XXX CONFERENCIA INTERAMERICANA DE

CONTABILIDAD

TRABAJO INTERAMERICANO

AREA 2 – AUDITORÍA

SUB AREA 2.4 LA AUDITORIA INTERNA EN LA DETECCION Y PREVENCIÓN DE

FRAUDES

AUTOR

JUAN FONSECA

PAÍS

BOLIVIA

PRESIDENTE DE LA COMISIÓN TÉCNICA INTERAMERICANA DE AUDITORÍA

ANGEL DEVACA PAVÓN

(PARAGUAY)

1
LA AUDITORIA INTERNA EN LA DETECCION Y PREVENCIÓN

DE FRAUDES

INDICE
CONTENIDO PAG.

1 RESUMEN EJECUTIVO 3

2 PALABRAS CLAVES 4

3 INTRODUCCION 5

4 OBJETIVO 5

5 CONCEPTUALIZACIÓN Y CARACTERIZACIÓN DEL FRAUDE 6

6 CONTROL INTERNO 6

7 LA GESTIÓN DEL RIESGO DE FRAUDE 9

8 ACTIVIDADES DE CONTROL Y PREVENCIÓN DEL FRAUDE 10

9 FACTORES DE RIESGO EN AUDITORIA INTERNA 11

10 EL ROL DEL AUDITOR INTERNO RESPECTO AL FRAUDE 13

a. Responsabilidades 15
b. Alertas para identificar eventos de fraude 15
c. Divulgación de eventos de fraude 16

11 VALORACION DE RIESGOS POR AUDITORIA INTERNA 16

12 PROPUESTAS 20
a. Mecanismos de detección de fraude 20
b. Plan de trabajo de auditoría en el área de fraude 21

13 CONCLUSION 23

14 GUIA DE DISCUSION 25

15 BIBLIOGRAFIA 26

2
 LA AUDITORIA INTERNA EN LA DETECCION Y PREVENCIÓN
DE FRAUDES

1. RESUMEN EJECUTIVO

El trabajo tiene por finalidad proponer herramientas técnicas con que la profesión cuenta
para detectar, disminuir posibles hechos ilícitos afectando a las economías y desarrollo de
las empresas y en la mayoría de los países.

Las actividades de control implementadas en las organizaciones para prevenir y disminuir el

riesgo operativo y con ello minimizar la posibilidad de ocurrencia de fraudes. Actividades
que están expresadas en políticas, normas y procedimientos de las empresas, mediante la
aprobación, la autorización, la verificación, el control cruzado, la conciliación, la inspección,
la salvaguardia de los recursos, la segregación de funciones, la supervisión y un
entrenamiento adecuado.
Las actividades de control son importantes no solo porque en sí mismos implican la forma
correcta de hacer las cosas, sino debido a que son el medio idóneo de asegurar el mayor
grado en el logro de los objetivos.
El propósito de los controles es asegurar una operación y continuidad adecuada, con
ayuda de la tecnología los sistemas informáticos de la organización debe incorporar
controles internos que permitan disminuir el riesgo operativo al que está expuesta la
organización.

Los auditores internos, en conjunto con las áreas de riesgos de las empresas, deben
conocer las herramientas metodológicas que les permitan realizar evaluaciones de las
estrategias, políticas, normas y procedimientos encaminados al control integral del negocio
a fin de minimizar la materialización de potenciales hechos de fraude externo e interno.

El auditor interno debe prever de asistir en la prevención del fraude a través de exámenes y
evaluaciones de un adecuado y efectivo control sobre los posibles riesgos potenciales en
diferentes segmentos de operación de la organización, para lo cual debe estar capacitado
para identificar posibles fraudes, este conocimiento incluye características, técnicas y los
tipos de fraudes asociados con las actividades auditadas.

Profundizar la revisión en los casos que encuentre debilidades de control, si se identifican

debilidades de control significativas se deberá ampliar el alcance de las pruebas de
auditoria que permitan la identificación de otras señales de fraude. Si el fraude podría haber
sido cometido, decidir acciones adicionales o recomendar una investigación.

Es importante que el auditor interno comunique de inmediato a la Administración, su Comité

o al Directorio cualquier hallazgo de fraude.

3
2. PALABRAS CLAVES
 Factor Riesgo
 Auditoria Interna
 Fraude Interno
 Fraude Externo
 Control y Prevención del Fraude
 Divulgación de Fraude

4
LA AUDITORIA INTERNA EN LA DETECCION Y PREVENCIÓN DE FRAUDES

3. INTRODUCCION

A lo largo de la historia han sucedido innumerables casos de fraude que han tenido
impactos catastróficos en las empresas. Este tema cada vez está adquiriendo mayor fuerza
debido a la mayor complejidad de los negocios, a la globalización, al uso de tecnología. Por
lo tanto, estos factores hacen que las empresas operen con un mayor nivel de riesgo
operativo.

Al parecer las empresas no están gestionando adecuadamente el riesgo operativo y están

cada vez más vulnerables a fraudes que pudieran realizar sus trabajadores y/o terceros.

Según algunas estadísticas el 1% de los trabajadores de una empresa están alertas a

encontrar una debilidad en el control interno de la compañía en la que operan y aprovechar
de esa situación. Un informe publicado por KPMG menciona que en las empresas el 20%
de su personal presenta un perfil deshonesto, mientras que un porcentaje similar es
honesto. El 60% restante “depende de las circunstancias”.

Cabe resaltar que la mayor cantidad de fraudes son realizados por los mismos funcionarios
de las empresas y los eventos son descubiertos por casualidad.

La detección y prevención de fraudes requieren la atención de todos a niveles de la

organización. Esta situación representa un desafío para los profesionales de las diferentes
disciplinas, especialmente de los auditores, que deben profundizar el análisis y mantener un
amplio conocimiento de la actividad desarrollada, su volumen, carácter y tipo del negocio.

4. OBJETIVO

El presente trabajo tiene como objetivo satisfacer la responsabilidad que nos fuera confiada
por la comisión de normas y prácticas de auditoría al designarnos la presentación del
trabajo interamericano para el sub área 2.4, que en virtud al plan bianual de trabajo
presentado a, y aprobado por, las autoridades de la Asociación Interamericana de
Contabilidad (AIC), en el temario de la comisión, bajo el título de “La auditoría interna en la
detección y prevención de fraudes”.

Según el fundamento de la comisión del tema designado, el “fraude se ha presentado en los

últimos años como uno de los grandes males para las empresas, las economías y la
sociedad en general. Como quiera, el auditor interno convive en un ambiente de riesgos de
actos fraudulentos. El establecimiento de medidas preventivas y la detección de fraude es
responsabilidad de la gerencia de la entidad, a cargo de la auditoría interna está la
evaluación de los procedimientos y medidas preventivas como de las detectivas de errores
y fraudes, dispuestos por la administración.”

Con el humilde aporte de este trabajo esperamos de los delegados un debate enriquecedor
del tema, de tal suerte a plantear una posición del área de discusión sobre la actitud del
auditor interno ante la prevención y detección de fraude en la entidad a la que presta su
servicio.

5
Esperamos haber respondido la confianza de la comisión y la satisfacción de los delegados
concurrentes de la XXX CIC al considerar el contenido del documento, por sobre todo que
les sirva de alguna luz para enfrentar los desafíos de la comisión de fraude en las
organizaciones.

5. CONCEPTUALIZACION Y CARACTERIZACIÓN DEL FRAUDE

El fraude es un hecho ilícito, ocasionado por la acción u omisión, realizado por trabajadores
y/o terceros ajenos a la empresa, con el objetivo de un beneficio propio o ajeno y en
detrimento de la institución.

Existen muchas formas de fraude que pueden darse en una empresa, tales como el hurto,
la estafa, la falsificación, la adulteración, el abuso de confianza, el uso de información
confidencial y otros.

De acuerdo a su ocurrencia o magnitud se pueden distinguir los fraudes en los tipos

siguientes:

 Pérdidas de gran magnitud que se dan en un solo golpe, en una sola vez, que son
fáciles de detectar pero su prevención es compleja, estos casos generalmente
trascienden a la Policía y a Órganos Judiciales.

 Pérdidas pequeñas por goteo, esporádicas, rutinarias que son difíciles de identificar y
de prevenir.

De acuerdo a quien realiza el hecho, el fraude se puede clasificar en:

o Fraude Interno

Genera pérdidas derivadas de algún tipo de actuación encaminada a defraudar,

apropiarse de bienes indebidamente o soslayar regulaciones, leyes o políticas
empresariales (excluidos los eventos de diversidad / discriminación) en las que se
encuentra implicada, al menos, una parte interna a la empresa. Esta categoría incluye
eventos asociados con: actividades no autorizadas, hurto y fraude.

o Fraude Externo

Genera pérdidas derivadas de algún tipo de actuación encaminada a defraudar,

apropiarse de bienes indebidamente o soslayar la legislación, por parte un tercero. Esta
categoría incluye eventos asociados con: seguridad de los sistemas, hurto y fraude.

6. CONTROL INTERNO

El control interno involucra un conjunto de elementos que afecta sobre todos los procesos
del negocio (centrales y de soporte), es realizado por la dirección de la empresa, la
administración, los profesionales de diferentes disciplinas y el personal dependiente y a
todos los niveles de la organización. Es influenciada por la historia de la entidad, nivel de
cultura administrativa, estructura organizativa, políticas prácticas del recurso humano,
delegación de autoridad y responsabilidad.

6
El diseño y desarrollo del sistema de control interno para prevenir el fraude debe estar
orientado a lograr los objetivos siguientes:

- Cuidar los recursos de la empresa, buscando su adecuada administración ante

posibles riesgos que los afecten.

- Garantizar la eficacia y economía en todas las operaciones, promoviendo y facilitando

la correcta ejecución de las funciones y actividades definidas para el logro de los
objetivos de la empresa.

- Velar por que las actividades, recursos de la empresa estén dirigidas al cumplimiento
de sus objetivos.

- Asegurar la oportunidad y confiabilidad de la información y sus registros.

- Aplicar medidas para prevenir riesgos, detectar y corregir las desviaciones que se
presenten en la empresa y que puedan afectar el logro de sus objetivos.

- Disponer de sus propios mecanismos de verificación y evaluación.

- Velar porque la empresa disponga de procesos de planeación y mecanismos

adecuados para el diseño y desarrollo organizacional.

- El profesional debe contar con procedimientos específicos y eficientes que le permitan

advertir si está realmente ante las operaciones sospechosas, resguardar los soportes
documentales del análisis, definir la generación de informes confidenciales al respecto
y establecer controles.

Entre las características del control interno se tiene las siguientes:

a) El sistema de control interno forma parte integrante de los sistemas de negocio,

contabilidad, financieros, planeación, información y operaciones de la empresa.

b) Corresponde al Órgano directivo y a la alta gerencia, la responsabilidad de establecer,

mantener y perfeccionar el sistema de control interno, el cual debe ser adecuado a la
naturaleza, estructura, misión de la empresa.

c) Todas las transacciones de la empresa, deberán registrarse en forma exacta,

oportuna, de forma tal que permita preparar informes operativos, administrativos y
financieros confiables.

d) Todos los trabajadores de la empresa deben cumplir con los controles previamente
establecidos y aplicar los controles que le corresponden según su cargo.

A modo de fundamentar la gestión de riesgo de fraude por la entidad, que desarrollaremos

en el numeral 7, recordemos los componentes de control manejados desde el año 1992, a
partir de la publicación de reporte COSO, como sigue:

1. Ambiente de control. Incluye las funciones de mando y administración, y las actitudes,

conciencia y acciones de los encargados del mando y de la administración en lo
concerniente al control interno de la entidad y su importancia en la misma. El
ambiente de control marca el tono de una organización, influyendo en la conciencia de
control de su gente. Es el fundamento para un control interno efectivo, y brinda
disciplina y estructura.

7
 2. El proceso de evaluación del riesgo por la entidad. El auditor deberá obtener un
entendimiento del proceso de la entidad para identificar riesgos de negocio relevantes
para los objetivos de información financiera y para decidir sobre acciones para
atender a esos riesgos, y los resultados consecuentes. El proceso se describe como
el “proceso de evaluación del riesgo por la entidad” y forma la base de cómo
determina la administración los riesgos que hay que administrar.

3. El sistema de información incluyendo los procesos del negocio relacionados,

relevantes a la información financiera y la comunicación. El sistema de información
relevante a los objetivos de información financiera, que incluye el sistema contable,
consiste de los procedimientos y registros establecidos para iniciar, registrar, procesar
e informar transacciones de la entidad y para mantener la rendición de cuentas por los
activos, pasivos y capital relacionados.

4. Actividad de control. Las actividades de control son las políticas y procedimientos que
ayudan a asegurar que se llevan a cabo las directivas de la administración por
ejemplo, que se toman las acciones necesarias para atender a los riesgos que
amenazan el logro de los objetivos de la entidad.

5. Monitoreo de controles. Es un proceso para evaluar la efectividad del desempeño del

control interno a través del tiempo. Implica evaluar el diseño y operación de los
controles oportunamente y emprendiendo las acciones correctivas necesarias
modificadas por cambios en las condiciones.

El Control interno está Integrado por elementos interrelacionados como:

a) Ambiente de control,

Es el entorno que estimula e influencia la actividad del personal con respecto al

control de sus actividades, es en esencia el principal elemento sobre el que sustenta o
actúan otros componentes, es indispensable a su vez para la realización de los
propios objetivos de control.

b) Valores éticos,

Es importante para el éxito del control interno la forma en que los valores éticos son
comunicados y fortalecidos. La participación de la alta administración es clave para
obtener resultados positivos, ya que su ejemplo es imitado por los dependientes.

Se debe tener cuidado con factores que pueden inducir a conductas adversas a los
valores éticos, debido a controles débiles o inexistentes.

c) Competencia,

Son los conocimientos y habilidades que debe poseer el personal para cumplir
adecuadamente sus tareas.

d) Filosofía Administrativa y Estilo de Operación

El ambiente de control tiene gran influencia en la forma como se desarrollan las

operaciones, se establecen los objetivos y se identifican los riesgos, además tiene que
ver con el comportamiento de los sistemas de información y la supervisión en general.

8
Está en la inteligencia del auditor interno unir las acciones entre los elementos mencionados
y otros no abordados en este material, con base a los componentes y objetivos del control
interno y su vinculación con la comisión de irregularidades.

7. GESTIÓN DEL RIESGO DE FRAUDE

Se refieren a los mecanismos necesarios para identificar, medir, monitorear, controlar,

mitigar y divulgar los riesgos originados en eventos de fraude. Este aspecto es considerado
como parte de la gestión del riesgo operativo dentro de las organizaciones, tanto los que se
originan en el entorno de la organización como en el interior de la misma.

En toda empresa es indispensable el establecimiento de objetivos tanto globales, como de

actividades relevantes, obteniendo con ello una base sobre la cual serán identificados y
analizados los factores de riesgo que amenazan su oportuno cumplimiento. Un evento de
fraude, dependiendo de su impacto, puede afectar en el logro de los objetivos
empresariales.

La evaluación de riesgo debe ser una responsabilidad ineludible para todos los niveles que
están involucrados en el logro de los objetivos. Esta actividad de autoevaluación debe ser
revisada por los auditores internos para asegurar que tanto el objetivo, enfoque, alcance y
procedimiento hayan sido apropiadamente llevados a cabo.

Los aspectos sobresalientes del riesgo son entre otras:

a) Establecimiento de Objetivos:

La fijación de objetivos es el camino adecuado para identificar factores críticos de

éxito. Una vez que los factores hayan sido identificados, la gerencia tiene la
responsabilidad de establecer criterios para medirlos y prevenir su posible ocurrencia
a través de mecanismos de control, de información, a fin de estar enfocando
permanentemente tales factores críticos de éxito.

El logro de los objetivos está sujeto a los siguientes aspectos:

 A la efectividad y alcance de los controles internos ya que éstos proporcionan una

garantía razonable de que los objetivos sean alcanzados.

 A la adecuada gestión de los riesgos, en la que la organización tenga un mapeo de

todos los riesgos que podrían afectar a la organización. Los principales riesgos que
afectan a las empresas son los siguientes: Riesgos de mercado, de competencia,
legales y regulatorios, operativos, de crédito y de liquidez. Cada uno de estos
riesgos deben ser gestionados por empresa. El fraude es parte del riesgo
operativo.

Todas las entidades enfrentan estos riesgos y estos deben ser identificar oportunamente,
medir, monitorear, establecer medidas de control y de mitigación y divulgar.

b) Proceso

El proceso mediante el cual se gestionan riesgos forma parte esencial de un sistema de

control interno efectivo. Para ello la organización debe establecer un proceso

9
 suficientemente amplio que tome en cuenta sus interacciones más importantes entre
todas las áreas y de estas con el exterior.

Los riesgos incluyen no solo factores externos, sino también internos, por ejemplo
sistema de procesamiento de información, calidad de personal, capacidad o cambios en
relación con las responsabilidades de la gerencia.

c) Manejo de Cambios

Este elemento resulta de vital importancia debido a que está enfocado a la identificación
de los cambios que pueden influir en la actividad de la empresa y éstos a su vez en los
controles internos. Tales cambios son importantes ya que los controles diseñados bajo
ciertas condiciones pueden no funcionar apropiadamente en otras circunstancias.

De lo anterior se deriva la necesidad de contar con un proceso que identifique las

condiciones que puede tener un efecto desfavorable sobre los controles internos o de
cambios deben estar ligados con el proceso y análisis de riesgos, ser capaces de
proporcionar información para identificar y responder a las condiciones cambiantes.

Existen factores que requieren atenderse con oportunidad y que presentan sistemas
relacionados con el manejo de los cambios como son; nuevo personal, sistema de
información nuevo o modificado, crecimiento rápido, nueva tecnología, reorganizaciones
y otros aspectos de igual transcendencia. Los mecanismos en este proceso deben tener
un marcado sentido de anticipación que permita planear e implantar las acciones
necesarias que respondan al criterio de costo-beneficio.

8. ACTIVIDADES DE CONTROL Y PREVENCIÓN DEL FRAUDE

Las actividades de control son aquellas que realizan la gerencia y personal de la

organización para disminuir el riesgo operativo y con ello minimizar la posibilidad de
ocurrencia de fraudes. Estas actividades están expresadas en las políticas, normas y
procedimientos de las empresas. Ejemplos de estas actividades son la aprobación, la
autorización, la verificación, el control cruzado, la conciliación, la inspección, la salvaguardia
de los recursos, la segregación de funciones, la supervisión y entrenamiento adecuado.

Las actividades de control tienen distintas características pueden ser manuales o

computarizadas, administrativas y operacionales, generales o específicas.

Las actividades de control son importantes no solo porque en sí mismos implican la forma
correcta de hacer las cosas, sino debido a que son el medio idóneo de asegurar el mayor
grado en el logro de los objetivos.

La prevención de fraude

Al diseñar los controles, la administración o el gobierno de mando de la entidad toma en

cuenta una serie de medidas con miras a prevenir los actos delictivos. Recordemos que los
controles internos por naturaleza están orientados a proteger los bienes de quienes los
diseñan y los aplican.

Existen algunos principios que deben ser respetados para prevenir el uso indebido o la
apropiación indebida de los bienes de la entidad, entre ellos, posiblemente el más
importante, se encuentra el principio administrativo de “separación de funciones”, otro

10
principio fundamental en cualquier organización es la “asignación de responsabilidades”
dada a las personas que tienen bajo su custodia activos de la empresa. Es frecuente
asignar responsabilidad a los colaboradores que luego se consideran como dueño de los
bienes consignados, esto es un riesgo potencial de fraude. Muchos inquilinos de bienes
inmuebles se quedan como propietario por usucapión, en verdad uno puede cuestionar esta
situación y calificarla como desinterés, negligencia o por lo menos descuido de los
propietarios, pero en definitiva para el auditor interno puede ser indicativo relevante de
fraude.

Sea cual fuere la situación analizada en que los controles adoptados que están orientados a
prevenir razonablemente la ocurrencia de fraude, el papel del auditor interno sigue siendo el
mismo, informar de su hallazgo a la gerencia o a la dirección pertinente, recayendo en la
gerencia la responsabilidad de establecer los controles para que el auditor lo evalúe en
cuanto a su implantación, vigencia y si constituye una barrera que evite la comisión de
fraude.

Al establecer los controles antifraude, el responsable de su diseño debe considerar dos

tipos de controles, aquellos considerados de carácter disciplinario y otros que son básicos.

Los controles disciplinarios están orientados a la protección de los activos y a la aplicación

correcta de los controles básicos, éstos a su vez tienen como función garantizar
razonablemente la exactitud de la información.

Una buena medida preventiva de fraude es disponer siempre de una póliza de seguro de
fidelidad de los empleados, política de rotación sorpresiva y permanente de empleados con
cargos de responsabilidad y de quienes gozan de cierta discrecionalidad en la
administración y manejo de los bienes de la empresa.

9. FACTORES DE RIESGO EN AUDITORÍA INTERNA

Son el criterio usado para identificar el significado relativo de condiciones y eventos que
puedan ocurrir y afectar negativamente a la entidad. El auditor mide tales factores utilizando
su mejor juicio profesional, por lo cual requiere el debido cuidado en su determinación.

Las tareas desarrolladas por el auditor interno en la ubicación de los factores indicativos de
riesgo son delicadas y requiere de paciencia y sapiencia, normalmente el auditor interno
dedica muchas horas en el estudio de los factores que normalmente existen cuando ocurren
las irregularidades, aunque muchos de los factores no siempre significan la presencia de
inexactitudes, menos de fraude; no obstante mediante el seguimiento de los indicativos
determinados por el auditor en momento menos esperado descubre las incorrecciones,
actividades ilícitas y por qué no fraudes, aunque sin calificarlos como tal.

Según las guías de la Declaración (SIAS) 9 “Valuación de riesgos”, los factores de riesgo
pueden incluir:

a. Clima de ética y presión a la gerencia para el logro de objetivos.

b. Competencia, aptitud e integridad del personal.

c. Tamaño del activo, liquidez, o volumen de transacciones.

d. Condiciones financieras y económicas.

11
 e. Condiciones competitivas.

f. Complejidad y volatilidad de las actividades.

g. Impacto en clientes, proveedores y reglamentos gubernamentales.

h. Nivel de sistemas computarizados de información.

i. Dispersión geográfica de las operaciones.

j. Oportunidad y efectividad de los sistemas de control interno.

k. Cambios organizacionales, operacionales, tecnológicos y económicos.

l. Juicios gerenciales y estimaciones contables.

m. Aceptación de hallazgos de auditoría y acciones correctivas tomadas, y

n. Fecha y resultados de auditorías previas.

Creemos que existen otras cuestiones relevantes que adicionamos a continuación como
factores de riesgo a los citados precedentemente.

a. Tipo de industria en que se desarrollan las actividades de la compañía.

b. Conflicto de la patronal con sus empleados.

c. Baja remuneración de la gerencia.

d. Alta rotación de recursos humanos claves, principalmente del área de contabilidad y

finanzas.

e. Cultura de evasión de impuestos de la compañía, que en conjunción de la situación

mencionada en c. puede significar una coraza para quien cometa fraude.

Al considerar los factores de riesgo, el auditor interno debe establecer una relación con la
significancia del impacto que pueda generar de concretar la ocurrencia del riesgo, es decir
convertirse en realidad la probabilidad de ocurrencia de condiciones y hechos pronosticados
originalmente. Al establecer la relación de la importancia económica, o de otra naturaleza
ejemplo daño moral, que pueda afectar adversamente a la entidad, el auditor usa su juicio
para establecer un umbral para a partir de ese punto reportar como indicio de fraude las
irregularidades detectadas.

Las alertas para identificar eventos de fraude descriptas en el sub tópico de “El rol del
auditor interno respecto al fraude” letra b. pueden ayudar si se complementan con los
factores de riesgo mencionados en este apartado.

Control de los Sistemas de Información

12
Los sistemas de información automáticos de las empresas están diseminados y todos ellos
atienden a uno o más objetivos de control.

De manera amplia se considera que existen controles generales y controles de aplicación

sobre los sistemas de información.

a) Controles Generales

Su propósito es asegurar una operación y continuidad adecuada, e incluyen el control

sobre el departamento de procesamiento de datos y su seguridad física, contratación,
mantenimiento del hardware y software. También lo relacionado con las funciones de
desarrollo y mantenimiento de sistemas, soporte técnico, administración de base de
datos y otros.

b) Controles de Aplicación

Dirigidos hacia el interior de cada sistema y funcionan para lograr el procesamiento,

integridad, confiabilidad, mediante la autorización y validación correspondiente. Desde
luego estos controles cubren las aplicaciones destinadas a las interfaces con otros
sistemas de las que reciben o entregan información.

Los sistemas de información y su tecnología brindan la posibilidad para incrementar la

productividad y competitividad. Ciertos hallazgos sugieren la integración de la
estrategia, la estructura organizacional y la tecnología de la información como
concepto clave.

Es conveniente que con ayuda de la tecnología se diseñen controles a través de

ellas, el procesamiento de imágenes, el intercambio electrónico de datos y hasta
asuntos relacionados con los sistemas expertos. El sistema informático de la
organización debe incorporar controles internos que permitan disminuir el riesgo
operativo al que está expuesta la organización.

10. EL ROL DEL AUDITOR INTERNO RESPECTO AL FRAUDE.

El Statements On Internal Auditing Standards – SIAS – 3 (Declaración Sobre Normas Para

la Práctica Profesional de la Auditoría Interna) emitido por el Instituto de Auditores Internos
–IIA–, una asociación internacional dedicada al desarrollo profesional continuo del auditor
interno y de la profesión de auditoría interna ofrece guías para llevar a cabo las
responsabilidades de auditoría interna para la prevención, detección, investigación y reporte
de fraudes. Este documento puede servir de herramienta fundamental del auditor interno en
su trabajo orientado hacia el fraude.

La prevención de fraude no es tarea del auditor interno, sino es una responsabilidad de la

gerencia de la entidad en el que se desempeña el auditor interno, la responsabilidad de éste
consiste en examinar y evaluar lo adecuado de las acciones tomadas por la administración
para hacer frente al riesgo de fraude. Del auditor interno se espera que tenga suficiente
conocimiento de la práctica deshonesta para estar capacitado de detectar los indicadores
que podrían ser indicadores de la existencia de fraude.

En el desempeño de su labor, el auditor debe evaluar permanente los riesgos de fraude, si

detectare debilidades significativas de control deberá estar predispuesto a la posibilidad de

13
ampliar su examen en busca de otros elementos que podrían confirmar o rechazar la idea
de la existencia de fraude, aunque ningún procedimiento de auditoría llevado a cabo por el
auditor interno garantiza que el fraude cometido será indefectiblemente detectado.

El fraude puede implicar, entre otros:

- Manipulación, falsificación o alteración de registros o documentos.

- Malversación de activos.
- Supresión u omisión de los efectos de transacciones en los registros o documentos.
- Registros de transacciones sin sustancia.
- Mala aplicación de políticas contables.

Consecuentemente, podemos entender que el fraude es una práctica de la simulación o del

artificio con intención de engañar o lesionar a otro, por lo que involucra la representación
falsa y voluntaria o la ocultación deliberada de un hecho importante con el fin de inducir a
otra persona a que haga o se abstenga de hacer algo en su detrimento, o a no revelar un
hecho importante, de modo a que pueda inducir fraudulentamente a una persona a que
renuncie a sus derechos sobre una propiedad, a que abandone sus derechos legales o a
que acepte un compromiso en condiciones desfavorables a sus intereses.

Los fraudes son actos ilegales que solo ejecutan los seres humanos. Las transformaciones
que verifican las sociedades le adicionan nuevas dimensiones al fraude, un ejemplo de
estas dimensiones son los fraudes ejecutados a través de medios computacionales.

El fraude hoy día es el dolor de cabeza de los hombres de negocios y de todo de quien
tiene interés en sí mismo, o en una institución pública o privada, la gerencia de una
institución con responsabilidad ante tercero debe diseñar medidas proyectivas ante el
peligro de fraude en su organización.

Ahora, como el fraude puede ser cometido también por la gerencia, las entidades jurídicas,
especialmente, cada día se expone más y más a ser despojadas de sus bienes por
personas con intenciones de apoderarse de lo ajeno. Ante este escenario, el auditor interno
adquiere relevancia en su desempeño profesional ético, debido a su alta responsabilidad de
supervisar el control interno y evaluar los riesgos de fraude. No es su responsabilidad
detectar fraude ni disponer de técnicas antifraude, su rol consiste en evaluar los riesgos y
ofrecer información a la alta gerencia o al gobierno de mando para que éstos dispongan del
diseño, implantación y mantenimiento de los controles pertinentes que aminoren el impacto
del riesgo a niveles aceptablemente bajos.

De detectar indicios de fraude el auditor procederá a denunciar ante la dirección para que
ésta adopte las medidas legales que cada caso amerite, en ningún caso el auditor interno
estará capacitado para calificar una irregularidad como FRAUDE, solo calificará con indicio
de fraude o riesgo de fraude. La calificación de una inexactitud o de un acto como fraude es
competencia de una autoridad judicial competente. El auditor recomendará a la dirección
ante riesgo significativo de fraude el inicio de un sumario administrativo y la denuncia ante la
justicia, si la dirección considera pertinente.

En la evaluación de los riesgos de fraude, el auditor interno, evaluará permanentemente los

controles establecidos relacionados con la prevención de fraude a cargo del gobierno de
mando y ejecutará en consecuencia las pruebas de auditoría tendientes a confirmar su
indicio o refutarlo, para luego informar a los órganos competentes, siempre sin calificar su
hallazgo como fraude.

Los auditores y en especial los auditores internos, en conjunto con las áreas de riesgos de
las empresas, deben conocer las herramientas metodológicas que les permitan realizar

14
evaluaciones de las estrategias, políticas, normas y procedimientos encaminados al control
integral del negocio en todos sus aspectos a fin de minimizar la materialización de
potenciales hechos de fraude externo e interno en contra de las empresas.

El auditor interno debe prever de asistir en la prevención del fraude a través de exámenes y
evaluaciones de un adecuado y efectivo control sobre los posibles riesgos potenciales en
diferentes segmentos de operación de la organización.

a. Responsabilidades

Para llevar a cabo un trabajo de auditoría interna:

 El auditor debe estar capacitado para identificar posibles fraudes, este

conocimiento incluye características, técnicas y los tipos de fraudes asociados con
las actividades auditadas.

 Conocer los eventos de riesgo operativo que están presentes en los procesos de
negocio y de soporte de la empresa.

 Prestar especial énfasis en los puntos de control establecidos por la administración,

en términos de su aplicación y eficiencia.

 Profundizar la revisión en los casos que encuentre debilidades de control, si se

identifican debilidades de control significativas se deberá ampliar el alcance de las
pruebas de auditoria que permitan la identificación de otras señales de fraude.

 Si el fraude podría haber sido cometido, decidir si es necesario efectuar más

acciones adicionales o recomendar una investigación.

 Comunicar a la administración y a su Comité o al Directorio cualquier hallazgo de

fraude.

 Obtener el mapa de riesgo operativo elaborado por la Unidad de Riesgos para

hacer seguimiento a los aspectos de control mas importantes dentro de la
empresa.

 Evaluar todos los fraudes cometidos en la organización con el fin de evaluar la

eficiencia de los controles internos.

b. Alertas para identificar eventos de fraude

El auditor debe tomar en cuenta ciertas alertas que le permitan identificar posibles
fraudes entre ellas:

 Negativa de trabajadores a dar acceso a la documentación

 El extravió de documentación
 Arqueos de caja en los que nunca existen sobrantes ni faltantes
 Sistemas informáticos habilitados en horarios inusuales
 Inventarios irregulares
 Pagos realizados sin comprobantes formales.
 Incumplimiento en los procesos.

15
  El uso excesivo de correctores
 Encontrar copia de los documentos en lugar de los originales
 Pagos inexistentes o con justificativo alterados
 Trabajadores que no sacan vacaciones.
 Trabajadores que aparentan tener un estándar de vida superior al que su salario
les permitiría.
 Trabajadores que tienen problemas familiares.
 Cuando los trabajadores gozan de excesiva confianza de sus inmediatos
superiores.
 Trabajadores que pasan muchas horas en la oficina, fuera de los horarios
laborales.

c. Divulgación de eventos de fraude

El proceso de comunicar las debilidades y oportunidades de mejoramiento de los

sistemas de control, deben estar dirigido hacia quienes son los propietarios y
responsables de operarlos con el fin de que implementen las acciones necesarias.
Dependiendo de la importancia de las debilidades identificadas, la magnitud del riesgo
existente y la probabilidad de ocurrencia se determinarán el nivel administrativo al cual
deban comunicarse las deficiencias.

11. VALORACION DE RIESGOS POR AUDITORIA INTERNA

La actividad más importante de la auditoría interna en la consideración de riesgos es la

valoración, que implica una de las tareas a desarrollar. El riesgo se valora o se evalúa con
base a dos elementos: a. la probabilidad de la ocurrencia de la contingencia y b. la magnitud
de la pérdida o del daño. La evaluación de riesgo es probablemente el paso más importante
en un proceso de gestión de riesgos, y también el paso más difícil y con mayor posibilidad
de cometer errores. Una vez que los riesgos han sido identificados y evaluados, los pasos
subsiguientes para prevenir que ellos ocurran, protegerse contra ellos o mitigar sus
consecuencias son mucho más previsibles.

Una de las principales barreras en la administración de riesgos que la gerencia debe

superar consiste en la estimación razonable de la posibilidad de que el riesgo considerado
sea real y factible, la otra es la precisión en la valoración del impacto que implicaría el
perjuicio para la entidad. La gestión de riesgo no solo debe determinar la presencia de estos
factores (ocurrencia y valoración del riesgo), sino, lo más importante, establecer
procedimientos de prevención de la aparición del primero de los factores, la posibilidad de
ocurrencia del riesgo, es decir, la materialización de la contingencia, y en los casos ya
consumados procurar la mitigación de su efecto. Recordemos que la responsabilidad de la
prevención de errores (resultado del riesgo) es del gobierno de mando, la de la Gerencia (o
su equivalente cuando el nivel máximo es identificado como gerencia, en pequeñas
empresas) es la medición, tanto de la posibilidad de la ocurrencia como del daño que pueda
causarlo. El auditor está para monitorear e informar de sus hallazgos relacionados con el
riesgo.

Existen riesgos que podrían significar daño importante, de gran volumen o de impacto,
como la pérdida de credibilidad, pero de poca posibilidad de su ocurrencia y otros que son
de alta posibilidad de su ocurrencia pero cuyo efecto genera reducido daño. Ambos deben
ser considerados por el auditor con juicios críticos y procedimientos diferenciados.

16
En términos generales, el efecto de un riesgo significa pérdidas económicas o financieras,
sin embargo no siempre es así, pues a veces no es posible cuantificarlos en recursos
financieros o medirlos en medios económicos. Las pérdidas de atributos de los que goza la
compañía en la comunidad, tales como la ética empresarial, el prestigio, la solvencia de
conducta, la consideración de los entes superiores de control y otros patrimonios
cualitativos de la entidad no se miden en dinero sino deben considerarse como daño a la
moral.

En el estudio y consideración inicialmente se debe descubrir cuáles son las fuentes

principales de riesgo. Para ello se pueden emplear distintas metodologías como: sesiones
de discusión e intercambio de ideas entre los distintos sectores o áreas operacionales,
análisis de datos históricos obtenidos durante un periodo dado. Al auditor interno le
interesan aquellos que puedan ser significativos para la entidad y que le puedan generar
daños económicos o morales; no pretende abordar todos los riesgos posibles.

Mitigación de los posibles efectos de los riesgos operativos

Normalmente la organización acumula su expertise en prevenir actividades perniciosas

contra su patrimonio. El esfuerzo en recursos económicos y humanos que dispone para la
protección de sus activos le genera auto protección, aun sin que implique formalmente una
administración de riesgos.

Para evaluar los riesgos operativos el auditor debe tener en cuenta:

a. La probabilidad de suceso de un evento de riesgo, que consiste en el número de

ocasiones en las que se detecta la presencia de hechos causales del riesgo.

b. El impacto que puedan causar los riesgos sobre la entidad.

La auditoría interna debe identificar y evaluar los riesgos importantes a nivel de la entidad
como unidad económica y a nivel de actividades individuales, para lo cual identifica los
riesgos a lo largo del proceso de obtención de datos y del entorno, incluyendo los controles
relevantes que se relacionan con los riesgos, y al considerar las clases de transacciones
que se realizan en cada sector (caja, tesorería, créditos, inventarios, deudas, ingresos, etc.),
relaciona los riesgos identificados con lo que pueda estar mal a nivel de actividad rutinaria,
considera si los riesgos son de una magnitud que pudiera dar como resultado un daño
importante a nivel de la organización como un todo o a nivel de un sector determinado,
considera la probabilidad de que los riesgos pudieran dar como resultado una pérdida
económica o un daño moral a la empresa.

Auditoría interna utiliza información reunida al desempeñar procedimientos de evaluación

del riesgo, incluyendo la evidencia de auditoría obtenida al evaluar el diseño de los
controles y determinar si se han implementado, usa la evaluación del riesgo para determinar
si procede a una recomendación a la administración para tomar los recaudos para evitar la
ocurrencia o si procede a informar a los niveles adecuados.

Determina si los riesgos identificados se relacionan con clases específicas de actividades o

si se relacionan de un modo más dominante con la compañía como un todo y
potencialmente afectan a muchas actividades, contaminantes con varios sectores de la
organización.

La naturaleza de los riesgos que se originan de un entorno débil de control es tal que no es
probable que se reduzcan a riesgos individuales específicos de actividades individuales,
más bien, las debilidades, como falta de competencia de la administración, pueden tener un

17
efecto más dominante en la organización y pueden requerir una respuesta global por parte
de la Gerencia.

Al hacer evaluaciones de los riesgos, la auditoría interna puede identificar los controles con
probabilidad de prevenir, o detectar y corregir, un error producido en una actividad
específica, en este caso debe obtener un entendimiento de los controles y relacionarlos con
actividades en el contexto de procesos y sistemas en que interactúan y valorar la vigencia y
eficacia de tales controles; este procedimiento ayudará a la administración porque las
actividades individuales de control a menudo no atienden por sí mismas a un riesgo. A
menudo sólo las actividades múltiples de control, junto con otros elementos del control
interno, serán suficientes para atender a un riesgo. La actitud de la Gerencia es
fundamental en la interpretación de los posibles riesgos y de si los controles vinculantes
serán suficientes para trabar el avance del riesgo en cuestión.

En otros casos, algunas actividades de control pueden tener un efecto específico en una
acción operativa incorporada a otras funciones multisectoriales, como cuando las
actividades de control que establece la entidad para asegurar que el responsable
elaborando el detalle de la cartera de clientes con sus respaldo documentario (pagarés) de
manera correcta y completa al cierre del ejercicio y su conciliación con los registros
contables se relacionan directamente con los principios de existencia e integridad para un
rubro y uno de los sectores más propicios para la comisión de fraude.

Los controles pueden estar directa o indirectamente relacionados con una actividad.
Mientras más directa sea la relación, menos efectivo puede ser el control para prevenir, o
detectar y corregir, los errores en dicha actividad, por ejemplo, que el cajero efectúe
diariamente el arqueo de su propia caja solo aseguraría detectar faltante proveniente de
algún error suyo, pero no será efectivo dicho control para detectar faltante cometido
voluntariamente por el mismo cajero, en este supuesto, lo ideal sería que el arqueo sea
realizado de modo sorpresivo por el auditor interno.

En su evaluación, la auditoría interna debe considerar la naturaleza de los riesgos, en

especial:

1. Si el riesgo es un riesgo de fraude.

2. La complejidad del asunto considerado como riesgo.

3. Si el riesgo involucra a operaciones importantes con autoridades o personal con

cargos relevantes en la entidad.

4. El grado de subjetividad en la medición de información relacionada con el riesgo,

especialmente la que implique una amplia gama de falta de certeza en la medición.

5. Si el riesgo implica transacciones importantes que estén fuera del curso normal del
negocio para la entidad, o que de otro modo parezcan ser inusuales. Ejemplo,
conceder créditos por montos superiores a los autorizados por el reglamento a las
autoridades, personal superior o algún cliente que pueda considerarse como trato
preferencial.

Los riesgos importantes a menudo se relacionan con transacciones importantes no

rutinarias y con asuntos de juicio. Las transacciones no rutinarias son aquéllas que son
inusuales, ya sea debido a su tamaño o naturaleza y que, por lo tanto, ocurren con poca
frecuencia. Los asuntos de juicio pueden incluir el desarrollo de estimaciones financieras o
no para las que hay una falta importante de certeza en la medición.

18
Los riesgos de errores importantes pueden ser mayores para riesgos relacionados con
transacciones importantes no rutinarias que se originan de asuntos como los siguientes:

1. Mayor intervención de la gerencia para especificar el tratamiento considerado (apoyo

tácito).

2. Mayor intervención manual para la compilación y procesamiento de datos.

3. Cálculos financieros complejos.

4. La naturaleza de las transacciones no rutinarias, que pueden dificultar a la entidad

implementar controles efectivos sobre los riesgos.

Los riesgos de errores importantes pueden ser mayores para riesgos relacionados con
asuntos de juicio que requieren el desarrollo de estimaciones complejas, que se originan en
cuestiones como:

a. Proyecciones de ingresos futuros basadas en resultados posibles de inversiones.

b. La generación de recursos para repago de créditos sujetos a eventos políticos.

c. El juicio requerido puede ser subjetivo, complejo o requerir supuestos sobre los
efectos de cuentas futuras.

Para riesgos importantes, al grado en que la Gerencia no lo haya hecho así, auditoría
interna deberá evaluar el diseño de los controles relacionados de la entidad, incluyendo
actividades relevantes de control, y determinar si se han implementado. Se requiere un
entendimiento de los controles relacionados con los riesgos importantes para proporcionar
al auditor información adecuada para desarrollar una evaluación. La administración debería
estar enterada de los riesgos importantes; sin embargo, a menudo es menos probable que
los riesgos relativos a asuntos no rutinarios o de juicio estén sujetos a controles de rutina.
Por lo tanto, el entendimiento de auditoría interna de si la entidad ha diseñado e
implementado controles para estos riesgos importantes incluye si, y cómo, responde la
administración a los riesgos y si se han implementado actividades de control como revisión
de supuestos de la administración de alto rango o expertos, procesos formales para
estimaciones o aprobación del gobierno de mando, para atender a los riesgos. Por ejemplo,
donde hay hechos fuera de serie como el recibo de notificación de un juicio legal importante,
la consideración de la respuesta de la entidad incluirá asuntos como si se ha referido a los
expertos apropiados (al asesor legal interno o externo), si se ha hecho una evaluación del
efecto potencial y cómo se propone que las circunstancias se divulguen a los accionistas o
dueños del negocio.

Si la administración no ha respondido de manera apropiada mediante la implementación de

controles sobre los riesgos importantes y si, como resultado, el auditor juzga que hay una
debilidad importante en el control interno de la entidad, debe comunicar este hecho al
gobierno de mando.

Como parte de la evaluación del riesgo, el auditor deberá evaluar el diseño y determinar la
implementación de los controles de la empresa, incluyendo las actividades relevantes de
control, sobre los riesgos para los que, a su juicio, no es posible o factible reducir los riesgos
de representación errores importantes.

El entendimiento del sistema de información de la entidad hace posible identificar los

riesgos de errores importantes que se relacionan directamente con el registro de clases

19
rutinarias de gestiones (como cobranza en caja), incluye los riesgos de procesamiento
inexacto o incompleto.

Ordinariamente, estos riesgos se relacionan con clases importantes de transacciones como

ingreso, compras y recibos de efectivo o pagos en efectivo de la entidad o con las
decisiones tomadas en el Consejo de Administración no transcritas en actas.

Las características de las transacciones de negocios diarias de rutina a menudo permiten

un procesamiento altamente automatizado con poca o ninguna intervención manual. En
tales circunstancias, puede no ser suficiente la evaluación básica de los riesgos; pueden ser
necesarias actitudes analíticas del auditor interno en encontrar medidas de valoración
especiales; así en circunstancias donde una cantidad importante de la información de la
entidad se inicia, registra, procesa o informa electrónicamente como en un sistema
integrado, puede determinar que no es posible detectar fallas con solo analizar los reportes.

En estos casos el auditor interno debe estar alerta sobre los siguientes indicativos de
riesgos:

1. Si la compañía conduce su negocio utilizando TI para iniciar un proceso de gestión y

conducirlo con base en decisiones generadas por el sistema no se produce ni
mantiene ninguna otra documentación más que a través del sistema de TI.

2. La empresa que presta servicios a terceros vía medios electrónicos y usa TI para
crear un registro de los servicios dados, para iniciar y procesar sus facturaciones por
los servicios y registrar automáticamente dichas cantidades en registros electrónicos
que son parte del sistema que se usa para producir la información, base de las
decisiones operativas.

12. PROPUESTAS

Como resultado de nuestro trabajo y a modo de un humilde aporte al debate del área 2, a
continuación presentamos nuestras propuestas consistentes en:

a. Mecanismos de detección de fraude

Los sistemas de control de la organización deben tener sus propios mecanismos para
detectar el fraude, entre los cuales consideramos relevante el monitoreo de los
controles a cargo de la dirección, evaluado periódicamente por auditoría interna.

La evaluación del cumplimiento de normas, leyes y regulaciones que afecta a la

organización es fundamental como medida de prevención de fraude, pues el
incumplimiento de las obligaciones formales de la entidad es un caldo de cultivo para
la comisión de fraude, pues la persona con intención de cometer fraude tiene de su
lado la amenaza de denunciar el incumplimiento como medida de presión para que la
administración no tome represalia ni denuncie hechos de fraude por temor a recibir
males perores.

El examen de pago de impuestos correcto, es otro de los procedimientos que puede

ayudar evitar fraude. Pareciera que este planteamiento no tendría relación o
justificación con el fraude, pero analicemos. Si la entidad evade impuesto, la persona
con ánimo de cometer acto ilícito aprovecharía la práctica de evasión de impuesto que
la organización tiene en práctica para apropiarse de lo ajeno, pues consideraría que
en caso de ser descubierto, similar al caso anterior, amenazaría a la empresa a

20
 denunciar ante la administración fiscal, con lo que, además de amedrentar, ganaría
dinero porque en la mayoría de los países americanos existe compensación por la
denuncia de evasión de impuesto.

El auditor interno debe disponer de técnicas que pueda aplicar en cualquier momento
que le permitan conducir una auditoría eficaz y satisfactoria para detectar las
inexactitudes materiales que sean indicativos de fraude, tales como el análisis, la
observación, comparación de datos y hechos, inspección, indagación y confirmación
de terceros. El auditor interno debe mantener un escepticismo profesional en todo
momento, mantenerse en posición de máxima alerta y lo más importante una mente
inquisitoria, atributos que deben ser acompañados con una conducta personal y ética
intachables.

El auditor interno no debe confundir su rol, especialmente cuando se encuentra ante

indicio relevante de hechos ilegales; no debe considerarse policía ni fiscal de delito
económico, tampoco su relación de amistad debe sopesar en el momento de emitir su
informe, en el sentido de ocultar datos para no dañar su amistad con personas
afectadas por su hallazgo. La confianza que pueda transmitir por su integridad y
ecuanimidad le ayudarán a que aquellos que cometieron incorrecciones no le acusen
como causante de su desgracia sino a asumir su propia causa.

b. Plan de trabajo relacionado con el área de riesgo de fraude

Otra medida apropiada para detectar e incluso evitar fraude es un adecuado plan de
trabajo del auditor interno, nuevamente aquí puede apoderarse de los señores
delegados de esta conferencia la duda a que el tema sea apropiado para detectar
fraude, vemos cómo un plan puede ser medida de detección:

b.1 Objetivos.

El plan de trabajo debe definir los objetivos esperado en cada etapa, periodo, sectores
a examinar, etc. están dado por el alcance de las labores a ejecutar, así como de su
oportunidad. Si el auditor interno no es sistemático, organizado, pulcro, difícilmente
puede hacer frente a los ladrones que tienen técnicas exquisitas para la comisión de
los actos ilícitos. Siempre están año luz por adelantado a las técnicas de prevención
de fraude. Es por ello que definir los objetivos en un plan de trabajo es fundamental.

b.2 Plan amplio.

El trabajo del auditor interno es bien diferente al de un auditor independiente, en

cuanto a la previsibilidad de los procedimientos a aplicar. Es frecuente que tanto la
administración como otros sectores estén en conocimiento del alcance, la naturaleza y
oportunidad de los procedimientos a aplicar por lo que la imprevisibilidad de los
sectores a auditar es más complicado. Debido a esto, el plan de trabajo debe ser lo
suficientemente amplio y flexible, no debe haber limitación de acceso a la información,
a sectores o a personas para llevar a cabo los procedimientos que el auditor decida y
cuando decida.

b.3 Enfoque.

La forma en que el auditor enfrentará y procurará solución adecuada a los conflictos

presentados también deben ser definidos en el plan. El enfoque de auditoría estará
determinado por la naturaleza, complejidad y estructura de la entidad en que presta
servicio el auditor interno, así como el grado de independencia de que goza en la
organización, que implica si depende de la máxima autoridad de la empresa, su

21
 enfoque puede abarcar a la más alta dirección y podrá planear procedimientos
orientados a obtener evidencia comprobatoria a cualquier nivel, pero si depende de
determinada gerencia su enfoque no podrá superar ese nivel. Es de nuestra opinión
que el enfoque profesional que orientará su trabajo debe estar basado en riesgo de
fraude.

Este enfoque le permitirá ahorro y le redituará eficiencia en su trabajo. Por qué

ahorro? Porque direccionará su trabajo hacia un objetivo identificado, y le generará
beneficio porque su trabajo le permitirá reportar casos concretos para que quienes
tienen gobierno de mando puedan tomar las decisiones que en cada caso
correspondan.

b.4 Estrategia de auditoría.

Definir una apropiada estrategia general ayudará al auditor interno a determinar

riesgos y otros asuntos relevantes para su labor, además de prever los recursos
materiales y humanos, incluyendo a expertos o especialistas que en algunas áreas
precisaría, ejemplo, la posibilidad de requerir asesoramiento legal o impositivo, el
apoyo de analista de sistemas entre otros. En esta etapa de la planeación también se
incluirá las localidades a visitar, la oportunidad y el tamaño de muestra que querría
abarcar, y lo más importante los posibles riesgos a cubrir. Por otra parte, en la
estrategia también se incluirá la forma en que el propio auditor, o su departamento,
administrará, dirigirá y monitoreará estos recursos a aplicar.

b.5 Comunicación.

Este aspecto requerirá del auditor mucha discreción, deberá estudiar adecuadamente
a quién o quiénes comunicarán su plan de examen de los riesgos de fraude.

b.6 Programa de auditoría para examinar riesgos de fraude.

Además de los procedimientos típicos (pruebas analíticas, pruebas de controles y

pruebas sustantivas) el auditor contemplará procedimientos adicionales que le
permitan dar respuestas adecuadas a los riesgos de fraude evaluados. Entre estos
procedimientos incluirán la entrevista, simulación de compras, infiltración, grabación
secreta, concurso de especialistas, etc. Estos procedimientos no debe divulgar el
auditor a fin de disminuir la posibilidad de su conocimiento de parte de las personas o
sectores a ser evaluados como sujetos de posibles actores de fraude.

b.7 Resultados.

El auditor deberá definir en un plan cómo, cuándo y a quién comunicará los

resultados.

b.8 Aprobación del plan.

El documento debe contar con la aprobación del más alto nivel de autoridad de la
organización, conforme a la Declaración (SIAS) 12, la aprobación del plan deber ser
por escrito de parte del Director de Auditoría o por quién el designe, antes de iniciarse
el trabajo de auditoría.

La mejor medida preventiva de fraude es la buena práctica administrativa.

13. CONCLUSIONES

22
Los auditores internos juegan un papel integral para combatir el fraude en sus respectivas
organizaciones, responsabilidad que hace que deben estar bien preparados.

Los auditores internos tienen la responsabilidad de coadyuvar en la prevención del fraude a

través de una evaluación constante de los sistemas de control interno de las entidades y la
presentación a la alta gerencia de las recomendaciones necesarias para mitigar los efectos
negativos que pudieran derivarse de las debilidades de estos sistemas.

Las evidencias demuestran que las organizaciones se sienten más seguras cuando cuentan
con auditores internos con amplios conocimientos y la experiencia sobre la prevención a los
riesgos de fraude.

El auditor debe informar sobre alertas de fraude cuando realizan sus auditorías normales y
la identificación además de aplicar metodologías y herramientas tecnológicas existentes
para analizar identificar eventos de fraude.

Las empresas en la actualidad deben establecer adecuados controles internos a fin de

prevenir el riesgo del fraude externo e interno y que requiere la participación de todos los
trabajadores de la organización.
La auditoría interna avanzó en la realización de su trabajo con un enfoque de riesgos y es
una respuesta al fraude en las empresas e instituciones.
Las empresas deben gestionar (identificar, medir, monitorear, controlar, mitigar y divulgar)
todos sus riesgos a fin de minimizar el riesgo de no alcanzar sus objetivos.

El sistema informático debe ser una herramienta que coadyuve a los objetivos de negocio
así como a mejorar el sistema de control interno.

El Auditor interno, debe contar con una buena preparación y estar actualizado con las
técnicas, para enfrentar el fraude.

Se abre una importante etapa en nuestra profesión en la prevención y control de riego del
fraude, el profesional en auditoria tiene un rol fundamental a cumplir, para lo cual deberá
capacitarse cada vez mejor para poder hacer frente a este nuevo desafío de la auditoria
interna.

Estamos persuadidos de que las propuestas planteadas en este trabajo interamericano

podrán asistir a los colegas como una herramienta más en sus labores diarias y podrán
jerarquizar aún más la práctica de la auditoría interna, muy necesaria en los tiempos
actuales, por ello, las medidas de detección de fraude acompañadas de un plan de auditoría
para el área de fraude puede posicionar al auditor interno como un profesional respetado
más que temido.

23
 14. GUÍA DE DISCUSIÓN

Los auditores internos juegan un papel integral para combatir el fraude en sus
respectivas organizaciones, responsabilidad que hace que deben estar bien
preparados, tienen la responsabilidad de coadyuvar en la prevención del fraude a
través de una evaluación constante de los sistemas de control interno de las
entidades y la presentación a la alta gerencia de las recomendaciones necesarias
para mitigar los efectos negativos que pudieran derivarse de las debilidades de estos
sistemas.

Las evidencias demuestran que las organizaciones se sienten más seguras cuando
cuentan con auditores internos con amplios conocimientos y la experiencia sobre la
prevención a los riesgos de fraude.

Los puntos de discusión:

¿Que se hace para evitar innumerables casos de fraude que tienen impactos en las
empresas?, que cada vez adquiere mayor fuerza debido a la mayor complejidad de
los negocios, la globalización, al uso de tecnología.

¿La mayor cantidad de fraudes son realizados por los mismos funcionarios de las
empresas y son descubiertos por casualidad?

¿El fraude hecho ilícito, ocasionado por la acción u omisión, realizado por
trabajadores o ajenos a la empresa, es con el único objetivo de un beneficio propio y
en detrimento de la institución?
¿El sistema de control interno forma parte integrante de los sistemas de negocio,
contabilidad, financieros, planeación, información y operaciones de la empresa?.
¿Corresponde al Órgano directivo y a la alta gerencia, la responsabilidad de
establecer, mantener y perfeccionar el sistema de control interno?
¿Para el éxito del control interno en que forma los valores éticos son comunicados y
fortalecidos? ¿La participación de la alta administración es clave para obtener
resultados positivos, ya que su ejemplo es imitado por los dependientes?.
¿Que cuidados se deben tener con factores que pueden inducir a conductas
adversas a los valores éticos, debido a controles débiles o inexistentes?

¿El auditor debe tomar en cuenta ciertas alertas que le permitan identificar posibles
fraudes, la negativa de trabajadores a dar acceso a la documentación, el extravió
de documentación, Arqueos de caja perfectos que nunca existen sobrantes ni
faltantes?

BIBLIOGRAFIA

24
 Marco para la práctica profesional de la auditoría interna, dic. 2006 Instituto de
Auditores Interna, Capitulo Bolivia

 Control Interno tercera edición, Ing. Milton A. Maldonado E., 1996

 Trabajos Interamericanos XXI Conferencia Interamericana de Contabilidad,

Cancún, México 1995

 NIA - Normas Internacionales de Auditoría - IFAC

 SAS – Declaraciones sobre Auditoría SAS – Instituto de Contadores Públicos

Certificados (AICP)

 GAFI – Normas Internacionales sobre la lucha contra el lavado de dinero y el

financiamiento del terrorismo (GRAFI SUD) 2012.

 SAS No. 99, Consideración de Fraude en una Auditoria de Estados

Financieros, establece los estándares y proporciona lineamientos a los
auditores para cumplir con responsabilidad

 Ley Sarbanes Oxley Act Secc. 301, responsabilidad del Gerente General y
Gerente Financiero, fija las obligaciones de comunicar a los auditores y al
Comité de Auditoria toda defraudación.

 SIAS – Statements on Internal Auditing Standards. Normas para la Práctica

Profesional de la Auditoría Interna. Traducción Instituto Mexicano de Auditores
Interno, A.C.

 DEVACA Pavón, Angel. Auditoría Interna. Un elemento de control. Tercera

edición. Año 2006. Gráfico Imperio SRL

 Paginas

www.bcb.gov.bo

www.finning.com.bo

www.gao.gov

www.cpaindepende.org

www.sec.gov

25
 RESUMEN HOJA DE VIDA DE JUAN FONSECA

Licenciado en Auditoria y/o Contador Público Autorizado, obtenido en la Universidad Mayor

de San Andrés, La Paz, Maestría en Contaduría Pública (egresado) de la Universidad
Mayor de San Andrés.
Past Presidente del Colegio de Auditores de La Paz, Miembro del Instituto de Auditores
Internos, Capitulo Bolivia.

Participante de Congresos Nacionales e Internacionales de la AIC y Otras Instituciones,

Socio Principal de la empresa Servicio Interdisciplinarios de Consultoría “Seinco Ltda”,

Gerente General con mas de 25 años de ejercicio profesional prestando servicio a
empresas nacionales e internacionales.

26