AUDITORIA TECNOLOGIA INFORMATICA FERNANDO RADA BARONA

Transcripción

1 AUDITORIA TECNOLOGIA INFORMATICA FERNANDO RADA BARONA

2 FRAUDE ES MANIPULAR LA INFORMACION PARA OBTENER UN BENEFICIO Y SE AUMENTA A MEDIDA QUE SE DESARROLLA LA TECNOLOGIA.

3 Definición de fraude El fraude es un concepto legal bastante amplio. Nuestro enfoque se dirige específicamente a las acciones que pueden resultar en un error material de los estados financieros. El fraude, no como error, es intencional y usualmente involucra un encubrimiento de los hechos. Puede involucrar a la gerencia, empleados o terceros. Puede involucrar a un solo individuo o en colusión con otras personas internas o externas a la empresa.

4 Definición de fraude (Cont.) Errores relacionados con fraude: 1. Errores que resultan de reportes financieros fraudulentos Errores intencionales u omisiones de cantidades o revelaciones elaboradas para engañar a los usuarios de los estados financieros. Usualmente involucra incumplimiento de los

5 Elementos clave de programas antifraude y controles Procesos de evaluación de riesgo. Código de conducta incluyendo mensajes de confirmación. Programas de línea directa de éticas/denuncias a la existencia de prácticas ilegales. Ciertas prácticas de recursos humanos. Actividades relacionadas con el fraude en la auditoría interna.

6 Responsabilidades de la administración relacionadas con el fraude Conocer y aceptar la responsabilidad para evaluar riesgos y diseñar controles para prevenir o detectar a tiempo el fraude. Realizar una evaluación de riesgo que incluya el riesgo de fraude específicamente utilizando los elementos del triángulo de fraude. Diseñar e implementar programas y controles incluyendo controles de seguimiento y una segregación de funciones adecuada, que esté dirigida a los riesgos de fraude dominantes y específicamente a los riesgos de fraude identificados. Evaluar la evasión de controles por parte de la gerencia y comunicarlo al comité de auditoría o aquellos a cargo de la

7 Tipos de actividades que personas a cargo de la dirección deberían considerar en el área de fraude Revisar la evaluación de riesgo de fraude que realiza la gerencia utilizando el triángulo de fraude que incluye el riesgo de evasión de controles por parte de la gerencia. Discutir con auditoría interna las actividades relacionadas con el fraude específico incluyendo todo lo relacionado con la evasión por parte de la gerencia. Recibir informes constantes de la gerencia y de auditoría interna sobre las actividades de seguimiento incluyendo actividades de línea directa e investigaciones. Cuestionar a la gerencia en áreas no habituales, las partes relacionadas y transacciones con vinculadas.

8 TIPOS DE FRAUDE RELACIONADOS CON LA ENTRADA CREACION DE ENTRADA DE DATOS MODIFICACION DE LA ENTRADA SUPRESION DE LA ENTRADA DUPLICACION DE LA ENTRADA

9 CREACION DE ENTRADA EN LA CREACION DE ENTRADA DE DATOS FALSA, ES UNA DE LAS FORMAS MAS COMUNES Y SIMPLES DE PERPETRAR EL FRAUDE, PARTICULARMENTE CUANDO SE REALIZA JUNTO CON UN CAMBIO RELATIVO DE DATOS ESTABLECIDOS. EJEMPLO: INSERTAR UNA SOLICITUD ADICIONAL DE GASTOS EN UN LOTE EXISTENTE O LA ENTRADA DIRECTA DE UNA ORDEN DE VENTA EN UN SISTEMA DE ENTRADA DE VENTAS.

10 MODIFICACION DE LA ENTRADA INVOLUCRA HACER UN CAMBIO FRAUDULENTO EN LA ENTRADA DE DATOS ORIGINAL, DESPUES DE QUE EL ITEM HAYA SIDO APROBADO. EJEMPLO: AUMENTAR UN RECLAMO DE GASTOS O CAMBIAR EL NOMBRE Y LA DIRECCION DE UN SOLICITANTE DE PRESTAMO.

11 SUPRESION DE LA ENTRADA LA SUPRESION DE ENTRADA DE DATOS ANTES DE SU INTRODUCCION O CAPTURAR EN EL SISTEMA PODRIA SER TAN SIMPLE COMO QUITAR UN ITEM DE UN LOTE O SUPRIMIR TODO EL LOTE. EJEMPLO: UN EMPLEADO ENCARGADO DE LA NOMINA DESTRUIA REGULARMENTE LOS AVISOS DE TERMINACION DE CONTRATO DE LOS EMPLEADOS Y LUEGO CAMBIABA LOS DETALLES DE LA CUENTA BANCARIA PARA EL PAGO DEL SUELDO. EL FRAUDE SE DETECTO CUANDO EL EMPLEADO SE ENFERMO.

12 DUPLICACION DE LA ENTRADA DE DATOS EL PROCESO DE DUPLICAR LA ENTRADA DE DATOS, PUEDE INVOLUCRAR COPIAR LA ENTRADA DE DATOS Y PRESENTAR TANTO EL ORIGINAL COMO LA COPIA O SIMPLEMENTE VOLVER A ENTRAR EL DOCUMENTO POSTERIOR, SI NO HAY CANCELACION DE LOS ITEMS PROCESADOS. EJEMPLO: UN EMPLEADO A CARGO DE ENTRADA DE DATOS PROCESO PAGARES VALIDOS DOS VECES PARA UN CLIENTE PARTICULAR EL CUAL RECLAMARIA EL REEMBOLSO DOS VECES.

13 RELACIONADO CON LOS PROGRAMAS CAMBIOS NO AUTORIZADOS EN LOS PROGRAMAS ABUSO DE LOS PRIVILEGIOS DE ACCESO ACCESOS NO AUTORIZADOS A LAS UTILIDADES DE MANIPULACION DE DATOS

14 RELACIONADO CON LA SALIDA DE INFORMACION SUPRESION O DESTRUCCION DE LA SALIDA DE DATOS CREACION DE SALIDA DE DATOS FICTICIOS MODIFICACION INADECUADA DE SALIDA DE DATOS ANTES DE LA TRANSMISION ROBO DE LOS DATOS DE SALIDA

15 COMO SE PUEDE COMBATIR EL FRAUDE FRAUDE RELACIONADO CON LOS PROGRAMASF RAUDE RELACIONADO CON LA SALIDA DE DATOS USO ILICITO DE LA INFORMACION VIRUS Y; ROBO DEL SOFTWARE

16 RELACIONADOS CON LOS PROGRAMAS LOS FRAUDES RELACIONADOS CON LOS PROGRAMAS INVOLUCRAN LA MANIPULACION ILICITA DE LOS PROGRAMAS O LAS OPERACIONES, REQUIERE UNA COMPRENSION PROFUNDA DE LA INFORMACION QUE SE ESTA PROCESANDO Y CONOCIMIENTO SOLIDO DE LOS SISTEMAS COMPUTARIZADOS INVOLUCRADOS. EJEMPLO: MANIPULACION DE UN PROGRAMA DE COMPUTADOR DE MANERA QUE UNICAMENTE GENERE LOS DOCUMENTOS DE DESPACHO Y NO REGISTRE NINGUNA ENTRADA EN LOS REGISTROS FINANCIEROS CUANDO SE ENTREGA MERCANCIA A UN CLIENTE PARTICULAR.

17 RELACIONADOS CON LA SALIDA DE DATOS INVOLUCRA LA SUPRESION, LA CREACION FRAUDULENTA DE DATOS, LA MODIFICACION INADECUADA, EL ROBO DE DATOS DE LA SALIDA, EL USO ILICITO, VIRUS Y EL ROBO DEL SOFTWARE.

18 RELACIONADO CON LA SALIDA DE INFORMACION EJEMPLOS SUPRESION DE DATOS SUPRESION DE ANOTACIONES CONTABLES ESPECIFICAS PARA UN INFORME CREACION DE DATOS DE LA SALIDA MODIFICACION INADECUADA DE DATOS CREACION DE UN INFORME CON POLIZAS DE SEGUROS FICTICIAS PARA APOYAR AFIRMACIONES INFLADAS DE NEGOCIOS NUEVOS PROBLEMAS APARENTES CON EL PROCESAMIENTO PUEDEN REQUERIR ARREGLOS CONTINUOS DE UN MIEMBRO PARTICULAR DEL PERSONAL.

19 USO ILICITO DE COMPUTADORES IMPLICA EL ACCESO NO AUTORIZADO A LOS SISMEMAS COMPUTARIZADOS, COMO TRATANDO DE ENTRAR A UN SISTEMA ADIVINANDO LA PALABRA CLAVE O EL CODIGO DE ACCESO DE UN USUARIO, ESTO PODRIA HACERSE A TRAVES DE UN TERMINAL EN LOS LOCALES DE LA COMPAÑIA O ETERNAMENTE A TRAVES DE UNA RED DE TELECOMUNICACIONES. VIRUS PUEDEN DEFINIRSE COMO UN PROGRAMA O CODIGO AUTODUPLICADO USADO PARA INFECTAR EL COMPUTADOR, SE DISPERSA MEDIANTE LA INTRODUCCION EN UN DISCO O A TRAVES DE UNA RED.

20 ROBO DEL SOFTWARE LA COPIA DEL SOFTWARE SIN AUTORIZACION, VIOLA EL ACTA DE DERECHOS DE AUTOR, DISEÑO Y PATENTES.

21 CONTROLES POSIBLES PARA PREVENCION FRAUDE RELACIONAD O CON LA ENTRADA DE DATOS SEGREGACION DE FUNCIONES EN LAS AREAS DE USUARIOS Y ENTRE USUARIOS Y PERSONAL IT CONCILIACIONES INDEPENDIENTES AUTORIZACION DE CAMBIOS EN LOS DATOS EXISTENTES CONTROLES AL ACCESO A LOS ARCHIVOS DE DATOS LISTA Y REVISION PERIODICA DE LOS DATOS EXISTENTES

22 CONTROLES POSIBLES PARA PREVENCION FRAUDE RELACIONAD O CON LOS PROGRAMAS AUTORIZACION Y PRUEBA DE LOS CAMBIOS EN LOS PROGRAMAS ACCESO RESTRINGIDO A LAS LIBRERIAS DEL SISTEMA QUE CONTIENEN PROGRAMAS DE VIDA USO DE PROGRAMAS ESPECIALES DE UTILIDAD PARA COMPARAR LAS VERSIONES CAMBIADAS DE LOS PROGRAMAS, PARA ASEGURARSE DE QUE SOLO SE HAN HECHO LAS MODIFICACIONES AUTORIZADAS. REDUCIR LA DEPENDENCIA DEL PERSONAL DE LOS SISTEMAS CLAVE.

23 CONTROLES POSIBLES PARA PREVENCION FRAUDE RELACIONAD O CON LA SALIDA DE DATOS SEGREGACION DE FUNCIONES EN LAS AREAS DE LOS USUARIOS CONCILIACIONES INDEPENDIENTES BUENOS CONTROLES DE CUSTODIA SOBRE LA PAPELERIA IMPORTANTE BUENOS CONTROLES DE ACCESO

24 CONTROLES POSIBLES PARA PREVENCION USO ILICITO DE LA INFORMACIO N PAREDES DE FUEGO - SISTEMAS DEDICADOS AL MANEJO DE COMUNICACIONES EXTERNAS, QUE ACTUAN COMO UNA BARRERA DE SEGURIDAD ENTRE LAS REDES EXTERNAS Y LOS COMPUTADORES DE LA ORGANIZACION LAS PANTALLAS DE LOS COMPUTADORES NO DEBEN MOSTRAR EL NOMBRE DE SU ORGANIZACION. VIGILANCIA DE LAS LINEAS DE COMUNICACION PARA DETECTAR ACTIVIDADES INUSUALES.

25 CONTROLES POSIBLES PARA PREVENCION VIRUS USO DE SOFTWARE ANTI-VIRUS ACTUALIZADO EN LOS COMPUTADORES PERSONALES Y EN LAS REDES DE AREA LOCAL CAMPAÑAS EDUCATIVAS Y DE CONCIENTIZACION PARA GARANTIZAR QUE TODO EL PERSONAL CONOZCA LOS RIESGOS Y SUS RESPONSABILIDADES PLANES DE CONTINGENCIA PARA LIMITAR EL DAÑO CUANDO SE DESCUBRE UN VIRUS

26 CONTROLES POSIBLES PARA PREVENCION ROBO DE SOFTWARE CAMPAÑAS EDUCATIVAS Y DE CONCIENTIZACION PARA GARANTIZAR QUE EL PERSONAL ESTE CONSCIENTE DE SUS RESPONSABILIDADES Y DE LOS CASTIGOS POR VIOLAR LA LEY. MANTENER BUENOS REGISTROS DE LAS COMPRAS DE SOFTWARE Y DE LOS CONTRATOS DE LICENCIA. REALIZAR AUDITORIAS PERIODICAS DEL SOFTWARE Y CONCILIAR LOS RESULTADOS CONTRA LOS INVENTARIOS DE COMPRAS.