Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestion Del Riesgo de Fraude PDF
Gestion Del Riesgo de Fraude PDF
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
BU E N A S P R AC T I C A S E N G E S T I Ó N D E R I E S G O S
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Febrero 2015
Además de establecer este programa y las características a tener en cuenta para su elabo-
ración, este documento aporta un valor fundamental al definir un enfoque efectivo para
la administración del fraude y un análisis profundo sobre las responsabilidades y concien-
ciación en su prevención, detección e investigación.
Las nuevas tendencias, impulsadas por la realidad económica y por una creciente deman-
da social de mayor transparencia y control, exigen de los auditores internos respuestas
pertinentes frente a casos de fraudes corporativos y, sin duda, éstas llegarán si tendemos
hacia la excelencia en nuestro trabajo, que viene motivada por la formación y la capacita-
ción, además de un correcto dimensionamiento de los equipos de Auditoría Interna.
Con este espíritu y con el impecable desarrollo de la investigación por parte de los inte-
grantes de la Comisión Técnica se ha desarrollado esta guía, que contribuirá sin duda al
óptimo desempeño de nuestras funciones como auditores internos, y por ende, al de las
organizaciones en las que se desenvuelve nuestra profesión.
Ernesto Martínez
Presidente del Instituto de Auditores Internos de España
3
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Índice
INTRODUCCIÓN 06
RESPONSABILIDADES Y CONCIENCIACIÓN EN LA 15
PREVENCIÓN, DETECCIÓN E INVESTIGACIÓN DEL FRAUDE
Introducción .................................................................................................................. 15
5
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Introducción
En el actual marco regulatorio global, las or- actuación y comportamientos de la actividad
ganizaciones están cada vez más sujetas a de la organizaciones; cuestiones que deben
normativas internacionales relacionadas con aceptarse, comunicarse, supervisarse, revaluar-
la comisión de delitos, sobre todo de corrup- se y adaptarse con regularidad, para asegurar
El sistema de principios, ción y soborno. Históricamente, el regulador la eficacia continua de los controles internos,
valores y reglas de más activo ha sido, dado su carácter extrate- medidas y políticas de la compañía.
actuación en las rritorial, el Departamento de Justicia (DOJ) de
organizaciones los Estados Unidos, a través de la FCPA (Fo- El objeto es doble: por un lado, facilitar al
comienza en la alta reign Corrupt Practices Act). mercado información sobre los mecanismos
dirección y, a través de específicos con los que la entidad mantiene
diversos elementos En este campo, muchos gobiernos siguen las un ambiente de control interno que propicia la
(códigos de conducta, recomendaciones de la OCDE (Organización generación de información financiera comple-
políticas y para la Cooperación y el Desarrollo Económi- ta, fiable y oportuna; y por otro, prevenir y
procedimientos, etc) se co). Los de Reino Unido, Francia, Turquía, y Es- atenuar las posibles conductas irregulares así
traslada al conjunto de paña, entre otros, han reformado sus legisla- como propiciar las vías para detectarlas.
la organización. ciones, alineándolas a la lucha contra el frau-
de y la corrupción. Un ejemplo es la reforma Este sistema de principios, valores y reglas
del Código Penal de España, cuyo trámite se empieza en la alta dirección. Y a partir de ahí,
inició en octubre de 2013 y fue aprobado fi- a través de un código de conducta, comporta-
nalmente el 21 de enero de 2015 por el Con- mientos adecuados y el diseño y la comunica-
greso de los Diputados. En otros casos, como ción de las correspondientes políticas y proce-
el del Reino Unido, se han introducido nuevas dimientos, se proyecta al resto de la organiza-
leyes como la UK Bribery Act. ción.
De acuerdo con las recomendaciones de la En esta guía detallamos los principales ele-
OCDE, los programas de cumplimiento norma- mentos de un programa eficaz de prevención,
tivo definen los principios, valores, reglas de detección e investigación de fraudes.
6
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Prevención, detección
e investigación del fraude
En cualquiera de sus categorías: apropiación 4. Un plan de comunicación y formación para
de activos, corrupción, manipulación contable, toda la organización.
uso de información privilegiada, etc., los deli-
5. Un programa eficaz de prevención, detec-
tos económicos han derivado en nuevas ame-
ción e investigación de fraude.
nazas para las organizaciones de todo el mun-
do. La irrupción de las nuevas tecnologías y 6. Un canal de denuncias, como vía de comu-
las dificultad de las organizaciones para adap- nicación interna, que permita informar al
tarse por sí solas a un entorno económico en órgano responsable, tanto de irregularida-
cambio continuo, complican la situación. El des de naturaleza financiera y contable, co-
aumento de los fraudes detectados y su im- mo de eventuales incumplimientos del Có-
pacto han obligado a invertir en nuevas medi- digo de Conducta.
das de prevención para minimizar los daños.
Para lograr reducir la probabilidad de fraude,
Es fundamental contar con un programa efi- las organizaciones deben realizar un gran es-
caz de prevención, detección e investigación fuerzo en la gestión de dicho riesgo. A conti-
de delitos; junto al que deben constar, al me- nuación mostramos cinco principios funda-
nos, los siguientes elementos: mentales para que una organización gestione
proactivamente el riesgo de fraude. Esto es,
1. Un órgano colegiado o unipersonal, depen-
los cinco elementos de un programa eficaz de
diente del Consejo de Administración, que La irrupción de las
prevención, detección e investigación de deli-
vele por la aplicación del Código de Con- nuevas tecnologías y un
tos:
ducta y sirva para procurar un comporta- entorno económico en
miento profesional, ético y responsable de 1. Establecer un programa de gestión del constante cambio,
toda la organización. riesgo de fraude, como parte de la estruc- obligan a las
tura de gobierno. También conocido como organizaciones a
2. Un Código de Conducta o de Buenas Prác-
programa anti-fraude, que incluye una polí- invertir en nuevas
ticas que defina los principios y valores que
tica escrita y que recoge las expectativas medidas de prevención
rigen las relaciones de la organización con
del Consejo de Administración y los altos del fraude.
sus grupos de interés (empleados, clientes,
accionistas, socios de negocio, y proveedo- directivos en relación con la gestión de
res) y que se implanta, se difunde y es riesgo de fraude.
aceptado por dichos grupos de interés.
2. Realizar una evaluación periódica de la
3. El compromiso de la alta dirección. exposición al riesgo de fraude, con el fin
7
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Programa Evaluación
periódica de Implementar Implementar Implantar
de gestión técnicas de técnicas de proceso de
del riesgo la exposición
al riesgo prevención detección reporting
de fraude
de fraude
8
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
que la dirección cumple con sus obligaciones y ción cuenta con un mapa de riesgos de fraude
responsabilidades. con el que valora y gestiona sus riesgos; si
bien sólo un 27% de los trabajos de Auditoría
Las partes interesadas de todas las organiza-
Interna incluyen tareas encaminadas a la valo-
ciones tienen sus expectativas puestas en los
ración de los citados riesgos.
comportamientos éticos de las mismas. Por
ello, las organizaciones deben responder ante A continuación exponemos los principales as-
estas expectativas. pectos que deben abordarse en cualquier pro-
grama eficaz de gestión del riesgo de fraude:
El Consejo de Administración y la alta direc-
ción deben asegurar que las prácticas de go- · Roles y responsabilidades.
bierno marcan las pautas para la adecuada · Compromiso de la alta dirección. Un programa eficaz
gestión del riesgo de fraude. Además, deben · Conocimiento del fraude. sobre ética en los
implementar políticas que fomenten un com- negocios es la base
· Evaluación del riesgo de fraude.
portamiento ético y que incluyan tanto proce- para prevenir y detectar
sos relativos a empleados, clientes, proveedo- · Procedimiento de reporte y protección de actos fraudulentos y
res y otras terceras partes, como procesos que los denunciantes y denunciados. criminales.
especifiquen a quién reportar en los casos en · Procedimiento de investigación.
los que no se cumplan los estándares. · Acciones correctivas.
9
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Identificación del riesgo de fraude sos a los sistemas como las amenazas inter-
concreto nas y externas a la integridad de los datos, la
seguridad de los sistemas y el robo de infor-
Para identificar un riesgo, la organización pue- mación confidencial y sensible.
de utilizar fuentes de datos externas o inter-
nas. Entre las externas están los organismos
Probabilidad de ocurrencia e impacto
reguladores, el propio sector, las principales
guías como COSO1, y organizaciones profesio- Evaluar la probabilidad e impacto de los po-
nales como The Institute of Internal Auditors tenciales riesgos de fraude es un proceso en el
(IIA), American Institute of Certified Public Ac- que hay que contar con factores monetarios o
countants (AICPA), Association of Certified económicos, financieros, operacionales, repu-
Fraud Examiners (ACFE), etc. tacionales y legales. No todos los riesgos po-
Evaluar la probabilidad tenciales tienen la misma probabilidad y el
e impacto de los Las fuentes internas incluyen entrevistas con
mismo impacto en todos los casos.
riesgos inherentes el personal adecuado o representante de un
permite gestionar el amplio abanico de actividades dentro de la or- La organización debe considerar en primer lu-
riesgo de fraude e ganización; la revisión de las denuncias inter- gar aquellos riesgos inherentes2 a su negocio.
implementar y aplicar puestas a través de los mecanismos implanta- Evaluar la probabilidad y el impacto de estos
procedimientos de dos (canal de denuncias o línea ética) y otros riesgos le permite gestionar su riesgo de frau-
prevención y detección procedimientos analíticos. de e implementar y aplicar procedimientos
de manera razonable. preventivos y de detección de una forma ra-
Para que un proceso de identificación y eva-
luación del riesgo de fraude sea efectivo, debe cional.
incluir la evaluación de los incentivos y las Una vez mapeados los riesgos, con sus respec-
presiones y oportunidades de cometer fraude. tivos controles, es posible que exista un riesgo
Asimismo, la evaluación del riesgo de fraude residual3.
debe considerar la potencial eliminación de
controles por parte de la dirección, así como el La dirección evalúa el potencial impacto de los
análisis de aquellas áreas donde los controles riesgos y decide la naturaleza y alcance de los
son débiles o no existe una clara segregación controles preventivos y de detección así como
de funciones. los procedimientos para su gestión.
10
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
complejidad del riesgo y el número de per- De forma adicional, las organizaciones deben
sonas involucradas en la revisión y aproba- evaluar los incentivos y presiones de los indi-
ción del proceso, entre otros factores. viduos y departamentos: qué individuos y de-
partamentos tienen mayores incentivos y, por
Evaluada la probabilidad de ocurrencia, és-
ta se categoriza de varias formas. La tres tanto, mayor probabilidad de comisión de
más utilizadas son probabilidad remota, fraude. Toda esta información permite a la or-
probabilidad posible y probabilidad proba- ganización diseñar las respuestas adecuadas.
ble.
Respuesta al riesgo residual de fraude
· Impacto en la organización. La evaluación
del impacto de que un riesgo de fraude fi- La tolerancia al riesgo varía de una organiza-
nalmente se materialice no solo tiene en ción a otra. La alta dirección establece el nivel
cuenta factores monetarios en los estados La tolerancia al riesgo
de tolerancia al riesgo teniendo en cuenta su varía de una
financieros, sino también factores operacio-
responsabilidad frente a los socios o accionis- organización a otra.
nales, el valor de la marca, la reputación,
tas, las entidades financiadoras y demás par- Es la alta dirección
aspectos legales y regulatorios.
tes interesadas. quien establece el nivel
Al igual que con la probabilidad de ocu- de tolerancia
Algunas organizaciones prefieren gestionar
rrencia, una vez evaluado el impacto de considerando su
que un riesgo de fraude se materialice, éste únicamente los riesgos de fraude con impacto responsabilidad ante
se categoriza. La forma más común es la material en los estados financieros; otras, im- los diferentes grupos de
que diferencia entre impacto no significati- plantan programas de respuesta al fraude interés.
vo, impacto significativo e impacto mate- más estrictos, con políticas de “tolerancia ce-
rial. ro”.
11
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
12
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
pora siempre en los Planes de Auditoría Inter- control y procedimientos proactivos de detec-
na tareas encaminadas a la detección de frau- ción de fraude, diseñados específicamente pa-
de. ra identificar actividades fraudulentas.
Los controles de detección deben ser flexibles, La última encuesta referenciada al inicio de Los canales de
para adaptarse a los cambios de los riesgos. este documento muestra los medios de detec- denuncia y las
ción que las organizaciones ponen a disposi- revisiones de Auditoría
Los controles preventivos son fácilmente iden- ción de sus empleados: los canales de denun- Interna continúan
tificados por los empleados y/o terceras par- cias internos y externos5 y las revisiones de siendo los métodos
tes. Pero los controles de detección son, por Auditoría Interna continúan siendo, con un más eficaces de
su naturaleza, clandestinos: dichos controles 39% y un 47% respectivamente, los métodos detección de fraude.
operan en un contexto que no es evidente en de detección más eficaces.
el entorno empresarial. Las técnicas de detec-
ción preventivas suelen:
· Producirse en el curso normal de la activi- EFICACIA DE MEDIOS DE DETECCIÓN
dad de la compañía.
· Basarse en información externa, que corro- Otros
bora información generada internamente. 14%
Canal de
· Comunicar de manera formal y automática denuncias
las deficiencias y excepciones identificadas. 39%
· Mejorar y/o modificar otros controles. Revisiones de
Auditoría Interna
Las técnicas de detección incluyen mecanis- 47%
mos de reporting anónimo (canal de denun-
cias), denuncia (anónima o no), procesos de
5. Un 72,36% de los encuestados manifiesta contar en su empresa con un canal de denuncias o irregularidades, el cual
en casi un 50% de los casos está abierto a colaboradores, agentes y clientes.
13
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
14
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Responsabilidades y concienciación
en la prevención, detección e
investigación del fraude
INTRODUCCIÓN
Las organizaciones están cada vez más suje- tar al mercado información acerca de los me- Las organizaciones
tas a exigencias de cumplimiento internacio- canismos específicos que la entidad ha habili- deben definir el sistema
nal relativas a la comisión de delitos, corrup- tado para mantener un ambiente de control de principios, valores,
ción y soborno y, por tanto, implementando interno que propicie la generación de informa- reglas de actuación y
programas de cumplimiento normativo. Éstos, ción financiera completa, fiable y oportuna, si- comportamientos que
según la OCDE, deben definir el sistema de no prevenir o atenuar la comisión de conduc- regulan su actividad y
principios, valores, reglas de actuación y com- tas irregulares y propiciar las vías para detec- deben comunicarlo,
portamientos que deben regular la actividad tarlas. supervisarlo y
de la empresa. Este sistema debe ser acepta- actualizarlo para
do, comunicado, supervisado, actualizado y Este sistema de principios, valores, reglas de mantener su eficacia.
adaptado con regularidad, según sea necesa- actuación y comportamientos empieza en la
rio, para asegurar la eficacia continua de los alta dirección de la entidad, la cual influye a
controles internos, medidas y políticas de la través de sus propias acciones en el resto de
organización. Todo ello permite no sólo facili- la organización, con el establecimiento de un
15
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
código de conducta y unos adecuados com- sino también en cuanto a los riesgos inheren-
portamientos, y en el diseño y comunicación tes a la comisión de delitos, al establecimien-
efectiva de las correspondientes políticas y to e implantación de medidas para detectar y
procedimientos. prevenir conductas irregulares, a los cambios
regulatorios, a la existencia de mecanismos
Por tanto, es esencial que las compañías esta-
para denunciar o consultar el modo de proce-
blezcan un código de conducta como pilar
der ante conductas que pudieran entenderse
básico de su programa de cumplimiento, que
como irregulares y respecto a todo aquello
Es esencial que las procure un comportamiento profesional ético
que fomente y asiente la cultura empresarial
organizaciones y responsable de la organización y de todos
de la organización.
establezcan un código sus empleados, en el desarrollo de sus activi-
de ética como pilar dades en cualquier parte del mundo. Dicho De forma adicional, dentro de los pilares bási-
básico de su programa código de ética debe reflejar su cultura em- cos de un eficaz programa de cumplimiento,
de cumplimiento. presarial en la que se debe asentar la forma- destaca aquel que permita minimizar la pro-
ción y el desarrollo personal y profesional de babilidad de que se produzcan irregularidades
sus empleados, y definir los principios y valo- y asegurar que, las que eventualmente pue-
res que deben regir las relaciones de la orga- dan producirse, sean siempre identificadas,
nización con sus grupos de interés (emplea- comunicadas y resueltas con prontitud. Por
dos, clientes, accionistas, socios de negocio, y esto es recomendable, y así se está poniendo
proveedores). cada vez más en práctica, la implantación de
canales de denuncia, como vía de comunica-
Una vez que la organización cuente con el
ción interna que permita la comunicación al
compromiso de la alta dirección, se debe
órgano responsable de irregularidades de na-
transmitir este sistema de principios, valores,
turaleza financiera y contable, así como de
reglas de actuación y comportamientos al res-
eventuales incumplimientos del código de
to de la organización.
conducta y actividades irregulares. Este canal
Se recomienda la continua comunicación y permite demostrar a terceros interesados que
formación a los empleados de la organización la organización cuenta con procedimientos y
no sólo en cuanto al Código de Conduc- medios adecuados y que los mismos son per-
ta –cultura empresarial de la organización– manentemente revisados.
16
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
SUPERVISIÓN
Pistas y alertas
Protocolos de análisis
Fuente: elaboración propia
17
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Orientada a: Orientada a:
- Foco en fortalezas del control interno, errores y omisiones. - Pensamiento defraudador.
- Énfasis en materialidad. - Prácticas no habituales.
- Evaluación del diseño y su cumplimiento. - Uso abusivo de excepciones.
- Trabajo sobre muestras. - Cambios en la conducta emocional.
18
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
· Participación activa de los diferentes acto- · Establecer el tono adecuado desde lo más
res. alto de la organización (tone at the top),
· Adopción de herramientas tecnológicas. con la descripción del puesto del máximo
· Coordinación y trabajo interdisciplinar. ejecutivo, su proceso de contratación, su
evaluación y los planes de sucesión o per-
· Flexibilidad del modelo.
manencia en el cargo.
· Focalizar el objetivo, con soluciones alcan-
· Contratar expertos externos, cuando fuese
zables.
necesario.
· Diseño y ejecución de un plan de informa-
· Facilitar a los auditores de cuentas las evi-
ción. dencias necesarias que den constancia de
· Implementación en etapas para evaluar el la involucración del Consejo en el conoci-
avance. miento y gestión del riesgo de fraude.
19
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
20
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
CONSEJO DE Fijar el tono adecuado de gobierno de la organización en el nivel más alto posible.
ADMINISTRACIÓN Asegurar que la dirección diseña un sistema eficaz de gestión del riesgo de fraude.
AUDITORÍA Garantizar al Consejo y a la Dirección que los controles de fraude son suficientes
INTERNA para cubrir los riesgos y que están funcionando de forma eficaz.
nización. Están entrelazados entre sí, de tal dades de control de fraude, así como en las
forma que proporcionan un proceso interacti- actividades de seguimiento.
vo natural que promueve el tipo de entorno · Informar acerca de sospechas o indicios de
que no tolera el fraude. fraude.
Todos los niveles de la organización, incluida · Cooperar en las investigaciones de fraude.
la dirección, deben:
· Tener un conocimiento básico del fraude y Auditoría Interna
estar atentos a las señales de alerta. Según la definición de The Institute of Internal
· Entender cuál es su papel en el marco de Auditors, “Auditoría interna es una actividad
control interno. El personal debe compren- independiente y objetiva de aseguramiento y
der cómo sus procedimientos de trabajo es- consulta, concebida para agregar valor y me- Auditoría Interna debe
tán diseñados para gestionar el riesgo de jorar las operaciones de una organización. asegurar al Consejo y a
fraude y que su incumplimiento puede dar Ayuda a una organización a cumplir sus obje- la dirección que los
controles en materia de
oportunidad al fraude. tivos aportando un enfoque sistemático y dis-
fraude son suficientes
· Leer y entender las políticas y procedimien- ciplinado para evaluar y mejorar la efectividad
para cubrir los riesgos
tos (políticas de fraude, código de conducta de los procesos de gestión de riesgos, control
identificados y
y canal de denuncias, entre otros) así como y gobierno.”
garantizar que dichos
las políticas operacionales (manual de com- Auditoría Interna debe asegurar al Consejo de controles funcionan de
pras, etc.). Administración y a la dirección que los con- manera eficaz.
· Participar, en su caso, en el proceso de troles de fraude son suficientes para cubrir los
creación de un fuerte ambiente de control y riesgos identificados y garantizar que están
en el diseño e implementación de las activi- funcionando de forma eficaz.
21
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Los auditores internos deben evaluar, en sus un cierto grado de escepticismo profesional y
planes anuales de Auditoría Interna, los ries- mantenerse en guardia ante posibles signos
gos de fraude de la organización y revisar pe- de fraude. Los potenciales fraudes detectados
riódicamente la capacidad de gestión de la di- durante una auditoría deben tratarse de
rección. Deben reunirse periódicamente con acuerdo a un plan de respuesta bien definido
los encargados de identificar y evaluar el ries- y previamente establecido. De la misma for-
go de fraude y con aquellos otros puestos cla- ma, Auditoría Interna debe tener un papel
ve de la organización para garantizar que han proactivo en el apoyo a la cultura ética de la
sido considerados adecuadamente todos los organización.
riesgos.
Auditoría Interna participa en la gestión de
Al llevar a cabo su trabajo ordinario de con- los cinco elementos que forman el sistema de
trol, los auditores internos deben actuar con control de COSO señalados anteriormente.
Los auditores internos, RESPONSABILIDADES DE AUDITORÍA INTERNA SEGÚN LOS COMPONENTES QUE FORMAN COSO
en el desempeño de su · Validar la existencia de políticas y procedimientos antifraude.
actividad, deben actuar
AMBIENTE DE CONTROL
22
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
La importancia que una organización concede de los controles establecidos, la realización de La importancia que una
a su unidad de Auditoría Interna indica su seguimientos del canal de denuncias o la pro- organización concede a
compromiso con el control interno. El Estatuto moción de sesiones de formación en relación su unidad de Auditoría
de Auditoría Interna debe incluir las funciones con la cultura ética de la organización. Interna, es un indicador
y responsabilidades relacionadas con la ges- de su grado de
tión del fraude. Y dentro de estas funciones En el apartado siguiente profundizamos en el compromiso con el
puede incluirse el análisis de las causas, el es- rol que puede adoptar el auditor interno fren- control interno.
tablecimiento de recomendaciones de mejora te al fraude.
23
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
ofrece una manera simple y efectiva de po- gestionan sus propios riesgos (son los dueños
tenciar las comunicaciones entre los implica- o titulares de los mismos, son las áreas de ne-
dos en la gestión y el control del riesgo, a par- gocios de las organizaciones); en la segunda
tir de la simplificación de las tareas y respon- línea están los que vigilan los riesgos (depar-
La realidad económica
sabilidades de cada área. tamentos de gestión de riesgo, cumplimento
y las tendencias en los
normativo, calidad, etc.) y en la tercera, los
nuevos roles de
Distingue entre tres grupos o líneas de defen- terceros independientes que proveen de su
Auditoría Interna
sa: en la primera línea, se sitúan aquellos que asesoramiento (los auditores internos).
demandan incluir en los
equipos permanentes
de Auditoría Interna a
miembros con las NORMATIVA A CONSIDERAR
competencias
Auditoría Interna es un ente de la organiza- mente cita (1210.A2) que “los auditores in-
necesarias en materia
ción a cargo de la ejecución de una actividad ternos deben tener conocimientos suficientes
de fraude.
independiente y objetiva de aseguramiento y para evaluar el riesgo de fraude y la forma en
consulta, con responsabilidades en la evalua- que se gestiona por parte de la organización,
ción de los procesos de gestión de riesgos, pero no es de esperar que tengan conoci-
control y gobierno. Pero no debe olvidarse in- mientos similares a los de aquellas personas
cluir entre sus compromisos la responsabili- cuya responsabilidad principal es la detección
dad en temas de fraude que afectan o pue- e investigación del fraude”. Posteriormente
dan afectar a la organización. indica (1220.A1) que “el auditor interno debe
ejercer el debido cuidado profesional al consi-
El Código Ético de Auditoría Interna recoge derar (…) la probabilidad de errores materia-
una serie de principios que cobran especial les, fraude o incumplimientos”.
relevancia en temáticas críticas como las de
fraude: La realidad económica (aumento de casos de
· Integridad, como capacidad para propor- fraude, disminución de recursos para la con-
cionar base de confianza en los juicios emi- tratación de expertos, etc.) y las tendencias en
tidos. los nuevos roles de Auditoría Interna, deman-
dan por parte de la alta dirección que los
· Objetividad, como característica del proce-
equipos de Auditoría Interna sean capaces de
so de obtención, evaluación y comunicación
ofrecer respuestas adecuadas frente a casos
de los hechos examinados, sin dejarse in-
de fraudes corporativos. Esta realidad ha mo-
fluir por intereses propios o de terceros.
tivado que muchas organizaciones estén faci-
· Confidencialidad, como deber de respeto litando a los auditores internos formación en
del valor y propiedad de la información. técnicas y habilidades relacionadas con la in-
· Competencia, como medida de idoneidad vestigación, e incluyendo en los equipos per-
profesional. manentes de Auditoría Interna a miembros
con las competencias necesarias.
Las Normas sobre Atributos establecen que
“los trabajos deben cumplirse con aptitud y El Marco Internacional para la Práctica Profe-
cuidado profesional adecuados” y específica- sional de la Auditoría Interna (The Institute of
24
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Internal Auditors) define varias normas y con- la identificación de los riesgos, la revisión de
sejos relacionados con el fraude, que no re- la calidad y operatividad de los controles que
producimos íntegramente a continuación, pe- mitigan –de forma principal o secundaria– el
ro que ayudan a comprender el rol del auditor riesgo de fraude, el deber de informar sobre
interno en toda su extensión. los riesgos existentes y, paralelamente, formar-
· 2110 Gobierno se y cumplir internamente los requisitos para
· 2120 Gestión de Riesgos el desempeño de la función de manera idónea
Consejo para la práctica 2120-1 y con total cumplimiento de las normativas vi-
gentes.
· 2130 Control
Consejo para la práctica 2130.1: Tal como señala la Norma sobre Atributos El rol del auditor en
Control 2130.A1 (1010-Reconocimiento de la definición de Au- materia de fraude
El marco normativo confiere al Director de Au- ditoría Interna, el Código de Ética y las Nor- queda definido en
ditoría Interna el deber de “informar periódi- mas, en el Estatuto de Auditoría Interna) la diversas normas del
función debe estar definida en propósito, au- Marco Internacional
camente a la alta dirección y al Consejo sobre
toridad y responsabilidades dentro del Estatu- para la Práctica
la actividad de auditoría” y que “el informe
to que delimita la actividad del área. Profesional de la
también debe incluir exposiciones al riesgo
Auditoría Interna.
(…) incluido riesgo de fraude” (2060). Segui-
Dentro de este Estatuto debe estar claramente
damente indica que la actividad de Auditoría
definido el rol de Auditoría Interna en relación
Interna debe evaluar la posibilidad de ocu-
al tratamiento de los supuestos de comisión
rrencia de fraude y cómo la organización ma-
de delitos o irregularidades (identificados o
neja y gestiona el riesgo de fraude (2120.A2)
denunciados) que se investiguen dentro de la
y que el auditor interno debe considerar la
organización, sin perjuicio de las responsabili-
probabilidad de errores, fraude, incumplimien-
dades que colateralmente tengan determina-
tos y otras exposiciones significativas al elabo-
dos departamentos de la organización en as-
rar los objetivos del trabajo (2210.A2).
pectos derivados de la investigación como por
Por lo expuesto, la primera responsabilidad de ejemplo, el departamento de Asesoría Jurídica,
Auditoría Interna en materia de fraude implica el de Recursos Humanos, etc.
25
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
El mapa de riesgos de de fraude externo son similares, aunque algo tentes y el grado de cobertura que ofrecen a
fraude es una parte menores, tanto en la prevención como en la los riesgos identificados.
integrante del mapa de detección.
Este mapa de riesgos de fraude es una parte
riesgos generales de la
Además, junto a los departamentos de Audi- del mapa de riesgos generales de la organiza-
organización.
toría Interna, colaboran en la detección e in- ción, desarrollado dentro del esquema de
vestigación de fraudes los departamentos de identificación que establece la organización
sistemas de la información, de cumplimiento (para ahondar en materia de Risk Assessment
normativo, legal, financiero, y recursos huma- nos remitimos a lo ya señalado por el Enter-
nos. prise Risk Management de COSO).
26
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
27
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Auditoría Interna se encarga de la elabora- aquellos aspectos que puedan tener implica-
ción de los Planes de Auditoría, y considera ciones legales.
en todo momento las opiniones e inquietudes
de la dirección. Además, es necesario establecer protocolos
de actuación para aquellas denuncias que se
Un proceso de Estos planes deben ser consecuentes con el reciben en temas de acoso o discriminación,
identificación y Estatuto de Auditoría Interna, con los objeti-
derivando su tratamiento, por ejemplo, al área
evaluación de riesgos vos de la organización y de Auditoría Interna
de relaciones laborales.
y con los requisitos de los reguladores en ma-
es un elemento básico
teria de Auditoría Interna y control interno. Por último, la metodología para la correcta
de un sistema de
control y una de las La eficacia en la elaboración de los menciona- evaluación de denuncias debe ser aplicable
bases del Plan de dos planes radica en un conocimiento global para el análisis de riesgos, previo a la realiza-
Auditoría Interna. del universo auditable (diferente al contable), ción de los trabajos de auditoría.
así como de aplicar un enfoque basado en
riesgos, para que la planificación de la audito- La participación en la investigación. La
ría vaya alineada con el crecimiento de las lí- participación del auditor interno en las
neas de negocio y de los cambios que sufren investigaciones de fraude puede ser diversa y
las organizaciones. abarcar diferentes niveles de responsabilidad
en función de la organizacion:
La evaluación de riesgos permite analizar el
impacto de los potenciales eventos en el lo- - Realización de la investigación en una fase
gro de los objetivos. Por tanto, un proceso pa- inicial, hasta confirmar las sospechas/indi-
ra identificar y evaluar los riesgos es un pilar cios o desestimar la existencia de fraude.
básico de un sistema de control adecuado y
una de las bases para establecer un Plan de - Realización de la investigación únicamente
Auditoría Interna. en casos de hasta un cierto límite de daño,
o en casos que no requieran determinadas
Los cambios a los que se enfrentan las orga-
competencias o medios técnicos especiales,
nizaciones hacen que los planes deban ser
actualizados de forma periódica, al menos con los que no cuenta el área de Auditoría
anualmente. Interna.
De forma complementaria, Auditoría Interna Los distintos roles que pueda adoptar Audito-
debe coordinarse con los servicios jurídicos en ría Interna en la investigación deben estar
28
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
previstos en las políticas corporativas y en los mente los hallazgos y realizando la labor
propios estatutos de Auditoría Interna. Estas con la idoneidad, transparencia y compe-
directrices posicionan la labor del auditor in- tencia debida.
terno y establecen su responsabilidad en la
investigación, reconociendo su autoridad a Algunas organizaciones realizan grandes
todos los niveles dentro de la empresa. esfuerzos para que los miembros de Audi-
toría Interna cuenten con la competencia y
En cualquier caso, consideramos que el audi- la capacidad para llevar a cabo las corres-
tor interno, al menos: pondientes investigaciones. Un 45% de los
Cuando Auditoría
- Debe ser informado de la existencia de encuestados por el IAI manifiesta que sus
Interna investigue
cualquier potencial fraude en los momentos equipos de Auditoría Interna no cuentan denuncias o alertas de
previos a la investigación, dado que se en- con formación especializada en investiga- fraude debe
cuentra en la mejor posición, por su presen- ción de fraudes y un 50% no cuenta con documentar
cia en la compañía y su conocimiento del los recursos técnicos e informáticos ade- adecuadamente sus
negocio, para prestar un apoyo experto so- cuados. hallazgos y realizar su
bre la potencial irregularidad y los posibles labor con la idoneidad,
- Documentar con el debido celo profesional
pasos a llevar a cabo. Todo ello con inde- transparencia y
todos los pasos ejecutados, prestando es-
pendencia del rol que desempeñe en la fu- competencia debidas.
pecial atención a la validez legal en la cap-
tura investigación.
tura de evidencias y el debido soporte de
- Debe ser informado de los avances que se los hallazgos, no sólo de cara a sustentar y
produzcan. soportar el contenido del informe final, sino
- Debe ser informado de los resultados fina- además como soporte y herramienta de de-
les de la investigación y de las posibles ac- fensa de la empresa cuando, en caso de
ciones, dado que los resultados pueden producirse una irregularidad, la organiza-
afectar al plan de trabajo del área de Audi- ción decida iniciar acciones legales contra
toría Interna y a la evaluación y seguimien- el infractor y sea necesario utilizar estas
to de controles que realiza el área. evidencias como prueba. Es necesario que
Auditoría Interna cuente con el asesora-
La investigación puede realizarse con perso-
miento del área de Asesoría Jurídica de la
nal propio o terceros especialistas contrata-
empresa cuando sea necesario.
dos. Pero la gestión y supervisión debe recaer
necesariamente en las áreas de Auditoría In- - Asesorarse/capacitarse sobre las particulari-
terna y Asesoría Jurídica de la empresa. dades legales que debe cumplir en la cap-
tura, tratamiento y custodia de datos de
Si la investigación de las denuncias recibidas
empleados, o terceros y en la forma en que
o de las alertas identificadas recae en el de-
puede acceder a los mismos durante la in-
partamento de Auditoría Interna, el mismo
vestigación, para no invalidar la prueba. El
debe:
área de Asesoría Jurídica debe asesorar en
- Cumplir las normas y principios en su labor materia de derechos del empleado y obli-
de investigación, soportando fehaciente- gaciones legales de la empresa, para no
29
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
6. Es posible que sea necesaria la aplicación de procedimientos específicos para la recopilación de evidencia digital para
los que el área de Auditoría Interna no dispone ni de los medios técnicos ni de las habilidades necesarias, para lo que,
de acuerdo con la Norma 1210. A1, sea necesaria la intervención de expertos externos:
“el Director de Auditoría Interna debe obtener asesoramiento y asistencia competentes en caso de que los auditores in-
ternos carezcan de los conocimientos, las aptitudes u otras competencias necesarias para llevar a cabo el trabajo”
En estos casos, Auditoría Interna debe ponerse a disposición del equipo externo ofreciendo su cooperación y estando
dispuesto a participar en el proceso en aquello para lo que se le requiera. Así, puede prestar una colaboración útil en
identificar la información relevante y dónde se encuentra alojada (bases de datos, ficheros, etc.) ya que normalmente
Auditoría Interna conoce estos aspectos por el curso de su actividad cotidiana, lo que puede suponer ahorros de tiem-
po. En cualquier caso, participe activamente Auditoría Interna o no, es importante mantener un clima de buen entendi-
miento entre ambos equipos ya que ambos trabajan por un mismo fin.
PRECAUCIONES
La Norma 1220. A2 referente al Cuidado Profesional en el ejercicio de su actividad dice: “al ejercer el debido cuidado
profesional el auditor interno debe considerar la utilización de auditoría basada en tecnología y otras técnicas de análi-
sis de datos”.
y la Norma 1220.A3: ”el auditor interno debe estar alerta a los riesgos materiales que pudieran afectar los objetivos,
las operaciones o los recursos”.
Por ello, el auditor interno debe actuar con la prudencia debida en tareas especialmente sensibles, para lo que debe
evaluar cuáles son los riesgos a los que se enfrenta cuando aplica procedimientos que pueden tener un impacto eleva-
do en el proceso, como son todos los relacionados con la evidencia digital. En particular, el auditor interno debe ser ex-
tremadamente prudente en no recopilar evidencias sin las debidas garantías simplemente porque conoce cómo llegar a
ellas, no manipular evidencias para darles otra apariencia o no respetar la cadena de custodia.
30
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Fuente: Managing the Business Risk of Fraud: A Practical Guide (The Institute of Internal Auditors, The American Institute of Certified Public Accountants, Asso-
ciation of Certified Fraud Examiners).
(1)Respecto al Canal de Denuncias, si seguimos las recomendaciones de la CNMV en materia de control interno sobre la información financiera en sociedades
cotizadas, el Comité de Auditoría debe tener conocimiento y acceso directo a la denuncia de potenciales irregularidades. Por tanto, entendemos que es
deseable que Auditoría Interna gestione el canal de denuncias, pudiendo ser el mismo administrado por la propia Auditoría Interna, por un departamento
específico o bien por un tercero.
31
Instituto de Auditores Internos de España
Santa Cruz de Marcenado, 33 · 28015 Madrid · Tel.: 91 593 23 45 · Fax: 91 593 29 32 · www.auditoresinternos.es
ISBN: 978-84-943299-0-6
Impresión: IAG, SL
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA