Auditoría Forense - Flujo del proceso
-
Upload
arielflorian -
Category
Documents
-
view
10.545 -
download
1
description
Transcript of Auditoría Forense - Flujo del proceso
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
1
TABLA DE CONTENIDOS
Introducción.................................................................................................................... 2 Planificación de una Auditoría Forense ........................................................................... 2
Consideración de los Términos del Trabajo (Alcance de los Servicios)........................ 2 Evaluación de Riesgos................................................................................................. 5
Aceptación / Continuidad de Clientes ...................................................................... 5 Conocimiento del Negocio ...................................................................................... 5 Documento de Planificación .................................................................................... 6 Programas de Auditoría Forense .............................................................................. 7
Señales de Fraude............................................................................................................ 7 Tipificación De Acciones Que Involucran Alto Riesgo De Fraude Y Corrupción ...... 10
Uso De Las Computadoras En La Detección Del Fraude ............................................... 12 Ejemplo de Procedimientos Asistidos por Computadoras para Detección de Fraude .. 15
Procedimientos para evaluar el Riesgo de Fraude en el Sistema de Información y determinar el nivel de confianza y alcance de los procedimientos de auditoría. ...... 16 Ejemplos de Procedimientos para la Detección de Fraude...................................... 17
Componentes del Planteamiento de un Proyecto (Auditoría Forense) ............................ 18 Evaluación del Riesgo de Aceptación .................................................................... 18 Definición de los Términos del Trabajo ................................................................. 18 Planificación.......................................................................................................... 19 Ejecución .............................................................................................................. 19 Conclusión ............................................................................................................ 19 Seguimiento De Recomendaciones Y Compromisos De Auditoría......................... 20
Conclusiones................................................................................................................. 21 Bibliografía ................................................................................................................... 22 Parte Práctica……………………………………………………………………………..23
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
2
Introducción Actualmente los sistemas de información se han vuelto críticos para todos los negocios
grandes y de uso común para la mayoría de negocios en todas las industrias. Hoy por hoy
si un negocio no cuenta con un sistema de información tiene una seria desventaja
competitiva.
Las compañías a nivel mundial están haciendo esfuerzos económicos para incorporar
aplicaciones de TI (Tecnología de Información) a todos sus procesos de negocios, ya no
solo a la contabilidad, sino hasta la planificación de producción, presupuestos,
administración de recursos humanos, administración de riesgos, auditoría, etc.
El Contador Público y Auditor que presta el servicio de Auditoría de Estados Financieros
se enfrenta a este reto: Auditoría de Estados Financieros en un Ambiente PED, o con una
dependencia significativa de un sistema de información. En resumen, debería incorporar a
un especialista de TI cuando la dependencia es muy significativa, adicionalmente
Planificación de una Auditoría Forense
Consideración de los Términos del Trabajo (Alcance de los Servicios)
Es importante considerar en la planificación de una Auditoría Forense los términos del
trabajo, los cuales deben estar bien documentados. Normalmente se utilizan dos
documentos para registrar la naturaleza, oportunidad y alcance de los procedimientos y de
los productos entregables:
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
3
a. Carta Convenio: Este documento contiene la Propuesta de Servicios
Profesionales. En algunos casos, el profesional puede requerir una
Carta de Aceptación de la alta Gerencia de la entidad para darle
validez al documento.
b. Contrato de
Servicios: Documento legal que incluye los términos del trabajo. Es
vinculante entre las partes y tiene total validez jurídica. Obliga a
atender las cláusulas en él contenidas.
Los “Términos del Trabajo” documentados en los documentos arriba referidos, no son
más que la declaración clara y concisa de:
ü La naturaleza del trabajo
ü La metodología del trabajo
ü Las responsabilidades del Auditor
ü Las responsabilidades de la Administración
ü Las limitaciones inherentes del trabajo
ü Los métodos de resolución de controversias
ü La delimitación de los servicios
ü Lista de informes entregables
ü Oferta Económica
Estos documentos forman parte de los Papeles de Trabajo que le permiten al auditor
administrar el Riesgo de Auditoría. En palabras simples, el auditor mitiga el riesgo de que
la administración “malinterprete” la naturaleza del trabajo o que tenga expectativas
equivocadas con respecto a los resultados de la Auditoría Forense. Ésta, como cualquier
auditoría, tiene sus limitaciones inherentes, por lo que el auditor debe acordar claramente
con la Gerencia de la entidad a la que le preste los servicios, en qué consiste el trabajo y
qué resultados habrá, de tal forma que se exprese de forma implícita que resultados no se
pueden esperar del trabajo.
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
4
El auditor debe acudir a los “Términos del Trabajo” para elaborar su Planificación,
porque ésta debe ser totalmente consistente con tales términos. En cuanto a los Términos
del Trabajo de una Auditoría Forense, en general, lo que debe se debe documentar en la
Propuesta de Servicios Profesionales o en el Contrato de Servicios es lo siguiente:
o Si se trata de una Auditoría Forense para detección de fraude, en donde se tiene
conocimiento de un hecho ilícito efectivamente ocurrido. En este caso los
procedimientos son más específicos y el trabajo está más delimitado, puesto que
se circunscribe a la evidencia relacionada con el hecho ocurrido, la naturaleza,
oportunidad y alcance de los procedimientos quedan a discreción del auditor
forense.
o Si se trata de una Auditoría Forense para detección de fraude, en donde la alta
gerencia o los dueños solo tienen sospechas de la ocurrencia de un hecho ilícito.
Este trabajo necesitaría mayor alcance, y requeriría de evidencia alternativa para
ser correlacionada, con el propósito de detectar el hecho ocurrido o determinar
que no ocurrió ilícito alguno.
o Si se trata de una Auditoría Forense para prevención del fraude en donde el
auditor evalúa el sistema de control interno y asesora a la compañía para diseñar e
implementar controles antifraude o a mejorar los controles antifraude
implementados por el cliente, a fin de que provean seguridad razonable sobre la
adecuada prevención y detección del fraude.
o Una combinación procedimientos diseñados para fortalecer el sistema de control
interno con procedimientos sustantivos para detección del fraude. Este constituiría
el trabajo de Auditoría Forense más completo.
o Un trabajo de procedimientos previamente convenidos, cuando, por ejemplo, la
administración ha delimitado el alcance del trabajo y los procedimientos del
auditor se ajustan a esos términos, o cuando la compañía ha diseñado los
procedimientos y contrata al auditor forense para llevarlos a cabo.
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
5
Evaluación de Riesgos
Aceptación / Continuidad de Clientes
El término “Evaluación de Riesgos” abarca muchos aspectos de una auditoría. No solo se
trata de la evaluación de lo riesgos propios del negocio, es decir, riesgos de error y en el
caso particular de una Auditoría Forense, los riesgos de fraude a todos los niveles y en
todas sus categorías; más bien, la Evaluación de Riesgos es parte de la Administración
del Riesgo de Auditoría, que comienza desde antes de aceptar a un cliente. No sería ético
ni conveniente aceptar a un cliente cuya reputación o comportamiento ético está puesto
en duda. Eventualmente el auditor encontraría compañías que cometen fraude o que,
debido a debilidades materiales en su estructura organizativa o su sistema de control
interno, sufren constantemente fraudes. Por principio, el auditor no debe aceptar un
trabajo cuando sabe que la administración de la compañía que solicita los servicios está
involucrada en fraude (p.e. Defraudación fiscal, evasión fiscal, fraude financiero, fraude
de información, etc.) y por conveniencia, en el caso de aquellas compañías que tienen un
historial negativo de fraude, debería evaluar si acepta o no al cliente. La evaluación de la
aceptación o continuidad de un cliente aporta información que le permite al auditor, no
solo rechazar o aceptar a un cliente, si no también determinar cual sería la naturaleza y
alcance de los servicios y por consiguiente cual sería el importe más apropiado de
honorarios profesionales por esos servicios.
Una Auditoría Forense necesita como soporte un documento que ampare la evaluación
objetiva de los riesgos que conllevan aceptar o continuar con un cliente. El proceso de
evaluar a un cliente o un cliente potencial contribuye desde ya con evidencia de auditoría
útil para la Evaluación de Riesgos y la Planificación.
Conocimiento del Negocio
Es importante adquirir un conocimiento del negocio para realizar una adecuada
planificación de la Auditoría Forense. Este conocimiento estaría compuesto de la
siguiente forma:
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
6
o Conocimiento general de la industria en que opera la entidad.
o Conocimiento más particular de la entidad.
El conocimiento del negocio nos permitiría identificar y evaluar riesgos que servirían
para planificar mejor nuestro trabajo sustantivo. Por el contrario, una planificación sin un
conocimiento apropiado del negocio y su industria resultaría en una mala administración
del riesgo de auditoría, y como consecuencia los objetivos que se tracen no se alcanzarían
de forma satisfactoria. Es importante mencionar también que aunque un auditor forense
tenga experiencia previa en compañías que se dedican a una industria en particular, no
puede concluir que las compañías que audite, aunque se dedican exactamente a la misma
actividad, tienen los mismos riesgos. Sin importar el nivel de experiencia, esto se
consideraría una conclusión a priori. La evaluación de riesgos merecen una atención
especial, aun si somos los auditores recurrentes; es asimismo muy importante la escoger
los procedimientos más adecuados para evaluar riesgos y también las formas más
adecuadas para documentarlos.
Documento de Planificación
Es de suma importancia llevar a cabo la apropiada documentación de la Planificación de
una Auditoría Forense. El Documento de Planificación debe mostrar:
o Congruencia de los procedimientos planificados con el alcance del trabajo.
o Oportunidad de los procedimientos.
o Distribución de tareas entre los miembros del equipo de trabajo.
o Uso de especialistas.
o Otras decisiones clave de la estrategia de auditoría
o Enfoque general.
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
7
o Matriz de Riesgos.
o Objetivos relacionados con los riesgos identificados.
o Relación clara entre los procedimientos dirigidos a alcanzar los objetivos y la
cobertura de riesgos.
o Otros temas como escepticismo profesional, independencia, temas éticos, etc.
o Programas de auditoría, donde se documentan los procedimientos planificados,
que son consistentes con: la estrategia general, los riesgos identificados y los
objetivos trazados.
Programas de Auditoría Forense Los Programas de Auditoría son Papeles de Trabajo muy importantes dentro de la
documentación de la Planificación de la Auditoría Forense, debido a que en ellos se
documentan:
o Nombre del procedimiento
o Descripción detallada de los procedimientos planificados
o Responsable de realizar el procedimiento y oportunidad de la ejecución
o Responsable de revisar el procedimiento y oportunidad de la revisión
o Referencia del Papel de Trabajo en donde se documenta el procedimiento
(Aunque el Auditor Forense puede optar por documentar todos sus
procedimientos en un solo Programa de Auditoría, es más apropiado y profesional
documentarlos en Programas separados, cuyo orden responda a los objetivos
planificados.)
o Referencia al Objetivo de Auditoría Forense determinado en la Planificación que
se cubre con cada procedimiento.
Señales de Fraude Como resultado de indagaciones, observaciones e inspección de documentos, tanto en la
etapa de Planificación como en la Ejecución del Trabajo, el Auditor Forense podría
detectar posibles brechas, en donde la posibilidad de que ocurra un fraude es más certera
que remota. En otras palabras, cuando el auditor lleva a cabo procedimientos para
entender el negocio, su industria, su medio ambiente, su organización, sus objetivos y
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
8
estrategias de negocio, y lleva a cabo algunos procedimientos generales de revisión (por
ejemplo, revisión de algunas integraciones o documentos) sin necesidad de ahondar
mucho en la revisión, entre otros temas, puede detectar desde ya Señales de Fraude.
En la siguiente página listamos solo algunos ejemplos de situaciones que podrían
constituir Señales de Fraude:
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
9
Historial de ajustes del ente supervisor
Marco regulatorio complejo
Evasión o elusión fiscal La entidad ha reportado pérdidas fiscales importantes, sin embargo no presenta problemas de negocio en marcha
La entidad maneja información sensible, confidencial de carácter comercial y/o tecnológico
Espionaje industrialLa entidad comercializa productosindustriales sobre los que posee fórmulas exclusivas
Deficiencias de archivo y custodia de documentos clave
Supresión de registrosHistorial de fraude
Incentivos sobre captación o colocación de transacciones (cartera, inversiones, etc.)
Falsificación de transacciones
Fuertes incentivos sobre ventas al crédito (ventas ficticias)
Planes de expansión ambiciosos, que requieren financiamiento externo
Incentivos gerenciales asociados a metas cuya medición se hace sobre indicadores financieros (margen de ventas, estadísticas de ventas, EBTDA, u otros)
Manipulación de cifrasPresupuestos o metas de ventas muy agresivos
Malas prácticas de inventario (no hay tomas físicas frecuentes, no hay libro auxiliar, o tienen deficiencias materiales)
Compañía se dedica al transporte y custodia de valores
Inventarios de “Activos Dulces”, tales como electrodomésticos, artículos de consumo masivo, de fácil venta o altamente rentables.
Faltantes de inventario o de caja por montos importantes
Apropiación indebida de activos
Deficiencias en el sistema de control internorelacionadas a la asignación de responsabilidad sobre custodia de activos.
Cantidades extraordinarias de inventariopero la demanda es baja.
Pagos importantes de honorarios a tercerospor servicios prestados cuya naturaleza resulta confusa o dudosa
Lavado de dinero y otros activos
Cantidades fuertes de depósitos en circulación (no operados en contabilidad), o bien, pasivos importantes no liquidados de considerable antigüedad
Posible FraudeCondición o Evento
Historial de ajustes del ente supervisor
Marco regulatorio complejo
Evasión o elusión fiscal La entidad ha reportado pérdidas fiscales importantes, sin embargo no presenta problemas de negocio en marcha
La entidad maneja información sensible, confidencial de carácter comercial y/o tecnológico
Espionaje industrialLa entidad comercializa productosindustriales sobre los que posee fórmulas exclusivas
Deficiencias de archivo y custodia de documentos clave
Supresión de registrosHistorial de fraude
Incentivos sobre captación o colocación de transacciones (cartera, inversiones, etc.)
Falsificación de transacciones
Fuertes incentivos sobre ventas al crédito (ventas ficticias)
Planes de expansión ambiciosos, que requieren financiamiento externo
Incentivos gerenciales asociados a metas cuya medición se hace sobre indicadores financieros (margen de ventas, estadísticas de ventas, EBTDA, u otros)
Manipulación de cifrasPresupuestos o metas de ventas muy agresivos
Malas prácticas de inventario (no hay tomas físicas frecuentes, no hay libro auxiliar, o tienen deficiencias materiales)
Compañía se dedica al transporte y custodia de valores
Inventarios de “Activos Dulces”, tales como electrodomésticos, artículos de consumo masivo, de fácil venta o altamente rentables.
Faltantes de inventario o de caja por montos importantes
Apropiación indebida de activos
Deficiencias en el sistema de control internorelacionadas a la asignación de responsabilidad sobre custodia de activos.
Cantidades extraordinarias de inventariopero la demanda es baja.
Pagos importantes de honorarios a tercerospor servicios prestados cuya naturaleza resulta confusa o dudosa
Lavado de dinero y otros activos
Cantidades fuertes de depósitos en circulación (no operados en contabilidad), o bien, pasivos importantes no liquidados de considerable antigüedad
Posible FraudeCondición o Evento
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
10
TIPIFICACIÓN DE ACCIONES QUE INVOLUCRAN ALTO RIESGO DE FRAUDE Y CORRUPCIÓN 1. Gran dominio del administrador principal o de uno o más de los que le siguen cuando
se presentan las siguientes condiciones:
• Consejo de Administración o Directorio que no funciona o es inefectivo.
• Indicadores que señalan que el administrador principal, pasa por alto los más
importantes controles internos contables.
• Compensaciones y otras opciones disponibles asociadas a resultados o a transacciones
especificas, sobre las que el administrador principal debe incorporar controles.
• Señales de que el personal de finanzas tiene problemas con el administrador principal.
• Alta influencia del administrador principal sobre la organización, en lo que respecta a
condiciones y compensaciones de remuneración y su estatus en la misma.
2. Deterioro en las utilidades, que son señalas por los siguientes factores:
• Disminución en el volumen y cantidad de ventas, aumento en el riesgo de crédito o
ventas bajo el costo.
• Cambios importantes en las prácticas comerciales.
• Exceso de interés por parte del administrador principal en las utilidades por acción
dependiendo del efecto de la aplicación de alternativas contables.
3. Condiciones en los negocios que pueden crear presiones poco usuales:
• Inadecuado capital de trabajo.
• Poca flexibilidad y restricciones para endeudamiento, poco capital de trabajo y
limitaciones para la obtención de créditos.
• Rápida expansión de un producto o exceso de compra-venta de una línea de producto en
comparación a la industria en general.
• Gran inversión de los recursos de la organización en otra industria para proyectar un
gran cambio, sobre todo en tecnologías.
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
11
Compleja estructura organizacional cuya sofisticación no aparenta ser lo mejor para las
operaciones y tamaño de la organización.
5. Gran dispersión de los locales de la organización, aunada a una alta descentralización
administrativa con inadecuados sistemas de información.
6. Poco personal y que requiera que los empleados trabajen mas de lo normal, que no les
permita vacaciones y se produzcan excesos de pago por horas extras.
7. Alta rotación del personal clave en el área de finanzas, como es el caso del tesorero y
del contralor.
8. Cambios constantes en los auditores externos y asesores legales.
9. Pocos conocimientos en materia de control interno y debilidad del mismo en algunas
áreas que requieren reforzamiento, como el caso de:
• Acceso a los procesos de los sistemas de información, y que el equipo periférico no esté
controlado adecuadamente.
• Funciones incompatibles en personal clave.
10. Transacciones materiales que pueden involucrar conflictos de interés.
11. Anuncios prematuros sobre resultados o expectativas futuras de operación.
12. Una revisión analítica a los procedimientos descubre fluctuaciones importantes que
no pueden ser razonablemente explicadas por ejemplo:
• Cuentas de Balance.
• Interrelaciones financieras u operacionales.
• Variaciones de inventarios físicos.
• Índices de rotación de inventarios.
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
12
13. Transacciones importantes y poco usuales, particularmente al cierre del ejercicio, con
efectos materiales en las utilidades.
14. Se han efectuado pagos importantes y poco usuales, particularmente al cierre del
ejercicio, con efectos materiales en las utilidades.
15. Dificultad en la obtención de evidencia de auditoría con respecto a:
• Asientos contables poco usuales o sin explicación.
• Documentación y o autorización incompleta o extraviada.
• Documentos o cuentas alteradas.
16. Durante el desarrollo de una auditoría de estados financieros se presentan problemas
como los siguientes:
• Presión porque se concluya la auditoría en un tiempo menor a lo normal y bajo
condiciones difíciles.
• Presencia constante de situaciones que provocan retrasos.
• Evasivas o respuestas poco razonables por parte de la administración a requerimientos
de los auditores.
Dentro de una capacitación en auditoría forense se debe tener en cuenta entre otras las
siguientes áreas: técnicas policiales, análisis de inteligencia, investigación mediante el
uso de fuentes abiertas e Internet, investigación de fraudes, investigación de corrupción
pública, detección y prevención de lavado de activos, investigación en asuntos aduaneros
y contrabando, ética, etc.
Uso De Las Computadoras En La Detección Del Fraude Para llevar a cabo una Auditoría Forense es posible el uso de las Técnicas de Auditoría
Asistidas por el Computador (TAAC´s). Si estos procedimientos se desarrollan de forma
adecuada, pueden resultar muy provechosos para el auditor.
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
13
El uso de la computadora para detectar el fraude facilita mucho la labor y asimismo
incrementa sustancialmente el alcance de los procedimientos, puesto que hace uso del
Sistema de Información de la compañía sujeta a Auditoría Forense. Estos procedimientos
pueden desarrollarse en tiempo real o, como normalmente se desarrollan, sobre bases de
datos históricas. A continuación la explicación de cada una de estas:
o En tiempo real: Estos procedimientos se pueden desarrollar en línea,
haciendo uso de la intranet de la compañía; un ejemplo de estos procedimientos
sería el monitoreo de actividades de los diversos usuarios.
o Sobre bases de datos: Se realizan sobre las bases de datos proporcionadas por la
compañía, diseñadas para detectar registros relacionados con transacciones
irregulares.
El Auditor Forense puede considerar dos aspectos para utilizar a las computadoras como
una herramienta eficaz para desarrollar sus procedimientos de auditoría:
Ø Evaluación del Sistema de Información del Cliente
Ø Desarrollo de pruebas sobre información disponible en el sistema, para detección
de fraude.
La evaluación del Sistema de Información del cliente al que le presta los servicios de
Auditoría Forense, sirve para determinar el nivel de confianza que puede depositar en la
información que se extraiga del sistema.
En algunos casos el Auditor Forense se vería en la obligación de limitar e incluso
renunciar a efectuar pruebas asistidas por computadoras. Ejemplos de estos casos son los
siguientes:
No hay un Sistema de Información integrado. Algunas empresas cuentan con
algunas aplicaciones bastante sencillas y poco seguras, que no conforman un
Sistema de Información como tal, por lo cual, si hubiera información disponible
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
14
para efectuar pruebas asistidas por la computadora, no sería aceptablemente
confiable.
El Sistema presenta serias deficiencias para el ingreso, procesamiento y
almacenamiento de información.
No hay un “Gerente de Tecnología” o un cargo equivalente que atienda los
aspectos relacionados a la seguridad y eficiencia del Sistema de Información
Deficiencias en la seguridad física y lógica del Sistema.
No hay una adecuada definición de responsabilidades, segregación y separación
de funciones, restricción de accesos, etc. a nivel del sistema (deficiencias en la
configuración y administración de usuarios).
El Sistema de Información es muy vulnerable.
El Sistema procesa la información de forma efectiva, sin embargo, su estructura
dificulta significativamente hacer consultas.
Información vital para realizar pruebas no está disponible en el sistema. Por
ejemplo: el sistema no registra el nombre de usuario que registra transacciones, la
hora, fecha, etc.
Si el Auditor Forense planea efectuar procedimientos asistidos por la Computadora, debe
apoyarse en un especialista en Tecnología Informática (Ingeniero en Sistemas, Auditor de
Sistemas o Licenciado en Informática) para poder concluir si es efectivo realizar dichas
pruebas, basado en una evaluación de “Riesgo de Tecnología”. Si no hace esa evaluación
ocurren dos cosas:
v Los procedimientos por medio del computador deben ser de menor
alcance, y por lo tanto, menos críticos.
v Eventualmente, no podría desarrollar procedimientos por medio del
computador sin tener que realizar procedimientos exhaustivos de
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
15
validación (por ejemplo, solicitar acceso directo a las bases de datos,
validar la información con datos externos, etc.) si la compañía es muy
dependiente de su sistema, tal el caso de los Bancos.
Lo anterior por supuesto es también un tema de Costo-Beneficio. El Costo de evaluar el
Sistema de Información del Cliente es normalmente bastante considerable. Realizar
pruebas por medio de computadoras sin evaluar el Sistema de Información del cliente, es
un pecado capital en la práctica profesional, conocido como Confianza Inadvertida,
cuyas consecuencias pueden ser fatales. Es importante recordar que, manteniendo
siempre el escepticismo profesional, el Auditor Forense debe desarrollar procedimientos
eficaces para detectar “lobos con piel de oveja”. Un Sistema de Información tiene la
ventaja de que nos puede pintar un panorama muy diferente al de la realidad de una
empresa, por lo tanto, una prueba realizada por medio de la computadora sobre
información cuyo origen no hemos probado si es aceptablemente confiable, provee
evidencia que no tiene valor alguno. Eventualmente el auditor puede encontrarse con un
cliente cuyo Sistema de Información sea aceptablemente confiable, sin embargo, esto no
lo exime de realizar pruebas de validación de la información proporcionada, tales como
probar la integridad y exactitud de los reportes, sumándolos y comparándolos con
información alterna antes de efectuar cualquier prueba.
Ejemplo de Procedimientos Asistidos por Computadoras para Detección de Fraude
A continuación presentamos ejemplos de procedimientos que el Auditor Forense puede
llevar a cabo haciendo uso de la Tecnología Informática para:
ü Evaluar el Sistema de Información del cliente para determinar el nivel de
confianza que puede depositar en la información que se extraiga de su sistema y
para evaluar el riesgo de fraude en el sistema de información.
ü Procedimientos para detección de fraude
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
16
Procedimientos para evaluar el Riesgo de Fraude en el Sistema de Información y determinar el nivel de confianza y alcance de los procedimientos de auditoría.
Procedimiento Objetivos
Entrevista con el Gerente de Tecnología. Elaborar un cuestionario con preguntas clave: sistemas operativos, número de usuarios, experiencia en sistemas, tipo de bases de datos, aplicaciones clave, aplicaciones externas y desarrolladas internamente, etc.
Ø Determinar si hay una persona competente a cargo de la administración del sistema de información
Ø Conocer la estructura de la red, el tipo de base de datos, las aplicaciones principales, los administradores y usuarios
Ø Planificar los procedimientos restantes Inspección del Catálogo de Usuarios contra perfiles de puesto Consiste en solicitar una lista que detalle el nombre de los empleados, el puesto y el nombre de usuario y los privilegios y restricciones
Ø Evaluar la adecuada segregación de funciones a nivel de sistema
Ø Evaluar la seguridad del sistema en función de los perfiles de usuario
Ø Detectar deficiencias en la asignación de usuarios, tales como, usuarios de empleados que ya no están en la entidad, usuarios con privilegios ilimitados, etc.
Ø Detectar riesgo de fraude, por ejemplo, si los usuarios finales tienen privilegios para editar/eliminar registros.
Ø Conocer la estructura organizativa de los usuarios del sistema para considerarlo en las pruebas de auditoría restantes
Hackeo del Sistema Consiste en ingresar a la red con un usuario externo para efectuar pruebas tales como: consulta de bases de datos “restringidas”, copiar información sensible, tener acceso total a las terminales, introducir información, editar información, etc. Nota: El “Hackeo” es un delito. Para hacer esta prueba se requiere de un permiso especial del cliente. Se haría estrictamente con el propósito de evaluar el Sistema.
Ø Permite concluir el nivel de vulnerabilidad del sistema
Ø Descubre las brechas que pueden ser utilizadas para perpetrar fraude
Ø Identifica las áreas más sensibles al fraude
Prueba de perfiles de usuarios en el sistema Lo que se hace en este procedimiento es comprobar en el sistema si los privilegios y restricciones asignadas están efectivamente configuradas en el sistema. Por ejemplo, si los vendedores no tienen permitido modificar precios, solicitamos a un vendedor que en presencia nuestra intente modificar el precio.
Ø Valida el Catálogo de Usuarios Ø Comprueba los privilegios de usuarios Ø Detecta “superusuarios”, que serían
portadores de riesgo de fraude. Ø Detecta operaciones permitidas por el
sistema que constituyan “oportunidades de fraude”.
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
17
Seguridad física y lógica Consiste en inspeccionar el resguardo de los servidores y la configuración del software, para la restricción de usuarios y la protección de datos, procesos y programas
Ø Evaluar el riesgo de robo de información Ø Evaluar el riesgo de destrucción de
información
Evaluación del perfil de la Gerencia de TI (Tecnología de Información) Entrevista con personal clave de TI, para determinar si cuentan con el nivel adecuado de experiencia y capacidad. Determinar su perfil en cuanto reputación y valores, y considerar los incentivos laborales que disfrutan
Ø Evaluar el riesgo de que personal clave de TI viole los controles
Ø Riesgo de que el personal de TI esté involucrado en instancias de fraude
Ø Determinar si el personal de TI es capaz monitorear los controles antifraude y responder adecuadamente ante las alertas
Monitoreo de los Directores sobre la Tecnología de TI
Ø Establecer la frecuencia y calidad de las actividades de monitoreo sobre el sistema de información
Ejemplos de Procedimientos para la Detección de Fraude
Procedimiento Objetivos Revisión de Asientos Manuales El auditor solicita la base de datos de partidas de diario que contenga:
o Usuario que operó o Usuario que aprobó o Fecha de operación/aprobación o Hora de operación/aprobación o Monto o Cuentas de cargo y abono o Descripción
Con lo anterior el auditor podría listar e investigar:
o Partidas operadas en horarios extraordinarios
o Partidas operadas en días festivos o no hábiles
o Partidas operadas por usuarios no autorizados
o Partidas manuales que afectan cuentas o de ingresos o Partidas manuales que liquidan pasivos o Partidas registradas, pero no autorizadas o Cifras terminadas en …99.99 (permitiría
detectar override de controles aplicados de acuerdo al rangos de importes)
Ø Detectar registros manuales fraudulentos. Ø Detectar registros relacionados a posibles
casos de fraude.
Reportes de excepciones El auditor solicitaría una base de datos de documentos clave, tales como: facturas, notas de débito, notas de crédito, cheques, etc.
Ø Detectar operaciones eliminadas, para apropiarse del efectivo.
Ø Detectar operaciones ficticias Ø Detectar operaciones no autorizadas que se
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
18
Listaría y revisaría: o Documentos anulados, cuyos importes
sean significativos o Documentos emitidos-procesados en
horarios pocos usuales o en días festivos o Documentos emitidos-procesados por
usuarios fantasmas o “inactivos” o Concentración de operaciones en
algunos usuarios o Documentos emitidos-procesados por
usuarios no autorizados o cuyo perfil no es compatible
realizan en beneficio de terceros, por ejemplo, concesión no autorizada de descuentos, precios especiales, etc.
Componentes del Planteamiento de un Proyecto (Auditoría Forense)
Evaluación del Riesgo de Aceptación El auditor evalúa los riesgos que conlleva aceptar o continuar con un proyecto. Es parte
integral del flujo de trabajo de una Auditoría Forense.
Definición de los Términos del Trabajo El auditor formaliza el acuerdo con el cliente sobre la naturaleza de los servicios que le
prestará. Delimita los trabajo y lo documenta en una Carta Convenio o Contrato de
Servicios
Evaluación aceptación
Planificación
Ejecución
Conclusión
Informe
Definición de los Términos del Trabajo
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
19
Planificación El auditor decide: Ø El enfoque general
Ø Equipo de trabajo y atribuciones
Ø Oportunidad de los procedimientos
Ø El uso de especialistas
Ø Programas de Auditoría (procedimientos planeados)
Ø Estrategia general de auditoría
Estas decisiones serán consistentes con los Términos del Trabajo.
Ejecución El auditor lleva a cabo los procedimientos planificados, reúne la evidencia de auditoría,
produce papeles de trabajo que documentan su labor y la calidad y cantidad de evidencia
recolectada.
Conclusión El auditor evalúa la calidad de la evidencia y la utiliza para determinar si los objetivos
fueron alcanzados. Determina la naturaleza y contenido del Informe, que es el producto
final de una auditoría
En esta etapa se lleva a cabo lo siguiente: • Evaluación de los resultados de la auditoría
• Identificación de los problemas a solucionar
• Identificación de las mejoras a reportar
• Evaluación de los riesgos y sus efectos
• Análisis de las causas y posibles soluciones a los problemas que dan origen a
riesgos
La preparación del Informe abarca: • Redacción de las observaciones y recomendaciones específicas y conclusiones de
la Auditoría Forense.
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
20
• Identificación de recomendaciones de ampliación de criterios y parámetros de
evaluación.
• Determinación de los indicadores de riesgos
• Recomendaciones para la reformulación del modelo operativo de la entidad.
• Emisión del Informe de Auditoría Forense
SEGUIMIENTO DE RECOMENDACIONES Y COMPROMISOS DE AUDITORÍA.
En auditorías ulteriores, si somos los auditores recurrentes, la labor de seguimiento de las
recomendaciones de los informes es de suma importancia. También lo es en la etapas
interinas de la auditoría. Esta actividad está compuesta por, pero no limitada a:
• Planificación para el seguimiento de las recomendaciones y de los compromisos
de Auditoría.
• Revisión de cumplimiento de recomendaciones.
• Evaluación de compromisos de auditoría
• Informe final de Auditoría Forense
• Resguardo de la información de respaldo.
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
21
Conclusiones
En la generalidad de las empresas, el delito más temido es el fraude, aún frente a muchos
otros crímenes como el lavado de dinero, el terrorismo, el secuestro, el sabotaje y el
hurto. Estas amenazas están adquiriendo fuerza, fomentada en gran medida por una
creciente complejidad en los negocios, el impacto de la globalización, principalmente en
los movimientos de fondos entre diferentes países, los riesgos implícitos en el trato con
diferentes culturas y un mayor uso de tecnologías en la gestión de los negocios. Todo ello
ha llevado a una sensación de mayor riesgo entre los empresarios y entidades
gubernamentales de los más diversos sectores y países, por lo que las compañías no se
sienten protegidas contra el fraude o los defraudadores que se están adelantando a los
controles, especialmente en las áreas críticas de los negocios de la empresa. Para
enfrentar dicha situación, concluimos que la existencia de un modelo para la realización
de la Auditoría Forense, con las características propias de los modelos de control y de
investigación, basado en procedimientos y técnicas existentes en la Auditoría financiera o
Interna, debe permitir contar con un nuevo enfoque y nuevas herramientas que ayuden a
detectar y combatir los delitos cometidos por parte de empleados deshonestos o
patrocinadores externos contra los bienes de las personas, empresas y de las
organizaciones en general.
El contador público debe estar preparado para la realización de una investigación
especial, decidiendo en una primera instancia si el trabajo es aceptable o no. Para ello
debe cumplir con los requisitos y condiciones necesarias para realizar una Auditoría
Forense, conocer y examinando los hechos y circunstancias de cada caso, resguardando
los aspectos éticos y la dignidad profesional, emitiendo opiniones, recomendaciones y
demostración de hechos que permitirán la aplicación de la justicia y el resguardo de los
bienes de las personas e instituciones.
Elaborado por Shirley García Universidad Panamericana
Curso de Auditoría de Sistemas
22
BIBLIOGRAFÍA
Artículo: Fraud Risk Assesment – Know where you are vulnerable. E&Y, año
2008.
Enterprise Risk Assesment, by the Committee of Sponsoring Organizations of the
Treadway Commission. (COSO)
Specific Topics – Fraud, KPMG, año 2008.
Arens, Alwin A. (2006): “Auditoría: un enfoque integral”; Prentice Hall
Hispanoamericana
Declaración Sobre Normas de Auditoría, SAS N°78; American Institute Of
Certified Public Accountants; Traducción: Instituto Mexicano de Contadores
Públicos.
Los Nuevos Conceptos del Control Interno (Informe COSO); Coopers & Librand.