Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
TABLA DE CONTENIDOS Introducción....................................................................................................................2 Planificaci Planificación ón de una Auditoría Auditoría Forense Forense ........................................................................... 2 Consideración de los los Términos Términos del Trabajo (Alcance de los los Servicios) Servicios)...... ............ ............ ............ ...... 2 Evaluación Evaluación de Riesgos................................................................................................. Riesgos................................................................................................. 5 Aceptación Aceptación / Continuida Continuidadd de Clientes ...................................................................... 5 Conocimien Conocimiento to del Negocio Negocio ...................................................................................... 5 Documento Documento de Planifi Planificaci cación ón .................................................................................... 6 Programas Programas de Auditoría Auditoría Forense Forense .............................................................................. 7 Señales Señales de Fraude............................................................................................................ 7 Tipificación De Acciones Acciones Que Involucran Involucran Alto Riesgo Riesgo De Fraude Fraude Y Corrupción ...... 10 Uso De Las Computadoras Computadoras En La Detección Detección Del Fraude ............................................... 12 Ejemplo de Procedimientos Procedimientos Asistidos por Computadoras Computadoras para Detección Detección de Fraude .. 15 Procedimientos para evaluar el Riesgo de Fraude en el Sistema de Información y determinar el nivel nivel de confianza confianza y alcance de los procedimientos de auditoría. auditoría. ...... 16 Ejemplos Ejemplos de Procedimien Procedimientos tos para la Detección Detección de Fraude...................................... Fraude...................................... 17 Componentes Componentes del Planteamiento Planteamiento de un Proyecto Proyecto (Auditoría (Auditoría Forense) Forense) ............................ 18 Evaluación Evaluación del Riesgo de Aceptaci Aceptación ón .................................................................... 18 Definici Definición ón de los Términos Términos del Trabajo Trabajo ................................................................. 18 Planificaci Planificación.......................................................................................................... ón.......................................................................................................... 19 Ejecución Ejecución .............................................................................................................. 19 Conclusión Conclusión ............................................................................................................ 19 Seguimiento De Recomendaciones Recomendaciones Y Compromisos Compromisos De Auditoría.... Auditoría.......... ............ ............ ......... ... 20 Conclusione Conclusioness ................................................................................................................. 21 Bibliografía Bibliografía................................................................................................................... ................................................................................................................... 22 Parte Práctica………………………………… Práctica…………………………………………………………………… …………………………………………..23 ………..23
1
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
Introducción Actualmente los sistemas de información se han vuelto críticos para todos los negocios grandes y de uso común para la mayoría de negocios en todas las industrias. Hoy por hoy si un negocio no cuenta con un sistema de información tiene una seria desventaja competitiva. Las compañías a nivel mundial están haciendo esfuerzos económicos para incorporar aplicaciones de TI (Tecnología de Información) a todos sus procesos de negocios, ya no solo a la contabilidad, sino hasta la planificación de producción, presupuestos, administración de recursos humanos, administración de riesgos, auditorí aud itoría, a, etc. El Contador Público y Auditor que presta el servicio de Auditoría de Estados Financieros se enfrenta a este reto: Auditoría de Estados Financieros en un Ambiente PED, o con una dependencia significativa de un sistema de información. En resumen, debería incorporar a un especialista de TI cuando la dependencia es muy significativa, adicionalmente
Planificación de una Auditoría Forense Consideración de los Términos del Trabajo (Alcance de los Servicios) Es importante considerar en la planificación de una Auditoría Forense los términos del trabajo, los cuales deben estar bien documentados. Normalmente se utilizan dos documentos para registrar la naturaleza, oportunidad o portunidad y alcance de los procedimientos proced imientos y de los productos entregables:
2
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
a. Carta Convenio: Este documento contiene la Propuesta Propu esta de Servicios Profesionales. En algunos casos, el profesional puede requerir una Carta de Aceptación
de la alta Gerencia de la entidad para darle
validez al documento. b. Contrato de Servicios:
Documento legal que incluye los términos del trabajo. Es vinculante entre las partes y tiene total validez jurídica. Obliga a atender las cláusulas en él contenidas.
Los “Términos del Trabajo” documentados en los documentos arriba referidos, no son más que la declaración clara c lara y concisa de: ü
La naturaleza del trabajo
ü
La metodología del trabajo
ü
Las responsabilidades del Auditor
ü
Las responsabilidades de la Administración
ü
Las limitaciones inherentes del trabajo t rabajo
ü
Los métodos de resolución de controversias co ntroversias
ü
La delimitación de los servicios
ü
Lista de informes entregables
ü
Oferta Económica
Estos documentos forman parte de los Papeles de Trabajo que le permiten al auditor administrar el Riesgo de Auditoría. En palabras pa labras simples, el auditor mitiga el riesgo de que la administración “malinterprete” la naturaleza del trabajo o que tenga expectativas equivocadas con respecto a los resultados de la Auditoría Forense. Ésta, como cualquier auditoría, tiene sus limitaciones inherentes, por lo que el auditor debe acordar claramente con la Gerencia de la entidad a la que le preste los servicios, en qué consiste el trabajo y qué resultados habrá, de tal forma que se exprese de forma implícita que resultados no se pueden esperar del trabajo.
3
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
El auditor debe acudir a los “Términos del Trabajo” para elaborar su Planificación, porque ésta debe ser totalmente consistente con tales términos. En cuanto a los Términos del Trabajo de una Auditoría Forense, en general, lo que debe se debe documentar en la Propuesta de Servicios Profesionales o en el Contrato de Servicios Servicios es lo siguiente: s iguiente: o
Si se trata de una Auditoría Forense para detección de fraude, en donde se tiene conocimiento de un hecho ilícito efectivamente ocurrido. En este caso los procedimientos son más específicos y el trabajo está más delimitado, puesto que se circunscribe a la evidencia relacionada con el hecho ocurrido, la naturaleza, oportunidad y alcance de los procedimientos quedan a discreción del auditor forense.
o
Si se trata de una Auditoría Forense para detección de fraude, en donde la alta gerencia o los dueños solo tienen sospechas de la ocurrencia de un hecho ilícito. Este trabajo necesitaría mayor alcance, y requeriría de evidencia alternativa para ser correlacionada, con el propósito de detectar el hecho ocurrido o determinar que no ocurrió ilícito alguno.
o
Si se trata de una Auditoría Forense para prevención del fraude en donde el auditor evalúa el sistema de control interno y asesora a la compañía para diseñar e implementar controles antifraude o a mejorar los controles antifraude implementados por el cliente, a fin de que provean seguridad razonable sobre la adecuada prevención y detección del fraude.
o
Una combinación procedimientos diseñados para fortalecer el sistema de control interno con procedimientos sustantivos para detección del fraude. Este constituiría el trabajo de Auditoría Forense más completo. co mpleto.
o
Un trabajo de procedimientos previamente convenidos, cuando, por ejemplo, la administración ha delimitado el alcance del trabajo y los procedimientos del auditor se ajustan a esos términos, o cuando la compañía ha diseñado los procedimientos y contrata al auditor forense para llevarlos llevarlos a cabo. ca bo.
4
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
Evaluación de Riesgos Aceptación / Continuidad de Clientes El término “Evaluación de Riesgos” abarca muchos aspectos de una auditoría. No solo se trata de la evaluación de lo riesgos propios del negocio, es decir, riesgos de error y en el caso particular de una Auditoría Forense, los riesgos de fraude a todos los niveles y en todas sus categorías; más bien, la Evaluación de Riesgos es parte de la Administración del Riesgo de Auditoría, que comienza desde antes de aceptar a un cliente. No sería ético ni conveniente aceptar a un cliente cuya reputación o comportamiento ético está puesto en duda. Eventualmente el auditor encontraría compañías que cometen fraude o que, debido a debilidades materiales en su estructura organizativa o su sistema de control interno, sufren constantemente fraudes. Por principio, el auditor no debe aceptar un trabajo cuando sabe que la administración de la compañía que solicita los servicios está involucrada en fraude (p.e. Defraudación fiscal, evasión fiscal, fraude financiero, fraude de información, etc.) y por conveniencia, en el caso de aquellas compañías que tienen un historial negativo de fraude, debería evaluar si acepta o no al cliente. La evaluación de la aceptación o continuidad de un cliente aporta información que le permite al auditor, no solo rechazar o aceptar a un cliente, si no también determinar cual sería la naturaleza y alcance de los servicios y por consiguiente cual sería el importe más apropiado de honorarios profesionales por esos servicios. servicios. Una Auditoría Forense necesita como soporte un documento que ampare la evaluación objetiva de los riesgos que conllevan aceptar o continuar con un cliente. El proceso de evaluar a un cliente o un cliente potencial contribuye desde ya con evidencia de auditoría útil para la Evaluación de R Riesgos iesgos y la Planificación.
Conocimiento del Negocio Es importante adquirir un conocimiento del negocio para realizar una adecuada planificación de la Auditoría Forense. Este conocimiento estaría compuesto de la siguiente forma: 5
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
o
Conocimiento general de la industria en que opera la entidad.
o
Conocimiento más particular de la entidad. ent idad.
El conocimiento del negocio nos permitiría identificar y evaluar riesgos que servirían para planificar mejor nuestro trabajo sustantivo. Por el contrario, una planificación sin un conocimiento apropiado del negocio y su industria resultaría en una mala administración del riesgo de auditoría, y como consecuencia los objetivos que se tracen no se alcanzarían de forma satisfactoria. Es importante mencionar también que aunque un auditor forense tenga experiencia previa en compañías que se dedican a una industria en particular, no puede concluir que las compañías que audite, aunque se dedican exactamente a la misma actividad, tienen los mismos riesgos. Sin importar el nivel de experiencia, esto se consideraría una conclusión a priori. La evaluación de riesgos merecen una atención especial, aun si somos los auditores recurrentes; es asimismo muy importante la escoger los procedimientos más adecuados para evaluar riesgos y también las formas más adecuadas para documentarlos.
Documento de Planificación Es de suma importancia llevar a cabo la apropiada documentación de la Planificación de una Auditoría Forense. El Documento de Planificación debe mostrar: o
Congruencia de los procedimientos planificados con el alcance del trabajo.
o
Oportunidad de los procedimi proced imientos. entos.
o
Distribución Distribución de tareas entre los miembros del equipo de trabajo.
o
Uso de especialistas. especialistas.
o
Otras decisiones clave de la estrategia de auditoría aud itoría
o
Enfoque general.
6
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
o
Matriz de Riesgos.
o
Objetivos relacionados con los riesgos identificados.
o
Relación clara entre los procedimientos pro cedimientos dirigidos dirigidos a alcanzar a lcanzar los objetivos y la cobertura de riesgos.
o
Otros temas como escepticismo profesional, independencia, temas t emas éticos, etc.
o
Programas de auditoría, donde se documentan los procedimientos planificados, que son consistentes con: la estrategia general, los riesgos identificados y los objetivos trazados.
Programas de Auditoría Forense Los Programas de Auditoría son Papeles de Trabajo muy importantes dentro de la documentación de la Planificación de la Auditoría Forense, debido a que en ellos se documentan: o
Nombre del procedimiento
o
Descripción detallada de los procedimientos planificados
o
Responsable de realizar el procedimiento y oportunidad de la ejecución
o
Responsable de revisar el procedimiento proced imiento y oportunidad de la revisión
o
Referencia del Papel de Trabajo en donde se documenta el procedimiento (Aunque el Auditor Forense puede optar por documentar todos sus procedimientos en un solo Programa de Auditoría, es más apropiado y profesional documentarlos en Programas separados, cuyo orden responda a los objetivos planificados.)
o
Referencia al Objetivo de Auditoría Forense determinado en la Planificación que se cubre con cada procedimiento.
Señales de Fraude Como resultado de indagaciones, observaciones e inspección de documentos, tanto en la etapa de Planificación como en la Ejecución del Trabajo, el Auditor Forense podría detectar posibles brechas, en donde la posibilidad de que ocurra un fraude es más certera que remota. En otras palabras, cuando el auditor lleva a cabo procedimientos para entender el negocio, su industria, su medio ambiente, su organización, sus objetivos y 7
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
estrategias de negocio, y lleva a cabo algunos procedimientos generales de revisión (por ejemplo, revisión de algunas integraciones o documentos) sin necesidad de ahondar mucho en la revisión, entre otros ot ros temas, puede detectar desde ya Señales de Fraude. En la siguiente página listamos solo algunos ejemplos de situaciones que podrían constituir Señales de Fraude:
8
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
Condición o Evento
Posible Fraude
Cantidades fuertes de depósitos en circulación (no operados en contabilidad), o bien, pasivos importantes no liquidados de considerable antigüedad
Lavado de dinero y otros activos
Pagos importantes de honorarios a terceros por servicios prestados cuya naturaleza resulta confusa o dudosa Cantidades extraordinarias de inventario pero la demanda es baja. Deficiencias en el sistema de control interno relacionadas a la asignación de responsabilidad sobre custodia de activos.
Apropiación indebida de activos
Faltantes de inventario o de caja por montos importantes Inventarios de “Activos Dulces”, tales como electrodomésticos, artículos de consumo masivo, de fácil venta o altamente rentables. Compañía se dedica al transporte y custodia de valores Malas prácticas de inventario (no hay tomas físicas frecuentes, no hay libro auxiliar, o tienen deficiencias materiales) Presupuestos o metas de ventas muy agresivos
Manipulación de cifras
Incentivos gerenciales asociados a metas cuya medición se hace sobre indicadores financieros (margen de ventas, estadísticas de ventas, EBTDA, u otros) Planes de expansión ambiciosos, que requieren financiamiento externo Fuertes incentivos sobre ventas al crédito (ventas ficticias)
Falsificación de transacciones
Incentivos sobre captación o colocación de transacciones (cartera, inversiones, etc.) Historial de fraude
Supresión de registros
Deficiencias de archivo y custodia de documentos clave La entidad comercializa productos industriales sobre los que posee fórmulas exclusivas
Espionaje industrial
La entidad maneja información sensible, confidencial de carácter com ercial y/o tecnológico La entidad ha reportado pérdidas fiscales importantes, sin embargo no presenta problemas de negocio en marcha
Evasión o elusión fiscal
Marco regulatorio complejo Historial de ajustes del ente supervisor
9
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
TIPIFICACIÓN DE ACCIONES QUE INVOLUCRAN ALTO RIESGO DE FRAUDE Y CORRUPCIÓN 1. Gran dominio del administrador principal o de uno o más de los que le siguen cuando se presentan las siguientes condiciones: • Consejo de Administración o Directorio que no funciona o es inefectivo. • Indicadores que señalan que el administrador principal, pasa por alto los más importantes controles internos contables. • Compensaciones y otras opciones opc iones disponibles asociadas a resultados o a transacciones especificas, sobre las que el administrador principal debe incorporar controles. • Señales de que el e l personal de finanzas tiene problemas con el e l administrador principal. • Alta influencia del administrador principal sobre la organización, en lo que respecta a condiciones y compensaciones de remuneraci re muneración ón y su estatus en la misma. 2. Deterioro en las utilidades, que son señalas por los siguientes factores: • Disminución en el volumen y cantidad de ventas, aumento en el riesgo de crédito o ventas bajo el costo. • Cambios importantes en las prácticas comerciales. co merciales. • Exceso de interés por parte del administrador principal en las utilidades por acción dependiendo del efecto de la aplicación de alternativas contables. 3. Condiciones Condiciones en e n los negocios que pueden crear presiones poco usuales: u suales: • Inadecuado capital de trabajo. • Poca flexibilidad y restricciones para endeudamiento, poco capital de trabajo y limitaciones para la obtención de créditos. créd itos. • Rápida expansión de un producto o exceso de compra-venta de una línea de producto en comparación a la industria en general. • Gran inversión de los recursos de la organización en otra industria para proyectar pro yectar un gran cambio, sobre todo en tecnologías.
10
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
Compleja estructura organizacional cuya sofisticación no aparenta ser lo mejor para las operaciones y tamaño de la organización. 5. Gran dispersión de los locales de la organización, aunada a una alta descentralización administrativa con inadecuados sistemas de información. 6. Poco personal y que requiera que los empleados trabajen mas de lo normal, que no les permita vacaciones y se produzcan excesos de pago por horas extras. 7. Alta rotación del personal clave en el área de finanzas, como es el caso del tesorero y del contralor. 8. Cambios Cambios constantes co nstantes en los auditores externos y asesores legales. 9. Pocos conocimientos en materia de control interno y debilidad del mismo en algunas áreas que requieren reforzamiento, como el caso de: • Acceso a los procesos de los sistemas de información, y que el equipo periférico no esté controlado adecuadamente. • Funciones incompatibles en personal clave. 10. Transacciones Transacciones materiales que pueden involucrar conflictos de interés. 11. Anuncios prematuros sobre resultados o expectativas futuras de operación. 12. Una revisión analítica a los procedimientos descubre fluctuaciones importantes que no pueden ser razonablemente explicadas por ejemplo: • Cuentas de Balance. Ba lance. • Interrelaciones financieras u operacionales. • Variaciones de inventarios físicos. físicos. • Índices de rotación de inventarios.
11
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
13. Transacciones Transacciones importantes y poco usuales, particularmente al cierre del ejercicio, con co n efectos materiales en las utilidades. ut ilidades. 14. Se han efectuado pagos importantes y poco usuales, particularmente al cierre del ejercicio, con efectos materiales en las utilidades. 15. Dificultad en la obtención de evidencia de auditoría con respecto a: • Asientos contables poco usuales o sin explicación. explicación. • Documentación y o autorización incompleta o extraviada. • Documentos o cuentas alteradas. 16. Durante el desarrollo de una auditoría de estados financieros se presentan problemas como los siguientes: • Presión porque se concluya la auditoría en un tiempo menor a lo normal y bajo condiciones difíciles d ifíciles.. • Presencia constante de situaciones que provocan pro vocan retrasos. • Evasivas o respuestas poco razonables por parte de la administración a requerimientos de los auditores. Dentro de una capacitación en auditoría forense se debe tener en cuenta entre otras las siguientes áreas: técnicas policiales, análisis de inteligencia, investigación mediante el uso de fuentes abiertas e Internet, investigación de fraudes, investigación de corrupción pública, detección y prevención de lavado de activos, investigación en asuntos aduaneros y contrabando, ética, etc.
Uso De Las Computadoras En La Detección Del Fraude Para llevar a cabo una Auditoría Forense es posible el uso de las Técnicas de Auditoría Asistidas por el Computador (TAAC´s). Si estos procedimientos se desarrollan de forma adecuada, pueden resultar muy provechosos para el auditor.
12
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
El uso de la computadora para detectar el fraude facilita mucho la labor y asimismo incrementa sustancialmente el alcance de los procedimientos, puesto que hace uso del Sistema de Información de la compañía sujeta a Auditoría Forense. Estos procedimientos pueden desarrollarse en tiempo real o, como normalmente se desarrollan, sobre bases de datos históricas. A continuación la explicación de cada una de estas: o
En tiempo real:
Estos procedimientos se pueden desarrollar en línea,
haciendo uso de la intranet de la compañía; un ejemplo de estos procedimientos sería el monitoreo de actividades de los diversos usuarios. o
Sobre bases de datos: Se realizan sobre las bases de datos proporcionadas por la compañía, diseñadas para detectar registros relacionados con transacciones irregulares.
El Auditor Forense puede considerar dos aspectos para utilizar a las computadoras como una herramienta eficaz para desarrollar sus procedimientos proced imientos de auditoría: Ø
Evaluación del Sistema de Información del Cliente
Ø
Desarrollo de pruebas sobre información disponible en el sistema, para detección de fraude.
La evaluación del Sistema de Información del cliente al que le presta los servicios de Auditoría Forense, sirve para determinar el nivel de confianza que puede depositar en la información que se extraiga del sistema. En algunos casos el Auditor Forense se vería en la obligación de limitar e incluso renunciar a efectuar pruebas asistidas por computadoras. Ejemplos de estos casos son los siguientes: No hay un Sistema de Información integrado. Algunas empresas cuentan con algunas aplicaciones aplicaciones bastante sencillas y poco seguras, que no conforman un Sistema de Información como tal, por lo cual, si hubiera información disponible
13
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
para efectuar pruebas asistidas por la computadora, no sería aceptablemente confiable. El Sistema presenta serias deficiencias para el ingreso, procesamiento y almacenamiento de información. No hay un “Gerente de Tecnología” o un cargo equivalente que atienda los aspectos relacionados a la seguridad y eficiencia del Sistema de Información Deficiencias en la seguridad física y lógica del de l Sistema. No hay una adecuada definición de responsabilidades, segregación y separación de funciones, restricción de accesos, etc. a nivel del sistema (deficiencias en la configuración y administración de usuarios). El Sistema de Información es muy vulnerable. El Sistema procesa la información de forma efectiva, sin embargo, su estructura dificulta significativamente hacer consultas. Información vital para realizar pruebas no está disponible en el sistema. Por ejemplo: el sistema no registra el nombre de usuario que registra transacciones, la hora, fecha, etc. Si el Auditor Auditor Forense planea efectuar procedimientos asistidos por la la Computadora, debe apoyarse en un especialista en Tecnología Informática (Ingeniero en Sistemas, Auditor de Sistemas o Licenciado en Informática) para poder concluir si es efectivo realizar dichas pruebas, basado en una evaluación evaluación de “Riesgo de Tecnología”. Si no hace esa evaluación ocurren dos cosas: v
Los procedimientos por medio del computador deben ser de menor alcance, y por lo tanto, t anto, menos críticos.
v
Eventualmente, no podría desarrollar procedimientos por medio del computador sin tener que realizar procedimientos exhaustivos de 14
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
validación (por ejemplo, solicitar acceso directo a las bases de datos, validar la información con datos externos, etc.) si la compañía es muy dependiente de su sistema, tal ta l el caso de los Bancos. Lo anterior por supuesto es también un tema de Costo-Beneficio. El Costo de evaluar el Sistema de Información del Cliente es normalmente bastante considerable. Realizar pruebas por medio de computadoras sin evaluar el Sistema de Información del cliente, es un pecado capital en la práctica profesional, conocido como Confianza Inadvertida, cuyas consecuencias pueden ser fatales. Es importante recordar que, manteniendo siempre el escepticismo profesional, el Auditor Forense debe desarrollar procedimientos eficaces para detectar “lobos con piel de oveja”. Un Sistema de Información tiene la ventaja de que nos puede pintar un panorama muy diferente al de la realidad de una empresa, por lo tanto, una prueba realizada por medio de la computadora sobre información cuyo origen no hemos probado si es aceptablemente confiable, provee evidencia que no tiene valor alguno. Eventualmente el auditor puede encontrarse con un cliente cuyo Sistema de Información sea aceptablemente confiable, sin embargo, esto no lo exime de realizar pruebas de validación de la información proporcionada, tales como probar la integridad y exactitud de los reportes, sumándolos y comparándolos con información alterna antes de efectuar cualquier cua lquier prueba.
Ejemplo de Procedimientos Asistidos por Computadoras para Detección de Fraude A continuación presentamos ejemplos de procedimientos que el Auditor Forense puede llevar a cabo haciendo uso de la Tecnología Informática para: ü
Evaluar el Sistema de Información del cliente para determinar el nivel de confianza que puede depositar en la información que se extraiga de su sistema y para evaluar el riesgo de fraude en el sistema de información.
ü
Procedimientos para detección de fraude
15
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
Procedimientos para evaluar el Riesgo de Fraude en el Sistema de Información y determinar el nivel de confianza y alcance de los procedimientos de auditoría. Procedimiento Entrevista con el Gerente de Tecnología. Elaborar un cuestionario con preguntas clave: sistemas operativos, número de usuarios, experiencia en sistemas, tipo de bases de datos, aplicaciones aplicaciones clave, aplicaciones a plicaciones externas y desarrolladas internamente, internamente, etc.
Objetivos Ø
Ø
Ø
Inspección del Catálogo de Usuarios contra perfiles de puesto Consiste en solicitar una lista que detalle el nombre de los empleados, el puesto y el nombre de usuario y los privilegios y restricciones
Ø Ø Ø
Ø
Ø
Hackeo del Sistema Consiste en ingresar a la red con un usuario externo para efectuar pruebas tales como: consulta de bases de datos “restringidas”, copiar información sensible, tener acceso total a las terminales, terminales, introducir información, editar información, información, etc. Nota: El “Hackeo” es un delito. Para hacer esta prueba se requiere de un permiso especial del cliente. Se haría estrictamente con el propósito de evaluar el Sistema.
Ø
Prueba de perfiles de usuarios en el sistema Lo que se hace en este procedimiento es comprobar en el sistema si los privilegios y restricciones asignadas están efectivamente efectivamente configuradas en el sistema. Por ejemplo, si los vendedores no tienen permitido modificar precios, solicitamos solicitamos a un vendedor que en presencia nuestra intente modificar el precio.
Ø Ø Ø
Ø Ø
Ø
Determinar si hay una persona competente a cargo de la administración del sistema de información Conocer la estructura de la red, el tipo de base de datos, las aplicaciones principales, los administradores y usuarios Planificar los procedimientos procedimientos restantes Evaluar la adecuada segregación de funciones a nivel de sistema Evaluar la seguridad del sistema en función de los perfiles de usuario Detectar deficiencias en la asignación de usuarios, tales como, usuarios de empleados que ya no están en la entidad, usuarios con privilegios ilimitados, etc. Detectar riesgo de fraude, por ejemplo, si los usuarios finales tienen privilegios para editar/eliminar editar/eliminar registros. Conocer la estructura organizativa de los usuarios del sistema para considerarlo en las pruebas de auditoría restantes Permite concluir el nivel de vulnerabilidad vulnerabilidad del sistema Descubre las brechas que pueden ser utilizadas utilizadas para perpetrar fraude Identifica las áreas más sensibles al fraude
Valida el Catálogo de Usuarios Comprueba los privilegios de usuarios Detecta “superusuarios”, que serían portadores de riesgo de fraude. Detecta operaciones permitidas por el sistema que constituyan “oportunidades de fraude”.
16
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
Seguridad física y lógica Consiste en inspeccionar el resguardo de los servidores y la configuración del software, para la restricción de usuarios y la protección de datos, procesos y programas Evaluación del perfil de la Gerencia de TI (Tecnología de Información) I nformación) Entrevista con personal clave de TI, para determinar si cuentan con el nivel adecuado de experiencia y capacidad. Determinar su perfil en cuanto reputación y valores, y considerar los incentivos laborales que disfrutan Monitoreo de los Directores sobre la Tecnología de TI
Ø Ø
Evaluar el riesgo de robo de información Evaluar el riesgo de destrucción de información
Ø
Evaluar el riesgo de que personal clave de TI viole los controles Riesgo de que el personal de TI esté involucrado involucrado en instancias de fraude Determinar si el personal de TI es capaz monitorear monitorear los controles antifraude y responder adecuadamente adecuadamente ante las alertas Establecer Establecer la frecuencia y calidad de las actividades de monitoreo sobre el sistema de información
Ø Ø
Ø
Ejemplos de Procedimientos para la Detección de Fraude Procedimiento Revisión de Asientos Manuales El auditor solicita la base de datos de partidas de diario que contenga: o Usuario que operó o Usuario que aprobó o Fecha de operación/aprobación operación/aprobación o Hora de operación/aprobación o Monto o Cuentas de cargo y abono o Descripción Con lo anterior el auditor podría listar e investigar: o Partidas operadas en horarios horar ios extraordinarios o Partidas operadas en días festivos o no hábiles o Partidas operadas por usuarios no autorizados o Partidas manuales que afectan cuentas cu entas o de ingresos o Partidas manuales que liquidan pasivos o Partidas registradas, pero no autorizadas o Cifras terminadas en …99.99 (permitiría (permitiría detectar override de controles aplicados de acuerdo al rangos de importes) Reportes de excepciones El auditor solicitaría una base de datos de documentos clave, clave, tales ta les como: facturas, notas de débito, notas de crédito, cheques, etc.
Objetivos Ø Ø
Detectar registros manuales manuales fraudulentos. Detectar registros relacionados a posibles posibles casos de fraude.
Ø
Detectar operaciones eliminadas, para apropiarse del efectivo. Detectar operaciones ficticias Detectar operaciones no autorizadas que se
Ø Ø
17
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
Listaría y revisaría: o
o
o
Documentos anulados, cuyos importes sean significativos Documentos emitidos-procesados emitidos-procesados en horarios pocos usuales o en días festivos Documentos emitidos-procesados por
realizan en beneficio de terceros, por ejemplo, concesión no autorizada de descuentos, descuentos, precios especiales, especiales, etc. etc.
usuarios fantasmas o “inactivos”
o
o
Concentración de operaciones en algunos usuarios Documentos emitidos-procesados por usuarios no autorizados o cuyo perfil no es compatible
Componentes del Planteamiento de un Proyecto (Auditoría Forense) Evaluación aceptación
Definición de los Términos del Trabajo
Planificación
Ejecución
Conclusión Informe
Evaluación del Riesgo de Aceptación El auditor evalúa los riesgos que conlleva aceptar o continuar con un proyecto. Es parte integral del flujo de trabajo de una Auditoría Forense.
Definición de los Términos del Trabajo El auditor formaliza el acuerdo con el cliente sobre la naturaleza de los servicios que le prestará. Delimita los trabajo y lo documenta en una Carta Convenio o Contrato de Servicios
18
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
Planificación El auditor decide: Ø El enfoque general Ø
Equipo de trabajo y atribuciones atribuciones
Ø
Oportunidad de los procedimientos
Ø
El uso de especialistas
Ø
Programas de Auditoría (procedimientos planeados)
Ø
Estrategia general de auditoría
Estas decisiones serán consistentes con los Términos del Trabajo.
Ejecución El auditor lleva a cabo los procedimientos planificados, reúne la evidencia de auditoría, aud itoría, produce papeles de trabajo que documentan su labor y la calidad y cantidad de evidencia recolectada.
Conclusión El auditor evalúa la calidad de la evidencia y la utiliza para determinar si los objetivos fueron alcanzados. Determina la naturaleza y contenido del Informe, que es el producto final de una auditoría En esta etapa se lleva a cabo lo siguiente: •
Evaluación de los resultados de la auditoría
•
Identificación de los problemas a solucionar
•
Identificación de las mejoras a reportar
•
Evaluación de los riesgos y sus efectos
•
Análisis de las causas y posibles soluciones a los problemas que dan origen a riesgos
La preparación del Informe abarca: •
Redacción de las observaciones y recomendaciones específicas y conclusiones de la Auditoría Forense. 19
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
•
Identificación de recomendaciones de ampliación de criterios y parámetros de evaluación.
•
Determinación de los indicadores de riesgos
•
Recomendaciones para la reformulación del modelo operativo de la entidad.
•
Emisión del Informe de Auditoría Forense
SEGUIMIENTO DE RECOMENDACIONES Y COMPROMISOS DE AUDITORÍA. En auditorías ulteriores, si somos los auditores recurrentes, la labor de seguimiento de las recomendaciones de los informes es de suma su ma importancia. También lo es en la etapas interinas de la auditoría. Esta actividad está compuesta por, pero no limi limitada tada a: •
Planificación para el seguimiento de las recomendaciones y de los compromisos de Auditoría.
•
Revisión de cumplimiento de recomendaciones.
•
Evaluación de compromisos de auditoría
•
Informe final de Auditoría Forense
•
Resguardo de la información información de respaldo.
20
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
Conclusiones En la generalidad de las empresas, el delito más temido es el fraude, aún frente a muchos otros crímenes como el lavado de dinero, el terrorismo, el secuestro, el sabotaje y el hurto. Estas amenazas están adquiriendo fuerza, fomentada en gran medida por una creciente complejidad en los negocios, el impacto de la globalización, principalmente en los movimientos de fondos entre diferentes países, los riesgos implícitos en el trato con diferentes culturas y un mayor uso de tecnologías en la gestión de los negocios. Todo ello ha llevado a una sensación de mayor riesgo entre los empresarios y entidades gubernamentales de los más diversos sectores y países, por lo que las compañías no se sienten protegidas contra el fraude o los defraudadores que se están adelantando a los controles, especialmente en las áreas críticas de los negocios de la empresa. Para enfrentar dicha situación, concluimos que la existencia de un modelo para la realización de la Auditoría Forense, con las características propias de los modelos de control y de investigación, basado en procedimientos y técnicas existentes en la Auditoría financiera o Interna, debe permitir contar con un nuevo enfoque y nuevas herramientas que ayuden a detectar y combatir los delitos cometidos por parte de empleados deshonestos o patrocinadores externos contra los bienes de las personas, empresas y de las organizaciones en general. El contador público debe estar preparado para la realización de una investigación especial, decidiendo en una primera instancia si el trabajo es aceptable o no. Para ello debe cumplir con los requisitos y condiciones necesarias para realizar una Auditoría Forense, conocer y examinando los hechos y circunstancias de cada caso, resguardando los aspectos éticos y la dignidad profesional, emitiendo opiniones, recomendaciones y demostración de hechos que permitirán la aplicación de la justicia y el resguardo de los bienes de las personas e instituciones.
21
Elaborado por Shirley García Universidad Panamericana Curso de Auditoría de Sistemas
BIBLIOGRAFÍA Artículo: Fraud Risk Assesment – Know where you are vulnerable. E&Y, año 2008. Enterprise Risk Assesment, by the Committee of Sponsoring Organizations of the Treadway Commission. (COSO) Specific Topics – Fraud, KPMG, año 2008.
Arens, Alwin A. (2006): “Auditoría: un enfoque integral”; Prentice Hall Hispanoamericana Declaración Sobre Normas de Auditoría, SAS N°78; American Institute Of Certified Public Accountants; Traducción: Instituto Mexicano de Contadores Públicos. Los Nuevos Conceptos del Control Contro l Interno (Informe COSO); Coopers & Librand.
22