y a salvo y que ninguna persona que sea sospechosa de fraude tenga acceso a ellos.
Es importante establecer claramente cual es el papel que juega el auditor informático en relación con la detección y minimización de la ocurrencia de delitos informáticos dentro de la organización a que presta sus servicios. Para lograr establecer dicho rol se debe examinar la actuación del auditor frente a la ocurrencia de delitos, estrategias para evitarlos, recomendaciones adecuadas, conocimientos requeridos, en fin una serie de elementos que definen de manera inequívoca el aporte que éste brinda en el manejo de los
casos de delitos informáticos.
Rol del Auditor Informático
El rol del auditor informático solamente está basado en la verificación de controles, evaluación del riesgo de fraudes y el diseño y desarrollo de exámenes que sean apropiados a la naturaleza de la auditoría asignada, y que deben razonablemente detectar:
• Irregularidades que puedan tener un impacto sobre el área auditada o sobre toda la organización.
• Debilidades en los controles internos que podrían resultar en la falta de prevención o detección de irregularidades.
Detección de delitos
Puesto que la auditoria es una verificación de que las cosas se estén realizando de la manera planificada, que todas las actividades se realicen adecuadamente, que los controles sean cumplidos, etc.; entonces el auditor informático al detectar irregularidades en el transcurso de la auditoria informática que le indiquen la ocurrencia de un delito informático, deberá realizar los siguiente:
Determinar si se considera la situación un delito realmente; Establecer pruebas claras y precisas;
Determinar los vacíos de la seguridad existentes y que permitieron el delito; Informar a la autoridad correspondiente dentro de la organización; Informar a autoridades regulatorias cuando es un requerimiento legal.
Es importante mencionar que el auditor deberá manejar con discreción tal situación y con el mayor profesionalismo posible; evitando su divulgación al público o a empleados que no tienen nada que ver.
Puesto que de no manejarse adecuadamente el delito, podría tener efectos negativos en la organización, como los siguientes:
• Se puede generar una desconfianza de los empleados hacia el sistema; • Se pueden generar más delitos al mostrar las debilidades encontradas;
• Se puede perder la confianza de los clientes, proveedores e inversionistas hacia la empresa;
• Se pueden perder empleados clave de la administración, aún cuando no estén involucrados
en la irregularidad debido a que la confianza en la administración y el futuro de la organización puede estar en riesgo.
Resultados de la auditoria
Si por medio de la auditoria informática realizada se han detectado la ocurrencia de delitos, el auditor deberá sugerir acciones especificas a seguir para resolver el vacío de seguridad, para que el grupo de la unidad informática pueda actuar.
Dichas acciones, expresadas en forma de recomendación pueden ser como las siguientes:
• Recomendaciones referentes a la revisión total del proceso involucrado;
• Inclusión de controles adicionales;
• Establecimiento de planes de contingencia efectivos;
• Adquisición de herramientas de control, etc.
Además de brindar recomendaciones, el auditor informático deberá ayudar a la empresa en el establecimiento de estrategias contra la ocurrencia de delitos, entre las que pueden destacarse:
• Adquisición de herramientas computacionales de alto desempeño;
• Controles sofisticados;
• Procedimientos estándares bien establecidos y probados.
• Revisiones continuas; cuya frecuencia dependerá del grado de importancia para la empresa de las TI; así como de las herramientas y controles existentes.
Si bien es cierto las recomendaciones dadas por el auditor, las estrategias implementadas por la organización minimizan el grado de amenaza que representa los delitos informáticos, es importante tomar en cuenta que aún cuando todos los procesos de auditoría estén debidamente diseñados y se cuente con las herramientas adecuadas, no se puede garantizar que las irregularidades puedan ser detectadas.
Por lo que la verificaciones la información y de la TI juegan un papel importante en la detección de los delitos informáticos.
Perfil del Auditor Informático
El auditor informático como encargado de la verificación y certificación de la informática dentro de las organizaciones, deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y la efectividad esperada. Para ello a continuación se establecen algunos elementos con que deberá contar:
» Conocimientos generales.
• Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización;
• Normas estándares para la auditoría interna;
• Políticas organizacionales sobre la información y las tecnologías de la información.
• Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización, etc.
• Aspectos legales;
» Herramientas.
• Herramientas de control y verificación de la seguridad;
• Herramientas de monitoreo de actividades, etc.
» Técnicas.
• Técnicas de Evaluación de riesgos;
• Muestreo;
• Cálculo pos operación;
• Monitoreo de actividades;
• Recopilación de grandes cantidades de información;
• Verificación de desviaciones en el comportamiento de la data;
• Análisis e interpretación de la evidencia, etc.
Auditor Externo Versus Auditor Interno
La responsabilidad del auditor externo para detectar irregularidades o fraude se establece en el prefacio de las normas y estándares de auditoría. En este prefacio se indica que aunque el cometido de los auditores externos no exige normalmente la búsqueda específica de fraudes, la auditoría deberá planificarse de forma que existan unas expectativas razonables de detectar irregularidades materiales o fraude.
Si el auditor externo detecta algún tipo de delito deberá presentar un informe detallado sobre la situación y aportar elementos de juicio adicionales durante las investigaciones criminales posteriores. El auditor externo solamente puede emitir opiniones basado en la información recabada y normalmente no estará involucrado directamente en la búsqueda de pruebas; a menos que su contrato sea extendido a otro tipo de actividades normalmente fuera de su alcance.
El cometido y responsabilidad de los auditores internos vienen definidos por la dirección de la empresa a la que pertenecen.
En la mayoría de ellas, se considera que la detección de delitos informáticos forma parte del cometido de los auditores internos.
Auditorias Eficientes En la mayoría de las empresas existe la obligación de mantener en todo momento unos registros contables adecuados y el auditor tendrá que informar si no fuera así.
Lo más probable es que el estudio completo de la seguridad y la planificación de emergencia de los sistemas mecanizados se incluyan entre las atribuciones de la mayoría de los departamentos de auditoría interna. Por ello cuando se realice un análisis de seguridad informática y de planificación de emergencia, el auditor:
• Examinará sistemáticamente todos los riesgos que intervengan y acotarán las pérdidas probables en cada caso.
• Considerará las maneras de aumentar la seguridad para reducir los riesgos.
• Recomendará todas las acciones necesarias de protección encaminadas a reducir el riesgo de que se produzca una interrupción, en caso de que se produzca.
• Cuando corresponda, estudiará la cobertura de seguros de la empresa.
Cuando se hable de eficiencia, los auditores tendrán que tener en cuenta las bases de referencia del grupo de auditoria, que considera lo siguiente:
• A que nivel informan los auditores.
• El apoyo que la dirección presta a los auditores.
• El respeto que tenga la unidad informática hacia el
grupo de auditoría.
• La competencia técnica del equipo de auditoría.
• La eficiencia de la unidad informática, en la que se
incluyen más factores de protección y seguridad.
Si, durante el curso de auditoría, los auditores tuvieran razones para pensar que las disposiciones de seguridad de la empresa y los planes de emergencia no son los adecuados, deberán reflejar sus opiniones a la Alta Dirección, a través del informe de auditoria.
Si sospechase de fraude, el auditor deberá avisar a la alta dirección para que se pongan en contacto con su asesor jurídico, o con la policía, sin levantar las sospechas del personal
o los clientes que estuviesen involucrados. El auditor deberá asegurar también que los originales de los documentos que pudieran utilizarse como prueba están custodiados y a salvo y que ninguna persona que sea sospechosa de fraude tenga acceso a ellos.
No hay comentarios:
Publicar un comentario