Auditoría informática, conceptualización
CÓDIGO DE ÉTICA ISACA
Las normas promulgadas por la Asociación de
Auditoría y Control de Sistemas de Información son aplicables al trabajo de
auditoría realizado por miembros de la Asociación de Auditoría y Control de
Sistemas de Información y por las
personas que han recibido la designación de Auditor Certificado de Sistemas de
Información.
El auditor de SI debe cumplir con el Código de
Ética Profesional de ISACA al realizar tareas de auditoría. El auditor de SI
debe ejercer el debido cuidado profesional, lo cual incluye cumplir con los estándares profesionales de auditoría aplicables
al realizar tareas de auditoría.
El Código de Ética Profesional emitido por ISACA
será actualizado cada cierto tiempo para
mantenerlo acorde con las tendencias emergentes y con las exigencias de la
profesión de auditoría. Los miembros de ISACA y los auditores de SI deben
mantenerse al día con las actualizaciones del Código de Ética Profesional y
cumplir con las especificaciones de dicho código al realizar tareas como
auditores de SI.
El incumplimiento del Código de Ética Profesional
de ISACA y/o de las Normas de Auditoría de SI puede resultar en una
investigación de la conducta de un miembro de ISACA o del poseedor de la
certificación CISA y, en última instancia, en sanciones disciplinarias. Los
miembros de ISACA y los auditores de SI deben comunicarse con los miembros de
su equipo y asegurar que éstos cumplan con el Código de Ética Profesional y se
observen las Normas de Auditoría de SI aplicables al realizar las tareas de
auditoría.
Los auditores de SI deben resolver de manera
apropiada todas las inquietudes que surjan, con respecto a la aplicación de la
ética profesional o de las Normas de Auditoría de SI durante la realización de
una tarea de auditoría. Si el
cumplimiento de las guías de ética profesional o de las Normas de Auditoría de
SI se ve menoscabado o parece menoscabado, el auditor de SI debe considerar
suspender su participación.
Las normas éticas que deben tener en cuenta los
auditores de SI son las siguientes:
1. Apoyar el establecimiento y cumplimiento
apropiado de estándares, procedimientos y controles en los sistemas de información.
2. Cumplir con los Estándares de Auditoría de
Sistemas de Información adoptados por la Asociación de Auditoría y Control de
Sistemas de Información.
3. Dar servicio a sus empleadores, accionistas,
clientes y público en general en forma diligente, leal y honesta y no formar
parte de actividades impropias o ilegales.
4. Mantener la confidencialidad de la información
obtenida en el curso de sus tareas.; dicha información no debe ser usada en
beneficio propio ni ser entregada a terceros.
5. Realizar sus tareas en forma objetiva e
independiente, y rechazar la realización de actividades que amenacen o parezcan
amenazar su independencia.
6. Mantener competencia en los campos relacionados
a la auditoría de sistemas de información, a través de la participación en
actividades de desarrollo profesional.
7. Obtener suficiente material y documentación de
sus observaciones que le permita respaldar sus recomendaciones y conclusiones.
8. Informar a las partes que correspondieren los
resultados del trabajo de auditoría realizado.
9. Dar apoyo a la educación y el conocimiento de
clientes, gerentes y público en general sobre la auditoría de sistemas de
información.
10. Mantener altos estándares de conducta y
personalidad tanto en las actividades profesionales como personales.
ESTÁNDARES ISACA
Los estándares de ISACA contienen principios
básicos y procedimientos esenciales, que son obligatorios junto con la
documentación relacionada. El propósito de este estándar de ISACA es establecer
y proporcionar asesoría sobre irregularidades y acciones ilegales que el
auditor de SI debe tener en cuenta durante el proceso de auditoría. Los
siguientes estándares forman la esencia de su trabajo como auditores:
1)
Al planificar y realizar la auditoría para reducir el
riesgo de auditoría a un nivel bajo, el auditor de SI debe tener en cuenta el riesgo de irregularidades y acciones ilegales.
2)
El auditor de SI debe mantener una actitud de escepticismo profesional durante la auditoría,
reconociendo la posibilidad de que podrían existir declaraciones materialmente
incorrectas debido a irregularidades y acciones ilegales, independientemente de
su propia evaluación del riesgo de irregularidades y acciones ilegales.
3)
El auditor de SI debe obtener un entendimiento de la
organización y su entorno, incluidos los
controles internos.
4)
El auditor de SI debe obtener evidencia de auditoría
suficiente y relevante para determinar si la gerencia u otras personas dentro
de la organización tienen conocimientos de cualquier irregularidad y acción
ilegal real, sospechada o alegada.
5)
Al realizar procedimientos de auditoría para obtener un
entendimiento de la organización y su entorno, el auditor de SI debe considerar relaciones inusuales o
inesperadas que pueden indicar un riesgo de declaraciones materialmente
incorrectas debido a irregularidades y acciones ilegales.
6)
El auditor de SI debe diseñar y realizar procedimientos
para probar lo adecuado de los controles internos y el riesgo de anulación de los controles por parte de la gerencia.
7)
Cuando el auditor de SI identifica una declaración
incorrecta, el auditor de SI debe evaluar si tal declaración incorrecta puede
indicar la existencia de una irregularidad o acción ilegal. Si existe tal
indicación, el auditor de SI debe tener
en cuenta las implicaciones en relación con otros aspectos de la auditoría y,
en particular, las declaraciones de la gerencia.
8)
El auditor de SI debe obtener declaraciones escritas de la
gerencia al menos una vez al año o con mayor frecuencia, dependiendo del contrato de auditoría. La gerencia debe:
·Reconocer su responsabilidad
en el diseño e implementación de
controles internos para prevenir y detectar irregularidades o acciones
ilegales
·Revelar al auditor de
SI los resultados de la evaluación de riesgos cuando pueda existir una
declaración materialmente incorrecta como resultado de una irregularidad o
acción ilegal
·Revelar al auditor de
SI cuando tenga conocimiento de irregularidades o acciones ilegales que estén
afectando la organización en relación a: ·La gerencia ·Empleados que tienen
funciones significativas en el control interno
·Revelar al auditor de
SI cuando tenga conocimiento de cualquier declaración de irregularidades o
acciones ilegales, o sospechas de irregularidades o acciones ilegales que estén
afectando la organización tal como lo
hayan comunicado los empleados, ex empleados, funcionarios responsables de la
normatividad dentro de la organización y otros
9)
Si el auditor de SI ha identificado una irregularidad
material o acción ilegal, u obtiene información de que puede existir una
irregularidad material o acción ilegal, el auditor de SI debe comunicarlo sin
demora al nivel de dirección apropiado.
10) Si el auditor de SI ha
identificado una irregularidad material o acción ilegal que involucra a la gerencia
o a empleados que tienen funciones significativas en el control interno, el
auditor de SI debe comunicarlo sin
demora a los responsables del gobierno corporativo.
11) El auditor de SI debe dar recomendaciones al nivel apropiado
de la gerencia y a aquellos responsables del gobierno corporativo sobre las
debilidades materiales en el diseño e implementación del control interno para
prevenir y detectar irregularidades y acciones ilegales que el auditor de SI
pueda haber notado durante la auditoría.
12)
Si el auditor de SI encuentra circunstancias excepcionales
que afectan su capacidad para continuar ejecutando la auditoria, debido a una
declaración materialmente incorrecta o una acción ilegal, el auditor de SI debe
tener en cuenta la responsabilidad legal y profesional aplicable en tales
circunstancias, incluyendo que pueda existir el requisito para el auditor de SI
de notificar a aquellos que celebraron el contrato o, en algunos casos, a los
responsables del gobierno corporativo o a las autoridades responsables de la
normatividad dentro de la organización o incluso
considerar retirarse del contrato.
13) El auditor de SI debe documentar todas las
comunicaciones, planeación, resultados, evaluaciones y conclusiones
relacionadas con irregularidades materiales y acciones ilegales que han sido
notificadas a la gerencia, a los responsables del gobierno corporativo,
autoridades responsables de la normatividad dentro de la organización y otros.
CASO BANCO DE AHORROS UNION DIME
Bancos parecen ser ideales para el abuso computacional. Roswell Steffen
uso una computadora para apropiarse de $1.5 millones de fondos del Banco de
Ahorros Union Dime en New York. En una entrevista con Steffen, después de que
fue descubierto exclamó: CUALQUIERA CON CABEZA SOBRE LOS HOMBROS PODIA
EXITOSAMENTE DEFRAUDAR FONDOS DE UN BANCO. Y MUCHOS LO HICIMOS.
Steffen era un jugador compulsivo. Él inicialmente pidió prestados
$5,000 de la caja de efectivo del banco para apostar, pensando en reponer el
dinero con sus ganancias. Desafortunadamente, el perdió los $5,000 y pasó los
siguientes 3 años y medio tratando de reponer el dinero, de nuevo pidiendo
prestado al banco para apostar en las carreras.
Como jefe de cajeros del banco, Steffen tenía una terminal de
supervisión en el sistema computacional en línea que él utilizaba para diversos
propósitos administrativos. Él tomó el dinero de la caja de efectivo y
utilizaba la terminal para manipular los balances de cuentas de clientes de
modo que las discrepancias no pudieran ser evidentes en las hojas de trabajo de
banco.
Él utilizaba diferentes técnicas para obtener fondos. Primero se
concentraba en cuentas sobre $100,000 que tenían poca actividad y que los
intereses eran acreditados cada 4 meses. El utilizaba la terminal de
supervisión para reducir los balances de esas cuentas. Ocasionalmente algún
cliente enojado se quejaba acerca de los balances, de modo que Steffen fingía
una llamada telefónica al PED, informaba al cliente que era un simple error y
corregía la situación moviendo fondos de otra cuenta
Otras fuentes de fondos incluyeron cuentas certificadas de 2 años y
cuentas nuevas. Con las cuentas certificadas de 2 años,
él preparaba los documentos necesarios pero no registraba los depósitos en los
archivos del banco. Inicialmente él tenía 2 años para corregir la situación,
pero las cosas se complicaron cuando el banco empezó a pagar
intereses en esas cuentas cuatrimestralmente. Con nuevas cuentas, el utilizaba
2 libros de registro nuevos del almacén de libros prenumerados. Al abrir una
cuenta, el introducía la transacción usando el número de cuenta del primer
libro de registro pero registraba la entrada en el segundo libro. El entonces
destruía el primer libro. Llevar a cabo el fraude se volvió muy complejo y
cometió muchos errores. Sin embargo, el sistema de control interno del banco y
las técnicas de auditoria era suficientemente débiles que podían explicar cualquier
discrepancia y continuar.
Fue capturado porque la policía le dio un aventón al corredor de Steffen
y notaron que un cajero mal pagado hacía apuestas grandes.
Consideraciones sobre el caso “Banco de Crédito Unión Dime”
El jefe de cajeros del
banco, el señor Roswell Steffen, abusó de su posición defraudando la confianza
depositada en él al desconocer los siguientes principios éticos:
1)
No apoyo el establecimiento y cumplimiento apropiado de
estándares, procedimientos y controles en los sistemas de información.
2)
Tenía que cumplir, como empleado de confianza, con los
Estándares de Auditoría de Sistemas de Información adoptados por la Asociación
de Auditoría y Control de Sistemas de Información; no lo hizo por su falta de
ética.
3)
Tenía que dar servicio a sus empleadores, accionistas,
clientes y público en general en forma diligente, leal y honesta y no formar
parte de actividades impropias o ilegales; pero optó por lucrarse dolosamente.
4)
No solo no mantuvo la confidencialidad de la información
obtenida en el curso de sus tareas, dicha información no debe ser usada en
beneficio propio ni ser entregada a terceros, sino que la aprovechó en
beneficio propio.
5)
Por lograr suficiente material y documentación de sus
observaciones, estaba en condiciones de informar falta de controles y respaldar
sus conclusiones, pero lo omitió deshonestamente.
6)
Tenía que informar a las partes que correspondieren los
resultados del trabajo de auditoría realizado, como jefe de cajeros.
7)
Tenía que colaborar con auditoría, en dar apoyo a la
educación y el conocimiento de clientes, gerentes y público en general
sobre la auditoría de sistemas de información.
8)
Mantener altos estándares de conducta y personalidad tanto
en las actividades profesionales como personales, ya sea que se le considere
como jefe cajero o en sus funciones de colaboración con auditoría.
Reflexión general: Roswell Steffen no era
el auditor encargado, era el jefe de cajeros, pero tenía el deber de participar
de la auditoría, colaborando en todo lo que supiera, no lo hizo por estar
estructurado inmoralmente, en otras palabras, era un pícaro manejando dinero
ajeno. Además hay que considerar que en este caso el concepto de ética
comprende el cumplimiento de los estándares Isaca de auditoría, por su interés
criminal violó los siguientes estándares:
1)
Tenía que apoyar la auditoría para reducir el riesgo de
auditoría a un nivel bajo, y el auditor de SI que debe tener en cuenta el riesgo de irregularidades y acciones ilegales,
necesita colaboración para ello.
2)
El auditor de SI debe obtener un entendimiento de la
organización y su entorno, incluidos los
controles internos, y para ello el cajero jefe tenía que orientar.
3)
No informó del conocimiento que tenía de irregularidades,
compartiendo la evidencia que ocultaba.
4)
No participó en diseñar y realizar procedimientos para
probar lo adecuado de los controles internos, más bien hizo lo posible por
anular los controles.
5)
No tuvo comunicaciones escritas veraces con auditoría.
6)
Debía comunicar sin demoras, al nivel de dirección
adecuado, el conocimiento de irregularidades y acciones ilegales.
7)
El auditor de SI debe
documentar
todas las comunicaciones, planeación, resultados, evaluaciones y conclusiones
relacionadas con irregularidades materiales y acciones ilegales que han sido
notificadas; el cajero jefe tenía que cooperar y ocultó toda evidencia.
Conclusiones: Si hubiera habido
controles adecuados, el cajero jefe (Roswell Steffen) habría hecho lo que hace
la gente honrada, hubiera cuidado el dinero ajeno, y tal vez solo algún suspiro
lo delataría, en un bar hablando con amigos y corredores de apuestas.
Bibliografía:
http://www.isaca.cl/cisa.html
No hay comentarios.:
Publicar un comentario