Gestion Del Riesgo de Fraude PDF

BU E N A S P R AC T I C A S E N G E S T I Ó N D E R I E S G O S
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
BU E N A S P R AC T I C A S E N G E S T I Ó N D E R I E S G O S
Febrero 2015
MIEMBROS DE LA COMISIÓN TÉCNICA

COORDINACIÓN: Javier López Andreo, CFE, CISA. PwC
Jorge Abad del Mazo. ENDESA
Luis Alonso Moreno. DELOITTE
Cristina Bausá Rosa, CIA, CRMA. SAREB
David Caña Domínguez, CIA. MAPFRE
Mariano Casado Carrillo de Albornoz, CFE. IBERDROLA
José Enrique Díaz Menaya, CIA, CRMA. BERGE Y CÍA
Enric Domenech Rey, CRMA. BDO
Reyes Fuentes Ortea, CIA, CISA, CFE, CCSA. NH HOTEL GROUP
Jaime García Ajuria, CIA. TRIODOS BANK
Sergio Gómez-Landero Pérez, CIA, CISA, CFE. ENDESA
Luis Mesa Palomino. CORTEFIEL
Vicente Obrero Castilla. CAJASUR
Fernando Paton Botella, CFE. INDITEX
Almudena Ruiz-Ruescas Pradera. PwC
Juan Jesús Valderas Martos. DELOITTE
Leyre Zayas Mariscal, CIA, CCSA. PwC
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
LA FÁBRICA DE PENSAMIENTO, el think tank del Instituto de Auditores Internos de Espa-

ña, aborda con acierto en este último documento –un resumen ejecutivo de una investi-
gación más amplia que el Instituto editará próximamente– los diferentes procesos para
una óptima gestión del riesgo de fraude, que pasa inexorablemente por un programa efi-
caz de prevención, detección e investigación de fraudes.
Además de establecer este programa y las características a tener en cuenta para su elabo-
ración, este documento aporta un valor fundamental al definir un enfoque efectivo para
la administración del fraude y un análisis profundo sobre las responsabilidades y concien-
ciación en su prevención, detección e investigación.
Este enfoque se basa en un sistema de principios, valores, reglas y comportamientos que,

tal y como sostienen los autores del documento, comienza en la alta dirección de la orga-
nización, que tiene la misión de definir, y asumir, un código de conducta como pilar básico
de su programa de cumplimiento.
Si bien todos los miembros de la organización son responsables del establecimiento y

mantenimiento de los controles adecuados contra el fraude, Auditoría Interna tiene un
papel fundamental de aseguramiento ante el Consejo de Administración y la dirección de
que los controles de fraude son suficientes.
Las nuevas tendencias, impulsadas por la realidad económica y por una creciente deman-
da social de mayor transparencia y control, exigen de los auditores internos respuestas
pertinentes frente a casos de fraudes corporativos y, sin duda, éstas llegarán si tendemos
hacia la excelencia en nuestro trabajo, que viene motivada por la formación y la capacita-
ción, además de un correcto dimensionamiento de los equipos de Auditoría Interna.
Con este espíritu y con el impecable desarrollo de la investigación por parte de los inte-
grantes de la Comisión Técnica se ha desarrollado esta guía, que contribuirá sin duda al
óptimo desempeño de nuestras funciones como auditores internos, y por ende, al de las
organizaciones en las que se desenvuelve nuestra profesión.
Ernesto Martínez
Presidente del Instituto de Auditores Internos de España
3
Índice
INTRODUCCIÓN 06
PREVENCIÓN, DETECCIÓN E INVESTIGACIÓN DEL FRAUDE 07

Programa de gestión de riesgo de fraude ........................................................... 08
Evaluación del riesgo de fraude .............................................................................. 09
La prevención del fraude ........................................................................................... 11
La detección del fraude ............................................................................................. 12
La investigación del fraude y acciones correctivas ............................................. 13
RESPONSABILIDADES Y CONCIENCIACIÓN EN LA 15
PREVENCIÓN, DETECCIÓN E INVESTIGACIÓN DEL FRAUDE
Introducción .................................................................................................................. 15
Roles y responsabilidades en la gestión del riesgo de fraude ......................... 16
EL ROL DEL AUDITOR INTERNO 23

Normativa a considerar ............................................................................................. 24
Funciones del área de Auditoría Interna en materia de prevención,

detección e investigación del fraude ...................................................................... 25
5
Introducción
En el actual marco regulatorio global, las or- actuación y comportamientos de la actividad
ganizaciones están cada vez más sujetas a de la organizaciones; cuestiones que deben
normativas internacionales relacionadas con aceptarse, comunicarse, supervisarse, revaluar-
la comisión de delitos, sobre todo de corrup- se y adaptarse con regularidad, para asegurar
El sistema de principios, ción y soborno. Históricamente, el regulador la eficacia continua de los controles internos,
valores y reglas de más activo ha sido, dado su carácter extrate- medidas y políticas de la compañía.
actuación en las rritorial, el Departamento de Justicia (DOJ) de
organizaciones los Estados Unidos, a través de la FCPA (Fo- El objeto es doble: por un lado, facilitar al
comienza en la alta reign Corrupt Practices Act). mercado información sobre los mecanismos
dirección y, a través de específicos con los que la entidad mantiene
diversos elementos En este campo, muchos gobiernos siguen las un ambiente de control interno que propicia la
(códigos de conducta, recomendaciones de la OCDE (Organización generación de información financiera comple-
políticas y para la Cooperación y el Desarrollo Económi- ta, fiable y oportuna; y por otro, prevenir y
procedimientos, etc) se co). Los de Reino Unido, Francia, Turquía, y Es- atenuar las posibles conductas irregulares así
traslada al conjunto de paña, entre otros, han reformado sus legisla- como propiciar las vías para detectarlas.
la organización. ciones, alineándolas a la lucha contra el frau-
de y la corrupción. Un ejemplo es la reforma Este sistema de principios, valores y reglas
del Código Penal de España, cuyo trámite se empieza en la alta dirección. Y a partir de ahí,
inició en octubre de 2013 y fue aprobado fi- a través de un código de conducta, comporta-
nalmente el 21 de enero de 2015 por el Con- mientos adecuados y el diseño y la comunica-
greso de los Diputados. En otros casos, como ción de las correspondientes políticas y proce-
el del Reino Unido, se han introducido nuevas dimientos, se proyecta al resto de la organiza-
leyes como la UK Bribery Act. ción.
De acuerdo con las recomendaciones de la En esta guía detallamos los principales ele-
OCDE, los programas de cumplimiento norma- mentos de un programa eficaz de prevención,
tivo definen los principios, valores, reglas de detección e investigación de fraudes.
6
Prevención, detección
e investigación del fraude
En cualquiera de sus categorías: apropiación 4. Un plan de comunicación y formación para
de activos, corrupción, manipulación contable, toda la organización.
uso de información privilegiada, etc., los deli-
5. Un programa eficaz de prevención, detec-
tos económicos han derivado en nuevas ame-
ción e investigación de fraude.
nazas para las organizaciones de todo el mun-
do. La irrupción de las nuevas tecnologías y 6. Un canal de denuncias, como vía de comu-
las dificultad de las organizaciones para adap- nicación interna, que permita informar al
tarse por sí solas a un entorno económico en órgano responsable, tanto de irregularida-
cambio continuo, complican la situación. El des de naturaleza financiera y contable, co-
aumento de los fraudes detectados y su im- mo de eventuales incumplimientos del Có-
pacto han obligado a invertir en nuevas medi- digo de Conducta.
das de prevención para minimizar los daños.
Para lograr reducir la probabilidad de fraude,
Es fundamental contar con un programa efi- las organizaciones deben realizar un gran es-
caz de prevención, detección e investigación fuerzo en la gestión de dicho riesgo. A conti-
de delitos; junto al que deben constar, al me- nuación mostramos cinco principios funda-
nos, los siguientes elementos: mentales para que una organización gestione
proactivamente el riesgo de fraude. Esto es,
1. Un órgano colegiado o unipersonal, depen-
los cinco elementos de un programa eficaz de
diente del Consejo de Administración, que La irrupción de las
prevención, detección e investigación de deli-
vele por la aplicación del Código de Con- nuevas tecnologías y un
tos:
ducta y sirva para procurar un comporta- entorno económico en
miento profesional, ético y responsable de 1. Establecer un programa de gestión del constante cambio,
toda la organización. riesgo de fraude, como parte de la estruc- obligan a las
tura de gobierno. También conocido como organizaciones a
2. Un Código de Conducta o de Buenas Prác-
programa anti-fraude, que incluye una polí- invertir en nuevas
ticas que defina los principios y valores que
tica escrita y que recoge las expectativas medidas de prevención
rigen las relaciones de la organización con
del Consejo de Administración y los altos del fraude.
sus grupos de interés (empleados, clientes,
accionistas, socios de negocio, y proveedo- directivos en relación con la gestión de
res) y que se implanta, se difunde y es riesgo de fraude.
aceptado por dichos grupos de interés.
2. Realizar una evaluación periódica de la
3. El compromiso de la alta dirección. exposición al riesgo de fraude, con el fin
7
PROGRAMA EFICAZ DE PREVENCIÓN, DETECCIÓN E INVESTIGACIÓN DEL FRAUDE
Programa Evaluación
periódica de Implementar Implementar Implantar
de gestión técnicas de técnicas de proceso de
del riesgo la exposición
al riesgo prevención detección reporting
de fraude
de fraude
de identificar potenciales actuaciones y investigación de fraude, en cada uno de estos

fraudes específicos que la organización ne- cinco elementos.
cesita mitigar.
Según la última encuesta realizada por el Ins-
3. Implantar técnicas de prevención que evi- tituto de Auditores Internos de España y con-
ten, en la medida de lo posible, posibles testada por 170 auditores internos, Auditoría
fraudes y mitiguen los impactos en la orga- Interna incluye cada vez más entre sus funcio-
nización (tanto económicos como reputa- nes la prevención, detección e investigación
cionales). de fraude: un 81% de los encuestados mani-
fiesta que Auditoría Interna colabora en la
4. De forma adicional, implantar técnicas de
prevención de fraude interno; un 84%, en la
detección, para descubrir fraudes cuando
detección; y un 82%, en la investigación. En el
las técnicas de prevención hayan fallado o
caso del fraude externo, los porcentajes son
no hayan mitigado el riesgo de comisión
similares, aunque algo menores, tanto en la
de fraude.
prevención como en la detección.
5. Y, por último, implantar un proceso de re-
Los departamentos de sistemas de informa-
porting, para solicitar input sobre poten-
ción, cumplimiento normativo, legal, financie-
ciales fraudes. La investigación del fraude
ro y recursos humanos colaboran junto a Au-
debe coordinarse con la acción correctiva,
ditoría Interna en la prevención, detección e
para que la gestión sea adecuada.
investigación de fraudes tal y como describi-
En los siguientes apartados, detallamos el rol mos a lo largo de esta guía y resumimos en la
del auditor interno en prevención, detección e sección relativa al rol del auditor interno.
PROGRAMA DE GESTIÓN DE RIESGO DE FRAUDE

El Libro Verde de Gobierno Corporativo de la chas otras maneras, como “el proceso por el
Comisión Europea define éste como “el siste- cual las empresas se hacen sensibles a los de-
ma por el cual las empresas son dirigidas y rechos y deseos de las partes interesadas".
controladas”; aunque se puede definir de mu- También puede describirse como el modo en
8
que la dirección cumple con sus obligaciones y ción cuenta con un mapa de riesgos de fraude
responsabilidades. con el que valora y gestiona sus riesgos; si
bien sólo un 27% de los trabajos de Auditoría
Las partes interesadas de todas las organiza-
Interna incluyen tareas encaminadas a la valo-
ciones tienen sus expectativas puestas en los
ración de los citados riesgos.
comportamientos éticos de las mismas. Por
ello, las organizaciones deben responder ante A continuación exponemos los principales as-
estas expectativas. pectos que deben abordarse en cualquier pro-
grama eficaz de gestión del riesgo de fraude:
El Consejo de Administración y la alta direc-
ción deben asegurar que las prácticas de go- · Roles y responsabilidades.
bierno marcan las pautas para la adecuada · Compromiso de la alta dirección. Un programa eficaz
gestión del riesgo de fraude. Además, deben · Conocimiento del fraude. sobre ética en los
implementar políticas que fomenten un com- negocios es la base
· Evaluación del riesgo de fraude.
portamiento ético y que incluyan tanto proce- para prevenir y detectar
sos relativos a empleados, clientes, proveedo- · Procedimiento de reporte y protección de actos fraudulentos y
res y otras terceras partes, como procesos que los denunciantes y denunciados. criminales.
especifiquen a quién reportar en los casos en · Procedimiento de investigación.
los que no se cumplan los estándares. · Acciones correctivas.
La mayoría de las organizaciones tienen políti- · Vigilancia / seguimiento continuo.

cas y procedimientos de gestión de riesgo de
Un programa eficaz sobre ética en los nego-
fraude, pero pocas han desarrollado un docu-
cios es la base para prevenir y detectar actos
mento único que incluya todas estas activida-
fraudulentos y criminales. En la medida en que
des y que constituya una guía documental útil
una organización fortalece los sistemas de
a la hora de comunicar y evaluar sus procesos,
prevención y detección de fraude, mayor es la
es decir, un agregado de políticas y procedi-
probabilidad de evitarlo y, en su caso, identifi-
mientos que denominamos programa de ges-
car y detectar su existencia. Una organización
tión del riesgo de fraude.
que fomenta el tratamiento ético con sus em-
Según la encuesta del Instituto de Auditores pleados, clientes, proveedores y otras terceras
Internos de España antes mencionada, el 49% partes, consigue ser tratada de la misma for-
de los encuestados afirma que su organiza- ma.
EVALUACIÓN DEL RIESGO DE FRAUDE

Para protegerse, tanto a sí misma como a del riesgo en conjunto, o desarrollarse de for-
otras partes interesadas, la organización debe ma independiente; pero, como mínimo, debe
entender y conocer cuál es su riesgo de fraude incluir:
y cuáles son los riesgos específicos a los que · La identificación del riesgo concreto.
está directa o indirectamente expuesta. Esta · La probabilidad de ocurrencia e impacto.
evaluación puede integrase en una evaluación · La respuesta al mismo.
9
Identificación del riesgo de fraude sos a los sistemas como las amenazas inter-
concreto nas y externas a la integridad de los datos, la
seguridad de los sistemas y el robo de infor-
Para identificar un riesgo, la organización pue- mación confidencial y sensible.
de utilizar fuentes de datos externas o inter-
nas. Entre las externas están los organismos
Probabilidad de ocurrencia e impacto
reguladores, el propio sector, las principales
guías como COSO1, y organizaciones profesio- Evaluar la probabilidad e impacto de los po-
nales como The Institute of Internal Auditors tenciales riesgos de fraude es un proceso en el
(IIA), American Institute of Certified Public Ac- que hay que contar con factores monetarios o
countants (AICPA), Association of Certified económicos, financieros, operacionales, repu-
Fraud Examiners (ACFE), etc. tacionales y legales. No todos los riesgos po-
Evaluar la probabilidad tenciales tienen la misma probabilidad y el
e impacto de los Las fuentes internas incluyen entrevistas con
mismo impacto en todos los casos.
riesgos inherentes el personal adecuado o representante de un
permite gestionar el amplio abanico de actividades dentro de la or- La organización debe considerar en primer lu-
riesgo de fraude e ganización; la revisión de las denuncias inter- gar aquellos riesgos inherentes2 a su negocio.
implementar y aplicar puestas a través de los mecanismos implanta- Evaluar la probabilidad y el impacto de estos
procedimientos de dos (canal de denuncias o línea ética) y otros riesgos le permite gestionar su riesgo de frau-
prevención y detección procedimientos analíticos. de e implementar y aplicar procedimientos
de manera razonable. preventivos y de detección de una forma ra-
Para que un proceso de identificación y eva-
luación del riesgo de fraude sea efectivo, debe cional.
incluir la evaluación de los incentivos y las Una vez mapeados los riesgos, con sus respec-
presiones y oportunidades de cometer fraude. tivos controles, es posible que exista un riesgo
Asimismo, la evaluación del riesgo de fraude residual3.
debe considerar la potencial eliminación de
controles por parte de la dirección, así como el La dirección evalúa el potencial impacto de los
análisis de aquellas áreas donde los controles riesgos y decide la naturaleza y alcance de los
son débiles o no existe una clara segregación controles preventivos y de detección así como
de funciones. los procedimientos para su gestión.
La tecnología proporciona a la organización · Probabilidad de ocurrencia. La evaluación

muchos beneficios, como la velocidad en las de la probabilidad de ocurrencia de un de-
comunicaciones y la accesibilidad a la infor- terminado riesgo de fraude considera facto-
mación, pero también incrementa la exposi- res como la ocurrencia en la organización
ción al riesgo de fraude. Por tanto, una evalua- de ese riesgo en el pasado, su frecuencia en
ción del riesgo debe considerar tanto los acce- las organizaciones del mismo sector, la
1. Committee of Sponsoring Organizations of the Treadway Commission.

2. El riesgo inherente es aquel riesgo al que está expuesta toda organización ante la ausencia total de controles.
3. El riesgo residual es aquel riesgo que queda en la organización una vez aplicados todos los controles.
10
PROBABILIDAD Probable Posible Remota

DE OCURRENCIA
IMPACTO EN Material Significativo No Significativo

LA ORGANIZACIÓN
complejidad del riesgo y el número de per- De forma adicional, las organizaciones deben
sonas involucradas en la revisión y aproba- evaluar los incentivos y presiones de los indi-
ción del proceso, entre otros factores. viduos y departamentos: qué individuos y de-
partamentos tienen mayores incentivos y, por
Evaluada la probabilidad de ocurrencia, és-
ta se categoriza de varias formas. La tres tanto, mayor probabilidad de comisión de
más utilizadas son probabilidad remota, fraude. Toda esta información permite a la or-
probabilidad posible y probabilidad proba- ganización diseñar las respuestas adecuadas.
ble.
Respuesta al riesgo residual de fraude
· Impacto en la organización. La evaluación
del impacto de que un riesgo de fraude fi- La tolerancia al riesgo varía de una organiza-
nalmente se materialice no solo tiene en ción a otra. La alta dirección establece el nivel
cuenta factores monetarios en los estados La tolerancia al riesgo
de tolerancia al riesgo teniendo en cuenta su varía de una
financieros, sino también factores operacio-
responsabilidad frente a los socios o accionis- organización a otra.
nales, el valor de la marca, la reputación,
tas, las entidades financiadoras y demás par- Es la alta dirección
aspectos legales y regulatorios.
tes interesadas. quien establece el nivel
Al igual que con la probabilidad de ocu- de tolerancia
Algunas organizaciones prefieren gestionar
rrencia, una vez evaluado el impacto de considerando su
que un riesgo de fraude se materialice, éste únicamente los riesgos de fraude con impacto responsabilidad ante
se categoriza. La forma más común es la material en los estados financieros; otras, im- los diferentes grupos de
que diferencia entre impacto no significati- plantan programas de respuesta al fraude interés.
vo, impacto significativo e impacto mate- más estrictos, con políticas de “tolerancia ce-
rial. ro”.
LA PREVENCIÓN DEL FRAUDE

Las técnicas de prevención de fraude no ga- política escrita que establezca quién es el res-
rantizan que el fraude no se cometa, pero son ponsable de gestionar el riesgo dentro de la
la primera línea de actuación para minimizar organización en sus diferentes ámbitos y cir-
el riesgo. cunstancias (prevención, detección, e investi-
gación). Un documento oficial que detalle cla-
Un elemento importante en un programa de ramente cuáles son los derechos y obligacio-
prevención de fraude es la existencia de una nes de todos los directivos y empleados frente
11
a la potencial irregularidad y sus consecuen- - Evaluación del desarrollo y estableci-

cias, independientemente de su categoría o miento de programas de compensación.
nivel profesional, o de su vinculación a la or- - Realización de entrevistas de salida del
ganización. De hecho, el 64% de los encues- personal.
tados por el Instituto de Auditores Internos de
· Límites de la autoridad. La comisión de un
España manifiesta que su organización cuen- fraude es menos probable cuando el nivel
ta con una política antifraude de este tipo. de autoridad de una persona en la organi-
La existencia de zación es proporcional a su nivel de res-
Entre otros de los muchos elementos trascen-
políticas claramente ponsabilidad. En este sentido, la desalinea-
definidas, la dentales en la prevención del fraude, se en-
ción entre responsabilidad y autoridad, uni-
contribución del área cuentran los procedimientos de Recursos Hu- do a la ausencia de controles y de segrega-
de Recursos Humanos, manos, los límites de la autoridad y los proce- ción de funciones, tiene un impacto elevado
los límites de la dimientos transaccionales. en la comisión de fraude.
autoridad o las
· Procedimientos de Recursos Humanos. La · Procedimientos transaccionales. Las revi-
revisiones efectuadas
función de Recursos Humanos juega un pa- siones de terceros, incluso de otras partes
por terceras personas
pel muy importante en la prevención del relacionadas, ayuda a prevenir el fraude.
son algunos de los
elementos principales fraude en los siguientes procedimientos: Las medidas preventivas son especialmente
de la prevención del necesarias para transacciones con partes
- Desarrollo de investigaciones de antece-
fraude. relacionadas controladas por miembros de
dentes, o conocimiento y verificación del
la alta dirección o por empleados con auto-
perfil de un empleado. ridad y con interés especial en compañías
- Impartición de cursos anti-fraude. externas relacionadas con la organización.
LA DETECCIÓN DEL FRAUDE

En muchas casos, los controles de detección Igual que ocurre con los controles preventivos,
dependen de los riesgos de fraude identifica- la organización necesita evaluar y supervisar
dos en la organización. Por ejemplo, si una or- de forma continua sus técnicas de detección.
ganización americana opera en países con un Si bien un 41% de las empresas encuestadas
alto nivel de corrupción, implantará controles por el Instituto de Auditores Internos de Espa-
para identificar violaciones de FCPA4, como la ña manifiesta no realizar trabajos de supervi-
revisión de gastos u honorarios de consulto- sión o pruebas automatizadas para la detec-
ría. ción del fraude, un 32% manifiesta que incor-
4. Foreign Corrupt Practice Act.
12
pora siempre en los Planes de Auditoría Inter- control y procedimientos proactivos de detec-
na tareas encaminadas a la detección de frau- ción de fraude, diseñados específicamente pa-
de. ra identificar actividades fraudulentas.
Los controles de detección deben ser flexibles, La última encuesta referenciada al inicio de Los canales de
para adaptarse a los cambios de los riesgos. este documento muestra los medios de detec- denuncia y las
ción que las organizaciones ponen a disposi- revisiones de Auditoría
Los controles preventivos son fácilmente iden- ción de sus empleados: los canales de denun- Interna continúan
tificados por los empleados y/o terceras par- cias internos y externos5 y las revisiones de siendo los métodos
tes. Pero los controles de detección son, por Auditoría Interna continúan siendo, con un más eficaces de
su naturaleza, clandestinos: dichos controles 39% y un 47% respectivamente, los métodos detección de fraude.
operan en un contexto que no es evidente en de detección más eficaces.
el entorno empresarial. Las técnicas de detec-
ción preventivas suelen:
· Producirse en el curso normal de la activi- EFICACIA DE MEDIOS DE DETECCIÓN
dad de la compañía.
· Basarse en información externa, que corro- Otros
bora información generada internamente. 14%
Canal de
· Comunicar de manera formal y automática denuncias
las deficiencias y excepciones identificadas. 39%
· Mejorar y/o modificar otros controles. Revisiones de
Auditoría Interna
Las técnicas de detección incluyen mecanis- 47%
mos de reporting anónimo (canal de denun-
cias), denuncia (anónima o no), procesos de
LA INVESTIGACIÓN DEL FRAUDE Y ACCIONES CORRECTIVAS

Cualquier violación, desviación o infracción de Es recomendable contar con un protocolo de
un código de conducta o de cualquier control, actuación frente al fraude. Entre otros aspec-
debe ser reportado y tratado de forma oportu- tos, el documento debe definir el procedimien-
na, independientemente de quién lo cometa. to desde que se detecta la posible infracción
Es un hecho esencial para cualquier organiza- hasta su resolución, y tratar todos los aspec-
ción. El castigo impuesto debe ser apropiado tos que surjan a lo largo de la investigación:
a la infracción. Y el Consejo de Administración legales, toma de evidencias, consultas a exter-
debe asegurar que se apliquen la mismas re- nos, áreas involucradas, modelo de reporting,
glas a todos los niveles de la organización, in- medidas correctivas, medidas disciplinarias,
cluyendo la alta dirección. etc.
5. Un 72,36% de los encuestados manifiesta contar en su empresa con un canal de denuncias o irregularidades, el cual
en casi un 50% de los casos está abierto a colaboradores, agentes y clientes.
13
De la encuesta del Instituto de Auditores In- - Resolución y cierre de la investigación.

ternos de España se desprende que el 50% - Determinar aquella información que de-
de las empresas cuentan con un protocolo de be permanecer confidencial.
actuación frente al fraude; que en el 49% de - Documentación de la investigación lleva-
los casos incluye quién es la persona o cuál es da a cabo.
el departamento o comité encargado de re-
De forma adicional, implementar un siste-
solver la investigación y de adoptar las corres-
Una organización ma de gestión de denuncias o alegaciones
pondientes medidas.
puede tener noticia de donde puedan registrarse adecuadamente
un potencial fraude a Recepción y evaluación de las alega- las mismas.
través de diversas vías: ciones · Evaluación de las alegaciones. Recibida
empleados, clientes, una alegación, se evalúa y califica. Para
proveedores, auditores · Recepción de alegaciones. Una organiza-
ello, se designa a un individuo o grupo de
internos, auditores de ción puede tener noticia de un potencial
individuos con cierta autoridad dentro de la
cuentas, los procesos fraude a través de diversas vías: los propios
organización y con las habilidades o capa-
de control o, incluso, empleados, clientes, proveedores, auditores
cidades necesarias para esta primera eva-
accidentalmente. internos, auditores de cuentas, los procesos
luación y determinar el procedimiento a se-
de control, o, incluso, accidentalmente.
guir.
Entonces, la organización debe asegurar
que se ponga en marcha un sistema com- Si una alegación involucra a la alta direc-
petente, eficaz y confidencial para la revi- ción, o afecta a los estados financieros, es
sión de las alegaciones recibidas, la investi- necesario atender a las leyes o regulacio-
gación del potencial fraude y su resolución. nes, que pueden exigir que otras partes
sean debidamente informadas.
La investigación y respuesta incluyen los si-
guientes procesos: Realización de las investigaciones
- Categorización de las alegaciones recibi-
das. Es esencial planificar la investigación para
- Confirmación de la validez de la alega- que sea competente y exhaustiva. Una inves-
ción. tigación de fraude, generalmente, incluye las
- Definición de la gravedad de la alega- siguientes cuestiones: entrevistas, recolección
ción. de evidencias, tanto documentos internos co-
- Propuesta para transmitir el asunto al nimo documentación de fuentes públicas, evi-
vel apropiado dentro de la organización. dencias digitales a través de un análisis foren-
- Realización de la investigación y determi- se, y un análisis de las evidencias recopiladas,
nación de las responsabilidades. con pruebas analíticas de testeo o hipótesis.
Alegaciones Recepción Evaluación Calificación

CORRECTIVAS
ACCIONES
Investigación Recolección de evidencias Análisis de evidencias
Supervisor de la investigación Dirección Área de Asesoría Legal

Reporting
14
Reporting de resultados Acciones correctivas

El equipo de investigación informa sobre los Realizada la investigación, la organización de-
resultados obtenidos, tanto a la parte que su- termina qué acciones tomar en vista de los
pervisa la investigación, como a la dirección resultados. Entre las posibles acciones están:
de la organización y al departamento de ase- · Despedir.
soría legal. · Abrir un procedimiento penal.
· Abrir un procedimiento civil.
La naturaleza de la comunicación, así como la · Establecer medidas disciplinarias.
forma de distribuirla, debe tener en cuenta los · Solicitar una reclamación al seguro contra-
objetivos de la investigación y evitar cualquier tado.
afirmación difamatoria. Por ello, antes de que · Continuar con la investigación, implantan-
el responsable de la supervisión de la investi- do nuevos procedimientos.
gación haga públicos los resultados, se nece- · Implantar nuevos procesos de negocio y de
sita el asesoramiento de un abogado. control.
Responsabilidades y concienciación
en la prevención, detección e
investigación del fraude
INTRODUCCIÓN
Las organizaciones están cada vez más suje- tar al mercado información acerca de los me- Las organizaciones
tas a exigencias de cumplimiento internacio- canismos específicos que la entidad ha habili- deben definir el sistema
nal relativas a la comisión de delitos, corrup- tado para mantener un ambiente de control de principios, valores,
ción y soborno y, por tanto, implementando interno que propicie la generación de informa- reglas de actuación y
programas de cumplimiento normativo. Éstos, ción financiera completa, fiable y oportuna, si- comportamientos que
según la OCDE, deben definir el sistema de no prevenir o atenuar la comisión de conduc- regulan su actividad y
principios, valores, reglas de actuación y com- tas irregulares y propiciar las vías para detec- deben comunicarlo,
portamientos que deben regular la actividad tarlas. supervisarlo y
de la empresa. Este sistema debe ser acepta- actualizarlo para
do, comunicado, supervisado, actualizado y Este sistema de principios, valores, reglas de mantener su eficacia.
adaptado con regularidad, según sea necesa- actuación y comportamientos empieza en la
rio, para asegurar la eficacia continua de los alta dirección de la entidad, la cual influye a
controles internos, medidas y políticas de la través de sus propias acciones en el resto de
organización. Todo ello permite no sólo facili- la organización, con el establecimiento de un
15
código de conducta y unos adecuados com- sino también en cuanto a los riesgos inheren-
portamientos, y en el diseño y comunicación tes a la comisión de delitos, al establecimien-
efectiva de las correspondientes políticas y to e implantación de medidas para detectar y
procedimientos. prevenir conductas irregulares, a los cambios
regulatorios, a la existencia de mecanismos
Por tanto, es esencial que las compañías esta-
para denunciar o consultar el modo de proce-
blezcan un código de conducta como pilar
der ante conductas que pudieran entenderse
básico de su programa de cumplimiento, que
como irregulares y respecto a todo aquello
Es esencial que las procure un comportamiento profesional ético
que fomente y asiente la cultura empresarial
organizaciones y responsable de la organización y de todos
de la organización.
establezcan un código sus empleados, en el desarrollo de sus activi-
de ética como pilar dades en cualquier parte del mundo. Dicho De forma adicional, dentro de los pilares bási-
básico de su programa código de ética debe reflejar su cultura em- cos de un eficaz programa de cumplimiento,
de cumplimiento. presarial en la que se debe asentar la forma- destaca aquel que permita minimizar la pro-
ción y el desarrollo personal y profesional de babilidad de que se produzcan irregularidades
sus empleados, y definir los principios y valo- y asegurar que, las que eventualmente pue-
res que deben regir las relaciones de la orga- dan producirse, sean siempre identificadas,
nización con sus grupos de interés (emplea- comunicadas y resueltas con prontitud. Por
dos, clientes, accionistas, socios de negocio, y esto es recomendable, y así se está poniendo
proveedores). cada vez más en práctica, la implantación de
canales de denuncia, como vía de comunica-
Una vez que la organización cuente con el
ción interna que permita la comunicación al
compromiso de la alta dirección, se debe
órgano responsable de irregularidades de na-
transmitir este sistema de principios, valores,
turaleza financiera y contable, así como de
reglas de actuación y comportamientos al res-
eventuales incumplimientos del código de
to de la organización.
conducta y actividades irregulares. Este canal
Se recomienda la continua comunicación y permite demostrar a terceros interesados que
formación a los empleados de la organización la organización cuenta con procedimientos y
no sólo en cuanto al Código de Conduc- medios adecuados y que los mismos son per-
ta –cultura empresarial de la organización– manentemente revisados.
ROLES Y RESPONSABILIDADES EN LA GESTIÓN DEL RIESGO DE

FRAUDE
Para que un programa de cumplimiento cor- La alta dirección es responsable de la disua-
porativo sea eficaz, es fundamental que la al- sión frente al fraude:
ta dirección asuma sus principios y valores y
que los apoye de forma explícita y evidente. · A través del propio ejemplo en su gestión.
Lo mismo ocurre con el compromiso del equi- El tono ético de toda una organización de-
po directivo para prevenir y detectar conduc- pende, significativamente, de cómo el resto
tas irregulares. de la organización percibe la conducta de
16
la alta dirección en su día a día y de cómo Los departamentos de gestión de riesgos, de

ésta maneja las situaciones de crisis. cumplimiento normativo, asesoría jurídica, el
comité de ética, seguridad y tecnologías de la
· La alta dirección es responsable además del información y Auditoría Interna, o sus equiva-
sistema de control interno, supervisión y do- lentes, suelen ser los que respaldan la gestión
cumentación de las áreas de mayor riesgo, del riesgo de fraude. Sin embargo, son el Con-
tales como el reconocimiento de ingresos, la sejo de Administración, el Comité de Audito-
gestión del efectivo, las compras y el inven- ría, la dirección, el propio personal y los audi-
tario. tores internos los que tienen dentro de la or- Las políticas internas de
ganización el rol y la responsabilidad de la una organización, la
Para que la gestión del riesgo de fraude sea gestión de dicho riesgo. descripción de los
efectiva, es importante que estén muy bien puestos de trabajo y las
Por tanto, uno de los objetivos es establecer
definidos los roles y las responsabilidades del delegaciones de
un enfoque efectivo para la administración del
personal de la organización en todos los nive- autoridad, deben definir
fraude, dirigido a:
les. Las políticas internas de una organización, los roles y
· Prevenir, detectar y responder ante la comi-
la descripción de los puestos de trabajo y las responsabilidades
sión de cualquier irregularidad.
relacionados con la
delegaciones de autoridad, deben definir esos · Hacer converger las exigencias normativas y gestión del fraude.
roles y responsabilidades relacionados con la las tendencias –concentrando e integrando
gestión del fraude. auto-evaluaciones y auditorías– con el ries-
go real de fraude.
Toda esta estructura debe establecer quién es
· Crear el área específica de Auditoría Interna
el responsable de la supervisión de los contro- y desarrollar una metodología o programa
les, cuál es la responsabilidad de la dirección antifraude.
en relación con el diseño y la implementación · Delimitar las responsabilidades de los inte-
de la estrategia y qué departamentos de la or- grantes de la evaluación del fraude.
ganización respaldan y apoyan la gestión del · Implementar un proceso continuo dentro de
riesgo. la evaluación del control interno.
ENFOQUE EFECTIVO PARA LA ADMINISTRACIÓN DEL FRAUDE

DISEÑO
Identificar riesgos
y controles mitigantes
ALCANCE FEEDBACK IMPLEMENTACIÓN

Participantes, Gap y Casos de fraude Estrategia, estructura,
fecha de análisis y auditoría comunicación, recursos
forense
SUPERVISIÓN
Pistas y alertas
Protocolos de análisis
Fuente: elaboración propia
17
La organización debe: vención, detección e investigación del fraude,

· Identificar riesgos de fraude y mitigarlos con es necesario tener en consideración las si-
controles. guientes cuestiones referentes al mismo:
Evaluar, supervisar, · Asegurar que estos controles son efectivos. · Un buen sistema no garantiza la elimina-
planificar, informar y · Asegurar que los niveles más altos de la or- ción del fraude. Siempre existen restriccio-
colaborar son algunas ganización comparten la responsabilidad nes de recursos para realizar los controles y
de las actividades de del enfoque de administración del riesgo. muchos de ellos pueden ser vulnerables.
Auditoría Interna en · Los sistemas de control interno requieren
Auditoría Interna, por su parte, asume la res- programas de prevención, que disminuyen
materia de fraude.
ponsabilidad de: la probabilidad de ocurrencia, minimizan su
· Validar que se estipulan políticas y normas impacto y permiten mayor rapidez de detec-
que realizan una evaluación y cobertura ción.
aceptable del riesgo. · Los riesgos no son únicos ni estáticos. De-
· Planificar y supervisar la eficiencia del mo- bemos estar atentos a los cambios tecnoló-
delo, en base a la matriz. gicos que representan, a la vez que nuevas
· Informar al Comité de Auditoría de los re- oportunidades, nuevas amenazas, tales co-
sultados de las actividades. mo actividades en la nube (cloud compu-
ting), la ciber-seguridad, las redes sociales
· Colaborar en la implementación de progra-
como medio de venta, los dispositivos inte-
mas de análisis de riesgos de fraude.
ligentes y su nueva tecnología, los provee-
En el cuadro adjunto mostramos las diferen- dores de servicios,etc.
cias de enfoque entre un proyecto de Audito-
Por tanto, las claves del éxito de un sistema
ría Interna convencional y un proyecto de Au-
de control interno son:
ditoría orientado a la detección del fraude.
· Apoyo de la alta dirección y la gerencia.
Pese a que la existencia de un adecuado siste- · Firme decisión de cambio cultural de control
ma de control interno es esencial en la pre- interno.
Diferencias entre la auditoría tradicional y la auditoría para la detección de fraude

AUDITORÍA INTERNA TRADICIONAL DETECCIÓN DE FRAUDE
Procedimientos programados. Aleatoria - no programada.
Orientada a: Orientada a:
- Foco en fortalezas del control interno, errores y omisiones. - Pensamiento defraudador.
- Énfasis en materialidad. - Prácticas no habituales.
- Evaluación del diseño y su cumplimiento. - Uso abusivo de excepciones.
- Trabajo sobre muestras. - Cambios en la conducta emocional.
Basada en el análisis de procesos. Focalizada en debilidades de control

interno, excepciones y conductas.
Trabaja sobre universos e indicadores.
Fuente: Elaboración propia.
18
· Participación activa de los diferentes acto- · Establecer el tono adecuado desde lo más
res. alto de la organización (tone at the top),
· Adopción de herramientas tecnológicas. con la descripción del puesto del máximo
· Coordinación y trabajo interdisciplinar. ejecutivo, su proceso de contratación, su
evaluación y los planes de sucesión o per-
· Flexibilidad del modelo.
manencia en el cargo.
· Focalizar el objetivo, con soluciones alcan-
· Contratar expertos externos, cuando fuese
zables.
necesario.
· Diseño y ejecución de un plan de informa-
· Facilitar a los auditores de cuentas las evi-
ción. dencias necesarias que den constancia de
· Implementación en etapas para evaluar el la involucración del Consejo en el conoci-
avance. miento y gestión del riesgo de fraude.
Por tanto, un programa efectivo de adminis- Por lo general, el Consejo de Administración

tración de fraude requiere que toda la organi- delega la supervisión de algunas o de todas
zación dirija sus esfuerzos hacia “la gestión sus responsabilidades en el correspondiente
del riesgo de fraude”. Comité de Dirección. No obstante, el Consejo
debe asegurarse de que la dirección cuenta
El Consejo de Administración con los recursos necesarios y aprueba en el
presupuesto a largo plazo los recursos sufi-
El Consejo de Administración es el responsa- cientes para realizar su gestión.
ble de fijar el tono adecuado de gobierno de
El Consejo de Administración, además, nom-
una organización en el nivel más alto posible
bra entre sus miembros a los componentes
y de asegurar que la dirección diseña un siste-
del Comité de Auditoría que asesoran y pres-
ma eficaz de gestión del riesgo de fraude, que
tan ayuda especializada al propio Consejo en
fomenta el comportamiento ético y anima a
cuestiones relacionadas con la auditoría de
los empleados, clientes y proveedores a cum-
cuentas, los sistemas de control interno, la
plir estos estándares en todo momento. El Consejo de
elaboración de las cuentas de la sociedad, su
Administración es el
Por ello, el Consejo de Administración debe: posterior comunicación externa, etc.
responsable de fijar el
· Entender el riesgo de fraude. tono adecuado de
· Supervisar la evaluación del riesgo y asegu-
El Comité de Auditoría
gobierno en una
rar que forma parte del plan estratégico en El Comité de Auditoría debe gestionar proac- organización para
relación con la evaluación de los riesgos tivamente el riesgo de fraude, supervisar acti- asegurar que la
generales. La responsabilidad se gestiona a vamente la evaluación que la organización dirección diseña un
través del orden del día del Consejo. realiza del mismo y mantener un contacto fre- sistema eficaz para la
· Realizar el seguimiento de los informes de cuente con los auditores internos y el perso- gestión del riesgo de
la dirección en relación con los riesgos de nal designado que realiza el seguimiento de fraude.
fraude, las políticas establecidas y las activi- dicho riesgo de fraude.
dades de control. Asimismo, mantiene el contacto con los audi-
· Supervisar los controles internos de la di- tores de cuentas, comprometiéndose en la
rección. gestión del riesgo de fraude y discute con
19
ellos el enfoque de los planes en materia de zación juega un papel fundamental en la

detección del mismo como parte de la audito- prevención, detección y disuasión del frau-
ría de los estados financieros. de. La dirección transmite al resto de la or-
ganización que el fraude no es un compor-
El Comité de Auditoría debe comprender, por
tamiento tolerable, que este tipo de hechos
Todos los miembros de tanto, las estrategias de Auditoría Interna y
serán tratados con rapidez y se asegura a
una organización son externa en la gestión del riesgo de fraude, y
los denunciantes que no sufrirán represa-
responsables del no centrarse sólo en las acciones concretas
lias.
establecimiento y que llevan a cabo los auditores en detección
del fraude. · Implementar los controles internos adecua-
mantenimiento de los
dos, redacción y recopilación de las políti-
controles adecuados Del mismo modo, el Comité de Auditoría debe cas y procedimientos necesarios de gestión
contra el fraude. ser consciente de que los auditores de cuen- del riesgo de fraude y evaluación de su efi-
tas tienen la responsabilidad, al planificar y cacia.
realizar su auditoría, de obtener una seguri- · Informar al Consejo de Administración de
dad razonable de que los estados financieros que se han tomado medidas para gestionar
están exentos de errores significativos, sea los riesgos de fraude, así como presentar
por equivocación o fraude. periódicamente informes sobre la evalua-
El compromiso de cooperación del Comité de ción de la eficacia del programa de gestión
Auditoría supone un diálogo abierto y franco de dicho riesgo.
entre los miembros del Comité, los auditores
internos y los externos en relación a cualquier El personal
tipo de fraude o sospecha, que afecte a la or-
ganización; también respecto a la forma en Todos los miembros de una organización son
que el Comité de Auditoría ejerce su función responsables del establecimiento y manteni-
de supervisión de los programas y controles miento de los adecuados controles contra el
establecidos por la organización para mitigar fraude. La importancia de los controles inter-
dichos riesgos. nos para la gestión del riesgo de fraude no es
un concepto nuevo. En 1992 –después de
De forma adicional, el Comité de Auditoría
más de tres años de colaboración entre dife-
debe buscar asesoramiento legal en caso de
rentes líderes empresariales, legisladores, re-
denuncias de fraude. Las acusaciones de frau-
guladores, auditores, académicos y otros mu-
de deben tomarse con la suficiente considera-
chos– COSO presentó una definición común
ción, ya que puede existir una obligación le- sobre los controles internos y proporcionó un
gal de investigar y/o informar sobre ello. marco con el que las organizaciones pueden
evaluar y mejorar sus sistemas de control in-
La dirección terno.
La dirección de la organización tiene la res- COSO identificó cinco componentes de lo que

ponsabilidad general del diseño e implemen- denominó Marco Integrado de Control Inter-
tación del sistema de gestión del riesgo de no: entorno de control, evaluación de riesgos,
fraude, incluyendo: actividades de control, información y comuni-
· Establecer el tono ético en la parte superior cación, y supervisión. Estos elementos sirven
de la organización. La cultura de la organi- para el diseño de los controles en cada orga-
20
CONSEJO DE Fijar el tono adecuado de gobierno de la organización en el nivel más alto posible.
ADMINISTRACIÓN Asegurar que la dirección diseña un sistema eficaz de gestión del riesgo de fraude.
COMITÉ Gestionar proactivamente el riesgo de fraude.

RESPONSABILIDADES
DE AUDITORÍA Supervisar activamente la evaluación que se realiza de los riesgos de fraude.
DIRECCIÓN Diseñar e implementar el sistema de gestión de riesgos de fraude.
PERSONAL Establecer y mantener unos fuertes controles contra el fraude.
AUDITORÍA Garantizar al Consejo y a la Dirección que los controles de fraude son suficientes
INTERNA para cubrir los riesgos y que están funcionando de forma eficaz.
nización. Están entrelazados entre sí, de tal dades de control de fraude, así como en las
forma que proporcionan un proceso interacti- actividades de seguimiento.
vo natural que promueve el tipo de entorno · Informar acerca de sospechas o indicios de
que no tolera el fraude. fraude.
Todos los niveles de la organización, incluida · Cooperar en las investigaciones de fraude.
la dirección, deben:
· Tener un conocimiento básico del fraude y Auditoría Interna
estar atentos a las señales de alerta. Según la definición de The Institute of Internal
· Entender cuál es su papel en el marco de Auditors, “Auditoría interna es una actividad
control interno. El personal debe compren- independiente y objetiva de aseguramiento y
der cómo sus procedimientos de trabajo es- consulta, concebida para agregar valor y me- Auditoría Interna debe
tán diseñados para gestionar el riesgo de jorar las operaciones de una organización. asegurar al Consejo y a
fraude y que su incumplimiento puede dar Ayuda a una organización a cumplir sus obje- la dirección que los
controles en materia de
oportunidad al fraude. tivos aportando un enfoque sistemático y dis-
fraude son suficientes
· Leer y entender las políticas y procedimien- ciplinado para evaluar y mejorar la efectividad
para cubrir los riesgos
tos (políticas de fraude, código de conducta de los procesos de gestión de riesgos, control
identificados y
y canal de denuncias, entre otros) así como y gobierno.”
garantizar que dichos
las políticas operacionales (manual de com- Auditoría Interna debe asegurar al Consejo de controles funcionan de
pras, etc.). Administración y a la dirección que los con- manera eficaz.
· Participar, en su caso, en el proceso de troles de fraude son suficientes para cubrir los
creación de un fuerte ambiente de control y riesgos identificados y garantizar que están
en el diseño e implementación de las activi- funcionando de forma eficaz.
21
Los auditores internos deben evaluar, en sus un cierto grado de escepticismo profesional y
planes anuales de Auditoría Interna, los ries- mantenerse en guardia ante posibles signos
gos de fraude de la organización y revisar pe- de fraude. Los potenciales fraudes detectados
riódicamente la capacidad de gestión de la di- durante una auditoría deben tratarse de
rección. Deben reunirse periódicamente con acuerdo a un plan de respuesta bien definido
los encargados de identificar y evaluar el ries- y previamente establecido. De la misma for-
go de fraude y con aquellos otros puestos cla- ma, Auditoría Interna debe tener un papel
ve de la organización para garantizar que han proactivo en el apoyo a la cultura ética de la
sido considerados adecuadamente todos los organización.
riesgos.
Auditoría Interna participa en la gestión de
Al llevar a cabo su trabajo ordinario de con- los cinco elementos que forman el sistema de
trol, los auditores internos deben actuar con control de COSO señalados anteriormente.
Los auditores internos, RESPONSABILIDADES DE AUDITORÍA INTERNA SEGÚN LOS COMPONENTES QUE FORMAN COSO
en el desempeño de su · Validar la existencia de políticas y procedimientos antifraude.
actividad, deben actuar
AMBIENTE DE CONTROL
· Verificar su alineación con el código de ética/conducta y políticas de contratación.

con un cierto grado de · Complementar y analizar las funciones de Auditoría Interna en el nuevo contexto.
escepticismo
· Incorporar un esquema de aprendizaje que desemboque en nuevos diseños y formación.
profesional y
· Implantar políticas y metodologías de investigación.
permanecer alerta ante
· Revisar eventos, alertas y comportamientos sospechosos de fraude.
posibles signos de
· Delimitar responsabilidades y comunicar los resultados.
fraude.
RIESGOS DE FRAUDE
EVALUACIÓN DE
· Validar evaluaciones de procesos que contemplen el riesgo de fraude.

· Incorporar el riesgo de fraude en las matrices de riesgos y controles existentes.
· Converger en la documentación, actualización y certificación de los procesos.
CONTROL DE FRAUDE
· Colaborar en la definición de controles mitigantes de riesgos identificados.

ACTIVIDADES DE
· Contribuir a la mejora de controles preventivos y de detección.

· Ayudar a generar planes antifraude con rotación de áreas aprobados por la dirección.
· Incorporar al Plan Anual de Auditoría actividades de control antifraude.
COMUNICACIÓN
INFORMACIÓN Y
· Consensuar con RR.HH programas corporativos de comunicación.

· Asistir en la implementación de capacitaciones.
· Fomentar el uso de programas de denuncia anónima.
SUPERVISIÓN
· Realizar evaluaciones periódicas de controles antifraude.

· Aprovechar las herramientas de análisis de datos.
Fuente: Elaboración propia.

· Implementar un modelo de seguimiento continuo.
22
La importancia que una organización concede de los controles establecidos, la realización de La importancia que una
a su unidad de Auditoría Interna indica su seguimientos del canal de denuncias o la pro- organización concede a
compromiso con el control interno. El Estatuto moción de sesiones de formación en relación su unidad de Auditoría
de Auditoría Interna debe incluir las funciones con la cultura ética de la organización. Interna, es un indicador
y responsabilidades relacionadas con la ges- de su grado de
tión del fraude. Y dentro de estas funciones En el apartado siguiente profundizamos en el compromiso con el
puede incluirse el análisis de las causas, el es- rol que puede adoptar el auditor interno fren- control interno.
tablecimiento de recomendaciones de mejora te al fraude.
El rol del auditor interno

Actualmente, es habitual encontrar dentro de Pero, dado que las tareas asociadas a la ges-
las organizaciones equipos compuestos por tión del riesgo y su control crecen rápidamen-
auditores internos, especialistas en riesgos, te y afectan a diversos departamentos y divi-
especialistas en cumplimiento normativo, in- siones, deben coordinarse cuidadosamente
vestigadores de fraude etc., trabajando con- para asegurar que gestionan adecuadamente
el riesgo.
juntamente en la gestión del riesgo de la or-
ganización. Cada uno de estos especialistas El modelo de las Tres Líneas de Defensa ayu-
tiene una única perspectiva y unas capacida- da a delegar y coordinar las tareas de gestión
des especificas que aportar a la organización. del riesgo de forma sistemática. Este modelo
Regulador / Supervisor
Auditoría de Cuentas
23
ofrece una manera simple y efectiva de po- gestionan sus propios riesgos (son los dueños
tenciar las comunicaciones entre los implica- o titulares de los mismos, son las áreas de ne-
dos en la gestión y el control del riesgo, a par- gocios de las organizaciones); en la segunda
tir de la simplificación de las tareas y respon- línea están los que vigilan los riesgos (depar-
La realidad económica
sabilidades de cada área. tamentos de gestión de riesgo, cumplimento
y las tendencias en los
normativo, calidad, etc.) y en la tercera, los
nuevos roles de
Distingue entre tres grupos o líneas de defen- terceros independientes que proveen de su
Auditoría Interna
sa: en la primera línea, se sitúan aquellos que asesoramiento (los auditores internos).
demandan incluir en los
equipos permanentes
de Auditoría Interna a
miembros con las NORMATIVA A CONSIDERAR
competencias
Auditoría Interna es un ente de la organiza- mente cita (1210.A2) que “los auditores in-
necesarias en materia
ción a cargo de la ejecución de una actividad ternos deben tener conocimientos suficientes
de fraude.
independiente y objetiva de aseguramiento y para evaluar el riesgo de fraude y la forma en
consulta, con responsabilidades en la evalua- que se gestiona por parte de la organización,
ción de los procesos de gestión de riesgos, pero no es de esperar que tengan conoci-
control y gobierno. Pero no debe olvidarse in- mientos similares a los de aquellas personas
cluir entre sus compromisos la responsabili- cuya responsabilidad principal es la detección
dad en temas de fraude que afectan o pue- e investigación del fraude”. Posteriormente
dan afectar a la organización. indica (1220.A1) que “el auditor interno debe
ejercer el debido cuidado profesional al consi-
El Código Ético de Auditoría Interna recoge derar (…) la probabilidad de errores materia-
una serie de principios que cobran especial les, fraude o incumplimientos”.
relevancia en temáticas críticas como las de
fraude: La realidad económica (aumento de casos de
· Integridad, como capacidad para propor- fraude, disminución de recursos para la con-
cionar base de confianza en los juicios emi- tratación de expertos, etc.) y las tendencias en
tidos. los nuevos roles de Auditoría Interna, deman-
dan por parte de la alta dirección que los
· Objetividad, como característica del proce-
equipos de Auditoría Interna sean capaces de
so de obtención, evaluación y comunicación
ofrecer respuestas adecuadas frente a casos
de los hechos examinados, sin dejarse in-
de fraudes corporativos. Esta realidad ha mo-
fluir por intereses propios o de terceros.
tivado que muchas organizaciones estén faci-
· Confidencialidad, como deber de respeto litando a los auditores internos formación en
del valor y propiedad de la información. técnicas y habilidades relacionadas con la in-
· Competencia, como medida de idoneidad vestigación, e incluyendo en los equipos per-
profesional. manentes de Auditoría Interna a miembros
con las competencias necesarias.
Las Normas sobre Atributos establecen que
“los trabajos deben cumplirse con aptitud y El Marco Internacional para la Práctica Profe-
cuidado profesional adecuados” y específica- sional de la Auditoría Interna (The Institute of
24
Internal Auditors) define varias normas y con- la identificación de los riesgos, la revisión de
sejos relacionados con el fraude, que no re- la calidad y operatividad de los controles que
producimos íntegramente a continuación, pe- mitigan –de forma principal o secundaria– el
ro que ayudan a comprender el rol del auditor riesgo de fraude, el deber de informar sobre
interno en toda su extensión. los riesgos existentes y, paralelamente, formar-
· 2110 Gobierno se y cumplir internamente los requisitos para
· 2120 Gestión de Riesgos el desempeño de la función de manera idónea
Consejo para la práctica 2120-1 y con total cumplimiento de las normativas vi-
gentes.
· 2130 Control
Consejo para la práctica 2130.1: Tal como señala la Norma sobre Atributos El rol del auditor en
Control 2130.A1 (1010-Reconocimiento de la definición de Au- materia de fraude
El marco normativo confiere al Director de Au- ditoría Interna, el Código de Ética y las Nor- queda definido en
ditoría Interna el deber de “informar periódi- mas, en el Estatuto de Auditoría Interna) la diversas normas del
función debe estar definida en propósito, au- Marco Internacional
camente a la alta dirección y al Consejo sobre
toridad y responsabilidades dentro del Estatu- para la Práctica
la actividad de auditoría” y que “el informe
to que delimita la actividad del área. Profesional de la
también debe incluir exposiciones al riesgo
Auditoría Interna.
(…) incluido riesgo de fraude” (2060). Segui-
Dentro de este Estatuto debe estar claramente
damente indica que la actividad de Auditoría
definido el rol de Auditoría Interna en relación
Interna debe evaluar la posibilidad de ocu-
al tratamiento de los supuestos de comisión
rrencia de fraude y cómo la organización ma-
de delitos o irregularidades (identificados o
neja y gestiona el riesgo de fraude (2120.A2)
denunciados) que se investiguen dentro de la
y que el auditor interno debe considerar la
organización, sin perjuicio de las responsabili-
probabilidad de errores, fraude, incumplimien-
dades que colateralmente tengan determina-
tos y otras exposiciones significativas al elabo-
dos departamentos de la organización en as-
rar los objetivos del trabajo (2210.A2).
pectos derivados de la investigación como por
Por lo expuesto, la primera responsabilidad de ejemplo, el departamento de Asesoría Jurídica,
Auditoría Interna en materia de fraude implica el de Recursos Humanos, etc.
FUNCIONES DEL ÁREA DE AUDITORÍA INTERNA EN MATERIA DE

PREVENCIÓN, DETECCIÓN E INVESTIGACIÓN DEL FRAUDE
De acuerdo con la encuesta realizada por el de. Un 81% de los encuestados manifiesta
Instituto de Auditores Internos de España, ca- que entre las funciones de la Auditoría Inter-
da vez son más los departamentos de Audito- na, se encuentra la colaboración en la preven-
ría Interna que incluyen entre sus funciones la ción de fraude interno; un 84% la detección,
prevención, detección e investigación de frau- y un 82%, la investigación. Los porcentajes
25
El mapa de riesgos de de fraude externo son similares, aunque algo tentes y el grado de cobertura que ofrecen a
fraude es una parte menores, tanto en la prevención como en la los riesgos identificados.
integrante del mapa de detección.
Este mapa de riesgos de fraude es una parte
riesgos generales de la
Además, junto a los departamentos de Audi- del mapa de riesgos generales de la organiza-
organización.
toría Interna, colaboran en la detección e in- ción, desarrollado dentro del esquema de
vestigación de fraudes los departamentos de identificación que establece la organización
sistemas de la información, de cumplimiento (para ahondar en materia de Risk Assessment
normativo, legal, financiero, y recursos humanos remitimos a lo ya señalado por el Enter-
nos. prise Risk Management de COSO).
Entendemos que, en temas de riesgos de

Fomentar e impulsar la existencia de
fraude, pueden ser también responsabilidad
medidas preventivas dentro de la or-
de Auditoría Interna:
ganización en general y los procesos en parti-
La confección periódica de un mapa de cular. Algunas de las medidas preventivas se
riesgos. Analizar, con el apoyo de las clasifican en:
áreas de negocio, las particularidades en ma-
- La existencia de un marco normativo apro-
teria de riesgos de fraude de cada proceso: su
piado y difundido dentro de la empresa,
nivel de exposición, el tipo de procesamiento
que incluye, entre otros, el código ético, có-
(manual o sistematizado), las particularidades
digos de conducta, código disciplinario y
de la gestión de la empresa (rotación de per-
cualquier otro instrumento que dé a cono-
sonal, antigüedad de gestores, posibles situa-
cer el comportamiento ético esperado por
ciones de conflicto de intereses, etc.), los po-
parte de las personas (empleados, provee-
sibles esquemas de fraude, los controles exis-
dores, clientes, socios de negocio, etc.) de
la organización.
- La difusión y comunicación de los compro-

Confección periódica de un mapa de
riesgos. misos éticos como normas de comporta-
miento en todos los niveles.
Fomento e impulso de la existencia de
medidas preventivas. - Una clara y transparente estructura de roles
y funciones.
Supervisión en cuanto a la
segregación de funciones.
- La existencia de una metodología adecua-
Elaboración de Planes de Auditoría da de evaluación de riesgos, conocida, di-
Interna.
fundida y aplicada.
Garantía del correcto funcionamiento
del canal de denuncias. - Asesorar en la necesidad de controles en
los procesos, orientados a minimizar la ex-
Participación en la investigación. posición en riesgos de fraude.
Realización del seguimiento de los - Prácticas efectivas de supervisión de activi-

planes de acción. dades en cada área de negocio.
26
- Incorporar objetivos de control en materia segregación de funciones: que los controles

de fraude o irregularidades dentro de las que deben implantarse vayan alineados con
revisiones planificadas de auditoría. la estrategia y objetivos fijados para la orga-
- Fomentar la existencia de modelos de de- nización. El auditor interno, por lo tanto, debe
tección o alerta temprana gestionados por evaluar tanto que los controles de los poderes
las áreas de negocio, o como indicadores de las tecnologías de la información están ali-
(hooks) por parte de la propia auditoría, en neados con la organización del negocio y de-
forma de alertas ante anomalías o como in- bidamente implementados, como que los sis-
puts (en función de su grado de criticidad) temas de control manuales de los poderes o
para incorporar a posteriores revisiones pla- autorizaciones responden realmente a los ro- La planificación de
nificadas. les estratégicos asignados. Auditoría Interna es
El auditor interno, con el soporte de auditores una actividad continua
La supervisión en cuanto a la segrega- que debe contar con la
ción de funciones. Auditoría Interna de sistemas, puede reforzar tres pilares funda-
mentales para una correcta segregación de necesaria
mantiene una posición de independencia res- retroalimentación y
pecto al resto de áreas de la organización; in- funciones:
- El buen gobierno. actualización periódica.
dependencia que ejerce con la debida super-
visión en cuanto a la segregación de funcio- - La gestión de riesgos.
nes. - La adecuación de los controles.
En muchas organizaciones, la responsabilidad La elaboración de Planes de Auditoría

de pruebas en segregación de funciones –pa- Interna. Debe entenderse por planifi-
ra bien o para mal– se relega al auditor de cación de Auditoría Interna el conjunto de
sistemas. El razonamiento que subyace tras planes, programas y actividades propios de
esta asignación es que la revisión de la segre- auditoría encaminados a organizar en el tiem-
gación de funciones se limita a los controles po la actividad de la función de Auditoría In-
de acceso a los Sistemas de Información. No terna, con la finalidad de que ésta garantice
es que sea incorrecta, pero pasa por alto la de forma eficaz y eficiente la máxima cobertu-
importancia de revisar poderes y permisos para de los riesgos de la organización con los
ra autorizar las funciones y también toda la recursos de los que dispone.
comprensión de los riesgos de negocio que
La planificación es una actividad continua, lo
pueden ir asociados a funciones conflictivas.
que significa que debe existir una retroali-
Por ello, el auditor informático se eleva por mentación que permita, a su vez, que sea in-
encima de las matrices de configuración de fluida por los resultados de los trabajos pro-
acceso lógico, entiende el negocio de forma gramados.
que identifica los riesgos y facilita los meca-
Esto supone que los auditores internos deben
nismos de control más eficientes; es decir, tra-
obtener de su trabajo información para la ela-
baja en el marco de la Auditoría Interna de
boración de los planes correspondientes y fi-
una forma organizada.
jar el alcance de futuras auditorías, recursos
En este sentido se enmarca el rol del auditor necesarios, tiempos de ejecución, rotación de
interno al comunicar un riesgo asociado a la riesgos, etc.
27
Auditoría Interna se encarga de la elabora- aquellos aspectos que puedan tener implica-
ción de los Planes de Auditoría, y considera ciones legales.
en todo momento las opiniones e inquietudes
de la dirección. Además, es necesario establecer protocolos
de actuación para aquellas denuncias que se
Un proceso de Estos planes deben ser consecuentes con el reciben en temas de acoso o discriminación,
identificación y Estatuto de Auditoría Interna, con los objeti-
derivando su tratamiento, por ejemplo, al área
evaluación de riesgos vos de la organización y de Auditoría Interna
de relaciones laborales.
y con los requisitos de los reguladores en ma-
es un elemento básico
teria de Auditoría Interna y control interno. Por último, la metodología para la correcta
de un sistema de
control y una de las La eficacia en la elaboración de los menciona- evaluación de denuncias debe ser aplicable
bases del Plan de dos planes radica en un conocimiento global para el análisis de riesgos, previo a la realiza-
Auditoría Interna. del universo auditable (diferente al contable), ción de los trabajos de auditoría.
así como de aplicar un enfoque basado en
riesgos, para que la planificación de la audito- La participación en la investigación. La
ría vaya alineada con el crecimiento de las lí- participación del auditor interno en las
neas de negocio y de los cambios que sufren investigaciones de fraude puede ser diversa y
las organizaciones. abarcar diferentes niveles de responsabilidad
en función de la organizacion:
La evaluación de riesgos permite analizar el
impacto de los potenciales eventos en el lo- - Realización de la investigación en una fase
gro de los objetivos. Por tanto, un proceso pa- inicial, hasta confirmar las sospechas/indi-
ra identificar y evaluar los riesgos es un pilar cios o desestimar la existencia de fraude.
básico de un sistema de control adecuado y
una de las bases para establecer un Plan de - Realización de la investigación únicamente
Auditoría Interna. en casos de hasta un cierto límite de daño,
o en casos que no requieran determinadas
Los cambios a los que se enfrentan las orga-
competencias o medios técnicos especiales,
nizaciones hacen que los planes deban ser
actualizados de forma periódica, al menos con los que no cuenta el área de Auditoría
anualmente. Interna.
Garantizar el correcto funcionamiento - Realización completa de la investigación y

del canal de denuncias. Auditoría Inter- coordinación con un equipo multidiscipli-
na puede tener también la obligación de vigi- nar.
lar el cumplimiento de todo lo relacionado - Colaboración/asistencia técnica a equipos
con el canal de denuncias, a fin de asegurar externos, que lideran el proceso.
que está siendo debidamente administrado,
que las denuncias recibidas son tratadas con- - Seguimiento de la implantación de reco-
venientemente y que, en el caso de producirse mendaciones o acciones de mejora pro-
irregularidades, estás son adecuadamente puestas por el equipo responsable de la in-
identificadas. vestigación.
De forma complementaria, Auditoría Interna Los distintos roles que pueda adoptar Audito-
debe coordinarse con los servicios jurídicos en ría Interna en la investigación deben estar
28
previstos en las políticas corporativas y en los mente los hallazgos y realizando la labor
propios estatutos de Auditoría Interna. Estas con la idoneidad, transparencia y compe-
directrices posicionan la labor del auditor in- tencia debida.
terno y establecen su responsabilidad en la
investigación, reconociendo su autoridad a Algunas organizaciones realizan grandes
todos los niveles dentro de la empresa. esfuerzos para que los miembros de Audi-
toría Interna cuenten con la competencia y
En cualquier caso, consideramos que el audi- la capacidad para llevar a cabo las corres-
tor interno, al menos: pondientes investigaciones. Un 45% de los
Cuando Auditoría
- Debe ser informado de la existencia de encuestados por el IAI manifiesta que sus
Interna investigue
cualquier potencial fraude en los momentos equipos de Auditoría Interna no cuentan denuncias o alertas de
previos a la investigación, dado que se en- con formación especializada en investiga- fraude debe
cuentra en la mejor posición, por su presen- ción de fraudes y un 50% no cuenta con documentar
cia en la compañía y su conocimiento del los recursos técnicos e informáticos ade- adecuadamente sus
negocio, para prestar un apoyo experto so- cuados. hallazgos y realizar su
bre la potencial irregularidad y los posibles labor con la idoneidad,
- Documentar con el debido celo profesional
pasos a llevar a cabo. Todo ello con inde- transparencia y
todos los pasos ejecutados, prestando es-
pendencia del rol que desempeñe en la fu- competencia debidas.
pecial atención a la validez legal en la cap-
tura investigación.
tura de evidencias y el debido soporte de
- Debe ser informado de los avances que se los hallazgos, no sólo de cara a sustentar y
produzcan. soportar el contenido del informe final, sino
- Debe ser informado de los resultados fina- además como soporte y herramienta de de-
les de la investigación y de las posibles ac- fensa de la empresa cuando, en caso de
ciones, dado que los resultados pueden producirse una irregularidad, la organiza-
afectar al plan de trabajo del área de Audi- ción decida iniciar acciones legales contra
toría Interna y a la evaluación y seguimien- el infractor y sea necesario utilizar estas
to de controles que realiza el área. evidencias como prueba. Es necesario que
Auditoría Interna cuente con el asesora-
La investigación puede realizarse con perso-
miento del área de Asesoría Jurídica de la
nal propio o terceros especialistas contrata-
empresa cuando sea necesario.
dos. Pero la gestión y supervisión debe recaer
necesariamente en las áreas de Auditoría In- - Asesorarse/capacitarse sobre las particulari-
terna y Asesoría Jurídica de la empresa. dades legales que debe cumplir en la cap-
tura, tratamiento y custodia de datos de
Si la investigación de las denuncias recibidas
empleados, o terceros y en la forma en que
o de las alertas identificadas recae en el de-
puede acceder a los mismos durante la in-
partamento de Auditoría Interna, el mismo
vestigación, para no invalidar la prueba. El
debe:
área de Asesoría Jurídica debe asesorar en
- Cumplir las normas y principios en su labor materia de derechos del empleado y obli-
de investigación, soportando fehaciente- gaciones legales de la empresa, para no
29
violar principios constitucionales, ni leyes, ni de la efectiva implantación de las medidas) o

cualquier otro tipo de normativa vigente6. de alertar ante la permanencia de situaciones
- Informar a los órganos de gobierno de la que exponen a la organización (en el caso de
empresa sobre las características de los he- demoras o inacción en la implantación de me-
chos denunciados o identificados e investi- didas correctivas).
gados.
A continuación exponemos una matriz, a mo-
Realizar el seguimiento de los planes do ilustrativo, que resume y visualiza las res-
de acción para instaurar medidas co- ponsabilidades en materia de prevención, de-
rrectivas de las debilidades de control o pun- tección e investigación de fraude de los dife-
tos de mejora en el desarrollo de los proce- rentes departamentos que forman una orga-
sos, con el fin de garantizar la mejora conti- nización, entre ellos, el departamento de Au-
nua del sistema de control interno (en el caso ditoría Interna.
6. Es posible que sea necesaria la aplicación de procedimientos específicos para la recopilación de evidencia digital para
los que el área de Auditoría Interna no dispone ni de los medios técnicos ni de las habilidades necesarias, para lo que,
de acuerdo con la Norma 1210. A1, sea necesaria la intervención de expertos externos:
“el Director de Auditoría Interna debe obtener asesoramiento y asistencia competentes en caso de que los auditores in-
ternos carezcan de los conocimientos, las aptitudes u otras competencias necesarias para llevar a cabo el trabajo”
En estos casos, Auditoría Interna debe ponerse a disposición del equipo externo ofreciendo su cooperación y estando
dispuesto a participar en el proceso en aquello para lo que se le requiera. Así, puede prestar una colaboración útil en
identificar la información relevante y dónde se encuentra alojada (bases de datos, ficheros, etc.) ya que normalmente
Auditoría Interna conoce estos aspectos por el curso de su actividad cotidiana, lo que puede suponer ahorros de tiem-
po. En cualquier caso, participe activamente Auditoría Interna o no, es importante mantener un clima de buen entendi-
miento entre ambos equipos ya que ambos trabajan por un mismo fin.
PRECAUCIONES
La Norma 1220. A2 referente al Cuidado Profesional en el ejercicio de su actividad dice: “al ejercer el debido cuidado
profesional el auditor interno debe considerar la utilización de auditoría basada en tecnología y otras técnicas de análi-
sis de datos”.
y la Norma 1220.A3: ”el auditor interno debe estar alerta a los riesgos materiales que pudieran afectar los objetivos,
las operaciones o los recursos”.
Por ello, el auditor interno debe actuar con la prudencia debida en tareas especialmente sensibles, para lo que debe
evaluar cuáles son los riesgos a los que se enfrenta cuando aplica procedimientos que pueden tener un impacto eleva-
do en el proceso, como son todos los relacionados con la evidencia digital. En particular, el auditor interno debe ser ex-
tremadamente prudente en no recopilar evidencias sin las debidas garantías simplemente porque conoce cómo llegar a
ellas, no manipular evidencias para darles otra apariencia o no respetar la cadena de custodia.
30
EJEMPLO DE MATRIZ DE DECISIÓN EN LA POLÍTICA DE PREVENCIÓN, DETECCIÓN E INVESTIGACIÓN DE FRAUDE

UNIDAD DE AUDITORÍA FINANZAS / DIRECCIÓN DIRECCIÓN DIRECCIÓN ÁREA
ACCIÓN REQUERIDA INVESTIGACIÓN INTERNA CONTABILIDAD EJECUTIVA OPERACIONES RIESGOS COMUNICACIÓN RR.HH LEGAL
Controles para la
prevención del fraude
Reportes de incidentes
detectados
Investigación de fraude
Comunicación con
las Autoridades
Recuperación de las
cantidades defraudadas
Recomendaciones para la
prevención del fraude
Revisión de los controles
internos
Atender los casos/
situaciones de naturaleza
sensible
Comunicados de prensa /
Publicidad
Litigios civiles
Acciones correctivas /
Recomendaciones para
prevenir acciones
recurrentes
Supervisión de las
recuperaciones
Auditorías proactivas
de fraude
Formación y entrenamiento
sobre el fraude
Análisis de riesgos en las
áreas de vulnerabilidad
Análisis de los casos
Canal de denuncias (1) P S
Línea ética
RResponsabilidad Primaria RResponsabilidad Secundaria RResponsabilidad Compartida
Fuente: Managing the Business Risk of Fraud: A Practical Guide (The Institute of Internal Auditors, The American Institute of Certified Public Accountants, Asso-
ciation of Certified Fraud Examiners).
(1)Respecto al Canal de Denuncias, si seguimos las recomendaciones de la CNMV en materia de control interno sobre la información financiera en sociedades
cotizadas, el Comité de Auditoría debe tener conocimiento y acceso directo a la denuncia de potenciales irregularidades. Por tanto, entendemos que es
deseable que Auditoría Interna gestione el canal de denuncias, pudiendo ser el mismo administrado por la propia Auditoría Interna, por un departamento
específico o bien por un tercero.
31
Instituto de Auditores Internos de España
Santa Cruz de Marcenado, 33 · 28015 Madrid · Tel.: 91 593 23 45 · Fax: 91 593 29 32 · www.auditoresinternos.es
Depósito Legal: M-4003-2015
ISBN: 978-84-943299-0-6
Diseño y maquetación: desdecero, estudio gráfico
Impresión: IAG, SL
Este nuevo documento de LA FÁBRICA DE PENSAMIENTO, el think tank

del Instituto de Auditores Internos de España, aborda los diferentes
procesos para una óptima gestión del riesgo de fraude, que pasa por el
establecimiento de un programa eficaz de prevención, detección e
investigación de fraudes.
Esta publicación, resumen ejecutivo del amplio estudio elaborado por la

Comisión Técnica que será editado próximamente, define además un
enfoque efectivo para la gestión del riesgo de fraude y un análisis profundo
sobre las responsabilidades en su prevención, detección e investigación.
Se trata de una guía, en definitiva, que ayudará a la alta dirección –en

la que debe comenzar el sistema de principios, valores y comportamientos
adecuados para la organización– y a los auditores internos, que
encontrarán las respuestas adecuadas frente a casos de fraudes
corporativos.

Gestion Del Riesgo de Fraude PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gestion Del Riesgo de Fraude PDF

Cargado por

Copyright:

Formatos disponibles

BU E N A S P R AC T I C A S E N G E S T I Ó N D E R I E S G O S

MIEMBROS DE LA COMISIÓN TÉCNICA

LA FÁBRICA DE PENSAMIENTO, el think tank del Instituto de Auditores Internos de Espa-

Este enfoque se basa en un sistema de principios, valores, reglas y comportamientos que,

Si bien todos los miembros de la organización son responsables del establecimiento y

PREVENCIÓN, DETECCIÓN E INVESTIGACIÓN DEL FRAUDE 07

Evaluación del riesgo de fraude .............................................................................. 09

La prevención del fraude ........................................................................................... 11

La detección del fraude ............................................................................................. 12

La investigación del fraude y acciones correctivas ............................................. 13

Roles y responsabilidades en la gestión del riesgo de fraude ......................... 16

EL ROL DEL AUDITOR INTERNO 23

Funciones del área de Auditoría Interna en materia de prevención,

PROGRAMA EFICAZ DE PREVENCIÓN, DETECCIÓN E INVESTIGACIÓN DEL FRAUDE

de identificar potenciales actuaciones y investigación de fraude, en cada uno de estos

PROGRAMA DE GESTIÓN DE RIESGO DE FRAUDE

La mayoría de las organizaciones tienen políti- · Vigilancia / seguimiento continuo.

EVALUACIÓN DEL RIESGO DE FRAUDE

La tecnología proporciona a la organización · Probabilidad de ocurrencia. La evaluación

1. Committee of Sponsoring Organizations of the Treadway Commission.

PROBABILIDAD Probable Posible Remota

IMPACTO EN Material Significativo No Significativo

LA PREVENCIÓN DEL FRAUDE

a la potencial irregularidad y sus consecuen- - Evaluación del desarrollo y estableci-

LA DETECCIÓN DEL FRAUDE

4. Foreign Corrupt Practice Act.

LA INVESTIGACIÓN DEL FRAUDE Y ACCIONES CORRECTIVAS

De la encuesta del Instituto de Auditores In- - Resolución y cierre de la investigación.

Alegaciones Recepción Evaluación Calificación

Investigación Recolección de evidencias Análisis de evidencias

Supervisor de la investigación Dirección Área de Asesoría Legal

Reporting de resultados Acciones correctivas

ROLES Y RESPONSABILIDADES EN LA GESTIÓN DEL RIESGO DE

la alta dirección en su día a día y de cómo Los departamentos de gestión de riesgos, de

ENFOQUE EFECTIVO PARA LA ADMINISTRACIÓN DEL FRAUDE

ALCANCE FEEDBACK IMPLEMENTACIÓN

La organización debe: vención, detección e investigación del fraude,

Diferencias entre la auditoría tradicional y la auditoría para la detección de fraude

Procedimientos programados. Aleatoria - no programada.

Basada en el análisis de procesos. Focalizada en debilidades de control

Fuente: Elaboración propia.

Por tanto, un programa efectivo de adminis- Por lo general, el Consejo de Administración

ellos el enfoque de los planes en materia de zación juega un papel fundamental en la

La dirección de la organización tiene la res- COSO identificó cinco componentes de lo que

COMITÉ Gestionar proactivamente el riesgo de fraude.

DE AUDITORÍA Supervisar activamente la evaluación que se realiza de los riesgos de fraude.

DIRECCIÓN Diseñar e implementar el sistema de gestión de riesgos de fraude.

PERSONAL Establecer y mantener unos fuertes controles contra el fraude.

· Verificar su alineación con el código de ética/conducta y políticas de contratación.

· Validar evaluaciones de procesos que contemplen el riesgo de fraude.

· Colaborar en la definición de controles mitigantes de riesgos identificados.

· Contribuir a la mejora de controles preventivos y de detección.

· Consensuar con RR.HH programas corporativos de comunicación.

· Realizar evaluaciones periódicas de controles antifraude.

Fuente: Elaboración propia.

El rol del auditor interno

FUNCIONES DEL ÁREA DE AUDITORÍA INTERNA EN MATERIA DE

Entendemos que, en temas de riesgos de

- La difusión y comunicación de los compro-

Realización del seguimiento de los - Prácticas efectivas de supervisión de activi-

- Incorporar objetivos de control en materia segregación de funciones: que los controles

En muchas organizaciones, la responsabilidad La elaboración de Planes de Auditoría

Garantizar el correcto funcionamiento - Realización completa de la investigación y