auditoría forense - flujo del proceso

Elaborado por Shirley García Universidad Panamericana

Curso de Auditoría de Sistemas

1

TABLA DE CONTENIDOS

Introducción.................................................................................................................... 2 Planificación de una Auditoría Forense ........................................................................... 2

Consideración de los Términos del Trabajo (Alcance de los Servicios)........................ 2 Evaluación de Riesgos................................................................................................. 5

Aceptación / Continuidad de Clientes ...................................................................... 5 Conocimiento del Negocio ...................................................................................... 5 Documento de Planificación .................................................................................... 6 Programas de Auditoría Forense .............................................................................. 7

Señales de Fraude............................................................................................................ 7 Tipificación De Acciones Que Involucran Alto Riesgo De Fraude Y Corrupción ...... 10

Uso De Las Computadoras En La Detección Del Fraude ............................................... 12 Ejemplo de Procedimientos Asistidos por Computadoras para Detección de Fraude .. 15

Procedimientos para evaluar el Riesgo de Fraude en el Sistema de Información y determinar el nivel de confianza y alcance de los procedimientos de auditoría. ...... 16 Ejemplos de Procedimientos para la Detección de Fraude...................................... 17

Componentes del Planteamiento de un Proyecto (Auditoría Forense) ............................ 18 Evaluación del Riesgo de Aceptación .................................................................... 18 Definición de los Términos del Trabajo ................................................................. 18 Planificación.......................................................................................................... 19 Ejecución .............................................................................................................. 19 Conclusión ............................................................................................................ 19 Seguimiento De Recomendaciones Y Compromisos De Auditoría......................... 20

Conclusiones................................................................................................................. 21 Bibliografía ................................................................................................................... 22 Parte Práctica……………………………………………………………………………..23



2

Introducción Actualmente los sistemas de información se han vuelto críticos para todos los negocios

grandes y de uso común para la mayoría de negocios en todas las industrias. Hoy por hoy

si un negocio no cuenta con un sistema de información tiene una seria desventaja

competitiva.

Las compañías a nivel mundial están haciendo esfuerzos económicos para incorporar

aplicaciones de TI (Tecnología de Información) a todos sus procesos de negocios, ya no

solo a la contabilidad, sino hasta la planificación de producción, presupuestos,

administración de recursos humanos, administración de riesgos, auditoría, etc.

El Contador Público y Auditor que presta el servicio de Auditoría de Estados Financieros

se enfrenta a este reto: Auditoría de Estados Financieros en un Ambiente PED, o con una

dependencia significativa de un sistema de información. En resumen, debería incorporar a

un especialista de TI cuando la dependencia es muy significativa, adicionalmente

Planificación de una Auditoría Forense

Consideración de los Términos del Trabajo (Alcance de los Servicios)

Es importante considerar en la planificación de una Auditoría Forense los términos del

trabajo, los cuales deben estar bien documentados. Normalmente se utilizan dos

documentos para registrar la naturaleza, oportunidad y alcance de los procedimientos y de

los productos entregables:



3

a. Carta Convenio: Este documento contiene la Propuesta de Servicios

Profesionales. En algunos casos, el profesional puede requerir una

Carta de Aceptación de la alta Gerencia de la entidad para darle

validez al documento.

b. Contrato de

Servicios: Documento legal que incluye los términos del trabajo. Es

vinculante entre las partes y tiene total validez jurídica. Obliga a

atender las cláusulas en él contenidas.

Los “Términos del Trabajo” documentados en los documentos arriba referidos, no son

más que la declaración clara y concisa de:

ü La naturaleza del trabajo

ü La metodología del trabajo

ü Las responsabilidades del Auditor

ü Las responsabilidades de la Administración

ü Las limitaciones inherentes del trabajo

ü Los métodos de resolución de controversias

ü La delimitación de los servicios

ü Lista de informes entregables

ü Oferta Económica

Estos documentos forman parte de los Papeles de Trabajo que le permiten al auditor

administrar el Riesgo de Auditoría. En palabras simples, el auditor mitiga el riesgo de que

la administración “malinterprete” la naturaleza del trabajo o que tenga expectativas

equivocadas con respecto a los resultados de la Auditoría Forense. Ésta, como cualquier

auditoría, tiene sus limitaciones inherentes, por lo que el auditor debe acordar claramente

con la Gerencia de la entidad a la que le preste los servicios, en qué consiste el trabajo y

qué resultados habrá, de tal forma que se exprese de forma implícita que resultados no se

pueden esperar del trabajo.



4

El auditor debe acudir a los “Términos del Trabajo” para elaborar su Planificación,

porque ésta debe ser totalmente consistente con tales términos. En cuanto a los Términos

del Trabajo de una Auditoría Forense, en general, lo que debe se debe documentar en la

Propuesta de Servicios Profesionales o en el Contrato de Servicios es lo siguiente:

o Si se trata de una Auditoría Forense para detección de fraude, en donde se tiene

conocimiento de un hecho ilícito efectivamente ocurrido. En este caso los

procedimientos son más específicos y el trabajo está más delimitado, puesto que

se circunscribe a la evidencia relacionada con el hecho ocurrido, la naturaleza,

oportunidad y alcance de los procedimientos quedan a discreción del auditor

forense.

o Si se trata de una Auditoría Forense para detección de fraude, en donde la alta

gerencia o los dueños solo tienen sospechas de la ocurrencia de un hecho ilícito.

Este trabajo necesitaría mayor alcance, y requeriría de evidencia alternativa para

ser correlacionada, con el propósito de detectar el hecho ocurrido o determinar

que no ocurrió ilícito alguno.

o Si se trata de una Auditoría Forense para prevención del fraude en donde el

auditor evalúa el sistema de control interno y asesora a la compañía para diseñar e

implementar controles antifraude o a mejorar los controles antifraude

implementados por el cliente, a fin de que provean seguridad razonable sobre la

adecuada prevención y detección del fraude.

o Una combinación procedimientos diseñados para fortalecer el sistema de control

interno con procedimientos sustantivos para detección del fraude. Este constituiría

el trabajo de Auditoría Forense más completo.

o Un trabajo de procedimientos previamente convenidos, cuando, por ejemplo, la

administración ha delimitado el alcance del trabajo y los procedimientos del

auditor se ajustan a esos términos, o cuando la compañía ha diseñado los

procedimientos y contrata al auditor forense para llevarlos a cabo.



5

Evaluación de Riesgos

Aceptación / Continuidad de Clientes

El término “Evaluación de Riesgos” abarca muchos aspectos de una auditoría. No solo se

trata de la evaluación de lo riesgos propios del negocio, es decir, riesgos de error y en el

caso particular de una Auditoría Forense, los riesgos de fraude a todos los niveles y en

todas sus categorías; más bien, la Evaluación de Riesgos es parte de la Administración

del Riesgo de Auditoría, que comienza desde antes de aceptar a un cliente. No sería ético

ni conveniente aceptar a un cliente cuya reputación o comportamiento ético está puesto

en duda. Eventualmente el auditor encontraría compañías que cometen fraude o que,

debido a debilidades materiales en su estructura organizativa o su sistema de control

interno, sufren constantemente fraudes. Por principio, el auditor no debe aceptar un

trabajo cuando sabe que la administración de la compañía que solicita los servicios está

involucrada en fraude (p.e. Defraudación fiscal, evasión fiscal, fraude financiero, fraude

de información, etc.) y por conveniencia, en el caso de aquellas compañías que tienen un

historial negativo de fraude, debería evaluar si acepta o no al cliente. La evaluación de la

aceptación o continuidad de un cliente aporta información que le permite al auditor, no

solo rechazar o aceptar a un cliente, si no también determinar cual sería la naturaleza y

alcance de los servicios y por consiguiente cual sería el importe más apropiado de

honorarios profesionales por esos servicios.

Una Auditoría Forense necesita como soporte un documento que ampare la evaluación

objetiva de los riesgos que conllevan aceptar o continuar con un cliente. El proceso de

evaluar a un cliente o un cliente potencial contribuye desde ya con evidencia de auditoría

útil para la Evaluación de Riesgos y la Planificación.

Conocimiento del Negocio

Es importante adquirir un conocimiento del negocio para realizar una adecuada

planificación de la Auditoría Forense. Este conocimiento estaría compuesto de la

siguiente forma:



6

o Conocimiento general de la industria en que opera la entidad.

o Conocimiento más particular de la entidad.

El conocimiento del negocio nos permitiría identificar y evaluar riesgos que servirían

para planificar mejor nuestro trabajo sustantivo. Por el contrario, una planificación sin un

conocimiento apropiado del negocio y su industria resultaría en una mala administración

del riesgo de auditoría, y como consecuencia los objetivos que se tracen no se alcanzarían

de forma satisfactoria. Es importante mencionar también que aunque un auditor forense

tenga experiencia previa en compañías que se dedican a una industria en particular, no

puede concluir que las compañías que audite, aunque se dedican exactamente a la misma

actividad, tienen los mismos riesgos. Sin importar el nivel de experiencia, esto se

consideraría una conclusión a priori. La evaluación de riesgos merecen una atención

especial, aun si somos los auditores recurrentes; es asimismo muy importante la escoger

los procedimientos más adecuados para evaluar riesgos y también las formas más

adecuadas para documentarlos.

Documento de Planificación

Es de suma importancia llevar a cabo la apropiada documentación de la Planificación de

una Auditoría Forense. El Documento de Planificación debe mostrar:

o Congruencia de los procedimientos planificados con el alcance del trabajo.

o Oportunidad de los procedimientos.

o Distribución de tareas entre los miembros del equipo de trabajo.

o Uso de especialistas.

o Otras decisiones clave de la estrategia de auditoría

o Enfoque general.



7

o Matriz de Riesgos.

o Objetivos relacionados con los riesgos identificados.

o Relación clara entre los procedimientos dirigidos a alcanzar los objetivos y la

cobertura de riesgos.

o Otros temas como escepticismo profesional, independencia, temas éticos, etc.

o Programas de auditoría, donde se documentan los procedimientos planificados,

que son consistentes con: la estrategia general, los riesgos identificados y los

objetivos trazados.

Programas de Auditoría Forense Los Programas de Auditoría son Papeles de Trabajo muy importantes dentro de la

documentación de la Planificación de la Auditoría Forense, debido a que en ellos se

documentan:

o Nombre del procedimiento

o Descripción detallada de los procedimientos planificados

o Responsable de realizar el procedimiento y oportunidad de la ejecución

o Responsable de revisar el procedimiento y oportunidad de la revisión

o Referencia del Papel de Trabajo en donde se documenta el procedimiento

(Aunque el Auditor Forense puede optar por documentar todos sus

procedimientos en un solo Programa de Auditoría, es más apropiado y profesional

documentarlos en Programas separados, cuyo orden responda a los objetivos

planificados.)

o Referencia al Objetivo de Auditoría Forense determinado en la Planificación que

se cubre con cada procedimiento.

Señales de Fraude Como resultado de indagaciones, observaciones e inspección de documentos, tanto en la

etapa de Planificación como en la Ejecución del Trabajo, el Auditor Forense podría

detectar posibles brechas, en donde la posibilidad de que ocurra un fraude es más certera

que remota. En otras palabras, cuando el auditor lleva a cabo procedimientos para

entender el negocio, su industria, su medio ambiente, su organización, sus objetivos y



8

estrategias de negocio, y lleva a cabo algunos procedimientos generales de revisión (por

ejemplo, revisión de algunas integraciones o documentos) sin necesidad de ahondar

mucho en la revisión, entre otros temas, puede detectar desde ya Señales de Fraude.

En la siguiente página listamos solo algunos ejemplos de situaciones que podrían

constituir Señales de Fraude:



9

Historial de ajustes del ente supervisor

Marco regulatorio complejo

Evasión o elusión fiscal La entidad ha reportado pérdidas fiscales importantes, sin embargo no presenta problemas de negocio en marcha

La entidad maneja información sensible, confidencial de carácter comercial y/o tecnológico

Espionaje industrialLa entidad comercializa productosindustriales sobre los que posee fórmulas exclusivas

Deficiencias de archivo y custodia de documentos clave

Supresión de registrosHistorial de fraude

Incentivos sobre captación o colocación de transacciones (cartera, inversiones, etc.)

Falsificación de transacciones

Fuertes incentivos sobre ventas al crédito (ventas ficticias)

Planes de expansión ambiciosos, que requieren financiamiento externo

Incentivos gerenciales asociados a metas cuya medición se hace sobre indicadores financieros (margen de ventas, estadísticas de ventas, EBTDA, u otros)

Manipulación de cifrasPresupuestos o metas de ventas muy agresivos

Malas prácticas de inventario (no hay tomas físicas frecuentes, no hay libro auxiliar, o tienen deficiencias materiales)

Compañía se dedica al transporte y custodia de valores

Inventarios de “Activos Dulces”, tales como electrodomésticos, artículos de consumo masivo, de fácil venta o altamente rentables.

Faltantes de inventario o de caja por montos importantes

Apropiación indebida de activos

Deficiencias en el sistema de control internorelacionadas a la asignación de responsabilidad sobre custodia de activos.

Cantidades extraordinarias de inventariopero la demanda es baja.

Pagos importantes de honorarios a tercerospor servicios prestados cuya naturaleza resulta confusa o dudosa

Lavado de dinero y otros activos

Cantidades fuertes de depósitos en circulación (no operados en contabilidad), o bien, pasivos importantes no liquidados de considerable antigüedad

Posible FraudeCondición o Evento

Historial de ajustes del ente supervisor

Marco regulatorio complejo

Evasión o elusión fiscal La entidad ha reportado pérdidas fiscales importantes, sin embargo no presenta problemas de negocio en marcha

La entidad maneja información sensible, confidencial de carácter comercial y/o tecnológico

Espionaje industrialLa entidad comercializa productosindustriales sobre los que posee fórmulas exclusivas

Deficiencias de archivo y custodia de documentos clave

Supresión de registrosHistorial de fraude

Incentivos sobre captación o colocación de transacciones (cartera, inversiones, etc.)

Falsificación de transacciones

Fuertes incentivos sobre ventas al crédito (ventas ficticias)

Planes de expansión ambiciosos, que requieren financiamiento externo

Incentivos gerenciales asociados a metas cuya medición se hace sobre indicadores financieros (margen de ventas, estadísticas de ventas, EBTDA, u otros)

Manipulación de cifrasPresupuestos o metas de ventas muy agresivos

Malas prácticas de inventario (no hay tomas físicas frecuentes, no hay libro auxiliar, o tienen deficiencias materiales)

Compañía se dedica al transporte y custodia de valores

Inventarios de “Activos Dulces”, tales como electrodomésticos, artículos de consumo masivo, de fácil venta o altamente rentables.

Faltantes de inventario o de caja por montos importantes

Apropiación indebida de activos

Deficiencias en el sistema de control internorelacionadas a la asignación de responsabilidad sobre custodia de activos.

Cantidades extraordinarias de inventariopero la demanda es baja.

Pagos importantes de honorarios a tercerospor servicios prestados cuya naturaleza resulta confusa o dudosa

Lavado de dinero y otros activos

Cantidades fuertes de depósitos en circulación (no operados en contabilidad), o bien, pasivos importantes no liquidados de considerable antigüedad

Posible FraudeCondición o Evento



10

TIPIFICACIÓN DE ACCIONES QUE INVOLUCRAN ALTO RIESGO DE FRAUDE Y CORRUPCIÓN 1. Gran dominio del administrador principal o de uno o más de los que le siguen cuando

se presentan las siguientes condiciones:

• Consejo de Administración o Directorio que no funciona o es inefectivo.

• Indicadores que señalan que el administrador principal, pasa por alto los más

importantes controles internos contables.

• Compensaciones y otras opciones disponibles asociadas a resultados o a transacciones

especificas, sobre las que el administrador principal debe incorporar controles.

• Señales de que el personal de finanzas tiene problemas con el administrador principal.

• Alta influencia del administrador principal sobre la organización, en lo que respecta a

condiciones y compensaciones de remuneración y su estatus en la misma.

2. Deterioro en las utilidades, que son señalas por los siguientes factores:

• Disminución en el volumen y cantidad de ventas, aumento en el riesgo de crédito o

ventas bajo el costo.

• Cambios importantes en las prácticas comerciales.

• Exceso de interés por parte del administrador principal en las utilidades por acción

dependiendo del efecto de la aplicación de alternativas contables.

3. Condiciones en los negocios que pueden crear presiones poco usuales:

• Inadecuado capital de trabajo.

• Poca flexibilidad y restricciones para endeudamiento, poco capital de trabajo y

limitaciones para la obtención de créditos.

• Rápida expansión de un producto o exceso de compra-venta de una línea de producto en

comparación a la industria en general.

• Gran inversión de los recursos de la organización en otra industria para proyectar un

gran cambio, sobre todo en tecnologías.



11

Compleja estructura organizacional cuya sofisticación no aparenta ser lo mejor para las

operaciones y tamaño de la organización.

5. Gran dispersión de los locales de la organización, aunada a una alta descentralización

administrativa con inadecuados sistemas de información.

6. Poco personal y que requiera que los empleados trabajen mas de lo normal, que no les

permita vacaciones y se produzcan excesos de pago por horas extras.

7. Alta rotación del personal clave en el área de finanzas, como es el caso del tesorero y

del contralor.

8. Cambios constantes en los auditores externos y asesores legales.

9. Pocos conocimientos en materia de control interno y debilidad del mismo en algunas

áreas que requieren reforzamiento, como el caso de:

• Acceso a los procesos de los sistemas de información, y que el equipo periférico no esté

controlado adecuadamente.

• Funciones incompatibles en personal clave.

10. Transacciones materiales que pueden involucrar conflictos de interés.

11. Anuncios prematuros sobre resultados o expectativas futuras de operación.

12. Una revisión analítica a los procedimientos descubre fluctuaciones importantes que

no pueden ser razonablemente explicadas por ejemplo:

• Cuentas de Balance.

• Interrelaciones financieras u operacionales.

• Variaciones de inventarios físicos.

• Índices de rotación de inventarios.



12

13. Transacciones importantes y poco usuales, particularmente al cierre del ejercicio, con

efectos materiales en las utilidades.

14. Se han efectuado pagos importantes y poco usuales, particularmente al cierre del

ejercicio, con efectos materiales en las utilidades.

15. Dificultad en la obtención de evidencia de auditoría con respecto a:

• Asientos contables poco usuales o sin explicación.

• Documentación y o autorización incompleta o extraviada.

• Documentos o cuentas alteradas.

16. Durante el desarrollo de una auditoría de estados financieros se presentan problemas

como los siguientes:

• Presión porque se concluya la auditoría en un tiempo menor a lo normal y bajo

condiciones difíciles.

• Presencia constante de situaciones que provocan retrasos.

• Evasivas o respuestas poco razonables por parte de la administración a requerimientos

de los auditores.

Dentro de una capacitación en auditoría forense se debe tener en cuenta entre otras las

siguientes áreas: técnicas policiales, análisis de inteligencia, investigación mediante el

uso de fuentes abiertas e Internet, investigación de fraudes, investigación de corrupción

pública, detección y prevención de lavado de activos, investigación en asuntos aduaneros

y contrabando, ética, etc.

Uso De Las Computadoras En La Detección Del Fraude Para llevar a cabo una Auditoría Forense es posible el uso de las Técnicas de Auditoría

Asistidas por el Computador (TAAC´s). Si estos procedimientos se desarrollan de forma

adecuada, pueden resultar muy provechosos para el auditor.



13

El uso de la computadora para detectar el fraude facilita mucho la labor y asimismo

incrementa sustancialmente el alcance de los procedimientos, puesto que hace uso del

Sistema de Información de la compañía sujeta a Auditoría Forense. Estos procedimientos

pueden desarrollarse en tiempo real o, como normalmente se desarrollan, sobre bases de

datos históricas. A continuación la explicación de cada una de estas:

o En tiempo real: Estos procedimientos se pueden desarrollar en línea,

haciendo uso de la intranet de la compañía; un ejemplo de estos procedimientos

sería el monitoreo de actividades de los diversos usuarios.

o Sobre bases de datos: Se realizan sobre las bases de datos proporcionadas por la

compañía, diseñadas para detectar registros relacionados con transacciones

irregulares.

El Auditor Forense puede considerar dos aspectos para utilizar a las computadoras como

una herramienta eficaz para desarrollar sus procedimientos de auditoría:

Ø Evaluación del Sistema de Información del Cliente

Ø Desarrollo de pruebas sobre información disponible en el sistema, para detección

de fraude.

La evaluación del Sistema de Información del cliente al que le presta los servicios de

Auditoría Forense, sirve para determinar el nivel de confianza que puede depositar en la

información que se extraiga del sistema.

En algunos casos el Auditor Forense se vería en la obligación de limitar e incluso

renunciar a efectuar pruebas asistidas por computadoras. Ejemplos de estos casos son los

siguientes:

No hay un Sistema de Información integrado. Algunas empresas cuentan con

algunas aplicaciones bastante sencillas y poco seguras, que no conforman un

Sistema de Información como tal, por lo cual, si hubiera información disponible



14

para efectuar pruebas asistidas por la computadora, no sería aceptablemente

confiable.

El Sistema presenta serias deficiencias para el ingreso, procesamiento y

almacenamiento de información.

No hay un “Gerente de Tecnología” o un cargo equivalente que atienda los

aspectos relacionados a la seguridad y eficiencia del Sistema de Información

Deficiencias en la seguridad física y lógica del Sistema.

No hay una adecuada definición de responsabilidades, segregación y separación

de funciones, restricción de accesos, etc. a nivel del sistema (deficiencias en la

configuración y administración de usuarios).

El Sistema de Información es muy vulnerable.

El Sistema procesa la información de forma efectiva, sin embargo, su estructura

dificulta significativamente hacer consultas.

Información vital para realizar pruebas no está disponible en el sistema. Por

ejemplo: el sistema no registra el nombre de usuario que registra transacciones, la

hora, fecha, etc.

Si el Auditor Forense planea efectuar procedimientos asistidos por la Computadora, debe

apoyarse en un especialista en Tecnología Informática (Ingeniero en Sistemas, Auditor de

Sistemas o Licenciado en Informática) para poder concluir si es efectivo realizar dichas

pruebas, basado en una evaluación de “Riesgo de Tecnología”. Si no hace esa evaluación

ocurren dos cosas:

v Los procedimientos por medio del computador deben ser de menor

alcance, y por lo tanto, menos críticos.

v Eventualmente, no podría desarrollar procedimientos por medio del

computador sin tener que realizar procedimientos exhaustivos de



15

validación (por ejemplo, solicitar acceso directo a las bases de datos,

validar la información con datos externos, etc.) si la compañía es muy

dependiente de su sistema, tal el caso de los Bancos.

Lo anterior por supuesto es también un tema de Costo-Beneficio. El Costo de evaluar el

Sistema de Información del Cliente es normalmente bastante considerable. Realizar

pruebas por medio de computadoras sin evaluar el Sistema de Información del cliente, es

un pecado capital en la práctica profesional, conocido como Confianza Inadvertida,

cuyas consecuencias pueden ser fatales. Es importante recordar que, manteniendo

siempre el escepticismo profesional, el Auditor Forense debe desarrollar procedimientos

eficaces para detectar “lobos con piel de oveja”. Un Sistema de Información tiene la

ventaja de que nos puede pintar un panorama muy diferente al de la realidad de una

empresa, por lo tanto, una prueba realizada por medio de la computadora sobre

información cuyo origen no hemos probado si es aceptablemente confiable, provee

evidencia que no tiene valor alguno. Eventualmente el auditor puede encontrarse con un

cliente cuyo Sistema de Información sea aceptablemente confiable, sin embargo, esto no

lo exime de realizar pruebas de validación de la información proporcionada, tales como

probar la integridad y exactitud de los reportes, sumándolos y comparándolos con

información alterna antes de efectuar cualquier prueba.

Ejemplo de Procedimientos Asistidos por Computadoras para Detección de Fraude

A continuación presentamos ejemplos de procedimientos que el Auditor Forense puede

llevar a cabo haciendo uso de la Tecnología Informática para:

ü Evaluar el Sistema de Información del cliente para determinar el nivel de

confianza que puede depositar en la información que se extraiga de su sistema y

para evaluar el riesgo de fraude en el sistema de información.

ü Procedimientos para detección de fraude



16

Procedimientos para evaluar el Riesgo de Fraude en el Sistema de Información y determinar el nivel de confianza y alcance de los procedimientos de auditoría.

Procedimiento Objetivos

Entrevista con el Gerente de Tecnología. Elaborar un cuestionario con preguntas clave: sistemas operativos, número de usuarios, experiencia en sistemas, tipo de bases de datos, aplicaciones clave, aplicaciones externas y desarrolladas internamente, etc.

Ø Determinar si hay una persona competente a cargo de la administración del sistema de información

Ø Conocer la estructura de la red, el tipo de base de datos, las aplicaciones principales, los administradores y usuarios

Ø Planificar los procedimientos restantes Inspección del Catálogo de Usuarios contra perfiles de puesto Consiste en solicitar una lista que detalle el nombre de los empleados, el puesto y el nombre de usuario y los privilegios y restricciones

Ø Evaluar la adecuada segregación de funciones a nivel de sistema

Ø Evaluar la seguridad del sistema en función de los perfiles de usuario

Ø Detectar deficiencias en la asignación de usuarios, tales como, usuarios de empleados que ya no están en la entidad, usuarios con privilegios ilimitados, etc.

Ø Detectar riesgo de fraude, por ejemplo, si los usuarios finales tienen privilegios para editar/eliminar registros.

Ø Conocer la estructura organizativa de los usuarios del sistema para considerarlo en las pruebas de auditoría restantes

Hackeo del Sistema Consiste en ingresar a la red con un usuario externo para efectuar pruebas tales como: consulta de bases de datos “restringidas”, copiar información sensible, tener acceso total a las terminales, introducir información, editar información, etc. Nota: El “Hackeo” es un delito. Para hacer esta prueba se requiere de un permiso especial del cliente. Se haría estrictamente con el propósito de evaluar el Sistema.

Ø Permite concluir el nivel de vulnerabilidad del sistema

Ø Descubre las brechas que pueden ser utilizadas para perpetrar fraude

Ø Identifica las áreas más sensibles al fraude

Prueba de perfiles de usuarios en el sistema Lo que se hace en este procedimiento es comprobar en el sistema si los privilegios y restricciones asignadas están efectivamente configuradas en el sistema. Por ejemplo, si los vendedores no tienen permitido modificar precios, solicitamos a un vendedor que en presencia nuestra intente modificar el precio.

Ø Valida el Catálogo de Usuarios Ø Comprueba los privilegios de usuarios Ø Detecta “superusuarios”, que serían

portadores de riesgo de fraude. Ø Detecta operaciones permitidas por el

sistema que constituyan “oportunidades de fraude”.



17

Seguridad física y lógica Consiste en inspeccionar el resguardo de los servidores y la configuración del software, para la restricción de usuarios y la protección de datos, procesos y programas

Ø Evaluar el riesgo de robo de información Ø Evaluar el riesgo de destrucción de

información

Evaluación del perfil de la Gerencia de TI (Tecnología de Información) Entrevista con personal clave de TI, para determinar si cuentan con el nivel adecuado de experiencia y capacidad. Determinar su perfil en cuanto reputación y valores, y considerar los incentivos laborales que disfrutan

Ø Evaluar el riesgo de que personal clave de TI viole los controles

Ø Riesgo de que el personal de TI esté involucrado en instancias de fraude

Ø Determinar si el personal de TI es capaz monitorear los controles antifraude y responder adecuadamente ante las alertas

Monitoreo de los Directores sobre la Tecnología de TI

Ø Establecer la frecuencia y calidad de las actividades de monitoreo sobre el sistema de información

Ejemplos de Procedimientos para la Detección de Fraude

Procedimiento Objetivos Revisión de Asientos Manuales El auditor solicita la base de datos de partidas de diario que contenga:

o Usuario que operó o Usuario que aprobó o Fecha de operación/aprobación o Hora de operación/aprobación o Monto o Cuentas de cargo y abono o Descripción

Con lo anterior el auditor podría listar e investigar:

o Partidas operadas en horarios extraordinarios

o Partidas operadas en días festivos o no hábiles

o Partidas operadas por usuarios no autorizados

o Partidas manuales que afectan cuentas o de ingresos o Partidas manuales que liquidan pasivos o Partidas registradas, pero no autorizadas o Cifras terminadas en …99.99 (permitiría

detectar override de controles aplicados de acuerdo al rangos de importes)

Ø Detectar registros manuales fraudulentos. Ø Detectar registros relacionados a posibles

casos de fraude.

Reportes de excepciones El auditor solicitaría una base de datos de documentos clave, tales como: facturas, notas de débito, notas de crédito, cheques, etc.

Ø Detectar operaciones eliminadas, para apropiarse del efectivo.

Ø Detectar operaciones ficticias Ø Detectar operaciones no autorizadas que se



18

Listaría y revisaría: o Documentos anulados, cuyos importes

sean significativos o Documentos emitidos-procesados en

horarios pocos usuales o en días festivos o Documentos emitidos-procesados por

usuarios fantasmas o “inactivos” o Concentración de operaciones en

algunos usuarios o Documentos emitidos-procesados por

usuarios no autorizados o cuyo perfil no es compatible

realizan en beneficio de terceros, por ejemplo, concesión no autorizada de descuentos, precios especiales, etc.

Componentes del Planteamiento de un Proyecto (Auditoría Forense)

Evaluación del Riesgo de Aceptación El auditor evalúa los riesgos que conlleva aceptar o continuar con un proyecto. Es parte

integral del flujo de trabajo de una Auditoría Forense.

Definición de los Términos del Trabajo El auditor formaliza el acuerdo con el cliente sobre la naturaleza de los servicios que le

prestará. Delimita los trabajo y lo documenta en una Carta Convenio o Contrato de

Servicios

Evaluación aceptación

Planificación

Ejecución

Conclusión

Informe

Definición de los Términos del Trabajo



19

Planificación El auditor decide: Ø El enfoque general

Ø Equipo de trabajo y atribuciones

Ø Oportunidad de los procedimientos

Ø El uso de especialistas

Ø Programas de Auditoría (procedimientos planeados)

Ø Estrategia general de auditoría

Estas decisiones serán consistentes con los Términos del Trabajo.

Ejecución El auditor lleva a cabo los procedimientos planificados, reúne la evidencia de auditoría,

produce papeles de trabajo que documentan su labor y la calidad y cantidad de evidencia

recolectada.

Conclusión El auditor evalúa la calidad de la evidencia y la utiliza para determinar si los objetivos

fueron alcanzados. Determina la naturaleza y contenido del Informe, que es el producto

final de una auditoría

En esta etapa se lleva a cabo lo siguiente: • Evaluación de los resultados de la auditoría

• Identificación de los problemas a solucionar

• Identificación de las mejoras a reportar

• Evaluación de los riesgos y sus efectos

• Análisis de las causas y posibles soluciones a los problemas que dan origen a

riesgos

La preparación del Informe abarca: • Redacción de las observaciones y recomendaciones específicas y conclusiones de

la Auditoría Forense.



20

• Identificación de recomendaciones de ampliación de criterios y parámetros de

evaluación.

• Determinación de los indicadores de riesgos

• Recomendaciones para la reformulación del modelo operativo de la entidad.

• Emisión del Informe de Auditoría Forense

SEGUIMIENTO DE RECOMENDACIONES Y COMPROMISOS DE AUDITORÍA.

En auditorías ulteriores, si somos los auditores recurrentes, la labor de seguimiento de las

recomendaciones de los informes es de suma importancia. También lo es en la etapas

interinas de la auditoría. Esta actividad está compuesta por, pero no limitada a:

• Planificación para el seguimiento de las recomendaciones y de los compromisos

de Auditoría.

• Revisión de cumplimiento de recomendaciones.

• Evaluación de compromisos de auditoría

• Informe final de Auditoría Forense

• Resguardo de la información de respaldo.



21

Conclusiones

En la generalidad de las empresas, el delito más temido es el fraude, aún frente a muchos

otros crímenes como el lavado de dinero, el terrorismo, el secuestro, el sabotaje y el

hurto. Estas amenazas están adquiriendo fuerza, fomentada en gran medida por una

creciente complejidad en los negocios, el impacto de la globalización, principalmente en

los movimientos de fondos entre diferentes países, los riesgos implícitos en el trato con

diferentes culturas y un mayor uso de tecnologías en la gestión de los negocios. Todo ello

ha llevado a una sensación de mayor riesgo entre los empresarios y entidades

gubernamentales de los más diversos sectores y países, por lo que las compañías no se

sienten protegidas contra el fraude o los defraudadores que se están adelantando a los

controles, especialmente en las áreas críticas de los negocios de la empresa. Para

enfrentar dicha situación, concluimos que la existencia de un modelo para la realización

de la Auditoría Forense, con las características propias de los modelos de control y de

investigación, basado en procedimientos y técnicas existentes en la Auditoría financiera o

Interna, debe permitir contar con un nuevo enfoque y nuevas herramientas que ayuden a

detectar y combatir los delitos cometidos por parte de empleados deshonestos o

patrocinadores externos contra los bienes de las personas, empresas y de las

organizaciones en general.

El contador público debe estar preparado para la realización de una investigación

especial, decidiendo en una primera instancia si el trabajo es aceptable o no. Para ello

debe cumplir con los requisitos y condiciones necesarias para realizar una Auditoría

Forense, conocer y examinando los hechos y circunstancias de cada caso, resguardando

los aspectos éticos y la dignidad profesional, emitiendo opiniones, recomendaciones y

demostración de hechos que permitirán la aplicación de la justicia y el resguardo de los

bienes de las personas e instituciones.



22

BIBLIOGRAFÍA

Artículo: Fraud Risk Assesment – Know where you are vulnerable. E&Y, año

2008.

Enterprise Risk Assesment, by the Committee of Sponsoring Organizations of the

Treadway Commission. (COSO)

Specific Topics – Fraud, KPMG, año 2008.

Arens, Alwin A. (2006): “Auditoría: un enfoque integral”; Prentice Hall

Hispanoamericana

Declaración Sobre Normas de Auditoría, SAS N°78; American Institute Of

Certified Public Accountants; Traducción: Instituto Mexicano de Contadores

Públicos.

Los Nuevos Conceptos del Control Interno (Informe COSO); Coopers & Librand.

auditoría forense - flujo del proceso

Documents