Prevención y detección de fraude en un mundo automatizado

Transcripción

1 Prevención y detección de fraude en un mundo automatizado Global Technology Audit Guide N 13 Carlos Lobos Medina Mayo 2010

2 Agenda Introducción Fraude y las TI Detección de fraudes usando análisis de datos El rol del CAE en la detección y prevención de fraudes Conclusiones GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 2

3 Introducción GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 3

4 Contextualización Marco Internacional para la Práctica Profesional de la Auditoría Interna Definición de auditoría interna Normas de auditoría interna Código de ética Consejos para la práctica Declaraciones de posición Guías para la práctica PG Guías prácticas GAIT Guía para la evaluación de riesgo de TI GTAG Guía de auditoría y tecnología global GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 4

5 Acerca de las Global Technology Audit Guide - GTAG Guías para la Práctica: Componente del Marco profesional para la Práctica Profesional de la Auditoria Interna. Guías de auditoría de tecnología global: Proporcionan un mecanismo para comprender fácilmente aspectos relacionados a la adopción de las TI Público objetivo: Director Ejecutivo de Auditoría (DEA), los Comités de Auditoría y Gestión Ejecutiva 13 publicaciones gratuitas para miembros del The IIA. GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 5

6 Estándares del The IIA relacionados al fraude De acuerdo al MIPP, el auditor interno debe: Tener el suficiente conocimiento para evaluar el riesgo de fraude y la manera en la cual este es administrado por la organización (1210.A2) Debido cuidado profesional.. (1220.A1) El director ejecutivo de auditoría DEA, deberá informar periódicamente a la alta dirección y al consejo. incluyendo los riesgos de fraude (2060) Evaluar el potencial de ocurrencia de fraude y la forma en la cual administra el fraude (2120.A2) Considerar la probabilidad de errores significativos, fraudes, incumplimiento y otras exposiciones cuando se estén desarrollando los objetivos del trabajo (2120.A2) GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 6

7 Otras guías y publicaciones relacionadas GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 7

8 Fraude y las TI GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 8

9 Qué es fraude? Cualquier acto ilegal caracterizado por engaño, el ocultamiento o la violación de la confianza. [Glosario de las Normas de Auditoría The IIA] Engaño intencional perpetrado con el objeto de obtener un beneficio ilícito que genera un perjuicio en los derechos o intereses de otra persona o entidad. Racionalización Oportunidad Motivación Triangulo de Fraude (1953) - Donald R. Cressey GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 9

10 Introducción al riesgo de fraude de TI Las organizaciones experimentan una creciente dependencia de la información y los sistemas que la gestionan. El número de fraudes por medios electrónicos ha crecido de forma exponencial en los últimos años. Lo que no quieren las organizaciones: Que sus usuarios externos no sean victimas de fraude de TI Que sus usuarios internos no realicen fraudes de TI El fraude de TI daña a la organización de diferentes formas: Económicas Imagen, reputación y daño moral Legales GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 10

11 Evaluación de riesgo de fraude de TI La auditoría interna debe evaluar el potencial de fraude y la manera en la que la organización administra el riesgo de fraude [2120.A2] Consideraciones importantes: Identificar factores relevantes de riesgo de fraude de TI Identificar potenciales esquemas de riesgo de fraude de TI Análisis de GAP entre esquema de fraude y controles existentes Validar la efectividad de las operaciones de los controles Evaluar la probabilidad e impacto frente a la falla de un control GTAG N 13 Fraud prevention and detection an automatic world Evaluación de riesgo de fraude de TI GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 11

12 Fraude de TI - Perspectiva externa CRS presentation of FTC Identity Theft Clearinghouse data GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 12

13 Fraude de TI - Perspectiva externa Intercepción de información Engaño al usuario Internet Usuario Externo Intercepción de información Acceso a la computadora Hackeando los sistemas GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 13

14 Fraude de TI - Perspectiva interna Origen principal 2008 Report to the Nation on Occupational Fraud & Abuse.February 2009 GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 14

15 Fraude de TI - Perspectiva interna Principales debilidades de control 2008 Report to the Nation on Occupational Fraud & Abuse.February 2009 GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 15

16 Fraude de TI - Perspectiva interna Principales debilidades de control Encuesta de Fraude y Corrupción en Chile KPMG GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 16

17 RED INTERNA Fraude de TI - Perspectiva interna SEGURIDAD PERIMETRAL Engaño al usuario Servidores Control Físico Sistemas Acceso indebido Usuario Interno Aplicaciones Uso Inadecuado Apropiación de información Acceso a la computadora Internet GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 17

18 El valor de esta guía Provee una serie de plantillas para la evaluación de riesgo de fraude de TI. Riesgos que considera: Insuficientes controles físicos sobre el hardware Acceso a sistemas o datos para beneficio personal Cambio a sistemas o datos para beneficio personal Actividad fraudulenta por terceros (outsourcers) Conflictos de intereses con proveedores y terceras partes Infracciones relacionadas a la propiedad intelectual Malversación de datos por terceras partes GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 18

19 Ejemplo (1) GTAG N 13 Fraud prevention and detection an automatic world Plantillas para evaluación de riesgos de fraude de TI GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 19

22 Buenas prácticas para la prevención/detección de fraudes Realización periódica de evaluación de fraude de riesgos de TI Políticas que incorporen la sensibilización sobre fraude Cumplir con la separación de funciones Restringir el acceso a los sistemas y datos Políticas y procedimientos sobre la seguridad de contraseña y gestión de identidades Monitorear y auditar las transacciones de red Control de privilegios en administradores de sistemas y bases de datos Uso de defensa en capas contra intrusiones en la red Desarrollo de un plan de respuesta a incidentes Procedimientos de terminación de empleo Recolección de datos forenses para su uso en investigaciones Procesos de respaldo y recuperación de datos seguro Implementación de programas de gestión de vulnerabilidades GTAG N 13 Fraud prevention and detection an automatic world Esquemas de fraude de TI GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 22

23 Detección de fraudes utilizando análisis de datos GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 23

24 Por qué usar el análisis de datos? Detectar debilidades en el sistema de control interno Examen del 100% de las transacciones Comparación de datos de distintas aplicaciones Realización de pruebas para detectar los fraudes y la verificación del control Automatización de pruebas en zonas de alto riesgo Mantención de registros de los análisis (evidencia) GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 24

25 Técnicas de análisis de datos Estadísticas Clasificación Estratificación Análisis de datos usando Ley de Benford Comparación de diversas fuentes de datos Duplicación de elementos Análisis GAP Totalizadores de control Validación de entrada de datos GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 25

26 Otras técnicas Mayor grado de sofisticación Minería de datos Redes neuronales Algoritmos genéticos Lógica difusa Exigen datos de calidad Es necesario poseer datos históricos, con un número suficiente de casos Su aplicabilidad depende del negocio y la situación particular a modelar GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 26

27 Factores claves para la efectividad Paso I: Compresión del negocio y los sistemas Familiarización con controles generales y controles de aplicación El entendimiento de los perfiles de usuario Construir un perfil de fraudes potenciales a ser testeados Paso II: Conocimiento de las fuentes de datos Analizar los datos para posibles indicadores de fraude Automatizar los procesos de detección a través del seguimiento de las funciones de negocio de alto riesgo para mejorar los controles Investigar y profundizar en patrones de mayor riesgo Expandir el alcance y repetir cuantas veces sea necesario Paso III: Generar evidencia de calidad Reportar GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 27

28 El rol del DEA en la detección y prevención de fraudes GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 28

29 Preguntas que debe gestionar el DEA en relación al fraude de TI La organización posee una estructura que garantice la asignación de responsabilidades en relación al fraude de TI? La organización posee una política de respuesta a incidentes relacionados con el fraude de TI? Conoce la organización la legislación en relación al fraude de TI? El programa de la organización de gestión del fraude incluyen la coordinación con la auditoría interna? El DEA y la administración conocen donde obtener guías para abordar el fraude de TI? GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 29

30 En relación a la auditoría interna El auditor interno conoce su responsabilidad en relación al fraude de TI? Existen programas de entrenamiento periódico para el auditor interno en relación al fraude de TI? Existen herramientas automatizadas para la detección/prevención de fraude de TI? Existen controles detectivos y preventivos apropiados en relación al fraude de TI? La administración y la auditoría interna periódicamente evalúan la efectividad y eficiencia de los controles relacionados al fraude de TI? GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 30

31 Conclusiones GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 31

32 Conclusiones Incorporar el fraude de TI como un elemento clave de análisis en la cultura organizacional. Las políticas de seguridad deben incorporar el fraude de TI. La gestión de riesgo debe incorporar el riesgo de fraude de TI. Validar la calidad de los controles generales y controles de aplicación. Utilizar herramientas que permitan el análisis de datos. Automatizar los procesos de detección/prevención de riesgo de TI Obtención de evidencia de calidad en relación al fraude de TI Revisar el material del GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 32

33 Otros recursos importantes en relación al fraude de TI GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 33

34 Otros recursos importantes en relación al fraude de TI GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 34

35 Prontamente GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 35

36 Consultas GTAG N 13 Detección y prevención de fraude en un mundo automatizado - IAIGC Chile - Carlos Lobos Medina 36