1 v Auditoria para la prevención del fraude en la gestión de T.I.

2 Agenda Introducción La función de Auditoría Interna y el Gobierno de TI Fraude informático Papel del auditor de T.I. en la prevención del fraude Actividades de control y prevención del fraude en la gestión de las T.I. Conclusiones Fabián Cordero Navarro

3 Introducción Fabián Cordero Navarro La Información es un recurso clave para todas las empresas y desde el momento en que la información se crea hasta que es destruida, la tecnología juega un papel importante. La tecnología de la información está avanzando cada vez más y se ha generalizado en las empresas y en entornos sociales, públicos y de negocios. ¿Están nuestras organizaciones preparadas para gestionar las T.I. de una manera adecuada?

4 Introducción (Cont) En cierta medida, la tecnología puede ayudar a elaborar el análisis de amenazas mediante la recolección de información. Fabián Cordero Navarro

5 Introducción (Cont) Cabe resaltar que la mayor cantidad de fraudes son realizados por los mismos funcionarios de las organizaciones y los eventos son descubiertos por casualidad. La detección y prevención de fraudes requieren la atención de todos a niveles de la organización. Fabián Cordero Navarro

6 Introducción (Cont) ¿ Quién es el responsable del establecimiento de medidas preventivas y la detección de fraude? Fabián Cordero Navarro

7 La función de Auditoría Interna y el Gobierno de TI Fabián Cordero Navarro Vigilantes del cumplimiento Garantes de la transparencia Promotor de mejores prácticas Promotor de la TI como herramienta de control y simplificación Asesor y especialista Rol auditor interno

8 La función de Auditoría Interna y el Gobierno de TI (Cont) ¿Cómo puede ayudar las TI a la auditoría? Para asegurar la estandarización de la metodología. Capacidad de manejo de altos volúmenes de información. Sentido al análisis de riesgo. Facilita los proceso de supervisión y revisión. Documentar procesos y generar observaciones Crear estadística y mejorar seguimientos. Fabián Cordero Navarro

9 La función de Auditoría Interna y el Gobierno de TI (Cont) TI y el perfil del auditor interno Antes se requería que el auditor interno fuese especialista en temas de auditoría interna y temas financieros Actualmente el auditor interno ya no lidia con papeles, se enfrenta a sistemas y procesos El idioma de su trabajo y la comunicación se da en términos de TI Es indispensable entonces que el auditor interno domine los temas de TI Fabián Cordero Navarro

10 La función de Auditoría Interna y el Gobierno de TI (Cont) La auditoría eficaz depende de TI Fabián Cordero Navarro

11 Fraude informático Según la real academia española se define la palabra fraude (Del lat. fraus, fraudis). 1. Acción contraria a la verdad y a la rectitud, que perjudica a la persona contra quien se comete. 2. Acto tendente a eludir una disposición legal en perjuicio del Estado o de terceros. Fabián Cordero Navarro

12 Fraude informático (Cont) Los fraudes o delitos informáticos también conocidos como ciberdelincuencia son muy frecuentes, debido al avance tecnológico que facilita el acceso a la información. Normalmente son desarrollados para engañar o perjudicar a una organización (sociedad) con el fin de adquirir un beneficio propio que conlleva a incurrir en un acto delictivo (destrucción, substracción de programas, alteración, destrucción o reproducción de datos o delitos contra la intimidad) utilizando las T.I. Fabián Cordero Navarro

13 Fraude informático (Cont) Algunas técnicas de fraude informático Fabián Cordero Navarro Introducción de datos falsosCaballo de TroyaRecolección de información desechadaSuperzapping

14 Fraude informático (Cont) ¿Como reducir el riesgo y tener más garantía de seguridad informática en las organizaciones? – Establecer una conciencia antifraude dentro de la gestión de riesgo de la empresa. – Conocer los riesgos a los que se expone la empresa. – Combatir el fraude mediante el fortalecimiento del control interno – Establecer un programa preventivo para mitigar los riesgos Fabián Cordero Navarro

15 Fraude informático (Cont) – Llevar a cabo una eficiente investigación de posibles situaciones fraudulentas – Crear un comité de gestión de riesgos multidisciplinario – Desarrollar motores de denuncia del fraude en las organizaciones – Evaluación e implantación de herramientas para identificar el fraude informático. Fabián Cordero Navarro

16 Fraude informático (Cont) Herramientas de mitigación: Fabián Cordero Navarro Actualizar regularmente el sistema operativo. Instalar antivirus Instalar un firewall: restringir accesos no autorizados a internet Software anti-spyre: evita que se introduzca en el equipo programas espías

17 Fraude informático (Cont) Herramientas de mitigación: Fabián Cordero Navarro Utilizar contraseñas seguras Navegar por páginas web seguras y de confianza Poner especial atención a su correo electrónico

18 Papel del auditor de T.I. en la prevención del fraude Cada vez más las organizaciones se vuelven más complejas debido a la globalización y al uso de las tecnologías de la información, lo cual aumenta el riesgo operativo. La detención y prevención requieren la atención de todos los niveles de la organización. Lo que provoca que el auditor de T.I. deba profundizar su análisis y mantenga un amplio conocimiento del negocio. Fabián Cordero Navarro

19 Papel del auditor de T.I. en la prevención del fraude (Cont) Responsabilidades Fabián Cordero Navarro El auditor debe estar capacitado para identificar posibles fraudes, este conocimiento incluye, técnicas y los tipos de fraudes asociados con las actividades auditadas. Conocer los eventos de riesgo operativo que están presentes en los procesos de negocio y de soporte de la empresa. Prestar especial énfasis en los puntos de control establecidos por la administración, en términos de su aplicación y eficiencia

20 Papel del auditor de T.I. en la prevención del fraude (Cont) Fabián Cordero Navarro Profundizar la revisión en los casos que encuentre debilidades de control. Si el fraude podría haber sido cometido, decidir si es necesario efectuar más acciones adicionales o recomendar una investigación. Comunicar a la administración cualquier hallazgo de fraude.

21 Papel del auditor de T.I. en la prevención del fraude (Cont) Fabián Cordero Navarro Obtener el mapa de riesgo operativo elaborado por la Unidad de Riesgos para hacer seguimiento a los aspectos de control más importantes dentro de la empresa. Evaluar la eficiencia de los controles internos.

22 Papel del auditor de T.I. en la prevención del fraude (Cont) Fabián Cordero Navarro ¿Se puede hacer una auditoría con enfoque preventivo?

23 Actividades de control y prevención del fraude en la gestión de las T.I. Las actividades de control son aquellas que realiza la gerencia y personal de la organización para disminuir el riesgo operativo y con ello minimizar la posibilidad de ocurrencia de fraudes. Estas actividades están expresadas en las políticas, normas y procedimientos de las empresas. Fabián Cordero Navarro

24 Actividades de control y prevención del fraude en la gestión de las T.I. (Cont) Un adecuado sistema de administración de riesgos debe partir de una estructura sólida de gobierno corporativo. Todos en la organización desempeñan un papel importante en el proceso de supervisión y monitoreo, tanto el Consejo de Administración como el Comité de Auditoría, la gerencia y los auditores internos. Fabián Cordero Navarro

25 Actividades de control y prevención del fraude en la gestión de las T.I. (Cont) Fabián Cordero Navarro

26 Actividades de control y prevención del fraude en la gestión de las T.I. (Cont) Mecanismos de detección de fraude – Los sistemas de control de la organización deben tener sus propios mecanismos para detectar el fraude, entre los cuales consideramos relevante el monitoreo de los controles de T.I. a cargo de la dirección, evaluado periódicamente por auditoría interna o externa. Fabián Cordero Navarro

27 Actividades de control y prevención del fraude en la gestión de las T.I. (Cont) – Los controles sin monitoreo no funcionan. – Es importante señalar que la función del monitoreo también debe incluir las sanciones, tanto para el que incumple los controles e incurre en conductas impropias como para el que debió haber supervisado, ya que las actividades se delegan, pero no la responsabilidad. Fabián Cordero Navarro

28 Actividades de control y prevención del fraude en la gestión de las T.I. (Cont) Fabián Cordero Navarro Prevención del Fraude Separación de funciones Asignación de responsabilidades

29 Actividades de control y prevención del fraude en la gestión de las T.I. (Cont) Control de los sistemas de información Fabián Cordero Navarro

30 Actividades de control y prevención del fraude en la gestión de las T.I. (Cont) Plan de trabajo relacionado con el área de riesgo de fraude Fabián Cordero Navarro ObjetivosPlan amplioEnfoqueEstrategia de auditoríaComunicación

31 Conclusiones Los auditores de T.I. juegan un papel integral para combatir el fraude en sus respectivas organizaciones, responsabilidad que hace que deben estar bien preparados. Los auditores de T.I. tienen la responsabilidad de coadyuvar en la prevención del fraude a través de una evaluación constante de los sistemas de control interno de las entidades y la presentación a la alta gerencia de las recomendaciones necesarias para mitigar los efectos negativos que pudieran derivarse de las debilidades de estos sistemas. Fabián Cordero Navarro

32 Conclusiones (Cont) Las evidencias demuestran que las organizaciones se sienten más seguras cuando cuentan con auditores con amplios conocimientos y la experiencia sobre la prevención a los riesgos de fraude. Las organizaciones en la actualidad deben establecer adecuados controles internos a fin de prevenir el riesgo del fraude externo e interno y que requiere la participación de todos los trabajadores de la organización. Fabián Cordero Navarro

33 Conclusiones (Cont) La auditoría de T.I., avanzó en la realización de su trabajo con un enfoque de riesgos y es una respuesta al fraude en las empresas e instituciones. Los sistemas de información deben ser una herramienta que coadyuve a los objetivos de negocio así como a mejorar el sistema de control interno. Fabián Cordero Navarro

34 Conclusiones (Cont) Las organizaciones necesitan dejar de ver el control interno como una larga lista de “candados” que no se relacionan entre sí y que crean la percepción de sobrerregulación o burocracia, sino como un complemento a un cambio cultural, es decir, una combinación de los controles o candados necesarios, de acuerdo con los riesgos, la participación y el tono de la gerencia en los temas éticos y de valores. Fabián Cordero Navarro

35 Conclusiones (Cont) Fabián Cordero Navarro Entidades sector público

36 v Auditoria para la prevención del fraude en la gestión de T.I.