alphatire.wikispaces.com D… · Web viewpoliticas de seguridad de ti y auditoria forense....
28
POLITICAS DE SEGURIDAD DE TI Y AUDITORIA FORENSE ALEJANDRO ARCE ALZATE 908005 JORGE MARIO VALENCIA 906053 SERGIO PADILLA GUERRERO 907045 Docente CARLOS HERNAN GOMEZ Universidad Nacional de Colombia Sede Manizales Auditoria de Sistemas ll Manizales, Mayo de 2011
Transcript of alphatire.wikispaces.com D… · Web viewpoliticas de seguridad de ti y auditoria forense....
POLITICAS DE SEGURIDAD DE TI Y AUDITORIA FORENSE
ALEJANDRO ARCE ALZATE 908005
JORGE MARIO VALENCIA 906053
SERGIO PADILLA GUERRERO 907045
Docente
CARLOS HERNAN GOMEZ
Universidad Nacional de Colombia
Sede Manizales
Auditoria de Sistemas ll
Manizales, Mayo de 2011
Políticas de Seguridad
1. Elementos asociados a las políticas de seguridad.
Para que pueda convertirse en esa línea guía, es necesario involucrar a los diferentes sectores en la organización: Alta gerencia, responsables de T.I., los encargados de seguridad, los auditores, gerentes de las dependencias y representantes de los usuarios.
El documento formal debe definir elementos asociados la adquisición de hardware, software y contratación de servicios externos teniendo presente los aspectos referentes a seguridad (outsourcing, mantenimiento a hardware y/o software, desarrollo de aplicaciones, administración de proyectos, etc.); las disposiciones sobre privacidad y control de acceso incluidas las políticas de autenticación; las responsabilidades asociadas a los métodos de actuación y el manejo de incidentes. Un aspecto importante es la declaración de disponibilidad, entendida como el compromiso que hace el área de sistemas informáticos sobre el mínimo nivel la prestación de servicios en términos de tiempo y cobertura que se garantizará.
Un reto importante es lograr todo lo anterior emitiendo un documento sencillo y claro, apoyado por la alta dirección, que permita la normal actuación, haciendo de las políticas procedimientos inmersos en los tareas cotidianas, enfocados a los problemas relevantes, fácil de ajustar a los cambios permanentes, que garanticen su cumplimiento apoyándose en herramientas de seguridad antes que orientado a castigar a los infractores, lo cual no se descarta. Pero hay que resaltar algunas características que hacen de ella una buena política de Seguridad: La constante actualización y el hacerla pública y respaldada por los usuarios en la vida práctica.
2. Por qué tener políticas escritas
Existen varias razones por las cuales es recomendable tener políticas escritas en una organización. La siguiente es una lista de algunas de estas razones.
1. Para cumplir con regulaciones legales o técnicas
2. Como guía para el comportamiento profesional y personal
3. Permite unificar la forma de trabajo de personas en diferentes lugares o momentos que tengan
1. responsabilidades y tareas similares
4. Permiten recoger comentarios y observaciones que buscan atender situaciones anormales en el trabajo.
5. Permite encontrar las mejores prácticas en el trabajo
6. Permiten asociar la filosofía de una organización (lo abstracto) al trabajo (lo concreto)
2.1. Definición de política
Declaración general de principios que presenta la posición de la administración para un área de control definida. Las políticas se elaboran con el fin de que tengan aplicación a largo plazo y guíen el desarrollo de reglas y criterios más específicos que aborden situaciones concretas. Las políticas son desplegadas y soportadas por estándares, mejores prácticas, procedimientos y guías. Las políticas deben ser pocas (es decir, un número pequeño), deben ser apoyadas y aprobadas por las directivas, y deben ofrecer direccionamientos a toda la organización o a un conjunto importante de dependencias. Por definición, las políticas son obligatorias y la incapacidad o imposibilidad para cumplir una política exige que se apruebe una excepción.
2.2. Definición de estándar
Regla que especifica una acción o respuesta que se debe seguir a una situación dada. Los estándares son orientaciones obligatorias que buscan hacer cumplir las políticas. Los estándares sirven como especificaciones para la implementación de las políticas: son diseñados para promover la implementación de las políticas de alto nivel de la organización antes que crear nuevas políticas.
2.3. Procedimiento
Los procedimientos definen específicamente cómo las políticas, estándares, mejores prácticas y guías serán implementados en una situación dada. Los procedimientos son dependientes de la Tecnología o de los procesos y se refieren a plataformas, aplicaciones o procesos específicos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada a dicho proceso o sistema específico. Generalmente los procedimientos son desarrollados, implementados y supervisados por el dueño del proceso o del sistema. Los procedimientos seguirán las políticas de la organización, los estándares, las mejores prácticas y las guías tan cerca como les sea posible, y a la vez se ajustarán a los requerimientos procedimentales o técnicos establecidos dentro de la dependencia donde ellos se aplican.
2.4. Mejor práctica
Es una regla de seguridad específica a una plataforma que es aceptada a través de la industria al proporcionar el enfoque más efectivo a una implementación de seguridad concreta. Las mejores prácticas son establecidas para asegurar que las características de seguridad de sistemas utilizados con regularidad estén configurados y administrados de manera uniforme, garantizando un nivel consistente de seguridad a través de la organización.
2.5. Guía
Una guía es una declaración general utilizada para recomendar o sugerir un enfoque para implementar políticas, estándares y buenas prácticas. Las guías son, esencialmente, recomendaciones que deben considerarse al implementar la seguridad. Aunque no son obligatorias, serán seguidas a menos que existan argumentos documentados y aprobados para no hacerlo.
Un ejemplo de los requerimientos de seguridad interrelacionados podría ser:
En el nivel más alto, se puede elaborar una POLÍTICA, para toda la organización, que obligue a “garantizar seguridad en el correo electrónico cuyo contenido sea información confidencial”.
Esta POLÍTICA podría ser soportada por varios ESTÁNDARES, incluyendo por ejemplo, que los mensajes de este tipo sean enviados utilizando algún sistema de criptografía aprobado por la empresa y que sean borrados de manera segura después de su envío.
Una MEJOR PRÁCTICA, en este ejemplo, podría estar relacionada sobre la manera de configurar el correo sobre un tipo específico de sistema (Windows o Linux) con el fin de garantizar el cumplimiento de la POLÍTICA y del ESTÁNDAR.
Los PROCEDIMIENTOS podrían especificar requerimientos para que la POLÍTICA y los ESTÁNDARES que la soportan, sean aplicados en una dependencia específica, por ejemplo la Oficina de Control Interno. Finalmente, las GUÍAS podrían incluir información sobre técnicas, configuraciones y secuencias de comandos recomendadas que deben seguir los usuarios para asegurar la información confidencial enviada y recibida a través del servicio de correo electrónico.
3. Auditoría a las políticas de seguridad.
Para esta auditoría se eligió realizar una Guía en la que se aplicará el siguiente cuestionario además de realizar una investigación.
3.1. Cuestionario.
Preguntas Cumple
¿Las políticas de seguridad especifican el proceso de adquisición de hardware alineado con algún estándar?
¿Las políticas de seguridad especifican el proceso de adquisición de software alineado con algún estándar?
¿Las políticas de seguridad especifican la contratación de servicio externos teniendo presente los aspectos?
¿referentes a seguridad (outsourcing, mantenimiento a hardware y/o software, desarrollo de aplicaciones, administración de proyectos, etc.)?.
¿Las políticas contienen disposiciones sobre privacidad y control de acceso a la información incluidas las políticas de autenticación?
¿Las especifican las responsabilidades asociadas a los métodos de actuación?
¿Las políticas especifican manejo de incidentes?
¿En las políticas está definido el compromiso del área de sistemas con la organización?
Observaciones:
3.2. Investigación.
Se buscan vulnerabilidades en los servidores.
Estado de actualización de los sistemas operativos y aplicaciones de seguridad (antivirus, etc.)
Usuarios con doble loguin.
Definición de perfiles y permisos sobre la información y la aplicación.
Verificación a simple vista de escritorios y monitores en busca de contraseñas escritas.
4. Auditoria Forense
4.1 Antecedentes de la auditoria forense
“A través de la historia se han realizado distintos tipos de auditoría, tanto al comercio como a las finanzas de los gobiernos. El significado del auditor fue “persona que oye”, y fue apropiado en la época durante la cual los registros de contabilidad gubernamental eran aprobados solamente después de la lectura pública en la cual las cuentas eran leídas en voz alta. Desde tiempos medievales, y durante la revolución Industrial, se realizaban auditorias para determinar si las personas en posiciones de responsabilidad oficial en el gobierno y en el comercio estaban actuando y presentado información de forma honesta”.
Durante la Revolución Industrial a medida que el tamaño de las empresas aumentaba sus propietarios empezaron a utilizar servicios de gerentes contratados. Con la separación de propiedad y gerencia, los ausentes propietarios acudieron a los auditores para detectar errores operativos y posibles fraudes. Los bancos fueron los principales usuarios externos de los informes financieros. Antes del 1900 la auditoría tenía como objetivo principal detectar errores y fraudes, con frecuencia incluían el estudio de todas o casi todas las transacciones registradas.
A mediados del siglo XX, el enfoque del trabajo de auditoría tendió a alejarse de la detección de fraude y se dirigió hacia la determinación de si los estados financieros presentaban razonablemente la posición financiera y los resultados de las operaciones. A medida que las entidades corporativas se expandían los auditores comenzaron a trabajar sobre la base de muestras de transacciones seleccionadas y en adición tomaron conciencia de la efectividad del control interno.
La profesión reconoció que las auditorías para descubrir fraudes serían muy costosas, por esto el control interno fue reconocido como mejor técnica. A partir de la década de los 60s en Estados Unidos la detección de fraudes asumió un papel más importante en el proceso de auditoría.
Este desplazamiento en la detección de fraude fue el resultado de: un incremento del Congreso para asumir una mayor responsabilidad por los fraudes en gran escala, una diversidad de procesos judiciales exitosos que reclamaban que los informes financieros fraudulentos habían quedado inapropiadamente sin detección por parte de los auditores independientes y la convicción por parte de los contadores públicos de que debería esperarse de las auditorías la detección de fraude material.
En 1996 la Junta de Normas de Auditoría, emitió una guía para los auditores requiriendo una evaluación explícita del riesgo de errores en los estados financieros en todas las auditorías, debido al fraude. El uso de sistemas de computación no ha alterado la responsabilidad del auditor en la detección de errores y fraude. El Congreso y los reguladores estaban convencidos de que la clave para evitar problemas era la reglamentación de leyes efectivas y las exigencias por parte de los auditores, en el cumplimiento de las provisiones de esas leyes y regulaciones.
Como consecuencia de diversos actos fraudulentos las principales organizaciones de contabilidad patrocinaron la Comisión Nacional sobre Presentación de informes Financieros Fraudulentos, muchas de las recomendaciones a los auditores fueron reglamentadas por la Junta de Normas y Auditoría, una de la más importante fueron sobre la efectividad del control interno y la demanda de la atestación de los auditores
4.2 Definición de la auditoria forense
Comúnmente el término forense se relaciona sólo con la medicina legal y con quienes la practican, frecuentemente identifican este vocablo con necropsia (necro que significa muerto o muerte), patología (ciencia médica que estudia las causas, síntomas y evolución de las enfermedades) y autopsia (examen y disección de un cadáver, para determinar las causas de su muerte).
El término forense corresponde al latín forensis, que significa público, y complementando su significado podemos remitirnos a su origen forum del latín que significa foro, plaza pública o de mercado de las antiguas ciudades romanas donde se trataban las asambleas públicas y los juicios; lo forense se vincula con lo relativo al derecho y la aplicación de la ley, en la medida que se busca que un profesional idóneo asista al juez en asuntos legales que le competan y para ello aporte pruebas de carácter público para representar en un juzgado o Corte Superior.
Según el diccionario Larousse, forense es “el que ejerce su función por delegación judicial o legal”. Por ello se puede definir la Auditoria forense como “aquélla que provee de un análisis contable que es conveniente para la Corte, el cual formará parte de las bases de la discusión, el debate y finalmente el dictamen de la sentencia”.
En términos de investigación contable y de procedimientos de auditoria, la relación con lo forense se hace estrecha cuando hablamos de la contaduría forense, encaminada a aportar pruebas y evidencias de tipo penal, por lo tanto se define inicialmente a la auditoria forense como una auditoria especializada en descubrir, divulgar y atestar sobre fraudes y delitos en el desarrollo de las funciones públicas y privadas; algunos tipos de fraude en la administración pública son: conflictos de intereses, nepotismo, gratificaciones, estados falsificados, omisiones, favoritismo, reclamaciones fraudulentas, falsificaciones, comisiones clandestinas, malversación de fondos, conspiración, prevaricato, peculado, cohecho, soborno, sustitución, desfalco, personificación, extorsión, lavado de dinero.
Entre otras definiciones, tenemos:
La auditoria forense, es una ciencia que permite reunir y presentar información financiera, contable, legal, administrativa e impositiva, en una forma que será aceptada por una corte de jurisprudencia contra los perpetradores de un crimen económico, por lo tanto, existe la necesidad de preparar personas con visión integral, que faciliten evidenciar especialmente, delitos como la corrupción administrativa, el fraude contable, el delito en los seguros, el lavado de dinero y el terrorismo, entre otros. La sociedad espera de los investigadores, mayores resultados que minimicen la impunidad, especialmente en estos momentos tan difíciles, en los cuales el crimen
organizado utiliza medios más sofisticados para lavar dinero, financiar operaciones ilícitas y ocultar los resultados de sus diversos delitos.
Lo FORENSE, por lo tanto, está estrechamente vinculado a la administración de justicia en el sentido de aportar pruebas de carácter público, que puedan ser discutidas a la luz de todo el mundo (el foro).
La auditoria forense, es una disciplina especializada que requiere un conocimiento experto de la teoría contable, auditoria y métodos de investigación. La auditoria forense constituye una rama importante de la contabilidad investigativa utilizada en la reconstrucción de hechos financieros, investigaciones de fraudes, cálculos de daños económicos y rendimientos de proyecciones financieras.
La investigación de un profundo conocimiento de contabilidad, auditoria y vías de investigación viene a formar la función especializada que en el mundo de los negocios se conoce como auditoria forense y es aquí donde se brinda el respaldo necesario. Existen otras asignaciones que únicamente requieren el suministro o recopilación de documentación detallada del cliente.
La auditoría forense es una alternativa para combatir la corrupción, porque permite que un experto emita ante los jueces conceptos y opiniones de valor técnico, que le permiten a la justicia actuar con mayor certeza, especialmente en lo relativo a la vigilancia de la gestión fiscal, de esta manera se contribuye, a mejorar las economías de nuestros países y por tanto el bienestar de todos nuestros pueblos hermanos.”
Para arribar este tema debemos empezar por lo forense; cuya definición ya explicamos anteriormente, sin embargo es lógico extender el significado de esta palabra al ámbito jurídico diciendo que los jueces necesitan para el ejercicio de su función la asistencia de profesionales que colaboren en la obtención de las pruebas y las aporten en el foro, o lo que es lo mismo, las hagan públicas, y así se garanticen justas en las causas judiciales, ya que sería más que pretencioso, imposible que el fallador se especializara en todas las ramas de la ciencia.
Dicho lo anterior, tenemos que la auditoria forense es, en términos contables, la ciencia que permite reunir y presentar información financiera, contable, legal, administrativa e impositiva, para que sea aceptada por una corte o un juez en contar de los perpetradores de un crimen económico, como en este caso, el lavado de activos (contaduría forense)
En sus inicios la auditoria forense se aplicó en la investigación de fraudes en el sector público, considerándose un verdadero apoyo a la tradicional auditoria gubernamental, en especial ante delitos tales como: enriquecimiento ilícito, peculado, cohecho, soborno, malversación de fondos, etc, sin embargo, la auditoria forense no se a limitado a los fraudes propios de la corrupción administrativa, sino que también ha diversificado su portafolio de servicios para participar en investigaciones relacionadas con crímenes fiscales, el crimen corporativo, el lavado de dinero y terrorismo, entre otros.
En ese sentido, el auditor forense puede desempeñarse tanto en el sector público como privado, prestando apoyo procesal que va desde la recaudación de pruebas y el peritaje. De la misma forma, su labor no solamente se destaca en las investigaciones en curso, sino en etapas previas al fraude, es decir, el contador público actúa realizando investigaciones y cálculos que permitan determinar la existencia de un delito y su cuantía para definir si se justifica el inicio de un proceso; situación ésta, que aplica también para las investigaciones de crimen corporativo que se relacionan con fraude contable ante la presentación de información financiera inexacta por manipulación I intencional, falsificación, lavado de activos, etc.
Con todo, si no fuera por esta especialidad de la ciencia, no podríamos hablar de casos tan conocidos como Enron, Tyco, WorldCom y Parmalat, siendo éste el más reciente.
Por eso, la labor del auditor tradicional difiere de uno forense, quien debe desarrollar dos capacidades, en principio opuestas para llevar a cabo su trabajo con éxito. Una de ellas es la habilidad de escudriñar pequeños detalles sin perder de vista el gran entorno, o en otras palabras dicho y de manera metafórica, el auditor forense "debe percatarse de las hojas al tiempo que contempla el bosque". Y por otro desde las cuales ven circunstancias relativamente fáciles de detectar, como un simple robo, hasta situaciones de suma complejidad, como la manipulación de estados financieros y los delitos de "cuello blanco".
La principal diferencia entre una auditoria forense y una tradicional, es que la primera descansa en la experiencia de expertos que trabajan con evidencia delicada, con abogados, con agencias estatales y el sistema legal. Su trabajo está dirigido para ambientes legales o cuasi jurídicos. La Auditoria Tradicional se realiza sin este enfoque, sólo se dedica a llevar los programas para obtener una seguridad razonable basada en sus evidencias.
Por lo tanto, existe la necesidad de preparar personas con visión integral, que faciliten evidenciar especialmente, delitos como: la corrupción administrativa, el fraude contable, el delito en los seguros, el lavado de dinero y el terrorismo, entre otros.
Dicho lo anterior, ya estamos preparados para establecer el manejo de la prueba en términos de auditoría forense. Las pruebas o medios probatorios como también han sido denominados tienen un objeto, un tema y un fin. El primero, se refiere a los hechos y afirmaciones; el segundo, hace relación a los hechos que deben ser investigados en cada proceso, y el tercero, tiene que ver con el cometido de las pruebas, ya que estas persiguen la búsqueda de la verdad, pero aquí lo importante es que la verdad real coincida con la verdad procesal que se desprende de la investigación y del expediente.
La Auditoria Forense es muy usada en otros países, tanto así, que en los Estados Unidos de América ya se ha conformado la Asociación de Contadores Forenses (en inglés Asociación of Forensic Accountants – NAFA) que es una asociación profesional de firmas de contabilidad dedicada a la investigación. Los miembros de está asociación brindan respaldo profesional para las reclamaciones a la industria de seguros y a los clientes en los distintos procesos de litigios. Existe
en ese país, Europa y Australia, un sinnúmero de firmas especializadas en lo que ellos mismos se han autodenominado detectives financieros.
Más aún. En algunas firmas de las llamadas firmas grandes de contabilidad en los Estados Unidos de América, se puede encontrar con un departamento especializado llamado precisamente, el Departamento de Auditoria Forense (Forensic audit.)
4.3 Auditor forense
Los investigadores privados en el mundo de los negocios son los auditores forenses, los que utilizan herramientas investigativas para conducir la búsqueda a través de los ingresos y cuentas corrientes de las compañías o individuos. Su habilidad va estar basada en responder inmediatamente y comunicar de manera clara y concisa la información financiera ante la Corte. Ellos están preparados para mirar a través de los números y determinar la situación real de los negocios.
El Auditor Forense analiza, interpreta, recopila y presenta complejas finanzas y los flujos de manera que sean entendibles, como correctamente sustentados con el fin ulterior de asistir a la justicia en los aspectos contables.
El Contador, pues, en su capacidad de auditor forense con su experiencia cumple está función de localizar y aportar estas pruebas documentales a los distintos procesos judiciales ya sean éstos de carácter civil, penal, de familia, comercial, fiscal, laboral, etc, es decir, todas las ramas del derecho.
4.4 Responsabilidades y riesgos del auditor forense
Dada la naturaleza de la Auditoría Forense que desarrolla su trabajo en estrecho vínculo con la justicia es importante distinguir el tipo de compromiso que el auditor debe asumir. Por ejemplo: Una disputa es un conflicto entre partes que puede establecerse en la corte, fuera de ella o puede llevarse a una acción judicial. Una disputa judicial es un conflicto potencial entre las partes que incluye la sospecha del ilícito o actividad ilegal que si se materializa puede establecerse fuera de la corte o puede llevarse a los procedimientos judiciales.
Una acción legal es un procedimiento judicial instituido para reajustar un mal (acción civil) o para buscar el castigo por una ofensa delictiva (acción penal).
Por otro lado, varios son los involucrados en el trabajo del auditor forense, así tenemos:
Individuos o las organizaciones involucradas directamente en las disputas reales o la acción legal.
La parte que hace las alegaciones o que tiene las sospechas, quien debe demostrar que se cometió un hecho doloso o de haber sufrido una pérdida.
La parte contra quien se hace las alegaciones o se tienen las sospechas, quien debe defenderse contra las alegaciones o sospechas.
Abogados y el mediador o la corte responsable de establecer la disputa o juzgar la acción legal.
Como hemos visto por el grado de compromiso envuelto entre las partes involucradas, la conclusión y el consejo que el auditor forense suministre producirá un impacto determinante en el resultado de una disputa o acción legal, por lo tanto el auditor forense debe ser conciente de esta responsabilidad al aceptar un compromiso de este tipo.
El auditor forense normalmente desarrolla su trabajo en un ambiente emocionalmente cargado y conflictivo por lo tanto debe tener en cuenta este ambiente particular y debe tratar siempre a las partes involucradas con el respeto y dignidad correspondientes.
Antes de aceptar un compromiso de Auditoría Forense, el auditor debe asegurarse de estar libre de cualquier conflicto de intereses que podrían dañar su juicio y objetividad. Asimismo, debe determinar si posee el conocimiento necesario para el campo de especialización relacionado al compromiso y si posee la experiencia suficiente para desarrollar este tipo de trabajo.
Por otro lado, debe asegurarse de tener un claro entendimiento del objetivo del compromiso y si las condiciones del mismo son aceptables, caso contrario si existen reservas sobre la buena fe del cliente o la racionalidad de las demandas debe considerarse la posibilidad de declinar el compromiso.
El acuerdo de compromiso entre el auditor forense y el cliente debe fijarse por escrito, debe ser redactado cuidadosamente, pues pudiera utilizarse en la corte y podría ser usado en su contra exponiéndolo de esta manera a una posición de riesgo que podría minar
su credibilidad.
Al realizar su trabajo el auditor forense nunca debe pensar que las técnicas forenses reemplazarán a las normas, reglas o prácticas relacionadas a su especialización, por lo tanto nunca debe dejar de aplicar los conocimientos relacionados a su especialidad tales como contabilidad, finanzas, aseguramiento y control, y apoyar su análisis en la legislación pertinente.
Dada la implicancia que tendrá el trabajo del auditor forense, la planificación de su auditoría debe ser continuamente ajustada a los cambios en los compromisos asumidos, así como a los nuevos hechos que surjan. Estos cambios en la naturaleza y dirección del trabajo deben ser comunicados inmediatamente a las personas que participan en el trabajo.
Otro aspecto importante es la conclusión que emitirá el auditor forense, el mismo que debe apoyarse en evidencias apropiadas y suficientes como son las notas de las entrevistas, declaraciones dadas por escrito, pistas, análisis y documentos de apoyo que sean admisibles por Ley.
Para concluir debemos señalar que el auditor forense debe documentar adecuadamente la evidencia de su trabajo; es decir, sus papeles de trabajo que explican los métodos usados, análisis
efectuado, los hechos básicos, los datos coleccionados, las asunciones aceptadas, conclusión formulada y la evidencia recaudada que apoya su conclusión.
4.5 El perfil del auditor forense
En adición a los conocimientos de contabilidad y auditoría habituales, para la formación del auditor forense se debe incluir aspectos de investigación legal y formación jurídica, con énfasis en la recolección de pruebas y evidencias.
El auditor forense debe tener amplios conocimientos en el campo a auditar. Los principios y las disposiciones legales vigentes, las normas internacionales de auditoría, técnicas y procedimientos de auditoría a emplearse y experiencia en la realización de estas labores. El auditor debe estar altamente calificado para manejar la información y las técnicas de análisis y revisar el proceso de control designado por la administración.
Asimismo, entre las principales competencias para asumir el compromiso de una auditoría forense, tenemos:
Ser perspicaz,
Conocimiento de Psicología,
Una mentalidad investigadora,
Mucha auto motivación,
Trabajo bajo presión,
Mente creativa,
Habilidades de comunicación y persuasión,
Habilidad de comunicar en las condiciones de ley,
Habilidades de mediación y negociación,
Habilidades analíticas,
Creatividad para poder adaptarse a las nuevas situaciones,
Experiencia en el campo de la auditoría.
Actualmente, para la formación de los auditores forenses no existen programas de tipo universitario, dado de que la formación básica es la de Contador Público. Sin embargo, en los Estados Unidos de Norteamérica existen programas de entrenamiento y conferencias organizadas por el Institute of Internal Auditors, la Nacional Asociación of Certified Fraud Examiners, y la National Associations of Accountants, con un marcado sello de tipo profesional.
Según un estudioso de la Auditoría Forense, Bologna. J. and R. Lindquist (1995) señala que la formación de un auditor forense debe cubrir por lo menos, además de la carrera de Contador Público las siguientes áreas; legal, auditoría, organizacional, investigativa y de administración de riesgos, como mínimo. La mayoría de temas que tratan esta áreas son las relacionadas al fraude, controles, sistemas de prevención, irregularidades, características psicosociales de los ladrones y desfalcadores, tipos de robo, desfalco, etc.
5. Auditoria de Aplicaciones
Las aplicaciones o sistemas de información son uno de los ³productos finales´ que genera la infraestructura de las TI en las organizaciones y por ende son el aspecto de mayor visibilidad desde la perspectiva de negocio.
5.1 Una aplicación informática tiene como finalidad:
- Registrar exactamente la información considerada de interés en torno a las operaciones llevadas a cabo por una determinada organización: magnitudes físicas o económicas, fechas, descripciones, atributos o características, identificación de las personas físicas o jurídicas que intervienen o guardan relación con cada operación, nombres, direcciones.
- Permitir la realización de cuantos procesos de cálculo y edición sean necesarios a partir de la información registrada, almacenar automáticamente más información que la de partida.
- Facilitar, a quienes lo precisen, repuesta a consultas de todo tipo sobre la información almacenada, diseñadas en contenido y forma para dar cobertura a las necesidades más comunes constatadas.
- Generar informes que sirvan de ayuda para cualquier finalidad de interés en la organización, presentado la información adecuada: se aplican según convenga, criterios de selección, ordenación, recuento y totalización por agrupamientos, cálculos de todo tipo, desde estadísticos comunes hasta los más complicados algoritmos.
Si este planteamiento se consigue trasladar con tenacidad a una aplicación informática y los usuarios la manejan con habilidad y con profesionalidad, la organización a la que pertenecen contará con un importante factor de éxito en el desarrollo de su actividad.
Sin embargo, ni la tenacidad en la creación de la aplicación ni la profesionalidad en el uso de la misma pueden ser garantizados. La profesionalidad no libra el cansancio y el estrés, así que es de humanos cometer errores involuntariamente. Tampoco es imposible que en un momento determinado un empleado descontento cometa errores intencionalmente o que otro intente un fraude sin pruebas para ser descubierto.
5.2 Supuestas amenazas al normal cumplimiento de la finalidad de una aplicación:
- La posibilidad de fallo en cualquiera de los elementos que intervienen en el proceso informático: software múltiple perteneciente a deferentes firmas, computador central y dispositivos periféricos transmisión de datos (servidores, módems, líneas de comunicación, etc.) constituye otra fuente de posibles riesgos.
- La conexión cada vez más generalizada de las empresas a entornos abiertos como internet multiplica los riesgos que amenazan la confidencialidad y la integridad de la información de los sistemas. Y en este caso el número de interesados en descubrir debilidades que le abran las puertas para enredar y manipular la información a la que sean capaces de acceder no tiene límites.
Todas esas amenazas y cualquier otra que pueda ser identificada contra el correcto funcionamiento de la aplicación y la consecución de sus objetivos, han debido ser objeto de un análisis minucioso ya desde la fase de concepción. Para cada una de ellas se habrán debido estudiar las posibles medidas tendentes a eliminar los
riesgos que entrañan o reducen la probabilidad de su materialización hasta niveles razonablemente asumibles, siempre teniendo en cuenta el costo de tales medidas.
Dichas medidas son fundamentales medidas de control interno que consisten en los procedimientos para verificar, evaluar y tratar de garantizar que todo funciona como se espera: de acuerdo a las políticas, normas y procedimientos establecidos en los diferentes ámbitos de responsabilidad.
En una aplicación informática el control interno se materializa en dos tipos:
1. Controles comunes: a realizar normalmente por parte de personal del área usuaria, aseguran que las actuaciones del usuario se preparan y procesan todas las operaciones, se corrigen todos los errores adecuadamente, siendo coherentes con los resultados y las bases de datos que dan soporte a la aplicación, mantienen medición de su integridad y totalidad.
2. Controles automáticos incorporados a los programas de la aplicación que sirvan de ayuda para tratar de asegurar que la información se registre y mantenga completa y exacta, los procesos de todo tipo sobre la misma sean correctos y su utilización por parte de los usuarios respete los ámbitos de confidencialidad establecidos y permita poner en práctica principios generales de control interno como el referente a la segregación de funciones.
5.3 Controles según su finalidad:
1- Controles preventivos: tratan de ayudar a evitar la producción de errores a base de exigir el ajuste de los datos ingresados a patrones de formato y estructura (dato numérico, fecha válida, etc.) pertenecía a una lista de incorporaciones de dígitos de control en datos clave (códigos de identificación, referencias de documentos, nomenclaturas, etc.) y cualquier criterio que ayude a asegurar la corrección formal y verosimilitud de los datos. Útiles para las comprobaciones de conjuntos de datos, buscando su compatibilidad, adecuación y coherencia.
2-Controles detectivos: descubren a posteriores errores que haya sido posible evitar.
3-Controles correctivos: aseguran q se subsanen todos los errores identificados mediante controles detectivos.
Se utilizan en
- Las transacciones de recogida o toma de datos
- Todos los procesos de información que la aplicación realiza
- La generación de informes y resultados de salida
Los controles considerados para cada situación planteada en los diferentes pasos de funcionamiento de la aplicación, se deben hacer en el diseño de la aplicación con un estudio a conciencia para seleccionar los posibles riesgos que se trata de contrarrestar.
Estudio que debe ser propuesto por los responsables del área de informática, revisado por personal de auditoría interna, y aprobado en último lugar por la dirección de la organización usuaria.
La conveniencia de la participación de Auditoría interna es importante en la revisión de los controles diseñados durante el desarrollo de la aplicación. Sus recomendaciones deben ser consideradas aunque sería muy costoso tener que incluir cualquier control una vez finalizado
el desarrollo, siendo una necesidad como resultado de una auditoría posterior a la implementación.
La auditoría interna en el desarrollo de un sistema informático debe tener un alcance más amplio que el referente al sistema, ya que debe contemplar no sólo los riesgos relacionados con la aplicación, sino todos los
que puedan afectar al proceso completo al que la misma sirve de herramienta, haciendo que la aplicación registre información específica, para facilitar la futura auditabilidad del proceso respecto a tales riesgos.
La problemática de la auditoría de una aplicación se trata de una revisión de la eficacia del funcionamiento de los controles diseñados para cada uno de los pasos de la misma frente a los riesgos que tratan de eliminar o minimizar, como medios para asegurar la fiabilidad, seguridad, disponibilidad y confidencialidad de la información gestionada por la aplicación.
5.4- Etapas de la Auditoría de una Aplicación Informática
1- Recogida de la información y documentación sobre la aplicación.
Se realiza un estudio preliminar en el que recogemos toda aquella información que nos pueda ser útil para determinar los puntos débiles existentes y aquellas funciones de la aplicación que puedan entrañar riegos.
Se lleva a cabo por medio de entrevistas con el equipo responsable de la aplicación, tanto de la organización usuaria como la del sistema de información, se inicia el proceso de recopilación de información y documentación para profundizar en los conocimientos hasta los niveles de exigencia necesaria para realizar el trabajo.
Resulta útil confeccionar unas guías q permitan seguir una pauta en las primeras entrevistas y contengan la relación de documentos a solicitar q ayuden a:
- Adquirir una visión global del sistema: descripción general de la aplicación, plan de sistemas de la empresa donde figuren objetivos, planes y presupuestos. El manual de usuario es de gran trascendencia.
- Conocer la organización y procedimientos de los servicios que utiliza la aplicación. Lista de los servicios, organigrama y dependencias funcionales entre ellos, política de formación y sensibilización de los usuarios, etc.
- Describir el entorno en el que se desarrolla la aplicación: conocer recursos de computador central asignados, numero de computadores asignados total o parcialmente a la aplicación, cantidad de recursos periféricos asignados, configuración de la red y de las líneas de comunicaciones usadas, etc.
- Entender el entorno de software básico de la aplicación, identificando las seguridades que ofrece y los riesgos inducidos.
- Asimilar la arquitectura y características lógicas de la aplicación. Es necesario conocer los principales tratamientos y cómo están estructurados los datos: programas clave, lenguaje y método de programación, archivos maestros, bases de datos, informes generados, periosidad de tratamientos.
- Conocer las condiciones de explotación de la aplicación y los riesgos que se puedan dar. Si la aplicación explota directamente los usuarios o depende de los servicios informativos, volumen de capturas, volumen de información almacenada, planificación y organización general de la explotación, características generales, tiempos de respuestas, frecuencia y naturaleza de las incidencias.
- Conocer condiciones de seguridad de que dispone la aplicación:controles que incorpora, definición de perfiles de acceso a los recursos y a la aplicación, existencia de pistas de auditoría, grado de automatización, documentación.
- Disponer de información relativa a: Estadísticas de tiempos de explotación para cada proceso, tiempo de respuesta de transacción online, tiempo de reproceso por fallos, tiempo dedicados al mantenimiento, informes de gestión de los accesos, informe de seguimiento de las salidas, protección de recursos asignados, perfiles de acceso a dichos recursos.
Es conveniente que el auditor solicite los documentos formalmente, facilitando su relación, y que éstos le sean suministrados en soporte informática en la medida de lo posible.
2- Determinación de los Objetivos y alcance la Auditoría
Las observaciones e identificación de puntos débiles a los datos recopilados permiten al auditor establecer su propuesta de objetivos de la auditoría de la aplicación y un plan detallado del trabajo a realizar.
En la preparación del plan de trabajo se incluye:
- Planificación de los trabajos y el tiempo a emplear, orden en que se examinarán los diferentes aspectos, centro de trabajo en que se van a desarrollar las pruebas, cargas de tiempos y asignación de los trabajos entre los diferentes colaboradores del equipo.
- Herramientas y métodos, entrevistas con los usuarios y los informáticos. Servicios que se van a auditar, documentos que hay q obtener, etc.
- El programa de trabajo detallado, adaptado a las peculiaridades de cada aplicación, pero tratando se seguir un esquema:
- Identificación y clasificación de los objetivos principales de la auditoria.
- Determinación de sus objetivos para cada uno de los objetivos generales.
- Asociación, a cada subobjetivo de un conjunto de preguntas y trabajos a realizar teniendo en cuenta las particularidades del entorno y de la aplicación a auditar.
- Desarrollo de temas como: 1- Modos de captura y validación 2- Soportes de datos a capturar 3- Controles sobre los datos de entrada 4- Tratamiento de errores 5- Controles sobre los tratamientos: secuencia de programas, valores característicos, controles de versión,
exactitud de los cálculos, etc.Controles de salida: clasificación y verificación de las salidas; presentación, distribución diseño y forma de los listados.
6- Pistas para el control y auditoria 7- Salvaguardias.
- Test de confirmación, tests sobre los datos y los resultados. Aquellos que consideramos necesarios para asegurar que los controles funcionan como se ha descrito y previsto, y que los controles internos son aplicados.
3- Planificación de la Auditoría
Debe ser Objeto de una Planificación cuidadosa. Es importante acertar con el momento más adecuado para su realización:
- No conviene q coincida con el período de su implantación especialmente crítico, en que los usuarios no dominan todavía la aplicación y están más agobiados con la tarea diaria.
- El retraso excesivo en el comienzo de la auditoría puede alargar el período de exposición a riesgos superiores que pueden y deben ser aminorados como resultado de ella.
- Hay que establecer el ámbito de actuación: si son organizaciones con un amplio territorio, se deberá delimitar el campo de las pruebas a realizar para un menor número de centros de trabajos. Pero se ampliará la representación más extensa de usuarios y centros, donde se considere factible, sin incurrir en un coste desproporcionado (encuestas, procesamiento de información, contactos telefónicos).
- La selección de los centros de actuación donde se llevará a cabo el trabajo, es conveniente que la organización usuaria los proponga con base a razones donde se estime mayor valor al trabajo, por ejemplo: proyectos de innovación y mejoras relacionados con el proceso, haber experimentado cambios recientes organizativos o personal directivo, existencia de indicadores de actividad que desvíen significativamente de la media general, etc.
- Solicitar cuanto antes con la primera toma del contacto, las autorizaciones necesarias para que el personal de auditoría, que participa en el trabajo, pueda acceder a la aplicación y a las herramientas de usuario. Solicitar un perfil de auditor o consultas: permitirán dedicar a su conocimiento, ya a preparar pruebas que puedan precisar su uso, como los tiempos de parada que suelen producirse en el desarrollo de otros trabajo que vayan a ejecutarse durante los meses anteriores al inicio del trabajo de campo de la auditoría.
4- Trabajo de Campos, informe e implantación de mejoras
- La etapa de realización del trabajo de campo consiste en la ejecución del programa de trabajo establecido. Evidentemente, los resultados que se van obteniendo pueden llevar a ajustar el programa en función de dichos resultados, que pueden aconsejar ampliar la profundidad de alguna prueba, acometer otras no previstas y concluir alguna antes de su final.
Recomendación: plantear la mínima utilización de ³papeles de trabajo´, en elsentido literal, físico, potenciando la utilización de PCs portátiles como soporte de la información de las muestras con las que se vaya a trabajar y para la recogida de información y resultado de las diferentes prueba: no es sólo cuestión de imagen, sino productividad.
- Redacción del informe de la auditoría, recogerá las características del trabajo realizado y sus conocimientos y recomendaciones o propuestas de mejora.
- La implementación de las mejoras identificadas en la auditoría: la situación óptima a alcanzar es conseguir que la organización auditada asuma las propuestas de actuación para implantar las recomendaciones como objetivos de la organización, ésta es la mejor señal de valoración positiva por parte de una organización a un trabajo de auditoría.
6. AMBIENTES DE DESARROLLO
Un ambiente de desarrollo integrado o IDE (acrónimo en inglés de integrated development environment), es un programa informático compuesto por un conjunto de herramientas de programación.
Puede dedicarse en exclusiva a un sólo lenguaje de programación o bien, poder utilizarse para varios.
Un IDE es un entorno de programación que ha sido empaquetado como un programa de aplicación, es decir, consiste en un editor de código, un compilador, un depurador y un constructor de interfaz gráfica (GUI). Los IDEs pueden ser aplicaciones por sí solas o pueden ser parte de aplicaciones existentes. El lenguaje Visual Basic, por ejemplo, puede ser usado dentro de las aplicaciones de Microsoft Office, lo que hace posible escribir sentencias Visual Basic en forma de macros para Microsoft Word.
Los IDE proveen un marco de trabajo amigable para la mayoría de los lenguajes de programación tales como C++, Python, Java, C#, Delphi, Visual Basic, etc. En algunos lenguajes, un IDE puede funcionar como un sistema en tiempo de ejecución, en donde se permite utilizar el lenguaje de programación en forma interactiva, sin necesidad de trabajo orientado a archivos de texto, como es el caso de Smalltalk u Objective-C.
Es posible que un mismo IDE pueda funcionar con varios lenguajes de programación. Este es el caso de Eclipse, al que mediante plugins se le puede añadir soporte de lenguajes adicionales.
Componentes
- Un editor de texto.
- Un compilador.
- Un intérprete.
- Herramientas de automatización.
- Un depurador.
- Posibilidad de ofrecer un sistema de control de versiones.
- Factibilidad para ayudar en la construcción de interfaces gráficas de usuario.
7. SERVICIOS Y RECUROS DE TI
Un servicio de TI es un conjunto de actividades que buscan responder a una o más necesidades de un cliente por medio de un cambio de condición en los bienes informáticos potenciando el valor de estos y reduciendo el riesgo inherente del sistema.
Servicios son maneras de entregar valor a los clientes como soporte de los resultados que los clientes pueden obtener sin incurrir en costos y riesgos específicos.
Características del servicio
Los servicios tienen dos características básicas:
Utilidad. El valor producido por el servicio.
Garantía. Es lo que se espera del servicio:
- Disponibilidad.
- Fiabilidad.
- Capacidad.
- Seguridad.
Usualmente la gestión de servicios de TI involucra el uso de outsourcing, insourcing y servicios compartidos. Es extremadamente importante mantener una base de conocimiento amplia dentro de la organización para que estas prácticas sean exitosas.
Outsourcing: El contrato de outsourcing en general responde a toda una tendencia vinculada a la reorganización de las grandes organizaciones a nivel mundial, entendiéndose que las mismas deben concentrar sus esfuerzos en las actividades comerciales, en el objeto de la organización, para obtener una mayor competitividad. Para ello es necesario encomendar a un tercero las tareas periféricas, como pueden ser el manejo de stock, almacenaje, procesamiento de datos, etc.
Insourcing: El Insourcing se trata de la transferencia de una función que ha sido objeto de outsourcing a un departamento interno de la compañía para que sea totalmente manejado de nuevo por los trabajadores de la compañía madre.
Los objetivos de una buena gestión de servicios TI han de ser:
- Proporcionar una adecuada gestión de la calidad.
- Aumentar la eficiencia.
- Alinear los procesos de negocio y la infraestructura TI.
- Reducir los riesgos asociados a los Servicios TI.
- Generar negocio.
Bibliografía.
http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060035/lecciones/Cap2-Politicas.html
http://www.unal.edu.co/dnic/docs/guia_para_elaborar_politicas_v1_0.pdf
http://www.monografias.com/trabajos65/auditoria-forense/auditoria-forense.shtml
