Elaborado por Shirley García

Universidad Panamericana
Curso de Auditoría de Sistemas

TABLA DE CONTENIDOS

Introducción.................................................................................................................... 2
Planificación de una Auditoría Forense ........................................................................... 2
Consideración de los Términos del Trabajo (Alcance de los Servicios)........................ 2
Evaluación de Riesgos................................................................................................. 5
Aceptación / Continuidad de Clientes ...................................................................... 5
Conocimiento del Negocio ...................................................................................... 5
Documento de Planificación .................................................................................... 6
Programas de Auditoría Forense .............................................................................. 7
Señales de Fraude............................................................................................................ 7
Tipificación De Acciones Que Involucran Alto Riesgo De Fraude Y Corrupción ...... 10
Uso De Las Computadoras En La Detección Del Fraude ............................................... 12
Ejemplo de Procedimientos Asistidos por Computadoras para Detección de Fraude .. 15
Procedimientos para evaluar el Riesgo de Fraude en el Sistema de Información y
determinar el nivel de confianza y alcance de los procedimientos de auditoría. ...... 16
Ejemplos de Procedimientos para la Detección de Fraude...................................... 17
Componentes del Planteamiento de un Proyecto (Auditoría Forense) ............................ 18
Evaluación del Riesgo de Aceptación .................................................................... 18
Definición de los Términos del Trabajo ................................................................. 18
Planificación.......................................................................................................... 19
Ejecución .............................................................................................................. 19
Conclusión ............................................................................................................ 19
Seguimiento De Recomendaciones Y Compromisos De Auditoría......................... 20
Conclusiones................................................................................................................. 21
Bibliografía ................................................................................................................... 22
Parte Práctica……………………………………………………………………………..23

1
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

Introducción
Actualmente los sistemas de información se han vuelto críticos para todos los negocios
grandes y de uso común para la mayoría de negocios en todas las industrias. Hoy por hoy
si un negocio no cuenta con un sistema de información tiene una seria desventaja
competitiva.

Las compañías a nivel mundial están haciendo esfuerzos económicos para incorporar
aplicaciones de TI (Tecnología de Información) a todos sus procesos de negocios, ya no
solo a la contabilidad, sino hasta la planificación de producción, presupuestos,
administración de recursos humanos, administración de riesgos, auditoría, etc.

El Contador Público y Auditor que presta el servicio de Auditoría de Estados Financieros

se enfrenta a este reto: Auditoría de Estados Financieros en un Ambiente PED, o con una
dependencia significativa de un sistema de información. En resumen, debería incorporar a
un especialista de TI cuando la dependencia es muy significativa, adicionalmente

Planificación de una Auditoría Forense

Consideración de los Términos del Trabajo (Alcance de los Servicios)

Es importante considerar en la planificación de una Auditoría Forense los términos del

trabajo, los cuales deben estar bien documentados. Normalmente se utilizan dos
documentos para registrar la naturaleza, oportunidad y alcance de los procedimientos y de
los productos entregables:

2
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

a. Carta Convenio: Este documento contiene la Propuesta de Servicios

Profesionales. En algunos casos, el profesional puede requerir una
Carta de Aceptación de la alta Gerencia de la entidad para darle
validez al documento.
b. Contrato de
Servicios: Documento legal que incluye los términos del trabajo. Es
vinculante entre las partes y tiene total validez jurídica. Obliga a
atender las cláusulas en él contenidas.

Los “Términos del Trabajo” documentados en los documentos arriba referidos, no son
más que la declaración clara y concisa de:

ü La naturaleza del trabajo

ü La metodología del trabajo
ü Las responsabilidades del Auditor
ü Las responsabilidades de la Administración
ü Las limitaciones inherentes del trabajo
ü Los métodos de resolución de controversias
ü La delimitación de los servicios
ü Lista de informes entregables
ü Oferta Económica

Estos documentos forman parte de los Papeles de Trabajo que le permiten al auditor
administrar el Riesgo de Auditoría. En palabras simples, el auditor mitiga el riesgo de que
la administración “malinterprete” la naturaleza del trabajo o que tenga expectativas
equivocadas con respecto a los resultados de la Auditoría Forense. Ésta, como cualquier
auditoría, tiene sus limitaciones inherentes, por lo que el auditor debe acordar claramente
con la Gerencia de la entidad a la que le preste los servicios, en qué consiste el trabajo y
qué resultados habrá, de tal forma que se exprese de forma implícita que resultados no se
pueden esperar del trabajo.

3
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

El auditor debe acudir a los “Términos del Trabajo” para elaborar su Planificación,
porque ésta debe ser totalmente consistente con tales términos. En cuanto a los Términos
del Trabajo de una Auditoría Forense, en general, lo que debe se debe documentar en la
Propuesta de Servicios Profesionales o en el Contrato de Servicios es lo siguiente:

o Si se trata de una Auditoría Forense para detección de fraude, en donde se tiene

conocimiento de un hecho ilícito efectivamente ocurrido. En este caso los
procedimientos son más específicos y el trabajo está más delimitado, puesto que
se circunscribe a la evidencia relacionada con el hecho ocurrido, la naturaleza,
oportunidad y alcance de los procedimientos quedan a discreción del auditor
forense.

o Si se trata de una Auditoría Forense para detección de fraude, en donde la alta

gerencia o los dueños solo tienen sospechas de la ocurrencia de un hecho ilícito.
Este trabajo necesitaría mayor alcance, y requeriría de evidencia alternativa para
ser correlacionada, con el propósito de detectar el hecho ocurrido o determinar
que no ocurrió ilícito alguno.

o Si se trata de una Auditoría Forense para prevención del fraude en donde el

auditor evalúa el sistema de control interno y asesora a la compañía para diseñar e
implementar controles antifraude o a mejorar los controles antifraude
implementados por el cliente, a fin de que provean seguridad razonable sobre la
adecuada prevención y detección del fraude.

o Una combinación procedimientos diseñados para fortalecer el sistema de control

interno con procedimientos sustantivos para detección del fraude. Este constituiría
el trabajo de Auditoría Forense más completo.

o Un trabajo de procedimientos previamente convenidos, cuando, por ejemplo, la

administración ha delimitado el alcance del trabajo y los procedimientos del
auditor se ajustan a esos términos, o cuando la compañía ha diseñado los
procedimientos y contrata al auditor forense para llevarlos a cabo.

4
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

Evaluación de Riesgos

Aceptación / Continuidad de Clientes

El término “Evaluación de Riesgos” abarca muchos aspectos de una auditoría. No solo se

trata de la evaluación de lo riesgos propios del negocio, es decir, riesgos de error y en el
caso particular de una Auditoría Forense, los riesgos de fraude a todos los niveles y en
todas sus categorías; más bien, la Evaluación de Riesgos es parte de la Administración
del Riesgo de Auditoría, que comienza desde antes de aceptar a un cliente. No sería ético
ni conveniente aceptar a un cliente cuya reputación o comportamiento ético está puesto
en duda. Eventualmente el auditor encontraría compañías que cometen fraude o que,
debido a debilidades materiales en su estructura organizativa o su sistema de control
interno, sufren constantemente fraudes. Por principio, el auditor no debe aceptar un
trabajo cuando sabe que la administración de la compañía que solicita los servicios está
involucrada en fraude (p.e. Defraudación fiscal, evasión fiscal, fraude financiero, fraude
de información, etc.) y por conveniencia, en el caso de aquellas compañías que tienen un
historial negativo de fraude, debería evaluar si acepta o no al cliente. La evaluación de la
aceptación o continuidad de un cliente aporta información que le permite al auditor, no
solo rechazar o aceptar a un cliente, si no también determinar cual sería la naturaleza y
alcance de los servicios y por consiguiente cual sería el importe más apropiado de
honorarios profesionales por esos servicios.

Una Auditoría Forense necesita como soporte un documento que ampare la evaluación
objetiva de los riesgos que conllevan aceptar o continuar con un cliente. El proceso de
evaluar a un cliente o un cliente potencial contribuye desde ya con evidencia de auditoría
útil para la Evaluación de Riesgos y la Planificación.

Conocimiento del Negocio

Es importante adquirir un conocimiento del negocio para realizar una adecuada
planificación de la Auditoría Forense. Este conocimiento estaría compuesto de la
siguiente forma:

5
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

o Conocimiento general de la industria en que opera la entidad.

o Conocimiento más particular de la entidad.

El conocimiento del negocio nos permitiría identificar y evaluar riesgos que servirían
para planificar mejor nuestro trabajo sustantivo. Por el contrario, una planificación sin un
conocimiento apropiado del negocio y su industria resultaría en una mala administración
del riesgo de auditoría, y como consecuencia los objetivos que se tracen no se alcanzarían
de forma satisfactoria. Es importante mencionar también que aunque un auditor forense
tenga experiencia previa en compañías que se dedican a una industria en particular, no
puede concluir que las compañías que audite, aunque se dedican exactamente a la misma
actividad, tienen los mismos riesgos. Sin importar el nivel de experiencia, esto se
consideraría una conclusión a priori. La evaluación de riesgos merecen una atención
especial, aun si somos los auditores recurrentes; es asimismo muy importante la escoger
los procedimientos más adecuados para evaluar riesgos y también las formas más
adecuadas para documentarlos.

Documento de Planificación
Es de suma importancia llevar a cabo la apropiada documentación de la Planificación de
una Auditoría Forense. El Documento de Planificación debe mostrar:

o Congruencia de los procedimientos planificados con el alcance del trabajo.

o Oportunidad de los procedimientos.
o Distribución de tareas entre los miembros del equipo de trabajo.
o Uso de especialistas.
o Otras decisiones clave de la estrategia de auditoría
o Enfoque general.

6
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

o Matriz de Riesgos.
o Objetivos relacionados con los riesgos identificados.
o Relación clara entre los procedimientos dirigidos a alcanzar los objetivos y la
cobertura de riesgos.
o Otros temas como escepticismo profesional, independencia, temas éticos, etc.
o Programas de auditoría, donde se documentan los procedimientos planificados,
que son consistentes con: la estrategia general, los riesgos identificados y los
objetivos trazados.

Programas de Auditoría Forense

Los Programas de Auditoría son Papeles de Trabajo muy importantes dentro de la
documentación de la Planificación de la Auditoría Forense, debido a que en ellos se
documentan:
o Nombre del procedimiento
o Descripción detallada de los procedimientos planificados
o Responsable de realizar el procedimiento y oportunidad de la ejecución
o Responsable de revisar el procedimiento y oportunidad de la revisión
o Referencia del Papel de Trabajo en donde se documenta el procedimiento
(Aunque el Auditor Forense puede optar por documentar todos sus
procedimientos en un solo Programa de Auditoría, es más apropiado y profesional
documentarlos en Programas separados, cuyo orden responda a los objetivos
planificados.)
o Referencia al Objetivo de Auditoría Forense determinado en la Planificación que
se cubre con cada procedimiento.

Señales de Fraude
Como resultado de indagaciones, observaciones e inspección de documentos, tanto en la
etapa de Planificación como en la Ejecución del Trabajo, el Auditor Forense podría
detectar posibles brechas, en donde la posibilidad de que ocurra un fraude es más certera
que remota. En otras palabras, cuando el auditor lleva a cabo procedimientos para
entender el negocio, su industria, su medio ambiente, su organización, sus objetivos y

7
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

estrategias de negocio, y lleva a cabo algunos procedimientos generales de revisión (por

ejemplo, revisión de algunas integraciones o documentos) sin necesidad de ahondar
mucho en la revisión, entre otros temas, puede detectar desde ya Señales de Fraude.

En la siguiente página listamos solo algunos ejemplos de situaciones que podrían

constituir Señales de Fraude:

8
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

Condición o Evento Posible Fraude

Cantidades fuertes de depósitos en Lavado de dinero y otros
circulación (no operados en contabilidad), activos
o bien, pasivos importantes no liquidados
de considerable antigüedad
Pagos importantes de honorarios a terceros
por servicios prestados cuya naturaleza
resulta confusa o dudosa
Cantidades extraordinarias de inventario
pero la demanda es baja.
Deficiencias en el sistema de control Apropiación indebida de
interno activos
relacionadas a la asignación de
responsabilidad sobre custodia de activos.
Faltantes de inventario o de caja por
montos importantes
Inventarios de “Activos Dulces”, tales
como electrodomésticos, artículos de
consumo masivo, de fácil venta o altamente
rentables.
Compañía se dedica al transporte y
custodia de valores
Malas prácticas de inventario (no hay
tomas físicas frecuentes, no hay libro
auxiliar, o tienen deficiencias materiales)
Presupuestos o metas de ventas muy Manipulación de cifras
agresivos
Incentivos gerenciales asociados a metas
cuya medición se hace sobre indicadores
financieros (margen de ventas, estadísticas
de ventas, EBTDA, u otros)
Planes de expansión ambiciosos, que
requieren financiamiento externo
Fuertes incentivos sobre ventas al crédito Falsificación de
(ventas ficticias) transacciones
Incentivos sobre captación o colocación de
transacciones (cartera, inversiones, etc.)
Historial de fraude Supresión de registros
Deficiencias de archivo y custodia de
documentos clave
La entidad comercializa productos Espionaje industrial
industriales sobre los que posee fórmulas
exclusivas
La entidad maneja información sensible,
confidencial de carácter comercial y/o
tecnológico
La entidad ha reportado pérdidas fiscales Evasión o elusión fiscal
importantes, sin embargo no presenta
problemas de negocio en marcha
Marco regulatorio complejo
Historial de ajustes del ente supervisor

9
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

TIPIFICACIÓN DE ACCIONES QUE INVOLUCRAN ALTO RIESGO

DE FRAUDE Y CORRUPCIÓN

1. Gran dominio del administrador principal o de uno o más de los que le siguen cuando
se presentan las siguientes condiciones:
• Consejo de Administración o Directorio que no funciona o es inefectivo.
• Indicadores que señalan que el administrador principal, pasa por alto los más
importantes controles internos contables.
• Compensaciones y otras opciones disponibles asociadas a resultados o a transacciones
especificas, sobre las que el administrador principal debe incorporar controles.
• Señales de que el personal de finanzas tiene problemas con el administrador principal.
• Alta influencia del administrador principal sobre la organización, en lo que respecta a
condiciones y compensaciones de remuneración y su estatus en la misma.

2. Deterioro en las utilidades, que son señalas por los siguientes factores:
• Disminución en el volumen y cantidad de ventas, aumento en el riesgo de crédito o
ventas bajo el costo.
• Cambios importantes en las prácticas comerciales.
• Exceso de interés por parte del administrador principal en las utilidades por acción
dependiendo del efecto de la aplicación de alternativas contables.

3. Condiciones en los negocios que pueden crear presiones poco usuales:

• Inadecuado capital de trabajo.
• Poca flexibilidad y restricciones para endeudamiento, poco capital de trabajo y
limitaciones para la obtención de créditos.
• Rápida expansión de un producto o exceso de compra-venta de una línea de producto en
comparación a la industria en general.
• Gran inversión de los recursos de la organización en otra industria para proyectar un
gran cambio, sobre todo en tecnologías.

10
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

Compleja estructura organizacional cuya sofisticación no aparenta ser lo mejor para las
operaciones y tamaño de la organización.

5. Gran dispersión de los locales de la organización, aunada a una alta descentralización

administrativa con inadecuados sistemas de información.

6. Poco personal y que requiera que los empleados trabajen mas de lo normal, que no les
permita vacaciones y se produzcan excesos de pago por horas extras.

7. Alta rotación del personal clave en el área de finanzas, como es el caso del tesorero y
del contralor.

8. Cambios constantes en los auditores externos y asesores legales.

9. Pocos conocimientos en materia de control interno y debilidad del mismo en algunas
áreas que requieren reforzamiento, como el caso de:
• Acceso a los procesos de los sistemas de información, y que el equipo periférico no esté
controlado adecuadamente.
• Funciones incompatibles en personal clave.

10. Transacciones materiales que pueden involucrar conflictos de interés.

11. Anuncios prematuros sobre resultados o expectativas futuras de operación.

12. Una revisión analítica a los procedimientos descubre fluctuaciones importantes que
no pueden ser razonablemente explicadas por ejemplo:
• Cuentas de Balance.
• Interrelaciones financieras u operacionales.
• Variaciones de inventarios físicos.
• Índices de rotación de inventarios.

11
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

13. Transacciones importantes y poco usuales, particularmente al cierre del ejercicio, con
efectos materiales en las utilidades.

14. Se han efectuado pagos importantes y poco usuales, particularmente al cierre del
ejercicio, con efectos materiales en las utilidades.

15. Dificultad en la obtención de evidencia de auditoría con respecto a:

• Asientos contables poco usuales o sin explicación.
• Documentación y o autorización incompleta o extraviada.
• Documentos o cuentas alteradas.

16. Durante el desarrollo de una auditoría de estados financieros se presentan problemas

como los siguientes:
• Presión porque se concluya la auditoría en un tiempo menor a lo normal y bajo
condiciones difíciles.
• Presencia constante de situaciones que provocan retrasos.
• Evasivas o respuestas poco razonables por parte de la administración a requerimientos
de los auditores.

Dentro de una capacitación en auditoría forense se debe tener en cuenta entre otras las
siguientes áreas: técnicas policiales, análisis de inteligencia, investigación mediante el
uso de fuentes abiertas e Internet, investigación de fraudes, investigación de corrupción
pública, detección y prevención de lavado de activos, investigación en asuntos aduaneros
y contrabando, ética, etc.

Uso De Las Computadoras En La Detección Del Fraude

Para llevar a cabo una Auditoría Forense es posible el uso de las Técnicas de Auditoría
Asistidas por el Computador (TAAC´s). Si estos procedimientos se desarrollan de forma
adecuada, pueden resultar muy provechosos para el auditor.

12
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

El uso de la computadora para detectar el fraude facilita mucho la labor y asimismo

incrementa sustancialmente el alcance de los procedimientos, puesto que hace uso del
Sistema de Información de la compañía sujeta a Auditoría Forense. Estos procedimientos
pueden desarrollarse en tiempo real o, como normalmente se desarrollan, sobre bases de
datos históricas. A continuación la explicación de cada una de estas:

o En tiempo real: Estos procedimientos se pueden desarrollar en línea,

haciendo uso de la intranet de la compañía; un ejemplo de estos procedimientos
sería el monitoreo de actividades de los diversos usuarios.

o Sobre bases de datos: Se realizan sobre las bases de datos proporcionadas por la
compañía, diseñadas para detectar registros relacionados con transacciones
irregulares.

El Auditor Forense puede considerar dos aspectos para utilizar a las computadoras como
una herramienta eficaz para desarrollar sus procedimientos de auditoría:

Ø Evaluación del Sistema de Información del Cliente

Ø Desarrollo de pruebas sobre información disponible en el sistema, para detección

de fraude.

La evaluación del Sistema de Información del cliente al que le presta los servicios de
Auditoría Forense, sirve para determinar el nivel de confianza que puede depositar en la
información que se extraiga del sistema.

En algunos casos el Auditor Forense se vería en la obligación de limitar e incluso

renunciar a efectuar pruebas asistidas por computadoras. Ejemplos de estos casos son los
siguientes:

No hay un Sistema de Información integrado. Algunas empresas cuentan con

algunas aplicaciones bastante sencillas y poco seguras, que no conforman un
Sistema de Información como tal, por lo cual, si hubiera información disponible

13
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

para efectuar pruebas asistidas por la computadora, no sería aceptablemente

confiable.

El Sistema presenta serias deficiencias para el ingreso, procesamiento y

almacenamiento de información.

No hay un “Gerente de Tecnología” o un cargo equivalente que atienda los

aspectos relacionados a la seguridad y eficiencia del Sistema de Información

Deficiencias en la seguridad física y lógica del Sistema.

No hay una adecuada definición de responsabilidades, segregación y separación

de funciones, restricción de accesos, etc. a nivel del sistema (deficiencias en la
configuración y administración de usuarios).

El Sistema de Información es muy vulnerable.

El Sistema procesa la información de forma efectiva, sin embargo, su estructura

dificulta significativamente hacer consultas.

Información vital para realizar pruebas no está disponible en el sistema. Por

ejemplo: el sistema no registra el nombre de usuario que registra transacciones, la
hora, fecha, etc.

Si el Auditor Forense planea efectuar procedimientos asistidos por la Computadora, debe

apoyarse en un especialista en Tecnología Informática (Ingeniero en Sistemas, Auditor de
Sistemas o Licenciado en Informática) para poder concluir si es efectivo realizar dichas
pruebas, basado en una evaluación de “Riesgo de Tecnología”. Si no hace esa evaluación
ocurren dos cosas:

v Los procedimientos por medio del computador deben ser de menor

alcance, y por lo tanto, menos críticos.

v Eventualmente, no podría desarrollar procedimientos por medio del

computador sin tener que realizar procedimientos exhaustivos de

14
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

validación (por ejemplo, solicitar acceso directo a las bases de datos,

validar la información con datos externos, etc.) si la compañía es muy
dependiente de su sistema, tal el caso de los Bancos.

Lo anterior por supuesto es también un tema de Costo-Beneficio. El Costo de evaluar el

Sistema de Información del Cliente es normalmente bastante considerable. Realizar
pruebas por medio de computadoras sin evaluar el Sistema de Información del cliente, es
un pecado capital en la práctica profesional, conocido como Confianza Inadvertida,
cuyas consecuencias pueden ser fatales. Es importante recordar que, manteniendo
siempre el escepticismo profesional, el Auditor Forense debe desarrollar procedimientos
eficaces para detectar “lobos con piel de oveja”. Un Sistema de Información tiene la
ventaja de que nos puede pintar un panorama muy diferente al de la realidad de una
empresa, por lo tanto, una prueba realizada por medio de la computadora sobre
información cuyo origen no hemos probado si es aceptablemente confiable, provee
evidencia que no tiene valor alguno. Eventualmente el auditor puede encontrarse con un
cliente cuyo Sistema de Información sea aceptablemente confiable, sin embargo, esto no
lo exime de realizar pruebas de validación de la información proporcionada, tales como
probar la integridad y exactitud de los reportes, sumándolos y comparándolos con
información alterna antes de efectuar cualquier prueba.

Ejemplo de Procedimientos Asistidos por Computadoras para Detección de

Fraude
A continuación presentamos ejemplos de procedimientos que el Auditor Forense puede
llevar a cabo haciendo uso de la Tecnología Informática para:

ü Evaluar el Sistema de Información del cliente para determinar el nivel de

confianza que puede depositar en la información que se extraiga de su sistema y
para evaluar el riesgo de fraude en el sistema de información.

ü Procedimientos para detección de fraude

15
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

Procedimientos para evaluar el Riesgo de Fraude en el Sistema de

Información y determinar el nivel de confianza y alcance de los
procedimientos de auditoría.

Procedimiento Objetivos
Entrevista con el Gerente de Tecnología. Ø Determinar si hay una persona competente
Elaborar un cuestionario con preguntas clave: a cargo de la administración del sistema de
sistemas operativos, número de usuarios, información
experiencia en sistemas, tipo de bases de datos, Ø Conocer la estructura de la red, el tipo de
aplicaciones clave, aplicaciones externas y base de datos, las aplicaciones principales,
desarrolladas internamente, etc. los administradores y usuarios
Ø Planificar los procedimientos restantes
Inspección del Catálogo de Usuarios contra Ø Evaluar la adecuada segregación de
perfiles de puesto funciones a nivel de sistema
Consiste en solicitar una lista que detalle el Ø Evaluar la seguridad del sistema en función
nombre de los empleados, el puesto y el de los perfiles de usuario
nombre de usuario y los privilegios y Ø Detectar deficiencias en la asignación de
restricciones usuarios, tales como, usuarios de
empleados que ya no están en la entidad,
usuarios con privilegios ilimitados, etc.
Ø Detectar riesgo de fraude, por ejemplo, si
los usuarios finales tienen privilegios para
editar/eliminar registros.
Ø Conocer la estructura organizativa de los
usuarios del sistema para considerarlo en
las pruebas de auditoría restantes
Hackeo del Sistema Ø Permite concluir el nivel de vulnerabilidad
Consiste en ingresar a la red con un usuario del sistema
externo para efectuar pruebas tales como: Ø Descubre las brechas que pueden ser
consulta de bases de datos “restringidas”, utilizadas para perpetrar fraude
copiar información sensible, tener acceso total Ø Identifica las áreas más sensibles al fraude
a las terminales, introducir información, editar
información, etc.
Nota: El “Hackeo” es un delito. Para hacer esta
prueba se requiere de un permiso especial del
cliente. Se haría estrictamente con el propósito
de evaluar el Sistema.

Prueba de perfiles de usuarios en el sistema Ø Valida el Catálogo de Usuarios

Lo que se hace en este procedimiento es Ø Comprueba los privilegios de usuarios
comprobar en el sistema si los privilegios y Ø Detecta “superusuarios”, que serían
restricciones asignadas están efectivamente portadores de riesgo de fraude.
configuradas en el sistema. Por ejemplo, si los Ø Detecta operaciones permitidas por el
vendedores no tienen permitido modificar sistema que constituyan “oportunidades de
precios, solicitamos a un vendedor que en fraude”.
presencia nuestra intente modificar el precio.

16
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

Seguridad física y lógica Ø Evaluar el riesgo de robo de información

Consiste en inspeccionar el resguardo de los Ø Evaluar el riesgo de destrucción de
servidores y la configuración del software, para información
la restricción de usuarios y la protección de
datos, procesos y programas
Evaluación del perfil de la Gerencia de TI Ø Evaluar el riesgo de que personal clave de
(Tecnología de Información) TI viole los controles
Entrevista con personal clave de TI, para Ø Riesgo de que el personal de TI esté
determinar si cuentan con el nivel adecuado de involucrado en instancias de fraude
experiencia y capacidad. Determinar su perfil Ø Determinar si el personal de TI es capaz
en cuanto reputación y valores, y considerar los monitorear los controles antifraude y
incentivos laborales que disfrutan responder adecuadamente ante las alertas
Monitoreo de los Directores sobre la Ø Establecer la frecuencia y calidad de las
Tecnología de TI actividades de monitoreo sobre el sistema
de información

Ejemplos de Procedimientos para la Detección de Fraude

Procedimiento Objetivos
Revisión de Asientos Manuales Ø Detectar registros manuales fraudulentos.
El auditor solicita la base de datos de partidas Ø Detectar registros relacionados a posibles
de diario que contenga: casos de fraude.
o Usuario que operó
o Usuario que aprobó
o Fecha de operación/aprobación
o Hora de operación/aprobación
o Monto
o Cuentas de cargo y abono
o Descripción

Con lo anterior el auditor podría listar e

investigar:
o Partidas operadas en horarios
extraordinarios
o Partidas operadas en días festivos o no
hábiles
o Partidas operadas por usuarios no
autorizados
o Partidas manuales que afectan cuentas
o de ingresos
o Partidas manuales que liquidan pasivos
o Partidas registradas, pero no autorizadas
o Cifras terminadas en …99.99 (permitiría
detectar override de controles aplicados
de acuerdo al rangos de importes)
Reportes de excepciones Ø Detectar operaciones eliminadas, para
El auditor solicitaría una base de datos de apropiarse del efectivo.
documentos clave, tales como: facturas, notas Ø Detectar operaciones ficticias
de débito, notas de crédito, cheques, etc. Ø Detectar operaciones no autorizadas que se

17
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

Listaría y revisaría: realizan en beneficio de terceros, por

ejemplo, concesión no autorizada de
o Documentos anulados, cuyos importes descuentos, precios especiales, etc.
sean significativos
o Documentos emitidos-procesados en
horarios pocos usuales o en días festivos
o Documentos emitidos-procesados por
usuarios fantasmas o “inactivos”
o Concentración de operaciones en
algunos usuarios
o Documentos emitidos-procesados por
usuarios no autorizados o cuyo perfil no
es compatible

Componentes del Planteamiento de un Proyecto (Auditoría

Forense)

Evaluación Definición de
aceptación los Términos Planificación Ejecución Conclusión
del Trabajo

Informe

Evaluación del Riesgo de Aceptación

El auditor evalúa los riesgos que conlleva aceptar o continuar con un proyecto. Es parte
integral del flujo de trabajo de una Auditoría Forense.

Definición de los Términos del Trabajo

El auditor formaliza el acuerdo con el cliente sobre la naturaleza de los servicios que le
prestará. Delimita los trabajo y lo documenta en una Carta Convenio o Contrato de
Servicios

18
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

Planificación

El auditor decide:
Ø El enfoque general
Ø Equipo de trabajo y atribuciones
Ø Oportunidad de los procedimientos
Ø El uso de especialistas
Ø Programas de Auditoría (procedimientos planeados)
Ø Estrategia general de auditoría
Estas decisiones serán consistentes con los Términos del Trabajo.

Ejecución
El auditor lleva a cabo los procedimientos planificados, reúne la evidencia de auditoría,
produce papeles de trabajo que documentan su labor y la calidad y cantidad de evidencia
recolectada.

Conclusión
El auditor evalúa la calidad de la evidencia y la utiliza para determinar si los objetivos
fueron alcanzados. Determina la naturaleza y contenido del Informe, que es el producto
final de una auditoría

En esta etapa se lleva a cabo lo siguiente:

• Evaluación de los resultados de la auditoría

• Identificación de los problemas a solucionar
• Identificación de las mejoras a reportar
• Evaluación de los riesgos y sus efectos
• Análisis de las causas y posibles soluciones a los problemas que dan origen a
riesgos

La preparación del Informe abarca:

• Redacción de las observaciones y recomendaciones específicas y conclusiones de

la Auditoría Forense.

19
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

• Identificación de recomendaciones de ampliación de criterios y parámetros de

evaluación.
• Determinación de los indicadores de riesgos
• Recomendaciones para la reformulación del modelo operativo de la entidad.
• Emisión del Informe de Auditoría Forense

SEGUIMIENTO DE RECOMENDACIONES Y COMPROMISOS DE

AUDITORÍA.

En auditorías ulteriores, si somos los auditores recurrentes, la labor de seguimiento de las

recomendaciones de los informes es de suma importancia. También lo es en la etapas
interinas de la auditoría. Esta actividad está compuesta por, pero no limitada a:

• Planificación para el seguimiento de las recomendaciones y de los compromisos

de Auditoría.
• Revisión de cumplimiento de recomendaciones.
• Evaluación de compromisos de auditoría
• Informe final de Auditoría Forense
• Resguardo de la información de respaldo.

20
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

Conclusiones

En la generalidad de las empresas, el delito más temido es el fraude, aún frente a muchos
otros crímenes como el lavado de dinero, el terrorismo, el secuestro, el sabotaje y el
hurto. Estas amenazas están adquiriendo fuerza, fomentada en gran medida por una
creciente complejidad en los negocios, el impacto de la globalización, principalmente en
los movimientos de fondos entre diferentes países, los riesgos implícitos en el trato con
diferentes culturas y un mayor uso de tecnologías en la gestión de los negocios. Todo ello
ha llevado a una sensación de mayor riesgo entre los empresarios y entidades
gubernamentales de los más diversos sectores y países, por lo que las compañías no se
sienten protegidas contra el fraude o los defraudadores que se están adelantando a los
controles, especialmente en las áreas críticas de los negocios de la empresa. Para
enfrentar dicha situación, concluimos que la existencia de un modelo para la realización
de la Auditoría Forense, con las características propias de los modelos de control y de
investigación, basado en procedimientos y técnicas existentes en la Auditoría financiera o
Interna, debe permitir contar con un nuevo enfoque y nuevas herramientas que ayuden a
detectar y combatir los delitos cometidos por parte de empleados deshonestos o
patrocinadores externos contra los bienes de las personas, empresas y de las
organizaciones en general.
El contador público debe estar preparado para la realización de una investigación
especial, decidiendo en una primera instancia si el trabajo es aceptable o no. Para ello
debe cumplir con los requisitos y condiciones necesarias para realizar una Auditoría
Forense, conocer y examinando los hechos y circunstancias de cada caso, resguardando
los aspectos éticos y la dignidad profesional, emitiendo opiniones, recomendaciones y
demostración de hechos que permitirán la aplicación de la justicia y el resguardo de los
bienes de las personas e instituciones.

21
 Elaborado por Shirley García
Universidad Panamericana
Curso de Auditoría de Sistemas

BIBLIOGRAFÍA
Artículo: Fraud Risk Assesment – Know where you are vulnerable. E&Y, año
2008.
Enterprise Risk Assesment, by the Committee of Sponsoring Organizations of the
Treadway Commission. (COSO)
Specific Topics – Fraud, KPMG, año 2008.
Arens, Alwin A. (2006): “Auditoría: un enfoque integral”; Prentice Hall
Hispanoamericana
Declaración Sobre Normas de Auditoría, SAS N°78; American Institute Of
Certified Public Accountants; Traducción: Instituto Mexicano de Contadores
Públicos.
Los Nuevos Conceptos del Control Interno (Informe COSO); Coopers & Librand.

22