Es importante establecer claramente cual es el papel que juega el auditor informático en relación con la detección y minimización de la ocurrencia de delitos informáticos dentro de la organización a que presta sus servicios. Para lograr establecer dicho rol se debe examinar la actuación del auditor frente a la ocurrencia de delitos, estrategias para evitarlos, recomendaciones adecuadas, conocimientos requeridos, en fin una serie de elementos que definen de manera inequívoca el aporte que éste brinda en el manejo de los casos de delitos informáticos.
Rol del Auditor Informático
El rol del auditor informático solamente está basado en la verificación de controles, evaluación del riesgo de fraudes y el diseño y desarrollo de exámenes que sean apropiados a la naturaleza de la auditoría asignada, y que deben razonablemente detectar:
Irregularidades que puedan tener un impacto sobre el área auditada o sobre toda la organización.
Debilidades en los controles internos que podrían resultar en la falta de prevención o detección de irregularidades.
Detección de delitos
Puesto que la auditoria es una verificación de que las cosas se estén realizando de la manera planificada, que todas las actividades se realicen adecuadamente, que los controles sean cumplidos, etc.; entonces el auditor informático al detectar irregularidades en el transcurso de la auditoria informática que le indiquen la ocurrencia de un delito informático, deberá realizar los siguiente:
Rol del Auditor Informático
El rol del auditor informático solamente está basado en la verificación de controles, evaluación del riesgo de fraudes y el diseño y desarrollo de exámenes que sean apropiados a la naturaleza de la auditoría asignada, y que deben razonablemente detectar:
Irregularidades que puedan tener un impacto sobre el área auditada o sobre toda la organización.
Debilidades en los controles internos que podrían resultar en la falta de prevención o detección de irregularidades.
Detección de delitos
Puesto que la auditoria es una verificación de que las cosas se estén realizando de la manera planificada, que todas las actividades se realicen adecuadamente, que los controles sean cumplidos, etc.; entonces el auditor informático al detectar irregularidades en el transcurso de la auditoria informática que le indiquen la ocurrencia de un delito informático, deberá realizar los siguiente:
1.Determinar si se considera la situación un delito realmente;
2.Establecer pruebas claras y precisas;
3.Determinar los vacíos de la seguridad existentes y que permitieron el delito;
4.Informar a la autoridad correspondiente dentro de la organización;
5.Informar a autoridades regulatorias cuando es un requerimiento legal.
RESULTADOS DE LA AUDITORIA:
Si por medio de la auditoria informática realizada se han detectado la ocurrencia de delitos, el auditor deberá sugerir acciones especificas a seguir para resolver el vacío de seguridad, para que el grupo de la unidad informática pueda actuar. Dichas acciones, expresadas en forma de recomendación pueden ser como las siguientes:
Recomendaciones referentes a la revisión total del proceso involucrado;
Inclusión de controles adicionales;
Establecimiento de planes de contingencia efectivos;
Adquisición de herramientas de control, etc.Resultados de la auditoria
Si por medio de la auditoria informática realizada se han detectado la ocurrencia de delitos, el auditor deberá sugerir acciones especificas a seguir para resolver el vacío de seguridad, para que el grupo de la unidad informática pueda actuar. Dichas acciones, expresadas en forma de recomendación pueden ser como las siguientes:
Recomendaciones referentes a la revisión total del proceso involucrado;
Inclusión de controles adicionales;
Establecimiento de planes de contingencia efectivos;
Adquisición de herramientas de control, etc.
Recomendaciones referentes a la revisión total del proceso involucrado;
Inclusión de controles adicionales;
Establecimiento de planes de contingencia efectivos;
Adquisición de herramientas de control, etc.Resultados de la auditoria
Si por medio de la auditoria informática realizada se han detectado la ocurrencia de delitos, el auditor deberá sugerir acciones especificas a seguir para resolver el vacío de seguridad, para que el grupo de la unidad informática pueda actuar. Dichas acciones, expresadas en forma de recomendación pueden ser como las siguientes:
Recomendaciones referentes a la revisión total del proceso involucrado;
Inclusión de controles adicionales;
Establecimiento de planes de contingencia efectivos;
Adquisición de herramientas de control, etc.
PERFIL DEL AUDITOR INFORMÁTICO:
El auditor informático como encargado de la verificación y certificación de la informática dentro de las organizaciones, deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y la efectividad esperada. Para ello a continuación se establecen algunos elementos con que deberá contar:
» Conocimientos generales.
Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización;
Normas estándares para la auditoría interna;
Políticas organizacionales sobre la información y las tecnologías de la información.
Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización, etc.Perfil del Auditor Informático
El auditor informático como encargado de la verificación y certificación de la informática dentro de las organizaciones, deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y la efectividad esperada. Para ello a continuación se establecen algunos elementos con que deberá contar:
» Conocimientos generales.
Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización;
Normas estándares para la auditoría interna;
Políticas organizacionales sobre la información y las tecnologías de la información.
Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización, etc.Perfil del Auditor Informático
El auditor informático como encargado de la verificación y certificación de la informática dentro de las organizaciones, deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y la efectividad esperada. Para ello a continuación se establecen algunos elementos con que deberá contar:
CONOCIMIENTOS GENERALES:
Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización;
Normas estándares para la auditoría interna;
Políticas organizacionales sobre la información y las tecnologías de la información.
Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización, etc.
AUDITOR EXTERNO VERSUS AUDITOR INTERNO:
La responsabilidad del auditor externo para detectar irregularidades o fraude se establece en el prefacio de las normas y estándares de auditoría. En este prefacio se indica que aunque el cometido de los auditores externos no exige normalmente la búsqueda específica de fraudes, la auditoría deberá planificarse de forma que existan unas expectativas razonables de detectar irregularidades materiales o fraude.
Si el auditor externo detecta algún tipo de delito deberá presentar un informe detallado sobre la situación y aportar elementos de juicio adicionales durante las investigaciones criminales posteriores. El auditor externo solamente puede emitir opiniones basado en la información recabada y normalmente no estará involucrado directamente en la búsqueda de pruebas; a menos que su contrato sea extendido a otro tipo de actividades normalmente fuera de su alcance.
El cometido y responsabilidad de los auditores internos vienen definidos por la dirección de la empresa a la que pertenecen. En la mayoría de ellas, se considera que la detección de delitos informáticos forma parte del cometido de los auditores internos.
Si el auditor externo detecta algún tipo de delito deberá presentar un informe detallado sobre la situación y aportar elementos de juicio adicionales durante las investigaciones criminales posteriores. El auditor externo solamente puede emitir opiniones basado en la información recabada y normalmente no estará involucrado directamente en la búsqueda de pruebas; a menos que su contrato sea extendido a otro tipo de actividades normalmente fuera de su alcance.
El cometido y responsabilidad de los auditores internos vienen definidos por la dirección de la empresa a la que pertenecen. En la mayoría de ellas, se considera que la detección de delitos informáticos forma parte del cometido de los auditores internos.
AUDITORIAS EFICIENTES:
En la mayoría de las empresas existe la obligación de mantener en todo momento unos registros contables adecuados y el auditor tendrá que informar si no fuera así.
Lo más probable es que el estudio completo de la seguridad y la planificación de emergencia de los sistemas mecanizados se incluyan entre las atribuciones de la mayoría de los departamentos de auditoría interna. Por ello cuando se realice un análisis de seguridad informática y de planificación de emergencia, el auditor:
Examinará sistemáticamente todos los riesgos que intervengan y acotarán las pérdidas probables en cada caso.
Considerará las maneras de aumentar la seguridad para reducir los riesgos.
Recomendará todas las acciones necesarias de protección encaminadas a reducir el riesgo de que se produzca una interrupción, en caso de que se produzca.
Cuando corresponda, estudiará la cobertura de seguros de la empresa.
No hay comentarios:
Publicar un comentario