Mi�rcoles 23, julio 2008 

 

Jueves 14 de febrero de 2008. Núm. 47 
Omisiones peligrosas en auditoría
 
Votar:
Votación Global:
Las auditorías de IT podrían ayudar a prevenir fraudes, pero, muchas veces, no se emprenden las acciones correctas
Oscar Viniegra

El fraude es un problema grave que aqueja a las organizaciones de todo el mundo. De acuerdo a encuestas internacionales las pérdidas en 2007 como consecuencia de este delito ascienden a cerca de $600,000 millones de dólares en Estados Unidos y en México a $297,000 millones de pesos. Esto equivale aproximadamente a 5% del PIB de cada uno de los dos países.
Pero, ¿qué es fraude? De acuerdo al libro “Principios de examinacion de fraudes”, de Joseph T. Wells, es cualquier acto que utilice el engaño como modus operandi para obtener una ganancia ilícita. Generalmente cumple con cuatro elementos:

 

  1. Una afirmación falsa
  2. El pleno conocimiento de que la afirmación es falsa al momento de hacerla
  3. La víctima se basa en la afirmación
  4. Daños a la víctima como resultado de esa afirmación falsa

¿Qué tiene que ver la auditoría de IT con la detección y prevención de fraudes? Primero que nada, la tecnología está presente en todas las organizaciones y en prácticamente todas las áreas. Además, una transacción en un sistema de información puede generar varios movimientos, que afecten diferentes departamentos de la empresa.

Segundo, desde hace mucho tiempo las organizaciones han reconocido la importancia de contar con auditorías al área financiera para detectar anomalías por errores o malos manejos, y han implementado controles para prevenir y detectar actividades fraudulentas; sin embargo, ¿qué pasa con los métodos tradicionales de estos ejercicios de investigación cuando los procesos de negocio se automatizan? ¿Dónde quedó la evidencia?

Para dar respuesta a lo anterior, diversos organismos y entidades regulatorias a nivel mundial han establecido normas que ciertos sectores deben cumplir. La más conocida es Sarbanes-Oxley, aunque está también Basilea II y en México, las normativas emitidas por la Comisión Nacional Bancaria y de Valores (CNBV) para el manejo del riesgo operativo y el riesgo tecnológico en entidades del sector financiero. En el caso de las organizaciones que deben ser dictaminadas, lo que aplica es el boletín 3140.

¿Qué tienen en común estas regulaciones? Por un lado les preocupa que se cometan fraudes en las organizaciones, ya sea contra accionistas, usuarios o el mismo gobierno (fraude fiscal). Todas hablan del manejo del riesgo operativo y el riesgo tecnológico y en este último se enfocan en los siguientes puntos de control interno de IT:

  1. Considerar la posibilidad de fraude utilizando la IT
  2. No haber llevado los controles del ámbito físico al ámbito tecnológico
  3. Falta de confiabilidad de procesamiento de información
  4. Manipulación de datos/programas
  5. Falta de evidencia
  6. Falta de segregación de funciones
  7. “Brincarse” las restricciones del sistema
  8. Capacidad de investigar uso inadecuado de IT

En caso de que se concrete cualquiera de los supuestos arriba mencionados, alguien podría ocultar actividades que atenten contra la integridad y por ende la confiabilidad de la información. En ese momento ya no se puede confiar en el sistema de información para la toma de decisiones.

Por eso, cuando se habla de control interno de IT, los mecanismos de regulación se dividen en dos partes:

1) Controles de aplicación: son aquellos que están contenidos dentro de los procesos de negocio y/o integrados en los sistemas de información. En esta categoría se encuentran: autorizaciones para movimientos no ordinarios (cancelaciones, descuentos especiales, etc.), validaciones (una solicitud autorizada antes de emitir un pago, el que se valide el ingreso a almacén de la mercancía antes de pagar una factura, etc.).

2) Controles generales de IT: son aquellos que rigen la operación de los diferentes elementos que componen la infraestructura tecnológica y que permiten la operación de los sistemas de información y los procesos automatizados de negocio, por ejemplo: redes, sistemas operativos, bases de datos, entre otros.
El tipo de controles que se ubican en esta categoría son:controles de acceso a la red, otros para mantener la integridad de la base de datos, y unos más para la administración de IT, etc.
No poner atención al control interno de IT permite que existan áreas de alto riesgo en la operación de la organización y que estos no se detecten; ni se tomen las medidas necesarias para manejarlos, lo cual puede desembocar en fraudes.

A continuación se presentan algunos casos de fraudes reales y como la auditoria de IT podría haber apoyado en la detección y/o prevención de éstos.

Caso 1: Sector Manufactura

Situación
  1. Empresa de manufactura
  2. Ventas anuales: $17 mdd
  3. Monto de fraude: $1 mdd
  4. División: Ventas de menudeo
  5. Tiempo: aproximadamente 1 año
  6. Descubrimiento: Cuando el faltante era demasiado grande para la operación
  7. Tipo de fraude: “Devoluciones falsas”

Antecedentes
  1. La empresa, enfocada a mayoreo, se asoció con un ex-competidor para establecer ventas de medio-mayoreo.
  2. Se monto una nueva instalación para la nueva división
  3. El sistema de información aunque era el mismo operaba independiente

¿Cómo se realizó el fraude?
  1. El gerente inició el fraude depositando los pagos de los clientes en cuentas propias
  2. A los pocos días traspasaba los montos a las cuentas de la empresa
  3. Pero fue incrementando el tiempo hasta que decidió quedarse con el dinero
  4. Cuentas por cobrar del corporativo no detectaba el faltante hasta meses después
  5. Cuando la presión era muy fuerte, el gerente cancelaba las facturas alegando devolución de mercancía por parte del cliente
  6. Pagaba algunos pedidos con el dinero de otros (lapping)
  7. Lo malo es que el material “devuelto” no entraba a almacén
  8. No había conciliaciones bancarias

Lo que auditoría de IT debió haber hecho
  1. Revisión de derechos asignados en el sistema (cancelación de facturas, movimientos fuera de periodo, etc.)
  2. Reporte de movimientos fuera del período
  3. Análisis de controles de acceso directo a base de datos
  4. Revisión de análisis de riesgos de IT
  5. Revisión de la segregación de funciones

¿Cómo podría auditoría de IT haber ayudado?
  1. Al descubrir que el gerente tenía todos los derechos, se debieron haber tomado medidas para limitar esto, y reducir así sus opciones de cancelar facturas, realizar movimientos fuera de periodos, etc. Si esto se hubiera hecho, no le habría sido tan fácil cometer el fraude o habrían resultado evidentes algunas malas prácticas
  2. El riesgo de que exista acceso directo a la BD es muy alto pues permite manipulaciones directas a los datos, sin pasar por los pocos o muchos controles del sistema de información
  3. El análisis de riesgos hubiera revelado que debían implementarse varios controles de manera urgente. Pero la falta de estos se tomaba como parte de un “desorden operacional normal”, que auditoría de IT pasó por alto.

 

Caso 2: Sector Servicios

Situación
  1. Empresa de servicios
  2. Monto de fraude: $50,000 dólares
  3. División: IT
  4. Tiempo: 48 horas
  5. Descubrimiento: Al llegar el recibo telefónico (<30 días)
  6. Tipo de fraude: Uso no autorizado de troncales telefónicas

¿Cómo se realizó el fraude?
  1. Alguien acceso el router que tenía Internet y las troncales telefónicas para establecer llamadas a Cuba.
  2. Las llamadas no fueron bloqueadas pues no pasaron por el conmutador de ToIP y por ende tampoco por el tarificador.
  3. El router era vulnerable y los servicios de ToIp y VoIP estaban disponibles en Internet

Lo que auditoría de IT debió haber hecho
  1. Revisión de vulnerabilidades del gateway de voz
  2. Revisión de arquitectura de seguridad
  3. Revisión de la existencia de un análisis de riesgos para servicios de IT

¿Cómo podría auditoria de IT haber ayudado?
  1. La revisión de vulnerabilidades habría revelado que el gateway de voz estaba expuesto desde Internet
  2. Puesto que existían herramientas de seguridad pero no estaban implementadas de manera adecuada, debió haberse recomendado contar con una mejor arquitectura para reducir las vulnerabilidades
  3. Se debió haber asentado que el análisis de riesgos considerará el escenario de que un externo tomara control del gateway de voz y lo utilizara para generar llamadas, al ser este un alto riesgo se habrían tomado medidas preventivas para evitar así el fraude

 

Caso 3: Banca electrónica

Situación
  1. Empresa de manufactura
  2. Monto de fraude: $20,000 dólares
  3. División: Finanzas
  4. Tiempo: horas
  5. Descubrimiento: 24 horas
  6. Tipo de fraude: Robo de identidad

¿Cómo se realizó el fraude?
  1. Pharming (local)
  2. Un usuario de finanzas acceso a un sitio Web, donde se ejecutó un código que modificó el archivo LHOST y la dirección del sitio del banco
  3. Cuando el usuario entró al sitio de banca electrónica, los defraudadores entraron con él y al terminar la sesión ellos se “quedaron en el banco”
  4. Sólo pudieron acceder una vez al banco y únicamente a una cuenta para pagos menores, de lo contrario el monto del fraude podría haber sido mayor .

Lo que auditoría de IT debió haber hecho
  1. Análisis de vulnerabilidades de equipos de tesorería
  2. Revisión de cumplimiento de recomendaciones de la institución bancaria con respecto a la seguridad en banca electrónica
  3. Revisión de antivirus/antispyware instalados en computadoras de la empresa o en gateway (al menos una de las dos opciones)

¿Cómo podría auditoría de IT haber ayudado?
  1. La revisión de vulnerabilidades debió revelar que no se contaba con una antispyware
  2. Las instituciones bancarias cuentan ya con una lista de puntos de control sugeridos para reducir la posibilidad de fraude en banca electrónica. Esto debió haberse atendido.

Los casos expuestos demuestran que las auditorías de IT podrían haber detectado riesgos y situaciones anómalas, que deberían haberse atendido o investigado con mayor profundidad. Y es que el papel de esta función es contribuir a la detección y prevención de fraudes.
No debe olvidarse que automatizar las operaciones dentro de las compañías genera oportunidades nunca antes posibles bajo esquemas de operación tradicional y aunque esto también puede acarrear riesgos para auditoría, al mismo tiempo abre posibilidades como:

  1. Automatización de controles
  2. Registros automáticos
  3. Auditoría de TODOS los datos
  4. Pistas de auditoría
  5. Avisos automáticos

Claro que todo esto requiere tiempo para definir los controles e implementarlos; además, se deberá establecer un programa que asegure la permanencia de los mismos y los mecanismos de revisión, ya sea por parte de los usuarios o por auditoría interna.
Entonces, ¿actuamos o nos esperamos? Considerando que se estima que la pérdida promedio por fraudes es equivalente al 5% de las ventas de una compañía y que este delito está presente en más de 50% de las organizaciones, la pregunta final es, ¿cuánto estamos dispuestos a perder?

Oscar Viniegra, CISA, CISSP & ISMS Auditor. Estudio Ingeniería en Sistemas Electrónicos en el Tec de Monterrey, campus Guadalajara. Tiene más de 11 años de experiencia en seguridad de la información y es secretario del capítulo Guadalajara de ISACA (en formación). Sus áreas de especialidad son: la gestión de seguridad de la información y la arquitectura de seguridad. oviniegra@ism.com.mx

Compártelo
 Yahoo! My Web  Google Bookmarks  Digg  TechnoraTI
 Enchilame  Menéame  Barrapunto



 

 


Consulte nuestros sitios
Inicio
Netmedia.info
InformationWeek
Revista Wish
 
 
Netmedia | InformationWeek México | B:Secure | Wish

© 2008 Netmedia. Todos los derechos reservados
Política de privacidad | Sitio desarrollado y hospedado en InterPlanet
[Valid RSS]