GUÍA DE GESTIÓN DEL RIESGO

DE FRAUDE Y LA AUDITORÍA

El fraude como un fenómeno universal, no es único ni idéntico en todos los ambientes en los que
se manifiesta, por lo cual comprender sus modalidades, estimar el impacto de las mismas,
reconocer el perfil habitual de sus causantes y los factores que lo posibilitan, así como diferenciar
los roles entre los auditores, junto con las actuaciones preventivas a realizar, y los
pronunciamientos sobre fraude de instituciones internacionales, como COSO, IIA, SEC, ACFE, AICPA,
son el objetivo del curso.

WWW.AUDITOOL.ORG
Jesús Aisa Díez

Curso Gestión del Riesgo de Fraude y la Auditoría.

Hola mi nombre es Jesús Aisa Díez, colaborador de www.auditool.org, en

nombre del equipo Auditool les doy la bienvenida al curso virtual de: Gestión del
Riego de Fraude y la Auditoría. Bienvenidos!
En la actualidad, una de las características que mejor pueden definir la actividad
empresarial es su globalización, pues las nuevas tecnologías han permitido
romper las barreras de las distancias, y la interconexión existente entre las
distintas economías nacionales es prácticamente total, por lo que ahora es
totalmente cierto aquel dicho que oíamos hace tiempo de que: “Cuando Estados
Unidos “se resfría” el resto del mundo “ya estornuda”. Con la salvedad de que ya
no es solo Estados Unidos el posible causante de los estornudos, puesto que la
interdependencia entre las economías es multilateral, como creo lo demuestra la
situación que estamos viviendo en el día que escribo estas notas, y la Bolsa
Española se está resintiendo gravemente por la reciente devaluación del peso
argentino.
Otra de las manifestaciones de la globalización en la que nos encontramos es la
que nos conduce a la universalización de determinados riesgos, entre ellos, y de
forma destacada, el de los fraudes, el cual es visible, en mayor o menor medida,
en TODAS las economías, sectores económicos y procesos. Es por ello que: las
compañías deben implementar en forma profesionalizada procedimientos
antifraude que sirvan como una clara señal emitida por la alta gerencia, para
tratar de neutralizar las amenazas que las afectan.
Este es el objetivo que hemos pretendido con el curso que ahora les
presentamos, pero incidiendo fundamentalmente en la actividad a desarrollar por
la función de auditoría interna.
Aunque el fraude es un fenómeno universal, este no es único ni idéntico en todos
los ambientes en los que se manifiesta, pudiendo presentarse de distintas formas
y maneras, a las cuales queremos dedicar la necesaria atención, a fin de que
podamos identificar los factores que puedan propiciarlos, así como también
aclarar los distintos roles que deben desempeñar los protagonistas que
participan en su erradicación, entre los que destacaríamos la labor a efectuar por
los auditores internos y los auditores forenses. Para ello creemos que un
contenido adecuado podría ser el siguiente:

1 www.auditool.org
Jesús Aisa Díez

1. Debatir sobre el fenómeno de los fraudes, sus modalidades, y estimar el

impacto de las mismas en las organizaciones empresariales, reconocer el
perfil habitual de sus causantes, y los factores que lo posibilitan.
2. Conocer y diferenciar los roles que deben realizar los auditores forenses
y los auditores internos en el ámbito de actuación de los riesgos de fraude.
Incidiendo en la necesaria coordinación de actuaciones entre ambos.
3. Destacar el valor y recomendar el empleo de las actuaciones preventivas
a realizar por la función de auditoría interna.
4. Pronunciamientos de las instituciones internacionales de mayor prestigio:
COSO, Instituto de Auditores Internos, Securities and Exchange
Commission de Estados Unidos, Associations of Certified Fraud
Examiners, American Institute of Certified Public Accountants, respecto a
los programas de actuación.
5. Indicadores de riesgo de fraudes. Banderas rojas.
6. Actuaciones específicas en el Sistema de Control Interno de la
Información Financiera. Ley Sarbanes-Oxley.
7. Hacer referencia y comentar una aplicación práctica real.
8. Y por último proponerles un ejercicio de evaluación con el que apreciar el
aprovechamiento del curso.
La palabra fraude procede del vocablo latino FRAUDEM, que significa hacer algo
de mala fé. También incluye el fraude, la falsificación intencional de un hecho
con objeto de que la persona engañada actué de una manera determinada. El
fraude es una acción generadora de beneficios materiales y su control se ubica
en la acción organizacional o el tratamiento judicial. En el Código Penal
Colombiano este tipo de delitos se encuentran enmarcados en los Art. 258,
utilización indebida de información privilegiada. y en el Art. 252,
aprovechamiento de error ajeno o caso fortuito
Para las organizaciones especializadas, tales como la Asociación de
Examinadores de Fraudes Certificado (ACFE), Instituto Americano de
Contadores Públicos Certificados (AICPA) y el Instituto de Auditores Internos
(IIA) sus conceptos de fraude son los que aparecen en el SLIDE. Pudiendo
señalar que en todos los casos lo que se destaca es la finalidad de los mismos:
el aprovechamiento o beneficio de determinadas personas o instituciones.
El fraude está instalado en nuestra vida cotidiana e instituido en nuestra
sociedad, formando parte de nuestra cultura. Para ello existen unos factores
socioculturales de carácter permanente, que corresponden al ambiente social y
otros factores circunstanciales, que corresponden al entorno y al momento.

2 www.auditool.org
Jesús Aisa Díez

Factores culturales: Nuestra cultura está llena de relatos en los que los fraudes
son frecuentes y generalmente aceptados. Ejemplos como la Biblia, donde la
serpiente engaña a Eva y Caín a Abel, así como la novela picaresca con el
lazarillo, el buscón, los cuentos con Caperucita, Pulgarcito, o míticos ladrones
como Robín Hood o bandoleros como Curro Jiménez, o incluso películas como
la española “Los Tramposos”, entre otros. Existe por tanto una cierta
permisividad popular hacia el fraude, de forma que mientras se reprueba el robo
por medios violentos, se aprueba y a veces se festeja el fraude basado en la
astucia, el engaño, el ingenio, sobre todo frente a un enemigo más poderoso
como la administración pública, las entidades financieras y las empresas.
Factores sociales: El desmesurado culto al dinero, la desestimación de valores
como la honradez, la fidelidad, la cultura del pelotazo, la institucionalización de
las comisiones, los recientes escándalos financieros, la consigna moral de “tanto
tienes tanto vales”.
Factores económicos: Los volúmenes de fraude van unidos a los volúmenes
de dinero, por ello el fraude está donde se concentra y fluye el dinero, es decir
en las empresas.
Factores circunstanciales: Son los relativos a la persona, a sus conocimientos,
su carácter y formación, al entorno y su ambiente, al momento y su oportunidad.
En este caso nos referimos al entorno empresarial, al momento y oportunidad
del fraude en la empresa.
Pero con independencia de los factores culturales a los que hemos hecho
referencia, así como a los circunstanciales a los que también hemos hecho
mención, hemos de reconocer que estos elementos se verán potenciados si las
circunstancias que concurran en los entornos en los que se desenvuelvan las
amenazas de los fraudes se viesen potenciadas o favorecidas, como por ejemplo
las condiciones de trabajo en las que se desarrolle la actividad, tales como:
• Externalización de actividades.
• Inseguridad laboral.
• Deterioro de la calidad de los servicios.
• Elevación de la morosidad.
• Nuevos Servicios.
• Desorden administrativo.
• Eliminación de rutinas y controles básicos.
• Implantación de nuevos procesos sin adecuado contraste.

3 www.auditool.org
Jesús Aisa Díez

Debido a las siguientes razones:

Externalización de actividades. Alejamiento de los procesos, actividades
desarrolladas en culturas empresariales diferentes.
Inseguridad laboral. Disminución de la fidelidad con la organización.
Deterioro de la calidad de los servicios. Pérdida de autoestima y reputación
empresarial.
Elevación de la morosidad. Peligro de continuidad de la empresa.
Nuevos servicios. Desconocimiento en detalle de los procesos empleados,
debilidad de los controles.
Desorden administrativo. Carencia de custodia de documentos.
Eliminación de rutinas y controles básicos: Perdidas de eficacia en los
controles.
Implantación de nuevos procesos sin adecuado contraste. Improvisación y
carencias de controles verificados.
Que como podemos observar en todos los casos se podría producir un
incremento de los factores del riesgo de fraude, consecuencia de: Deterioro de
la cultura de control, Falta de compromiso de la Alta Dirección, Controles básicos
deficientes, Permisividad a las prácticas corruptas.
Es comúnmente aceptado que para que se pueda producir un fraude interno en
una empresa deben de cumplirse tres circunstancias, requisitos o condiciones
previas, las cuales forman lo que se denomina triángulo del fraude. Estas
condiciones son:
Saber: el defraudador conoce los procedimientos administrativos, por lo general
los utiliza frecuentemente en su trabajo y sabe de sus debilidades, de sus
descontroles y disfunciones, conoce también las consecuencias y ganancias que
le puede reportar su acción, e intuye aquellos resquicios por los que puede actuar
sin dejar huella. Existe la oportunidad
Poder: el defraudador sabe de los controles que se realizan a posteriori, las
pistas que no se siguen, las verificaciones que no se realizan, los vacíos de
control, la falta de conciliaciones de resultados, poca integridad de algún tipo de
información en donde la inconsistencia pasa desapercibida. Conoce que es difícil
que detecten ciertas actuaciones y mucho más difícil que se descubra al autor.
Lo racionaliza y tiene capacidad para actuar
Querer: tiene voluntad de hacerlo. Las circunstancias sociales, las personales,
el medio cultural, los malos ejemplos, el deficiente ambiente de trabajo, su
escasa formación moral, su lamentable sentido de la responsabilidad, de la ética,
del pudor, de la fidelidad, y su mala conciencia se lo permiten y lo justifican. Se
beneficiará de ello

4 www.auditool.org
Jesús Aisa Díez

Esta secuencia es la que ha posibilitado el que podamos inicialmente referirnos

al denominado triángulo del fraude, con sus tres atributos: OPORTUNIDAD,
RACIONALIZACIÓN e INCENTIVO. A los que últimamente se ha añadido un
cuarto factor la CAPACIDAD de actuación dando origen al diamante del fraude.

Los cuatro atributos a los que hemos hecho referencia pueden desdoblarse en
los epígrafes que se recogen en este Slide
Los incentivos pueden ser debidos a: aspectos financieros, familiares, de
trabajo o para atender hábitos o perversiones.
Mientras que las oportunidades pueden ser debidas a: Inexistencia de controles
que prevengan o detecten comportamientos fraudulentos; a Inhabilidad para
juzgar la calidad del desempeño¸ que los perpetradores no son castigados o
disciplinados; a Falta de acceso a la información en poder de perpetrador o silos
de la empresa; a Ignorancia, apatía o incapacidad (edad, lenguaje,
vulnerabilidad)¸a la Inexistencia de Auditoría interna.
En tanto que la Racionalización se puede producir interiorizando aspectos tales
como:
• La organización me lo debe.
• Es solo un préstamo, lo voy a pagar.
• Nadie sale perjudicado.
• Merezco más de lo que gano.
• Es por un buen propósito.
• Arreglamos los libros cuando mejore la situación.
• La empresa tiene mucho dinero.
• Solo por esta vez, no lo vuelvo a hacer.

5 www.auditool.org
Jesús Aisa Díez

Y por último la Capacidad, es decir: Lo puedo hacer, tengo los conocimientos

necesarios para ello.
Conocidos por lo que hemos visto, los cuatro factores que determinan la
probabilidad de ocurrencia de los riesgos de fraude, así como la forma en que
estos pueden resumirse en: saber, querer y poder. Resulta evidente que, como
sucede con cualquier riesgo, la forma de reducir su posibilidad de ocurrencia es
actuando sobre los factores que los propician.
En nuestro caso, por tanto, lo que tendremos es que buscar las medidas para
reducir el: Quiero, Sé y Puedo. Para lo cual una forma eficaz de actuar sería:
1. Contra el Saber, la solución estaría en la integridad de procesos y
rotación de personal.
Implementando procedimientos seguros y adecuados, repasando
periódicamente sus posibles indefiniciones y vacíos de control. Esto supone
un estudio profundo de criterios de riesgo, eficacia y costo, propiciando la
rotación de personas para evitar el excesivo conocimiento de controles,
aunque es difícil buscar el adecuado equilibrio.
2. Contra el Poder, debemos pensar en actuaciones del tipo
segregación de funciones, revisión y autorización.
Realizando verificaciones constantes y frecuentes por los responsables de
línea y los órganos de control interno. Incorporando adecuadas segregación
de funciones aunque supongan algún incremento de recursos.
Conciliaciones realizadas por terceras personas.
3. Contra el Querer, incrementando la fidelidad, cultura, integración y
revisando los niveles retributivos
Código de conducta, ambiente de trabajo, integración en la empresa, política de
remuneraciones, seguimiento de actividades del personal que trabaja en
procesos sensibles. Atención especial a los procesos de subcontratación, dado
que hay que extremar el cuidado y vigilancia del personal de servicios
contratados, ya que se trata de personal ajeno, con libre acceso, con facilidad de
movimientos, y conocimientos, con empleo precario, sin responsabilidad directa
y en cuya formación y selección no participa la empresa contratante, y además
con dependencia jerárquica y salarial también ajenas, fuera de nuestro alcance
y control. La contratación de servicios externos para las áreas críticas es un
riesgo empresarial importante.
De acuerdo con lo expuesto, la probabilidad del fraude se ve afectada por los
tres factores: Saber, Querer y Poder, sobre los que debemos aplicar las
medidas necesarias para controlarlos, bien de forma colectiva o individualmente
considerados, ya que al rebajar uno de ellos estaremos minorando la
probabilidad del riesgo de fraude que amenaza a la organización, como vemos
por ejemplo en el slide, donde al incidir sobre un solo factor estaremos
consiguiendo reducir considerablemente, o en el mejor de los casos eliminar, el
riesgo de fraude.

6 www.auditool.org
Jesús Aisa Díez

De los tres factores, el que está totalmente en manos de la Organización poder

controlar es el PUEDE, determinando así las facilidades que se ofrezcan a los
defraudadores para actuar. Motivo por el que controlar adecuadamente el
PUEDE es un objetivo básico a la hora de definir los programas antifraude, por
lo que los auditores internos necesitan identificar las oportunidades de fraude
que existan, a fin de combatirlas.
Por lo visto hasta ahora ya conocemos en qué consiste el fraude, que factores
son los que lo posibilitan, procediendo a seguir avanzando en su análisis
pasando a considerar sus diferentes modalidades.
Una primera clasificación sería la que los agrupa en dos grandes capítulos:
• Fraude Interno u Ocupacional: Es el realizado por algún empleado de
la sociedad para obtener beneficios para la organización (alteración de los
Estados Financieros, comisiones, influencias, fijación de precios de
transferencia premeditados e irregulares, sobornos, pagos impropios,
falta de calidad de los productos, valoración irregular de transacciones) o
en su propio beneficio (aceptación de sobornos o comisiones, fraude en
pagos/cobros, desfalco, robo de activos de la empresa, aprovechamiento
propio de oportunidades para la empresa, uso no autorizado de activos,
ocultación o falsificación de hechos o datos ).
• Fraude Externo: El realizado por terceros ajenos a la empresa y que
afectan a sus intereses (robo de secretos comerciales, fondos, inventarios
u otros activos de la empresa, adquisición de productos defectuosos,
exceso de facturación, comisión a terceros).

7 www.auditool.org
Jesús Aisa Díez

Una vez que hemos tratado el factor probabilidad de los fraudes, procede
centrarnos en el atributo “impacto”. Para ello y para darnos una idea de la
importancia del riesgo de fraude, y situarnos en el contexto en el que realmente
nos encontramos, creemos que antes de seguir avanzando en la descripción y
estudio de este riesgo, entendemos que resultaría oportuno hacer mención a
determinados datos cuantitativos que los especialistas manejan. Entre ellos
Association of Certified Fraud Examiners, para la cual, y con base a los estudios
realizados, concluye en que el riesgo de fraude está presente en todas las
organizaciones, teniendo características muy similares en todo el mundo y que
las empresas, en promedio, pierden el equivalente al 5% de sus ventas de
cada año por los fraudes cometidos por sus directivos y empleados.
Si extrapolásemos dicha estadística al tamaño de la economía del mundo,
estaríamos hablando de pérdidas anuales de 3,5 millones de millones de
dólares. En Europa serían más de 50.000 millones de Euros. Lo que nos
permite hacernos una idea de su importancia.
Además, en promedio, los fraudes ocurren durante 18 meses dentro de una
empresa antes de que sean detectados.
Otro aspecto en el que creemos conveniente también incidir, es el
correspondiente a los protagonistas que practican el fraude, ya que ello nos
permitirá tener ya la “película” casi completa.
Basándonos nuevamente en la opinión de los especialistas y expertos
investigadores de los fraudes, como por ejemplo un reciente estudio de KPMG,
Fraud Barometer, reveló que el perfil básico del perpetrador de fraudes
corporativos, según 348 investigaciones de fraudes en 69 países analizados,
concluyeron qué:
El perfil característico del defraudador es: Varón, entre 36 y 45 años,
relacionado con el área financiera, con cargo gerencial o superior, con más
de diez años en la compañía, y que trabaja coludido con otros colegas.

8 www.auditool.org
Jesús Aisa Díez

También parece que existe una cierta correlación entre los niveles de los
ejecutivos que realizan fraudes y los perjuicios producidos, ya que el número de
fraudes cometidos por los representantes de la alta dirección, el 10% de los
detectados, ocasionan unos perjuicios del 75%del total experimentado, en tanto
que los fraudes realizados por los mandos intermedios se sitúan en un 30% del
total contabilizado, pero alcanzando solo un 20% de los daños observados, en
tanto que el número de los fraudes atribuibles a los empleados de nivel bajo se
situarían cuantitativamente en un 60% del total realizado, pero afectando
únicamente a un 5% del total de los perjuicios ocasionados.
En este sentido entendemos que podemos concluir que: Tener buenos controles
internos es importante, pero sin olvidar que aún con buenos controles, al final,
todo depende del comportamiento humano.

Según la ACFE, Association of Certified Fraud Examiners, cuando hablamos de

fraudes corporativos, nos estamos refiriendo a cualquiera de estas tres formas:
 Malversación o apropiación indebida de activos, cuando el empleado
es quien roba o hace mal uso de los recursos de la organización
(apropiación de dinero, facturaciones fraudulentas o reporte de gastos
inflados).
 Corrupción, cuando el empleado ejerce indebidamente su influencia en
una transacción comercial, de modo que viola su deber para con el
empleador a fin de obtener un beneficio directo o indirecto.
 Fraude en los estados financieros, se produce cuando el empleado
registra intencionadamente un error u omisión en la información relevante
de los estados financieros.
A su vez estas tres categorías se pueden desglosar en los diferentes tipos que
recoge el Slide, en la que podemos observar las múltiples formas que se pueden
presentar.

9 www.auditool.org
Jesús Aisa Díez

Sin pararnos excesivamente en los porcentajes, pues estos suman más 100
puntos, lo cual no parece razonable, el gráfico que reproducimos sí nos permite
observar en cuál de las tres formas de materializarse el riesgo de fraude existen
mayores posibilidades de que sea la forma elegida. Circunstancia que se
produce en la “apropiación indebida de activos”, seguida de la “corrupción”, para
continuar con la adulteración de los estados Financieros.

10 www.auditool.org
Jesús Aisa Díez

Por lo que se refiere a la forma de detectarse los fraudes, y ahora los porcentajes
si suman 100, vemos que se destaca como la forma que permite una mayor
detección, las denuncias, seguida de las revisiones de la dirección y las
realizadas por la auditoría interna, pero en ambos casos con una eficacia muy
inferior a la que se produce con las denuncias. Lo cual ya empieza a darnos
alguna pista de por donde debemos empezar.

11 www.auditool.org
Jesús Aisa Díez

Comentábamos hace unos pocos Slides que en la alta dirección se concentraba

un porcentaje pequeño de casos de fraude, pero por un importe muy significativo.
Son los denominados delitos de “cuello blanco”.
En la empresa el dinero se mueve a través de compras, contratos y
negociaciones, hay conflicto de intereses, transacciones económicas,
transmisión de bienes y sobre todo de dinero, allí está el fraude.
Tradicionalmente la empresa tenía propietarios que eran a la vez gestores, y
todos sus intereses personales estaban en la propia empresa. El gestor, por el
hecho de ser dueño, ostentaba y ejercía todos los poderes de la empresa, y,
aunque disponía de total libertad, era improbable que el gestor - dueño
defraudase a la empresa, pues era defraudarse así mismo. Por otro lado, y por
esta razón, el gestor - dueño perseguía el ”fraude administrativo”, el que
podrían cometer sus empleados que, estos sí, manejaban y operaban con bienes
ajenos.
En el caso del fraude de directivos se pueden dar perfectamente las tres
condiciones que determinan el triángulo del fraude.
La alta dirección sabe cómo defraudar, pues conoce los procesos que regulan
las grandes decisiones, en las que participa o ejerce muy directamente, y sabe
cómo se realizan los negocios empresariales más importantes. Conoce también
las debilidades y la falta de controles que generalmente existen en los círculos
de alta decisión.
La alta dirección puede defraudar porque tiene poder para dirigir, decidir e influir
en los de su entorno. Además de libertad para actuar y la confianza otorgada al
cargo. Conoce la ocasión, el momento y la oportunidad y dónde los controles son
mínimos o no existen.
La alta dirección, afortunadamente en pocas ocasiones, quiere defraudar,
cuando se pierden los valores como la honradez y la fidelidad y prevalecen el
egoísmo, la codicia y con ellos el enriquecimiento personal y rápido.
El cambio en el sistema empresarial cada vez más competitivo y el sistema
financiero cada vez más amplio y disperso, producen responsabilidades diluidas
y el otorgamiento de poderes a profesionales de la gestión con intereses ajenos
a la empresa, sin que se apliquen medidas de control a su gestión. Auditoría
Interna debe poder auditar la gestión de los Directivos y verificar aquellas
decisiones más transcendentales dentro del proceso de gobierno de las
empresas.
Son un tipo de fraude complicados de evidenciar y difíciles de detectar.
Planificar es la acción humana consistente en reflexionar y analizar con el fin de
organizar y coordinar las actuaciones, más o menos complejas, para conseguir
un objetivo determinado. Cualquier actuación singular o compleja realizada por
el hombre está planificada. Se planifican las fiestas patronales, un día en el
campo o cualquier tipo de construcción, se planifica cualquier acción singular,
esporádica o caprichosa, pero sobre todo compleja.

12 www.auditool.org
Jesús Aisa Díez

Cuando una planificación se aplica constantemente para conseguir

repetidamente el mismo fin, como puede ser el caso de una fabricación en serie,
en donde las acciones son sistemáticas y repetitivas, y en donde la planificación
se convierte en rutinaria y normalizada, la llamamos proceso.
El proceso es, pues, una planificación permanente y sistematizada, que cuando
se materializa en un método de trabajo y de actuaciones se llama procedimiento.
Se dice que se dispone de un procedimiento cuando existe una forma
sistematizada, conocida e institucionalizada de realizar un proceso.
La planificación, los procedimientos y los procesos sirven para ordenar y
encauzar adecuadamente la actuación humana para conseguir un fin.
Se dice que un proyecto o un proceso o un procedimiento es supervisado cuando
dispone de controles que aseguran su correcto funcionamiento.
El funcionamiento de las empresas requiere, por lo general, de procesos y de
actividades repetitivas y rutinarias, por lo que se demanda el establecimiento de
procedimientos que regulen y controlen su funcionamiento.
Los procedimientos administrativos
Una función necesaria y común para todas las empresas es la función
administrativa. La función administrativa es por naturaleza compleja, pero
fácilmente sistematizable, por lo que demanda la implantación de procedimientos
que orienten, controlen y regulen las actividades administrativas.
A través de los procesos administrativos se mueve dinero, se cobra y se paga,
se adquieren y venden bienes y servicios, por lo que son objetivo preferente de
fraude. Trataremos sobre el fraude en los procedimientos administrativos. Este
tipo de fraude es, tal vez, el más importante por ser el más extendido y el más
simple, quizá, también porque requiere menor conocimiento técnico y más
conocimiento práctico, que suele ser más divulgado y de uso más común. La
mayoría de los fraudes empresariales descubiertos pertenecen a esta categoría.
De acuerdo con las estadísticas disponibles relativas al fraude, una conclusión
válida para cualquier entorno empresarial es que es un fenómeno que va en
aumento, fundamentalmente es en las grandes empresas donde existe una más
alta propensión al riesgo de fraude, debido a las siguientes circunstancias:

 Mayor descentralización operativa.

 Mayor complejidad de las operaciones.

 Falta de identificación del personal con la empresa.

 Presión en objetivos a corto plazo con reducción de costos.

 Búsqueda de nuevos mercados.

13 www.auditool.org
Jesús Aisa Díez

Pero, en cualquier caso, debido también a las necesidades derivadas de la crisis

económica que nos castiga desde el año 2008.
Pero por qué la crisis económica está incrementando las probabilidades de que
las empresas soporten o se vean sometidas a un mayor número de fraudes. O
dicho de otra manera más técnica, por qué el riesgo inherente de los fraudes
está incrementándose por la crisis.
Veamos las razones:
En primer lugar porque la crisis hace que aumenten las presiones a la que se
ven sometidos los empleados. Aumento que determinará, por ejemplo, que:
 Las metas personales asignadas sean más difíciles de alcanzar.
 Por la necesidad de alcanzar las metas para obtener los bonos de
desempeño.
 El personal siente temor a perder su empleo.
 Deseo de alcanzar los resultados financieros marcados.
 Necesidades financieras derivadas por el impago de los Bonos no
pagados en el ejercicio por la crisis.
 Presión por mantener el desempeño financiero.
 Los empleados creen que los competidores están pagando sobornos para
ganar contratos.
Si observamos la imagen del Slide, la ausencia, o avería del semáforo, es decir
el control del tráfico en ese cruce, ha producido un auténtico caos, pues todos
los conductores quisieron no perder su oportunidad de pasar. En el mismo
sentido las crisis en las empresas suelen generar una disminución de los costos,
reduciendo algunos servicios, de lo que se derivará:
 Menos personal en Control Interno.
 Cambio de enfoque de la administración hacia la supervivencia del
negocio.
 Transferencia de operaciones a nuevos territorios.
 Debilitamiento de los controles de IT que incrementan la vulnerabilidad a
la egresión externa.
 Diversificación del portafolio de productos.
 Escaso control por las entidades reguladoras.
Y por último añadiendo nuevas razones con las que “razonabilizar” las
actuaciones fraudulentas, debido a argumentos como los que a continuación
señalamos:

14 www.auditool.org
Jesús Aisa Díez

 A fin de mantener el actual estándar de vida.

 Si otros lo hacen, entonces es que no está mal.
 Los bonos ganados por determinadas personas son percibidos como
injustos.
 Alegatos de fraude que no son completamente solucionados.
 No ser considerado para una promoción.
 Temor a ser despedido en un próximo futuro.
En resumen, las situaciones de crisis económicas potencian las tres
circunstancias que provocan los fraudes, pudiendo señalar que: Aunque el
riesgo de fraude siempre existirá y estará presente en todas las
Organizaciones, en épocas de crisis la probabilidad de ocurrencia es aún
mayor, por lo que habrá que incrementar las medidas de control.
Siendo la crisis, como hemos visto un aspecto importante, existen otras
circunstancias que también incrementan las posibilidades de incentivar la
existencia de los fraudes. A continuación, relacionamos algunas de las
debilidades de control en los procedimientos, que son unas veces motivo, y otras,
simplemente, generadoras, de un ambiente incitador al fraude:
Falta de controles básicos en los procedimientos tales como:
La separación de funciones. Por ejemplo, para el manejo de datos sensibles una
persona introduce los datos, revisa y aprueba.
Revisión constante de los datos introducidos verificando cada uno de ellos con
los soportes documentales reales.
Comprobación de totales parciales clasificados por alguna categoría.
Excepciones en los procedimientos.
Esta situación suele ocurrir precisamente en aquellos procedimientos que
requieren mayor seguridad, por lo que los controles deberían ser más rígidos y
los procesos más complejos. Un día cualquiera, por una circunstancia que
parece razonable y justificable, pero, en contra de la seguridad y en pro de la
flexibilidad, se establece un procedimiento excepcional rápido, flexible y
descontrolado: esta excepción se convierte, a la larga, en la puerta principal del
fraude.
Falta de verificaciones.
Normalmente, el flujo de datos y de información en cualquier línea de proceso
es importante o masiva, palabra horrible, pero gráfica. La mistificación de la
información dificulta el control de la misma, pequeñas desviaciones relativas son
difíciles de detectar, por lo que es necesario que existan verificaciones y
comprobaciones periódicas sobre los datos sensibles, utilizando interrelaciones,
ratios y técnicas de muestreo.
15 www.auditool.org
Jesús Aisa Díez

No existe integración de la información.

Nos referimos a la integración de la información por funciones secundarias como
herramienta para la comprobación de resultados parciales. Así, por ejemplo,
información de horas extraordinarias por centro de trabajo, listado de clientes
con descuento, facturación de algún proveedor.
En definitiva, procesos informáticos que totalicen por conceptos y actividades
diferentes a la principal, y que se disponga también de procesos de consolidación
y conformación interna de importes.
Como también la falta de un comportamiento ético de la dirección, el tipo de
modelo de gestión empleado en la empresa, o la reducida rotación de los
empleados.
Visto el atributo PROBABILIDAD del riesgo de FRAUDE, debemos ocuparnos
ahora del impacto que ocasionará, pues además de las posibles pérdidas
económicas o monetarias, el fraude tiene también otras consecuencias, tales
como se indican a continuación:
Imagen: Las empresas objeto de fraudes significativos siempre trascienden a la
opinión pública y sufren un deterioro de su reputación por parte de los
accionistas, bancos, proveedores, clientes, etc., que pueden modificar la actitud
y comportamiento habituales de todos ellos, respecto a la organización.
Desconfianza en los inversores: Este tipo de noticias generalmente se
desorbita y actúan como mecanismos de ampliación de la propia realidad.
Indisciplina: Donde los fraudes proliferan, la disciplina se relaja y es difícil
mantener actitudes exigentes. Efecto estimulante o multiplicador: Cada
persona puede considerarse con derecho a tratar de beneficiarse de las
posibilidades que le ofrece el desempeño de su trabajo. Perdida de eficiencia:
Algunos empleados, estarán más atentos a buscar debilidades de control, que al
desempeño y perfeccionamiento de sus tareas. Desmotivación: La no
persecución del fraude se interpreta como falta de interés de la dirección hacia
el trabajo de los empleados, considerando que no es relevante que las cosas se
hagan bien o mal y perdiendo el interés y la ilusión que requieren el trabajo bien
hecho. Costos adicionales: Es preciso realizar investigaciones, análisis,
auditorías, demandas judiciales, etc., para tratar de resolver cada situación.
Ataque al trabajo en equipo: Un grupo de personas no trabaja de forma
integrada en un equipo cuando alguno de sus miembros ha cometido fraude y la
desconfianza y las tensiones generadas impiden el ambiente necesario para que
el equipo funcione. Despido laboral: El fraude de un empleado puede ser causa
de despido disciplinario (competencia desleal, apropiación de dinero, abuso de
poder), pero hay que identificar quién ha cometido el fraude, incluir todos los
hechos en la carta de despido, no puede tratarse de una conducta tolerada por
la empresa, deben respetarse los plazos legales establecidos para sanciones
laborales e informar al comité de la empresa en su caso. Proceso penal: Es un
método para presionar y tratar de recuperar lo defraudado, ya que el fraude es
asimilable a delitos tipificados en el código penal tales como robo, estafa,
apropiación indebida, etc.

16 www.auditool.org
Jesús Aisa Díez

Una vez descrito con cierto detalle los distintos factores que se relacionan con
fraudes, deberíamos continuar con la prospección de las medidas que pueden
habilitarse en las empresas para combatirlo, que es a lo que vamos a dedicar
atención en adelante.
Si recordamos lo que el Instituto de Auditores Internos considera que es lo que
determina la naturaleza de la actividad de Auditoría Interna, ver Norma 2100, nos
encontraremos con los siguientes aspectos:
1) Fiabilidad e integridad de la información financiera y operativa.
2) Cumplimiento de leyes, regulaciones y contratos.
3) Eficiencia y eficacia de las operaciones.
4) Protección de activos, o salvaguarda patrimonial.
Que son los ámbitos de actuación naturales en los que actúan los defraudadores.
De donde podremos concluir que Auditoría Interna debe ser un protagonista
básico en la lucha contra los fraudes.
Las fotografías que ilustran el Slide no pretenden reflejar la imagen de
personajes a imitar, sino la imagen de lo que hemos de combatir y controlar.
Siendo el fraude uno de los alcances de la función auditora, veamos cómo está
recogida esta responsabilidad en las Normas del IIA, en concreto la Norma.
1210. A1, la cual señala que:
“Los auditores internos deben tener conocimientos suficientes para evaluar el
riesgo de fraude y la forma en que se gestiona por parte de la organización, pero
no es de esperar que tengan conocimientos similares a los de aquellas personas
cuya responsabilidad principal es la detección e investigación del fraude”.
Nos surge una primera pregunta: ¿Quiénes serán entonces responsables de la
detección e investigación del fraude?
De momento dejémosla sin responder, aunque pronto encontraremos la
respuesta.
En cualquier caso, qué es lo que le corresponde a Auditoría Interna en la lucha
contra el fraude. Pues bien, el Institute of Internal Auditors (IIA) señala
claramente que la responsabilidad de la disuasión del fraude está en la Alta
Dirección de la empresa, a la que corresponde establecer el sistema de control
de la misma.
Los auditores internos son responsables del examen y evaluación de la
adecuación y eficacia de las acciones adoptadas por la Dirección para el
cumplimiento de esta obligación. No obstante Auditoría Interna debe:

17 www.auditool.org
Jesús Aisa Díez

Sensibilizar y recomendar a las direcciones ayudándolas a adquirir una

mentalidad de que el fraude está instalado en su entorno, tratando de que exista
un Código de conducta, delimitando las áreas de riesgo y puntos críticos de
fraude dentro de la empresa mediante una cuidada selección y rotación para sus
responsables y definiendo unas claras normas de actuación y de autoridad para
el personal investigador de fraudes y una correcta organización funcional que
permita la segregación de funciones.
Cooperar en la disuasión del fraude determinando si existe conciencia de
control, si se fijan metas y objetivos realistas, si existen políticas apropiadas de
autorización de transacciones, si se tienen canales de comunicación adecuados
y fiables para la dirección y haciendo recomendaciones para mejorar el costo y
efectividad de los controles.
Detectar los indicadores de fraude (transacciones no autorizadas,
inobservancia de los controles, excepciones de precios no explicadas y pérdidas
de productos anormales) lo que incluye la necesidad de conocer las
características del fraude, las técnicas utilizadas para cometerlo y los tipos de
fraude relacionados con las actividades auditadas. La presencia de más de un
indicador al mismo tiempo aumenta la probabilidad de que el fraude pudiera
haber ocurrido.
Participar en la Investigación del fraude evaluando el nivel probable y la
extensión de la complicidad, la relación entre personas que investigan y
personas investigadas, diseñando los procedimientos a utilizar para intentar la
identificación de los responsables, amplitud del fraude, técnicas utilizadas y
causas del fraude, determinando si es necesario implantar algún control o
reforzar los ya existentes para reducir la vulnerabilidad en el futuro.
Realizar un informe del fraude preliminar sobre si existe suficiente información
para proceder a una investigación y un informe final, que debe incluir todas las
evidencias, conclusiones, recomendaciones y acciones correctoras que hayan
sido tomadas.
Hace un par de Slides nos hacíamos una pregunta que habíamos dejado sin
contestar. Retomémosla, y concluyamos que los responsables de la detección y
la investigación de los Fraudes, son los Auditores Forenses.
El término “forense” proviene del latín “forensis” que significa “público y
manifiesto” o “perteneciente al foro”; a su vez, “forensis” se deriva de “forum”,
que significa “foro”, “plaza pública”, “plaza de mercado” o “lugar al aire libre”.
Auditoría Forense: Se la define como “la ciencia de reunir y presentar
información financiera en una forma que sea aceptada por una corte judicial
contra los perpetradores de un crimen económico”.
El trabajo del auditor puede ser requerido por un juez y son puestos a
consideración de la justicia, que se encargará de analizar, juzgar y sentenciar los
hechos evidenciados relativos a los delitos cometidos.

18 www.auditool.org
Jesús Aisa Díez

Por tanto la auditoría forense es una auditoría especializada en la obtención de

evidencias para presentarlas como pruebas, generalmente en un proceso
judicial.
También en situaciones concretas en las que se produce alguna irregularidad en
una empresa, se acostumbra a solicitar una auditoría forense orientada
específicamente a analizar y cuantificar el fraude detectado.
En una auditoría forense pueden intervenir un mayor número de profesionales,
además del auditor de cuentas, como pueden ser: abogados, investigadores,
técnicos informáticos o grafólogos, entre otros.
Es decir, se centran en la detección
Nos encontramos pues ante dos escenarios, la Prevención y la detección del
fraude que si bien están relacionados, no son el mismo concepto.
La “prevención” abarca las políticas, los procedimientos, la capacitación y la
comunicación para impedir que el fraude se produzca.
Mientras que la “detección” se centra en las actividades y técnicas que
reconocen si el fraude se ha producido, se está produciendo, y quién lo realizó.
Una forma gráfica de observar las diferencias entre ambas actividades es la que
emplearon Golden, Skalak y Clayton en su obra: “A guide of Forensic
Accounting Investigation”, identifican la tarea de los auditores con las
realizadas por un vigilante que patrulla las calles observando que nada anormal
esté sucediendo en ellas, mientras que la del investigador forense es la de un
detective, alguien que interviene cuando se ha cometido un delito que hay que
esclarecer.
En este punto nos surge una duda, con independencia de su complementariedad
¿cuál de las dos formas de abordar los fraudes será la más eficiente? La
preventiva o la detectiva.
Para encontrar la respuesta, lo primero que debemos es visualizar los distintos
tipos de controles que existen: Los correctivos, detectivos y los preventivos.
En el primer caso los correctivos, los controles operan una vez haya finalizado el
proceso: En el caso de los controles detectivos, estos operan cuando aún el
proceso está en marcha, y por último los preventivos cuando el proceso está a
punto de comenzar

19 www.auditool.org
Jesús Aisa Díez

Es opinión generalizada que la mayor eficiencia de los controles se consigue

cuando estos actúan de manera preventiva, es decir antes de que se inicie el
proceso, en nuestro caso el proceso del fraude.

Asumamos entonces lo que habitualmente se considera básico: “Que más vale

prevenir que curar”. Lo cual viene avalado porque según los estudios
especializados. La prevención representa el 80% de la solución.

20 www.auditool.org
Jesús Aisa Díez

Decantarnos por la prevención viene avalado, no solo porque evitaremos que se

produzcan los fraudes, con los perjuicios que de ello se deriva, sino porque
además impediremos que se queden impunes, a través de indultos, los delitos
que hayan sido evidenciados.
Bueno, si una de las formas que más incrementa la posibilidad de que se
cometan fraudes, es la falta de actuaciones decididas contra los defraudadores,
es decir la ausencia de medidas ejemplarizantes en contra de los causantes de
los fraude, el posicionamiento de los gobiernos, al menos, del español, no es una
buena práctica.
Una vez destacada la inoportunidad de adoptar posturas compresivas con los
defraudadores, destaquemos que el propio Instituto de Auditores Internos
identifica como las alternativas más oportunas, las que se inclinan por los
procedimientos preventivos y detectivos.

Pero sobre todo por los controles preventivos, los cuales deberán definirse una
vez conocidos los resultados que hayamos obtenido después de aplicar las
medidas detectivas e investigativas. De donde podemos concluir que en el
proceso existe una gran complementariedad entre las diferentes formas de
gestionar los fraudes.

21 www.auditool.org
Jesús Aisa Díez

Como cualquier riesgo, la forma de gestionar el fraude es dual, incidiendo sobre

su probabilidad de ocurrencia y/o sobre el impacto que pueda producir. De
manera que el riesgo residual que hayamos evaluado inicialmente lo deberemos
reconducir hacía posiciones del entorno de la tolerancia al riesgo que se haya
considerado razonable por la organización. Resultando evidente que en este
proceso la función de auditoría interna tendrá un amplio campo de actuación
asesorando convenientemente a los gestores sobre la estrategia a emplear con
la que conseguirlo desde la perspectiva de la prevención, tanto en el impacto,
como fundamentalmente en la probabilidad de ocurrencia.

El proceso de gestión de los fraudes se moverá en un escenario de acción-

reacción como el que aparece en la pantalla, donde se puede observar que para
cada uno de los elementos que propician el fraude, salvo para la Racionalización,
por los motivos que ahora comentaremos, se identifican las medidas que se
entienden contrarrestan los factores que les desarrollan. Como por ejemplo
sucede con la MOTIVACIÓN, que debe combatirse con Políticas de Recursos
Humanos

22 www.auditool.org
Jesús Aisa Díez

Decíamos que este esquema no es válido para la Racionalización, pues este

elemento es intrínseco de las personas, dependiendo en gran medida de los
principios morales que les sean inherentes, por lo que, en principio, se escaparía
de las actuaciones que pueden desarrollar las Organizaciones.

Otro aspecto también básico en la definición de los programas que se desarrollen

y apliquen en las Organizaciones para combatir los fraudes, es el de entender
que su desarrollo, como sucede en el ámbito de la Gestión de Riesgos
Empresariales, es entender que es una tarea de todos, destacando el
compromiso del Consejo/Junta de Directores y la Alta Dirección:
 Prohibiendo todo tipo de actividad ilegal aunque beneficie a la
empresa.
 Definiendo las capacidades de los que lleven a cabo las
investigaciones.
 Exigiendo la notificación de los empleados que sospechen de
fraudes.
 Prohibiendo los encubrimientos y las represalias contra los
denunciantes.
 Requiriendo el cumplimiento de las normas y la obligación de
colaborar.
 Trato similar para todos los empleados y función desempeñada.
 Asumiendo la responsabilidad de conocer los riesgos de fraude.

23 www.auditool.org
Jesús Aisa Díez

 Editando y difundiendo un Código de Conducta coherente con lo

anterior.
 Habilitando un “canal de denuncias” anónimo.
Que la lucha contra el fraude es un compromiso de todos los miembros de la
Organización, en la que cualquier contribución es siempre valiosa, puede verse
representada por la foto que recoge el slide, correspondiente al levantamiento
popular de la Plaza de Tian´anmen de Pekin el 3 de junio de 1989, en la que un
solo ciudadano paró el acceso a la plaza de una columna de blindados. Todos
los esfuerzos son importantes sería la moraleja.
Obviamente todos los posicionamientos, como acabamos de ver, son
importantes, pero siendo esto totalmente cierto, también lo es que la de alguno
de los estamentos empresariales resulta determinante en la lucha contra el
fraude. Como es el caso del compromiso de la Alta Dirección, que al igual que
sucede con la bandada de pájaros que ilustra el Slide, el que va en cabeza es el
que marca la ruta que ha de seguir toda la bandada, limitándose esta a seguirle.
Lo mismo, o muy parecido, sucede en las organizaciones empresariales.
Por este rol tan importante de la Alta Dirección se hace imprescindible que:
 La Comisión de Auditoría/Auditoría Interna ha de supervisar su
compromiso.
 Se deben lanzar mensajes claros a la organización.
 La Dirección debe dar ejemplos positivos.
 Es necesario un Código Ética.
 Una normativa sobre el conflicto de intereses.
 Así, como la normativa interna debe detallar:
– Los deberes de diligencia y lealtad de los Directivos y
Consejeros.
– La regulación de las situaciones de conflicto de interés.
– El deber de confidencialidad.
– La obligación de los Consejeros de dimitir en su caso.

24 www.auditool.org
Jesús Aisa Díez

La importancia de la gestión de los fraudes pude observarse también por la

cantidad de protocolos que existen para administrarlos, de los que
destacaríamos COSO, la Guía para la Gestión de los Riesgos de Fraudes de los
Negocios, SAS 99 y Sarbanes-Oxley, entre otros, a los que prestaremos atención
para comentarlos.

25 www.auditool.org
Jesús Aisa Díez

El Committee of Sponsoring Organizations of the Treadway Commission

(COSO), es una Organización en la que participan las siguientes entidades: El
American Institute of CPA´s; el Instituto de Auditores Internos; el Institute of
Management Accoutans; el Financial Executives Internacional y el American
Accouting Association. Su principal objetivo es establecer criterios de actuación
respecto de la forma de gestionar el control interno de las entidades, sin
discriminación de actividades o estructuras de propiedad. En este ámbito es el
protocolo de mayor reputación a nivel internacional.

Como observamos en la pantalla, la primera publicación referida a analizar

aspectos relacionados con el Control Interno se remonta al año 1992, en tanto
que la última es del año 2013. En esta última se pretende recopilar las
experiencias adquiridas a lo largo de los 11 años de historia, así como también
tener en consideración los cambios acontecidos en los entornos empresariales
y operacionales durante estos años, fundamentalmente las externalizaciones de
los procesos y el empleo generalizado de la informática.
Recordemos que los objetivos iniciales de COSO fueron: (i) La eficiencia y
eficacia de las operaciones, (ii) la fiabilidad de la información financiera y (iii) el
cumplimiento de las leyes y las normas. Si bien nosotros hemos agregado en el
cubo que lo representa la salvaguarda de activos, a fin de hacerlos coincidentes
con los marcados en las Normas del IIA como descripción de la naturaleza de la
actividad auditora.
En cuanto a sus componentes: Entorno de Control, Evaluación de Riesgos,
Actividades de control, información y comunicación y por último la Supervisión.
A los efectos que nos ocupan, y sin que ello signifique que nos olvidemos de los
otros tres componentes, destacaríamos los correspondientes a la Evaluación de
Riesgos y la Supervisión, ya que son los elementos en los que la Auditoría
Interna desplegará toda su actividad en la lucha contra el fraude, como más
adelante veremos.

26 www.auditool.org
Jesús Aisa Díez

Dada la trascendencia que para COSO tiene una adecuada gestión de riesgo en
la consecución de los objetivos de Control Interno, años después de la primera
edición del denominado COSO I, que es a lo que nos hemos referido con
anterioridad, se publicó en el año 2004 el Marco Integrado sobre la Gestión de
Riesgos Corporativos, que ha venido denominándose COSO II.
Para este nuevo protocolo la Gestión empresarial de Riesgos es: “Un proceso
efectuado por el directorio, la administración y las personas de la organización,
es aplicado desde la definición estratégica hasta las actividades del día a día,
diseñado para identificar eventos potenciales que pueden afectar a la
organización y administrar los riesgos dentro de su apetito, a objeto de proveer
una seguridad razonable respecto del logro de los objetivos de la organización".
Obviamente uno de los objetivos de las organizaciones será no sufrir fraudes,
por lo que se establece en este Marco nos será de mucha utilidad a la hora de
diseñar y ejecutar los procesos de lucha contra los fraudes.
Como vemos por la representación gráfica que hemos incorporado en el Slide,
los objetivos de las Organizaciones han cambiado respecto al COSO I, puesto
que ahora se han incluido las metas estratégicas de las organizaciones y se
amplía el requerimiento de la fiabilidad de la información a cualquier tipo de
información. Mientras que los componentes pasan a ser ocho. Añadiéndose los
correspondientes a: (i) Establecimiento de objetivos, (ii) Identificación de eventos
y (iii) Respuestas a los Riesgos, aparte de perfeccionar el correspondiente a la
Evaluación de Riesgos. Por tanto ERM es COSO I más un Sistema de Gestión
de Riesgos.

27 www.auditool.org
Jesús Aisa Díez

Siguiendo la máxima de que “todo es mejorable”, en el año 2013 COSO ha

sacado, después de un periodo de consultas, una nueva versión del Marco
Integrado sobre Control Interno, a la que entendemos debemos dedicarle
atención.

28 www.auditool.org
Jesús Aisa Díez

Dada la indudable conexión existente entre el denominado COSO II y COSO I,

como acabamos de ver, en la nueva versión lo que se hace es reconocer en el
Marco Integrado de Control Interno algunos de los cambios que le afectaban
debido a lo señalado en lo relativo a la Gestión Empresarial de Riesgos (COSO
II), entre ellas la correspondiente a la ampliación de la bondad de la información
a cualquier tipo de aspectos que la empresa difunda, no solo a los aspectos
financieros. En resumen:
 Aplicando un enfoque basado en principios.
 Aclarando la necesidad de establecer objetivos del negocio como
condición previa a los objetivos de Control Interno.
 Reflejando la relevancia incrementada de la Tecnología.
 Fortaleciendo el concepto de Gobierno Corporativo.
 Ampliando el objetivo de reporting financiero.
 Fortaleciendo la consideración de las expectativas contra el fraude.

Si bien la versión de 1992 de manera implícita reflejó los principios centrales del
control interno, la versión del 2013 lo hace de manera explícita señalando 17
principios, los cuales representan los conceptos fundamentales asociados con
los 5 componentes del control interno. En concreto:
• La Organización debe demostrar compromiso con la integridad y los valores
éticos.
• El Consejo de Administración debe demostrar independencia en la gestión y
ejercerá la supervisión en el desarrollo y ejecución del control interno.

29 www.auditool.org
Jesús Aisa Díez

• La Alta Dirección establece, con la supervisión del Consejo de

Administración, la estructura, las líneas de reporting, autoridad y
responsabilidad en la consecución de los objetivos.
• En alineación con los objetivos, la Organización debe demostrar compromiso
para atraer, desarrollar, y retener personas competentes.
• En la consecución de objetivos, la Organización debe tener personas
responsables para atender sus responsabilidades de control interno.
• La Organización debe especificar los objetivos con suficiente claridad para
permitir la identificación y evaluación de los riesgos relacionados.
• La Organización identifica y evalúa riesgos.
• La Organización debe gestionar el riesgo de fraude.
• La Organización identifica y evalúa los cambios importantes que podrían
impactar al sistema de control interno.
Así como:
• La Organización seleccionará y desarrollará actividades de control que
contribuyan a la mitigación de los riesgos en el logro de sus objetivos.
• La Organización seleccionará y desarrollará Controles Generales sobre
Tecnología.
• La Organización implementará las actividades de control a través de políticas
y procedimientos.
• La Organización generará información relevante, para respaldar el
funcionamiento de los otros componentes de Control Interno.
• La Organización comunicará internamente la información, incluyendo los
objetivos y responsabilidades para el control interno, necesaria para
respaldar el funcionamiento de los otros componentes de Control Interno.
• La Organización se comunicará externamente en relación con las materias
que afectan al funcionamiento de los otros componentes de Control Interno.
• La Organización llevará a cabo evaluaciones continuas e individuales, con el
fin de comprobar si los componentes del control interno están presentes y
están funcionando.
• La Organización evaluará y comunicará las deficiencias de control interno.
Otro de los pronunciamientos que son de mucha utilidad para la lucha contra el
fraude, es la Guía Práctica sobre las Actividades de Gestión de los Riesgos de
Fraude, en el que se describen formas específicas con las que combatir, no
cualquier tipo de riesgo, sino específicamente el del Fraude.

30 www.auditool.org
Jesús Aisa Díez

Este protocolo también se guía por principios. En este caso 5:

 Principio 1: Como parte de la estructura de gobierno corporativo de las
organizaciones, estas deberían implementar un programa de gestión del
riesgo de fraude, incluyendo una política (o políticas) por escrito para
transmitir las expectativas de la junta directiva y la alta dirección respecto
de la gestión del riesgo de fraude.
 Principio 2: La exposición al riesgo de fraude debería ser evaluada
periódicamente por la organización para identificar posibles esquemas y
eventos específicos que la organización necesite mitigar.
 Principio 3: Las técnicas de prevención para evitar potenciales eventos
clave de riesgo de fraude deberían estar establecidas, cuando sea
posible, para mitigar posibles impactos en la organización.
 Principio 4: Las técnicas de detección deberían estar establecidas para
descubrir eventos de fraude cuando las medidas preventivas fallen
o los riesgos no mitigados se materialicen.
 Principio 5: Un proceso de reporte debería estar implementado
para solicitar datos sobre potenciales fraudes y un enfoque coordinado de
investigaciones y acciones correctivas debería ser utilizado para ayudar a
asegurar que el potencial fraude es afrontado de manera apropiada y
oportuna.

31 www.auditool.org
Jesús Aisa Díez

En forma resumida, de acuerdo con lo que acabamos de ver, los hitos sobre los
que debería descansar un adecuado Programa de Gestión del Fraude, se
resume en estos tres aspectos.
1. Establecer la cultura empresarial de honestidad que la organización
entienda corresponde a sus principios y objetivos.
2. Determinar los controles antifraude que se consideren adecuados,
implementándolos.
3. Realizar el seguimiento de los resultados alcanzados, actuando en
consecuencia.

Una adecuada cultura empresarial de honestidad debe responder y basarse en

los siguientes principios:
“Tone at the top”
La alta dirección debe trasladar un mensaje claro relativo al fraude y su grado de
tolerancia ante estas situaciones, de forma que quede claro que la parte superior
es quien predica con el ejemplo
Ambiente de control
Se debe predicar y establecer la ética del negocio en un entorno de control
adecuado, y coherente con los objetivos que nos hayamos marcado.
Comunicación
Se expondrán con claridad a todas las partes de la Organización las expectativas
relacionadas con el fraude y los comportamientos considerados aceptables, así
mismo se garantizará el reporte de actividades inusuales o fraudulentas. Todo
ello bajo un esquema de tolerancia hacia el fraude cero
Concienciación
Se deben habilitar los programas necesarios para comunicar ampliamente y con
la frecuencia que se estime preciso, el código de conducta, las expectativas, y
cómo acceder al mecanismo de denuncias.

32 www.auditool.org
Jesús Aisa Díez

Educación
Se realizarán entrenamientos sobre lucha contra el fraude y las expectativas
sobre los dueños de procesos para identificar y comunicar actividades
irregulares.
Un buen programa de lucha contra el fraude debe, necesariamente, contemplar
tres grandes objetivos: La PREVENCIÓN; la DETECCIÓN y las RESPUESTAS.
Para lo cual se hace imprescindible actuar atendiendo a la siguiente secuencia:

 Valoración de las necesidades de la organización con base en la

naturaleza del fraude y riesgos de mala conducta, así como los programas
y controles antifraude existentes.

 Diseño de programas y controles de una manera consistente con la

legalidad y los criterios de regulación, así como prácticas de la industria
que tienen las empresas generalmente encontrado para ser eficaz.

 Implementación de programas y controles a través de la asignación de

roles, así como la construcción de capacidades internas, y el despliegue
de recursos.

 Supervisión del resultado del programa y del diseño de control,

ejecución, y eficacia operativa.

Hemos visto que uno de los hitos sobre los que debe descansar un adecuado
programa antifraude, es el correspondiente al establecimiento de una cultura
empresarial de honestidad, para lo cual recordemos que la cultura antifraude se
determina e implementa desde la Junta de Directores y la Alta Gerencia, y debe
contener: (i) los valores, la cultura y los principios de integridad, (ii) el mensaje
explícito y ejemplificado sobre la nula tolerancia a cualquier conducta
inapropiada, por leve que se considere, contemplando:
1º) El Perfil de los empleados precisos.
2º) El funcionamiento adecuado del control interno
3º) La evaluación de riesgos de corrupción y fraudes.
4º) El establecimiento de mecanismos para reportar los fraudes.

33 www.auditool.org
Jesús Aisa Díez

5º) Capacitación del personal y educación continua.

6º) Estimular las competencias y capacitaciones laborales.
7º) Segregación de funciones.
8º) Seguridad e integridad de los sistemas de información.
9º) Pruebas de confianza y antecedentes laborales.
10º) Blindaje contractual.
11º) Comunicación.
12º) Redes sociales,
Sin olvidar el necesario tone at the top.
Los Programa antifraude son, por tanto: El conjunto de políticas, procedimientos,
herramientas, roles y responsabilidades que fortalecen la cultura organizacional
y se integran para prevenir, detectar, disuadir y en general hacer frente a los
eventos de fraude en el negocio y dar respuesta oportuna a los mismos.
Su concreción debe guiarse por la conocida secuencia de: Planificar, Realizar,
Verificar y Actuar. Adoptando el esquema de funcionamiento que se recoge en
la figura del Slide.

En primer lugar, y partiendo de las diferentes amenazas de riesgos que puedan

existir en el entorno empresarial en el que nos movamos, deberemos identificar
y evaluar los riesgos de fraude inherentes que sean compatibles con nuestra
organización, para pasar posteriormente a determinar los diferentes tipos de
controles que se entiendan oportunos implantar, tanto a nivel de entidad, como
de procesos operativos, así como definiendo los indicadores de riesgos de
fraudes, o banderas rojas que queramos supervisar, para finalizar con la
evaluación global obtenida, adoptando, en su caso, las medidas correctoras del
proceso que correspondan

34 www.auditool.org
Jesús Aisa Díez

La primera fase es la ya conocida, el levantamiento del mapa de riesgos, pero

focalizado en los fraudes. Identificadas las distintas modalidades que
entendamos pueden producirse en nuestra organización, lo que procederá es
determinar la importancia de cada una de ellas medida a través de su impacto
previsible y a su probabilidad de ocurrencia.
En función de si estamos trabajando con un mapa de riesgos inherentes o ya
residuales, la actuación será distinta. Lo recomendable es que actuemos con los
niveles de riesgos residuales, ya que es el que nos permitirá concluir si la
situación existente es compatible con los objetivos de la compañía, o si debemos
adoptar determinados cambios a fin de reconducir la posición de determinadas
variantes de fraude hacía la zona de tolerancia al riesgo de fraude que haya
establecido la Organización.
En el ejemplo que hemos empleado, la defraudación fiscal, las ventas ficticias y
los Gastos sin soportes, serían claros ejemplos de modalidades de riesgos mal
gestionados, por lo que se requeriría la adopción de nuevas medidas correctoras.

La validez de los controles que son susceptibles de poder modificar, o

implementar, a nivel de entidad, estarían correlacionados con:

 La efectividad de la Junta de Directores/ Eficaz vigilancia del Comité de

Auditoría.

 La estructura organizativa / Políticas, Normas y Procedimientos.

 Concienciación ética y educacional.

 Cultura sobre el Fraude aplicada.

35 www.auditool.org
Jesús Aisa Díez

 Mecanismos de Reporte, Investigación, Respuesta y Remediación ante el

Fraude. Canales de denuncia.

 Investigación de antecedentes y adecuadas prácticas de contratación.

 Programa de Monitoreo y Controles Anti-Fraude.

Alcanzada la fase 3ª, es decir la correspondiente a la gestión a nivel de
transacción, o de proceso, lo que procede es que documentemos y valoremos la
suficiencia del control o controles que mitigan los riesgos de fraude que puedan
afectarles.
Cumplir con un estadillo como el que recoge la pantalla, aparte de permitir un
sencillo acceso a toda la información relevante sobre el modelo de gestión de los
riesgos de Fraudes existente, permitirá evaluar la suficiencia de los mismos.
Un control Anti-fraude que no debería estar presente en la mayoría de los
procesos es el de la “Segregación de Funciones”, ya que esta incrementa la
probabilidad de que los errores o irregularidades sean prevenidos o detectados
a tiempo basado en el trabajo normal y habitual de los empleados.
Para cada control Anti-Fraude identificado (relacionados con los riesgos
valorados como ALTOS), realizar un análisis, que implique:
 Entrevistas al personal apropiado.
 Observación directa de las operaciones.
 Énfasis en los Controles.
 Inspección de la documentación relevante.
 Determinar en forma global para cada proceso, si el mismo es :
 Efectivo ó.
 Inefectivo.
Los controles antifraude, de los que estamos hablando reiteradamente a lo largo
del seminario, conviene recordar que pretenden que se consigan tres objetivos.

 Evitar que los casos de fraude y mala conducta se produzcan.

 Detectar los casos de fraude y mala conducta cuando estos se produzcan

 Responder adecuadamente y tomar medidas correctivas cuando se

materialice el riesgo
De lo acertados que estemos en la elección del camino que debemos
seguir, dependerá que consigamos el éxito o el fracaso.

36 www.auditool.org
Jesús Aisa Díez

A título de resumen, y antes de entrar en la descripción de los roles que en el

proceso de lucha contra los fraudes han de desempeñar los distintos
responsables intervinientes de las organizaciones, permítasenos que reflejemos
gráficamente cuales son las mejores prácticas que deben guiar nuestras
actuaciones en este objetivo.

 Disponer de un Directorio/ Junta de Directores independiente.

 Existencia de un Comité de Auditoría sólido y eficaz.

 Aplicar un Código de Ética y de Conducta alineado con los objetivos a

conseguir

 Que el Marco de Control Interno sea adecuado.

 Existencia de un Proceso de Gestión de Riesgo efectivo.

 Disponer de una Unidad de Auditoría Interna efectiva, eficiente,

independiente y objetiva.

 Transparencia en la rendición de cuentas.

Por lo que respecta a los roles que deben desempeñar cada uno de los
estamentos/ responsables que han de participar en el Proceso de Gestión de
Riesgos de fraude, y en relación con sus respectivas responsabilidades,
podemos señalar que:

37 www.auditool.org
Jesús Aisa Díez

A los Consejos de Administración les corresponde administrar la sociedad y, en

consecuencia, son los responsables de:
 Establecer las políticas, los procedimientos y los controles internos.
 Designar, supervisar y evaluar al Director General.
 Asumir a través de su presidente ejecutivo y el CFO la responsabilidad
sobre los estados financieros, declarando públicamente esta
responsabilidad. (SOX).
 Sancionar los estados financieros y preparar el informe de gestión.
 Aprobar el plan para prevenir el fraude, descubrirlo, investigarlo y
establecer las sanciones que correspondan.
A los Auditores Internos, de acuerdo con lo señalado por el Instituto de Auditores
Internos, les corresponde evaluar los procesos de gestión de riesgos, control y
gobierno.
En consecuencia, será el responsable de:
 Identificar los indicadores de fraude que permitan detectarlos y
disuadirlos. Entendiendo por disuasión del fraude a aquellas acciones
tomadas para evitar la realización del fraude y para limitar sus impactos
si es que el fraude se produce. El principal mecanismo para la disuasión
del fraude es el control.
 Ayudar en la disuasión del fraude mediante el examen y la evaluación de
la adecuación y la efectividad del sistema de control interno, considerando
el grado de exposición o riesgos potenciales en los diferentes segmentos
de las operaciones de la organización
 Cuando sospeche de la existencia de irregularidades, debe informarlas a
las autoridades responsables de la organización.
 Recomendar cualquier investigación que considere necesaria.
Mientras que al Auditor Externo le corresponderá emitir un dictamen con su
opinión sobre los estados financieros, en materia de fraudes, la SAS 99, plantea
su responsabilidad respecto a:
 Descripción de las características del fraude.
 Importancia de ejercer el escepticismo profesional.
 Debate en el equipo de auditores sobre los riesgos de incorrecciones
materiales debidas al fraude.
 Obtención de información requerida para identificar los riesgos de
incorrecciones materiales debidas al fraude.

38 www.auditool.org
Jesús Aisa Díez

 Identificación de riesgos que podrían resultar de incorrecciones materiales

debidas al fraude.
 Evaluación de los riesgos identificados después de tomar en
consideración una evaluación de los programas y controles de la entidad.
 Respuesta a los resultados de esa evaluación.
Y por último al Auditor Forense le corresponderá investigar los casos de delito
de fraude de los cuales haya sido formal y legalmente apoderado por la dirección
de la sociedad o por terceras personas que actúan en contra de la sociedad. El
forense será responsable de:

 Planificar la investigación.

 Ejecutar la investigación.

 Evaluar la evidencia recolectada.

 Preparar el informe que acordó en la propuesta.

 Presentar y sustentar su informe.

Nos encontramos pues ante un escenario en tres dimensiones: Auditores
Internos, Auditores Externos y Auditores Forenses, los cuales, actuando sobre
un mismo escenario, tiene objetivos y responsabilidades diferentes.

 El informe del auditor interno en materia de fraude solo tiene valor frente
a la Dirección y la Gerencia.

 El informe del auditor externo tiene valor informativo frente a los

usuarios

 El informe del examinador de fraude y del auditor forense tiene valor

frente al foro.
A título de resumen de lo que hemos comentado hasta ahora, respecto de la
eficacia de los programas anti-fraudes, podríamos señalar que:

 Si una empresa quiere disponer de buenos controles debe contratar y

mantener también buenos empleados.

 El papel de los administradores y los gerentes es prevenir el fraude,

descubrirlo, investigarlo y tratarlo.

 El fraude se previene con control, se descubre con supervisión, se

investiga integrando un equipo y se trata con acciones ejemplares.

 Un auditor interno, un auditor externo, un examinador de fraude o un

auditor forense no ponen control, lo evalúan.

39 www.auditool.org
Jesús Aisa Díez

 Un auditor interno no es experto en fraudes, pero lo investiga como apoyo

a la Gerencia.

 Un auditor externo tampoco es experto en fraudes, pero debe saber si su

informe está afectado por fraudes.

 Un auditor forense sí es experto en fraudes e investigación y puede

evaluar e informar con objetividad.
Pero si volvemos un momento a la eficiencia de los controles, de todos los que
podamos aplicar, para la Asociación de Examinadores de Fraudes Certificado
(ACFE), los canales de denuncia son uno de los más recomendables.
Habilitar un medio telemático o telefónico para informar de actividades
sospechosas es una parte crítica de un programa de lucha contra el fraude.
Debiendo habilitarse tanto a fuentes internas como externas, y deben permitir el
anonimato, o al menos la confidencialidad.
La dirección debe alentar activamente a los empleados a reportar actividades
sospechosas, así como promulgar y hacer hincapié en una política contra las
represalias.
Acabamos de ver que la lucha con el fraude se manifiesta en un escenario de
tres dimensiones, en la que una de ellas es la correspondiente al ámbito de la
Auditoría Interna, la cual debe:
1. Contemplar el riesgo de fraude en la evaluación del control interno.
2. Tener suficiente conocimiento sobre fraudes para identificar
banderas rojas que indiquen que un fraude pudo haberse cometido
o estarse cometiendo. Este conocimiento incluye: características
del fraude, técnicas para cometer fraudes, esquemas y escenarios
de fraude asociados a las actividades en revisión.
3. Estar alerta a las oportunidades que podrían permitir que se
cometa un fraude, tal como debilidades de control interno.
4. Evaluar la gestión de riesgos de fraude desarrollada por la gerencia
como parte de sus responsabilidades.
5. Evaluar los indicadores de fraude para determinar si trabajo
adicional es necesario o si se requiere una investigación.
6. Recomendar o requerir una investigación cuando sea necesario.

40 www.auditool.org
Jesús Aisa Díez

¡Pero también una mente escéptica!

Considerando que el escepticismo profesional es una actitud que incluye una
mente cuestionadora y una evaluación crítica de las situaciones observadas. Lo
que permitirá indagar la realidad de las situaciones. No se trata de ver la botella
medio llena o medio vacía, sino de cuestionar la realidad de las apariencias.
En este entorno de escepticismo que debe guiar la actuación de las Auditorías
Internas, existen diversas preguntas que estos deben hacerse, como por
ejemplo:
 ¿Tiene la organización una estructura de gobierno contra el
fraude/anti-corrupción adecuado y que asigne responsabilidades
en las investigaciones?
 ¿Tiene la organización una adecuada política contra el
fraude/anti-corrupción?
 ¿La organización ha identificado leyes y reglamentos en materia
de fraude/ anti-corrupción en las jurisdicciones donde hace
negocios?
 ¿Tiene la sociedad programas de lucha contra el fraude/anti-
corrupción, en los que se incluya la coordinación con la auditoría
interna.

En conclusión, ¿Estamos todos unidos y organizados contra el fraude?

Para desarrollar los cuestionarios que deben gestionar los Auditores Internos, es
aconsejable que tengamos bien estructuradas las preguntas que vayamos a
efectuar. En el presente Slide podemos apreciar un ejemplo de las mismas.
Pero un modelo como el que hemos señalado es eso, solo un modelo, lo
importante es que investiguemos las circunstancias que puedan describir los
hechos que están aconteciendo. Es preferible que nos pasemos a que no
lleguemos y que nos pase lo que reconocía uno de los mayores y recientes
defraudadores.
A riesgo de resultar algo reiterativos, no resistimos la tentación de volver a insistir
sobre las medidas básicas con las que podremos minimizar los riesgos de
fraudes. Tales como:
1. Designar un responsable de fraude al más alto nivel.
2. Crear un clima de integridad y valores éticos al más alto nivel de la
organización.
3. Establecer una Política de Riesgos de Fraude: Aprobación por
parte del Directorio.

41 www.auditool.org
Jesús Aisa Díez

4. Procedimientos: Generarlos para identificar en forma continua

riesgos de fraude.
5. Rotación de puestos, Auditorías sorpresivas, Apoyo al personal con
problemas, Política de “puertas abiertas”.
6. Monitoreo: indicadores de riesgo de fraude, así como actuar
rápidamente en su detección.
7. Capacitación continua: es una de las mejores herramientas para
prevenir fraudes.
8. Canal de Denuncias: detección de fraude cometidos por la Alta
Gerencia
Pero sin olvidarnos de los procedimientos a utilizar, ya que:
 Estos deben estar escritos y ser conocidos por todos los
responsables.
 Han de realizarse seguimientos periódicos de su cumplimiento y
eficacia.
 Deben ser sencillos y claros, así como cada actividad debe contar
con un objetivo.
 Analizar los controles y asumir los riesgos de las debilidades.
 Maximizar la relación beneficio/costo de los controles.
 Asignar responsabilidades sobre los controles e integridad de
datos.
 Documentación clara y de fácil entendimiento, manejo y
accesibilidad.
 Correspondencia biunívoca entre procesos y documentación.
 Adaptación y actualización a los cambios organizativos y
tecnológicos.
De los informáticos tampoco, ya que en las empresas de hoy los avances
tecnológicos de la informática inciden constantemente sobre los procesos
manuales, por tanto, inciden también sobre los procedimientos administrativos.
Con el ánimo de establecer la importancia que los procesos informáticos tienen
sobre los procedimientos administrativos y su incidencia posterior sobre el
fraude, haremos las siguientes consideraciones:

42 www.auditool.org
Jesús Aisa Díez

La actividad administrativa en la empresa se mueve en torno a la información y

a lo que ésta genera, con unos procesos cuyo objetivo es almacenar y
suministrar información, y otros cuyo fin es explotar la información almacenada.
La informática y su constante desarrollo tecnológico han revolucionado los
procedimientos administrativos en la empresa, el flujo de documentos, los
controles y las verificaciones, por lo que las actividades del personal
administrativo y su dedicación han cambiado en los últimos años en función de
la evolución de la técnica informática.
Se han desarrollado procedimientos administrativos con el fin de garantizar la
veracidad, integridad y consistencia de la información empresarial, información
base para la gestión, protegida y confidencial, soporte de transacciones
económicas y financieras y sobre todo generadora de pagos y cobros.
En este sentido, es preciso que consideremos que el objeto del fraude
informático es actuar sobre los datos (consulta indebida, apropiación de
información y modificación no permitida) y las aplicaciones (acceso indebido,
apropiación indebida y modificación ilícita). Los factores que inciden son:
• La realidad informática de la empresa
• El entorno tecnológico.
• La falta de información.
El fraude de las comunicaciones se lleva a cabo en redes telefónicas
(suscripciones fraudulentas, pinchazos, retro llamadas, actuaciones en cabinas,
tarjetas, locutorios, fomento del tráfico a SVA, clonación de móviles, etc.) y en la
red Internet (desvíos de llamadas a servicios de ocio, virus, troyanos, bloqueos,
robo de número de tarjeta, contraseñas, cuentas, datos personales, estafas
electrónicas, propiedad intelectual, publicidad masiva.
Un aspecto frecuente es que La mayoría de los defraudadores exhiben rasgos
de comportamiento que pueden servir como señales de advertencia de sus
acciones. Estas señales de alerta - como la vida más allá de los medios de uno
o exhibir problemas de control excesivos - generalmente no serán identificados
por los controles internos tradicionales.
Los gerentes, empleados y los auditores deben estar atentos a estos patrones
comunes de comportamiento y se les animará a considerarlos como ayudar a
identificar los patrones que podrían indicar una actividad fraudulenta. Nos
estamos refiriendo y dando entrada a los indicadores del riesgo de fraude,
denominados en el argot auditor “Banderas rojas contra el fraude”

43 www.auditool.org
Jesús Aisa Díez

¿A que nos estamos refiriendo cuando citamos a las denominadas

“Banderas rojas”?.
Pues a aquellos indicios o indicadores que pueden ser empleados en la lucha
eficaz contra el fraude, ya que nos permiten distinguir situaciones anómalas,
extrañas, inusuales o fuera de lugar, que despierten la sospecha del auditor. En
cuyo caso se habrá detectado una "bandera roja", o empleando términos más
técnicos, un KRI (Indicador de Riesgo Clave) sobre los fraudes. Estos
indicadores:
 No necesariamente deben ser significativas, son sólo una alerta
que se plantea el auditor ante una situación que percibe extraña o
fuera de lugar.
 No establecen la existencia de irregularidades por sí mismas, pero
constituyen una alerta para el auditor.

 No se deben descartar situaciones por parecer demasiado obvias.

 Cuando se busquen explicaciones, debemos comenzar por las más
simples, ya que muchas veces la irregularidad se encubre en el
terreno de lo obvio.
Dediquemos una cierta atención a conocer la gama de banderas rojas
tradicionales.
Estos indicadores, indicios o “banderas rojas” pueden observarse en multitud de
los aspectos que rodean a los fraudes, pudiendo destacarse los
correspondientes a:
Documentales:
Los que encontramos en documentos, contratos, facturas, correspondencia, etc.
Personales:
Serán aquellas que podemos distinguir respecto de las personas que pueden
traducirse en actitudes o comportamientos extraños o inusuales.
En los procesos:
Son debilidades que se dan en los procedimientos administrativos en los que se
efectúan gastos, cobros, reportes de información financiero-contable, entre
otros.
Conceptuales:
Son aquellos aspectos que necesitan del elemento racional para poder hallarlas,
son las que no se derivan de la observación directa de los hechos sino que
requieren de un proceso de razonamiento por parte del auditor.

44 www.auditool.org
Jesús Aisa Díez

Pero también…, pero de forma más trascendente:

 En la inexistencia de líneas claras de responsabilidad y autoridad.
 Implementación de objetivos operativos poco realistas.
 Carencia de políticas y procedimientos de personal claros y concretos
sobre: Conducta laboral, ética y conflicto de intereses.
 Políticas retributivas por debajo del mercado.
 Comportamientos benévolos en el castigo a los infractores.
 Problemas de comunicación sobre los procesos anti-fraudes.
 Estructuras del negocio complejas.
 Transacciones entre partes relacionadas inusuales.
 Entorno de control interno insuficiente.
Así como en circunstancias que conlleven a:
 Contenciosos con los Organismos Reguladores.
 Existencia de documentos manipulados, rectificados o corregidos.
 Ausencia de documentos soportes de operaciones del negocio.
 Uso frecuente de documentos duplicados por ausencia del original.
 Documentos soportes con enmiendas o tachaduras.
En lo que respecta a los perfiles de los empleados que realizan fraudes, a lo
largo del curso ya hemos descrito algunas de sus características más
destacables, si bien debemos aclarar que el que en algún empleado concurran
estas circunstancias, no es evidencia de sea un defraudador, solo que nos
encontramos ante un colaborador cuyo perfil se encuentra dentro del de la
población de riesgo más frecuente.
Este perfil recordemos que es el de:
Varón, entre 36 y 45 años, relacionado con el área financiera, con cargo
gerencial o superior, con más de diez años en la compañía, y que trabaja
coludido con otros colegas.
Pero además:
 Llega muy temprano a su puesto de trabajo y se queda fuera de
hora, trabaja fines de semana y feriados.
 Exhibe un nivel de vida que no se corresponde con sus ingresos
oficiales.
 No delega funciones y se maneja en forma autónoma
45 www.auditool.org
Jesús Aisa Díez

 Se involucran en actividades de otros departamentos

 Explica que su alto nivel de vida responde a los ingresos de su
esposa y/o herencias recibidas.
 Evidencia nerviosismo ante cualquier consulta sobre sus
comportamientos
 No solicita cambios de sector y/o promociones.
Centrándonos en los procesos operativos, y empezando por el Ciclo de
Ventas y Cuentas por Cobrar. Los indicadores más destacables sobre los
que tendremos que prestar atención serían:
 Pérdida de clientes sin motivo aparente.
 Alto nivel de reclamos.
 Ruptura de secuencia en la numeración de las factura, notas de
débito/ crédito y/o recibos.
 Documentos comerciales duplicados.
 Remitos y/o recibos no asociados a facturas.
 Diferencia de saldos con respecto a las circularizaciones.
 Aumento de las notas de crédito, en especial al cierre del ejercicio.
 Variaciones inusuales en el monto de ventas.
 Cantidad poco frecuente de ajustes contables.
 Inexistencia de revisión de condiciones de financiación, pago y
precios.
 Costos de despacho y envío no proporcionales a los montos de
venta,
 Las negociaciones para operaciones importantes se hacen en
lugares inusuales y en algunos casos con intermediarios.
Pero además:
• Demoras en la conciliación de las cuentas por cobrar de los clientes
• Manejo indebido de los deudores morosos o en litigio
• Inexistencia de listas o políticas de precios y/o de
• Otorgamiento de créditos
• Descripciones abreviadas en las facturas
• Ventas anuladas y no re facturadas

46 www.auditool.org
Jesús Aisa Díez

• Relación entre los descuentos otorgados y las ventas realizadas por

cliente, vendedor, etc.
• Débito y créditos no aplicados, por el cliente y responsable de emisión.
• Ventas a clientes superiores a los promedios históricos.
• Notas de crédito emitidas para vulnerar límites de crédito.
• Montos acumulados de crédito emitidas por persona.
Así como al mismo tiempo:
• Ventas a clientes con límite de crédito excedido.
• Código y/o nombre de clientes duplicados.
• Clientes con datos compartidos (nombre, domicilio, cuenta
bancaria, etc.) y distinto código.
• Número de Identificación duplicados, inconsistentes o erróneos.
• Clientes con límites de crédito superiores al porcentaje de las
compras promedio.
• Clientes con saldos inconsistentes acorde a las operaciones
registradas.
• Saldos de crédito vencidos con una antigüedad significativa.
• Variaciones inusuales en los límites de crédito.
• Recibos no aplicados.
• Variaciones de lista de precios de venta superiores a un
determinado porcentaje
• Variaciones de bonificaciones por cliente.
• Gran número de devoluciones luego de cada cierre del ejercicio.
Respecto del Ciclo de Compras y Cuentas por Pagar, podríamos señalar:
• Inhabituales compras acumuladas por proveedor.
• Compras por montos superiores al promedio histórico.
• Compras acumuladas por persona.
• Ruptura de la secuencia de la numeración de : las órdenes de
compra, informes de recepción y órdenes de pago

47 www.auditool.org
Jesús Aisa Díez

• Facturas de proveedores no asociadas a órdenes de compra y/o

informes de recepción
• Documentos comerciales duplicados.
• Documentos anulados en exceso.
• Relación entre notas de débito/crédito y compras por
proveedor/comprador
• Frecuencia de compra por proveedor
• Monto de compras acumulado por comprador
O bien:
• Diferencias entre la orden de compra y la factura por proveedor o
entre esta y la orden de pago.
• Proveedores con saldos inconsistentes acorde a las operaciones
registradas
• Códigos y/o nombres de proveedores repetidos
• Proveedores con datos compartidos (nombre, domicilio, cuenta
bancaria) y distinto código.
• Número de Identificación duplicados, inconsistentes o erróneos.
• Proveedores con pagos individualmente inmateriales pero
significativos en su conjunto.
• No se cancelan los comprobantes (sello pagado e intervenido).
• Facturas de varios proveedores en un mismo papel, formato y
hasta con el mismo pie de imprenta.
• Cambio de proveedor para pedidos urgentes.
• Acumulación de pedidos y hacer pedidos excesivos y en corto
plazo de entrega para beneficiar al que tiene un acuerdo especial.
Por lo que respecta a los inventarios o stocks. Los indicadores que deben
alertarnos sobre la posible existencia de irregularidades serían:
 Mermas frecuentes y no lógicas por tipo de inventario, localización,
etc.
 Movimientos de inventarios duplicados.
 Antigüedad de la mercancía en tránsito.
 Ajustes de inventario por responsable.

48 www.auditool.org
Jesús Aisa Díez

 Ajustes de inventario por proveedor.

 Ajustes negativos compensados con ajustes positivos.
 Modificaciones de los stocks mínimos de seguridad.
 Ítems en stock inmovilizados durante mucho tiempo.
 Ítems con vida útil (antes de la fecha de vencimiento) inferior a los
días establecidos.
 Programas de inventarios donde varios usuarios pueden modificar
datos.
E igualmente:
 Devoluciones por ítem/proveedor.
 ABC de rotación.
 Costo de inmovilización del stock neto del efecto de deuda con
proveedores.
 Falta de controles de ingreso de bienes para reparación.
 Falta de control en el uso de las herramientas informáticas.
 Ítems depositados en lugares de difícil acceso o inusuales que
hacen complicada su revisión.
 Identificar un mismo ítem con diferente costo unitario según la
localización.
 Ítems con variaciones de costos mayores a un porcentaje entre
períodos.
 Ítems con costo o cantidades negativas.
 En los ingresos y/o egresos no existe control de calidad.
En el apartado de Recursos humanos y Liquidación de retribuciones,
podemos comentar los siguientes:
 Pagos realizados a empleados por conceptos distintos al de
remuneraciones habituales.
 Números de Cedulas duplicados, inconsistentes o erróneos
 Empleados con datos compartidos (nombre, domicilio, Número de
Identificación) y con distinto número de documento.
 Variaciones de sueldos básicos por empleado
 Ranking de horas extras por empleado/jefe autorizante

49 www.auditool.org
Jesús Aisa Díez

 Altas y bajas de personal

 Altas de personal que fue dado de baja
 Porcentaje de adelantos de fondos sobre salarios mensuales
 Frecuencia de anticipos por empleado
 Depósitos de sueldos en cuentas bancarias a nombre de un
beneficiario distinto del empleado
 Monto de liquidaciones finales
Por lo que se refiere al proceso de Tesorería, uno de los más sensibles. Los
indicadores clásicos los podemos identificar con los siguientes:
 Cheques emitidos no asociados a órdenes de pago.
 Débitos bancarios no asociados a cheques emitidos u órdenes de
pago.
 Cheques anulados y no reemitidos.
 Cheques duplicados.
 Facturas en fotocopias sin certificación de autenticidad.
 Ruptura de la correlatividad en la numeración de los cheques.
 Débitos y créditos bancarios por transferencias inconsistentes.
 Diferencia de caja por responsable.
 Ranking de operaciones canceladas en efectivo por proveedor y
por responsable.
 Créditos bancarios por depósito, no asociados a liquidaciones de
Tesorería
 Movimiento de fondos por entidad financiera (montos operados,
operaciones promedio y cantidad de depósitos y cheques emitidos)
 Depósitos directos de clientes no asociados a recibos.
Pero también:
 Solicitudes de pago de último momento sin el suficiente respaldo
documental.
 Arreglos especiales con bancos para transacciones poco claras
(giros en descubierto, préstamos, etc.).
 No se revisan los cheques devueltos para conocer los endosos.

50 www.auditool.org
Jesús Aisa Díez

 No hay revisión independiente de las conciliaciones bancarias.

 No hay revisión independiente de la cobranza de bonos, intereses,
cupones, dividendos, etc.
 Falta de control de consistencia en rendiciones de fondos de caja.
 Inexistencia de revisión independiente de las conciliaciones
bancarias.
 Falta de revisión independiente de la cobranza de bonos, intereses,
cupones, dividendos, etc.
Al inicio del curso comentábamos que los “Fraudes” se podían subdividir en tres
grandes tipos: (i) Malversación o apropiación indebida de activos, (ii) fraude en
los Estados Financieros y (iii) Corrupción.
Vistos los indicadores o “banderas rojas” susceptibles de poder ser investigadas
correspondientes al primer grupo, la malversación de activos, pasemos ahora a
los correspondientes a los fraudes contables.
Según las Naciones Unidas son: Actos intencionales de uno o más individuos
de la administración de las Organizaciones, que da como resultado la
representación errónea de los Estados Financieros, materializados, por ejemplo,
en:
1. Ingresos ficticios (sobreestimación)
2. Diferencias temporales
3. Representaciones inapropiadas o incorrecta evaluación de:
Transacciones, Activos, Pasivos, Ingresos, Costos o Gastos.
4. Estimaciones inapropiadas de Pasivos.
5. Pasivos y Gastos Escondidos (subestimación)
6. Cambios de criterios Contables
7. Manipulación, falsificación o alteración de registros o documentos.
8. Malversación de Activos.
9. Venta o cesión de Activos Falsos.
10. Supresión u omisión de los efectos de las transacciones en los Registros
o en documentos.
11. Alteración de los Registros o Revelación de Información significativa para
mejorar el panorama financiero de la propia Organización o de otras
organizaciones ajenas.
12. Mala aplicación de Políticas Contables.

51 www.auditool.org
Jesús Aisa Díez

En el mes de Junio del año 2010, la Comisión Nacional del Mercado de Valores
(CNMV) español, difundió una publicación titulada: Control Interno de la
Información Financiera de las Sociedades Cotizadas, (pudiendo acceder a ella a
través del enlace:
http://www.cnmv.es/DocPortal/Publicaciones/Grupo/Control_interno_sciifc.pdf).
Para la CNMV el Comité de Auditoría es el órgano encargado de supervisar el
funcionamiento y eficacia del Sistema de Control Interno de la Información
Financiera, y que para que pueda realizar esta labor ha de disponer de una
función de auditoría interna que, en cumplimiento de su plan anual de actuación,
le ayude a evaluar la eficacia de dicho Sistema de Control, informándole
periódicamente de las debilidades detectadas.
Aportando la serie de indicadores que deberían ser analizados por Auditoría
interna a fin de poder emitir un diagnóstico veraz sobre la bondad del Sistema
de Control empleado, de ellos destacaríamos:
Existencia de una función específica encargada de definir y mantener
actualizadas las políticas contables (área o departamento de políticas contables),
así como para resolver dudas o conflictos derivados de su interpretación,
manteniendo una comunicación fluida con los responsables de las operaciones
en la organización.
De los 16 indicadores que se incluyen en el documento que describe el Sistema
de Control Interno de la Información Financiera, destacaríamos los siguientes:
a) La necesidad de disponer de una función específica encargada de definir
y mantener actualizadas las políticas contables (área o departamento de
políticas contables), así como resolver dudas o conflictos derivados de su
interpretación, manteniendo una comunicación fluida con los
responsables de las operaciones en la organización.
b) La existencia de un manual de políticas contables actualizado y
comunicado a las unidades a través de las que opera la entidad.
c) Disponer de mecanismos de captura y preparación de la información
financiera con formatos homogéneos, de aplicación y utilización por todas
las unidades de la entidad o del grupo, que soporten los estados
financieros principales y las notas, así como la información que se detalle
sobre el Sistema de Control Interno de la Información Financiera.
d) Una descripción del alcance de la evaluación del Sistema de Control
Interno de la Información Financiera realizada en el ejercicio y del
procedimiento por el cual el encargado de ejecutarla comunica sus
resultados, si la entidad cuenta con un plan de acción que detalle las
eventuales medidas correctoras, y si se ha considerado su impacto en la
información financiera.
e) Una descripción de las actividades de supervisión del Sistema de Control
Interno de la Información Financiera realizadas por el comité de auditoría.

52 www.auditool.org
Jesús Aisa Díez

f) Si la información remitida a los mercados respecto del Sistema de Control

Interno de la Información Financiera ha sido sometida a revisión por el
auditor externo, en cuyo caso la entidad debería incluir el informe
correspondiente. En caso contrario, debería informar de sus motivos.
Visto lo que la Normativa española ha recogido respecto del Control Interno de
las prácticas contables con incidencia en la veracidad de los estados
Financieros, que hemos de señalar que no son normas de obligado
cumplimiento, sino mejores prácticas recomendadas, a fin de conseguir una
mayor seguridad sobre la bondad de los datos difundidos, podríamos pasar a
analizar lo que, al respecto, establecen las Normas de Estados Unidos, las SAS
(Declaraciones sobre las Normas de Auditoría, en sus siglas en ingles) y la ley
Sarbanes- Oxley Act.

Lo primero que debemos señalar es que las SAS son Interpretaciones de las
Normas de Auditoría Generalmente Aceptadas, NAGA, obligatorias para los
socios del American Institute of Certified Public Accountants (AICPA. Instituto
Norteamericano de Contadores Públicos Certificados), pero que se han
convertido en un estándar internacional. Son emitidas por la Junta de Normas de
Auditoría (Auditing Standard Board ASB)

Las anteriores, dan guía a los auditores externos sobre el impacto del control
interno en la planificación y desarrollo de una auditoría de los Estados
Financieros de las empresas, presentando como objetivos de control la
información financiera, la efectividad y eficiencia de las operaciones y el
cumplimiento de regulaciones, que se desarrolla en los componentes de
ambiente de control, valoración de riesgo, actividades de control, información,
comunicación y monitoreo, de acuerdo con COSO.

53 www.auditool.org
Jesús Aisa Díez

Para los objetivos del curso comentemos el alcance de la SAS 99.

La SAS 99 es el protocolo específico para la detección de fraudes en una

auditoría financiera. Reemplaza a la número 82 sobre la misma materia, de 1997.

Aparece en octubre 2002 como respuesta a los fraudes de Enron, WorldCom,

Adelphia, y Tyco, entre otros, que no fueron evidenciados por los auditores
externos en sus informes anuales. Establece la necesidad de que los auditores
externos vigilen la inexistencia de fraudes que puedan afectar a los estados
financieros de las organizaciones.

¿Sobre qué incide? Sobre dos conceptos:

 Actitud escéptica del auditor.
 El fraude financiero, sus manifestaciones
Como hemos comentado previamente, la SAS 99 exige que los auditores
externos adopten una postura escéptica a la hora de valorar los Estados
Financieros. Esto no significa que eliminemos la “presunción de inocencia”
entendida esta en el sentido de que todo el mundo es inocente hasta que no se
demuestre lo contrario. Lo que no aconseja es que profundicemos hasta donde
sea necesario para poder descartar la existencia de fraudes en la elaboración
del Proceso Contable.
Según la real Academia de la Lengua Española, el escepticismo es la actitud
que pone en duda todo lo que se presenta a la conciencia natural como
verdadero y cierto, eliminando de este modo todo lo que sea falso. Es decir
cuestionando y dudando de todo.

54 www.auditool.org
Jesús Aisa Díez

El comentario que nos hace Groucho Marx, entendemos que expresa con
claridad lo que hay detrás de una postura escéptica.
Volviendo al fraude financiero, este se manifiesta cuando existe una información
financiera manipulada conscientemente.
En cualquier caso, la SAS 99 no solo se ocupan del fraude financiero, puesto
que también considera que pueden existir defectos en la información financiera,
tal y como vemos en el presente Slide.

La diferencia entre el Fraude y el Error, se encuentra en la intencionalidad.

55 www.auditool.org
Jesús Aisa Díez

En opinión de la SAS 99, en ambos casos, los auditores externos deben ser
capaces de obtener una seguridad razonable sobre si los estados financieros
están exentos de errores o fraudes.

Además contiene herramientas adicionales y proporciona orientaciones

específicas para ayudar a conseguir ese objetivo. Entre ellas las fases del plan
de trabajo a realizar. En concreto:

- Lluvia de ideas (Brainstorning).

- Información sobre riesgo potenciales (Obtaining risk info).

- Identificación de riesgos posibles (Identiflying risks).

- Valoración de los riesgos (Assessing risk).

- Respuesta a los riesgos (Responding to risks).

- Evaluación de evidencias (Evaluating evidence).

- Comunicación y documentación (Comunicating and documenting).

Salvo la “Lluvia de ideas” todos los demás pasos son los habituales en las
auditorías

La lluvia de ideas, es una herramienta de trabajo grupal que facilita el surgimiento

de nuevas ideas sobre un tema o problema determinado. Es una técnica de
grupo para generar ideas originales en un ambiente relajado.

56 www.auditool.org
 Jesús Aisa Díez

De entre todas las ideas, sólo algunas serán realmente válidas para el problema
o situación planteada y, aun así, seguramente éstas tendrán que volver a ser
depuradas.
Es muy importante que el grupo no sea crítico con las ideas de ningún miembro,
Para que este tipo de técnica se desarrolle de la mejor forma posible, deben
cumplirse una serie de requisitos o reglas:
 Los grupos deben ser pequeños, con un número de participantes entre 3
y 8.
 Cada miembro debe conocer y entender el problema que se está
planteando.
 Se deben aceptar todas las ideas que se emitan sin criticarlas.
 Debe existir la figura del moderador o líder del grupo.
 Se pueden emitir ideas que se apoyen en alguna ya expresada
anteriormente.
Para su aplicación es necesario respetar una serie de normas. Como por
ejemplo:
1. En primer lugar, se debe hacer una definición del problema de la forma
más clara posible, de manera que todos los miembros del grupo lo
conozcan.
2. A continuación, se lleva a cabo la fase de exposición y emisión de ideas
por parte de todos los participantes. Estas ideas deben ir registrándose
tal y como se expresen, sin olvidar ninguna
3. Posteriormente, una vez que la fase anterior ha finalizado, se reflexiona
sobre las ideas emitidas y se seleccionan las más apropiadas.
Es un trabajo de grupo, orientado a obtener lo más adecuado. En nuestro
caso la percepción de posibles fraudes.
La Ley Sarbanes- Oxleyes es la respuesta a los escándalos financieros de
algunas grandes corporaciones. Estos escándalos hicieron caer la confianza de
la opinión pública en las empresas de auditoría y contabilidad.
Es así, como la primera parte de la Ley establece una nueva agencia privada sin
ánimo de lucro, “the Public Company Accounting Oversight Board", es decir, una
compañía reguladora encargada de revisar, regular, inspeccionar y sancionar a
las empresas de auditoría. La Ley también se refiere a la independencia de las
auditoras, el gobierno corporativo y la transparencia financiera. Se considera uno
de los cambios más significativos en la legislación empresarial, desde el New
Deal de 1930.
 Sarbanes-Oxley es una obligación para las empresas cotizadas en
la Bolsa de New York.
57 www.auditool.org
Jesús Aisa Díez

 Se promulgó para aumentar la confiabilidad de los informes

financieros. ¿En qué forma?: Verificando que los controles
existentes en el proceso del reporte financiero permiten garantizar
razonablemente la “oportunidad, integridad y exactitud de los datos
financieros”.
 Impone determinadas obligaciones a los gestores en el momento
de difundir información financiera.
 Se apoya en COSO a la hora de conceptualizar el Control Interno.
 No requiere un análisis exhaustivo de todos los datos financieros,
solo los que sean materiales.
 Lo anterior permite una “racionalización de los controles”.
Los requerimientos de la Ley son múltiples, y afectan a las diversas “partes
interesadas” de la Organización, en primer lugar destacaríamos los
correspondientes a los Comités de Auditoría, los cuales vienen recogidos en la
Sección 301. Esta adscripción de responsabilidades hacía la Comisión de
Auditoría ha sido considerada universalmente como una buena práctica y
trasladada a los Códigos de Buen Gobierno de las Sociedades Cotizadas, con
independencia que no lo hagan en la Bolsa de Nueva York. Asimismo la
implantación de un canal de denuncias hacía el Comité de Auditoría también se
ha entendido como muy oportuno y eficaz.

Según la Sección 301. Los Comités de Auditoría serán los responsables del:

 Nombramiento, retribución y supervisión del Auditor Externo, incluso en la

resolución de desacuerdos entre la Gerencia y el Auditor referentes a la
información financiera.

 Establecer procedimientos para la recepción, retención y tratamiento de

reclamaciones recibidas referentes a la contabilidad del emisor, los
controles contables internos o asuntos de auditoría, que permita la
presentación confidencial y anónima de los empleados para asuntos
referentes a la contabilidad o de auditoría cuestionables.
Una de las Secciones de SOX que ha tenido gran impacto en los hábitos de
comportamiento de los miembros de la Alta Dirección de las Sociedades, es la
302, siendo esta la que tuvo un primer impacto visible hacia los reguladores, ya
que exige un pronunciamiento explícito del máximo responsable ejecutivo de la
organización (CEO, en terminología anglosajona), así como del CFO, su
responsable de finanzas, a los cuales se les exigía que certificarán que los
informes trimestrales y anual que emitieran :

58 www.auditool.org
Jesús Aisa Díez

 Personalmente habían revisado el informe

 Que según su conocimiento, el informe no contenía ninguna declaración

falsa de un hecho material, ni omitía declarar hechos materiales.

 En su opinión los Estados Financieros, y el resto de los datos incluidos en

la información difundida presentan razonablemente en todo aspecto
significativo la situación financiera y los resultados de las operaciones de
la Sociedad en el periodo que se informaba.
Pero además que Los firmantes son responsables de:

 Establecer y mantener controles internos precisos

 Haber diseñado controles internos para asegurar la bondad de la

información significativa del emisor y sus subsidiarias consolidadas

 Haber evaluado la efectividad de los controles internos antes de 90 días

a la fecha de emisión del informe.

 Revelar al Auditor Externo y al Comité de Auditoría todas las deficiencias

significativas del diseño u operación de los controles internos que
pudieran afectar el registro, procesamiento, tratamiento y reporte de los
datos financieros. También cualquier fraude, significativo o no, que
involucre a la Gerencia o empleados que desempeñen un rol importante
en los controles internos.
Estas declaraciones, siendo críticos y escépticos, podríamos pensar que esto no
dejaría de ser más que una declaración de buenas intenciones, sin ninguna
garantía real que avale lo certificado por los CEOs y CFOs.

Quizás los legisladores estadounidenses, admitiendo esta posibilidad,

incluyeron en el capítulo 9 de la ley, concretamente en lo referido a las
responsabilidades penales de quienes certifiquen en barbecho o con intención
dolosa, previendo multas hasta de 5 millones de dólares y penas de cárcel hasta
de 20 años, ambas a la vez.

Es evidente que lo que se pretende con lo establecido por la ley Sarbanes-Oxley,

según lo que ya hemos conocido de la misma, es evitar posicionamientos como
el que recogemos en el presente Slide, que entendemos responde a habituales
posturas de muchos responsable societarios, que dicho de una manera
coloquial, se justificaban señalando que si de lo dicho o informado por él, algo
no estaba bien, la responsabilidad es de otros, que para eso se les paga, pues
no es el responsable de los datos.

59 www.auditool.org
Jesús Aisa Díez

Con la implementación de la ley Sarbanes-Oxley , ya no valen excusas de este

tipo, lo cual lo entendemos como un gran avance.

Otras dos Secciones también significativas son la 404 y la 906, las cuales inciden
sobre los siguientes aspectos:

Sección 404. Evaluación de la Gerencia de los Controles internos.

 La gerencia debe emitir un informe de control interno que incluya una

evaluación, al final de cada año fiscal más reciente del emisor, sobre la
estructura del control interno y sobre los procedimientos del emisor para
la elaboración y difusión de la información financiera.

 El Auditor Externo testificará e informará sobre la evaluación realizada,

opinando sobre su suficiencia y validez.

Sección 906. Responsabilidad de la Compañía por los informes

financieros.

 Quienquiera que certifique un Estado Financiero sabiendo que no cumple

con todos los requisitos exigidos por la ley, será multado por un importe
hasta de 5 millones de dólares y/o encarcelado por no más de 20 años.

A título de resumen o conclusión, podríamos señalar que al igual que hay un

triángulo que describe las características de los fraudes, con Sarbanes-Oxley
se incide sobre los que podríamos denominar el triángulo virtuoso de la lucha
contra el fraude financiero.

El cual incluiría, como mejores prácticas a emplear las siguientes:

A. Los evaluadores, tanto internos como externos, que validen la

información deben estar debidamente capacitados, y realizar su trabajo
adoptando una postura de escepticismo profesional.

B. Es imprescindible adoptar un Proceso de Gestión de Riesgos de Fraude

basado en la mejora continua del mismo.

C. Contemplar las responsabilidades penales que correspondan.

Como vemos, salvo en el punto c), que está al margen del ámbito de actuación
de los Auditores Internos, en los otros dos, nuestro protagonismo en ellos
resulta obvio.

60 www.auditool.org
Jesús Aisa Díez

En este esfuerzo de intentar destacar los aspectos más significativos derivados

de la Ley Sarbanes-Oxley, procede detenernos un momento a los aspectos en
los que la Auditoría interna se ve afectada. Pudiendo señalar que:

Aunque es al CEO y al CFO a quienes la Ley, Secciones 302 y 404, obliga a

asumir las certificaciones sobre:( i) la veracidad de la información financiera
difundida, (ii) la eficacia del modelo de Control Interno del Reporte Financiero
(ICRF) existente, sin embargo, se observan las siguientes acciones:

1. Auditoría Interna debe colaborar en la autoevaluación del modelo

de Control Interno del Reporte Financiero, detectando sus
debilidades, carencias y recomendaciones.

2. Apoyar a la Organización en la implantación del proyecto de

adecuación de la Empresa a las exigencias de Sarbanes-Oxley,
asumiendo el papel de consultor hacía las diferentes Unidades de
la empresa afectadas por sus requerimientos.

3. Efectuar un seguimiento de los planes de acción establecidos para

superar las debilidades de Control Interno observadas.

4. Informar a la Gerencia y a la Comisión de Auditoría de la marcha

del proyecto.

5. Asumir el papel que le asigne la Comisión de Auditoría, siempre

que no signifique traslado de responsabilidades gerenciales.

Otro aspecto que no debemos olvidar es que, de acuerdo con la necesidad de

implementar modelos de gestión de riesgos de fraudes de tipo evolutivos, que
permitan ir incorporando las mejoras que se entiendan precisas en ellos.

61 www.auditool.org
Jesús Aisa Díez

Pero también por la complejidad que los propios legisladores observaron

contenían los cambios de los procedimientos de control interno, los
requerimientos de sus respectivas Secciones fue progresiva. En primer lugar
fue exigible la certificación y el compromiso del CEO y el CFO respecto del
contenido de la información difundida a los mercados, para posteriormente,
cuatro años más tarde, programar la entrada en vigor de la Sección 404 y la
Norma 2 del PCAOB. Lo que nos permitirá deducir la complejidad de los
cambios a los que deberían adaptarse las empresas cotizadas en la Bolsa de
Nueva York.

También entendemos oportuno destacar la perfecta interrelación existente

entre COSO y la Ley (Sarbanes-Oxley).

Sarbanes –Oxley cuando obliga a la existencia de un modelo de control interno

que garantice un adecuado reporte financiero, indica que este debe
implementarse con base a alguno de reconocida reputación, y cita como
ejemplo a COSO, por tanto no lo impone, pero sí lo recomienda.

Por su parte COSO a la hora de referirse a la necesidad de evaluar los riesgos,

lo hace refiriéndose a los atributos de impacto y probabilidad, aspectos que no
eran recogidos por COSO I, pero sí posteriormente por el informe II, como bien
lo conocemos.

62 www.auditool.org
Jesús Aisa Díez

Después de la descripción que hemos realizado del Sistema de Control Interno

de la Información Financiera (SCIIF) emitido en el año 2010 por la Comisión
Nacional del Mercado de Valores española, así como por el de la SEC con la
ley Sarbanes-Oxley, en el año 2002, podemos observar su idéntico objetivo: la
fiabilidad de la información financiera difundida a los mercados; pero también
el idéntico rol que se le asigna a las Unidades de Auditoría Interna, que como
hemos detallado corresponde con el de garantizar la existencia de un Sistema
de Control Interno que sancione la bondad de la información financiera. Es
decir, no replica los controles que han de efectuar los gestores, ni los auditores
externos, sino que centra su actuación en la fase preventiva, evaluando la
eficacia y oportunidad del control interno de los procesos de los que se deriva
la información financiera en su conjunto, pues difícilmente podrán las
Organizaciones defender que sus Estados Financieros responden a la imagen
fiel de la compañía, si no hay garantías de que los hechos económicos que se
trasladan a los mismos, se ajustan a su realidad y no resultan alterados, debido
a su actualidad, a su eficacia en la lucha contra los fraudes financieros, así
como su indudable orientación al ámbito preventivo, por lo cual entendemos
conveniente dedicarle una sesión del curso a describir un modelo real de
implementación de uno de estos modelos.

Para iniciar, señalaremos las generalidades del modelo que vamos a describir:

1. Se trata del caso real de una multinacional española.

2. Tiene varias líneas de negocio.

3. Su modelo de gestión es totalmente descentralizado.

63 www.auditool.org
Jesús Aisa Díez

4. Perímetro societario constituido por empresas cotizadas en

diferentes Bolsas.

5. El holding es SEC Registrant.

6. Varios equipos de auditores externos intervienen en el proceso de

atestiguamiento.

7. Implementación simultánea en varios países.

8. Por consiguiente es un caso complejo que, por su propia

característica, influyó en su desarrollo y en su costo.

Partiendo de que el sistema de control interno existente debe garantizar que

los “hechos económicos“ han sido debidamente trasladado a los Estados
Financieros, se hace recomendable disponer de tres escudos diferentes pero
complementarios: los CONTROLES GENERALES , que son los que afectan a
toda la Compañía, tanto a nivel de procesos como de personas, los
CONTROLES ESPECÍFICOS, que son los que se han establecido “ad hoc”
para reducir , o en su caso eliminar, la incidencia de los riesgos que puedan
afectar a los objetivos del proceso de que se trate, y por último la EVALUACIÓN
DEL SISTEMA DE CONTROL, es la tercera frontera y complementaria a las
dos anteriores, su fin no es solo evaluar el funcionamiento del Sistema, sino
comportarse también como una actividad detectiva que permita identificar
debilidades que puedan ser corregidas. Es el campo de actuación de las
Unidades de Auditoría Interna.

64 www.auditool.org
Jesús Aisa Díez

Los tres Controles son complementarios.

Denominamos proceso a toda sucesión de actividades realizadas de forma
consecutiva, entre las que estarán comprendidas las de control, con uno o
varios responsables de todas ellas y con un objetivo común.
Uno de los factores clave en la definición de un proceso es la identificación de
los responsables del mismo, los cuales no solo deben diseñar los controles que
deben intervenir, sino también realizar la supervisión efectiva de las actividades
realizadas.
Del universo amplísimo de los procesos existentes en la Organización,
debemos identificar aquellos que tengan impacto significativo en la información
financiera, que aunque podríamos decir, y con razón, que todos los procesos
tienen incidencia en la información financiera de la compañía, a los efectos de
la revisión de Control Interno de la Información Financiera que tratamos de
describir, se considerarán solo: (i) aquellos en los que se genere información
de origen de una transacción económica, (ii) se procese información que se
empleará para elaboración de la información financiera o (iii) que directamente
elabore información financiera.
Identificados los procesos que vuelcan información a las cuentas contables,
deberemos analizar estos de forma que observemos las actividades de control
existentes en los mismos.
Los procesos los clasificaremos en dos categoría, PROCESOS OPERATIVOS
Y PROCESOS NO OPERATIVOS, siendo operativos aquellos que están
directamente relacionados con las actividades de la Compañía. Su objetivo
principal no es la información financiera, sino cumplir los objetivos de la
Sociedad; mientras que los no operativos son los procesos de naturaleza
contable que tienen un impacto directo en la información financiera; su objetivo
es el de representar de forma transparente y fiable la información financiera
contable derivada de la actividad de la compañía (por ejemplo la provisión de
insolvencias).

65 www.auditool.org
Jesús Aisa Díez

Los procesos de una Empresa se pueden agrupar por unidades de gestión

parcialmente independientes, es decir por ciclos de negocio.
En el modelo que describimos se determinaron 10 Ciclos de Negocio: Ciclo de
Ventas; Ciclo de Gastos; Ciclo de gestión de Inversiones; Ciclo de Fabricación,
Distribución e Instalación; Ciclo de Gestión de Recursos Financieros ; Ciclo de
Gestión de Recursos Humanos; Ciclo de Gestión de Contingencias por
reclamaciones y litigios; Ciclo de Gestión Fiscal; Ciclo de Cumplimiento de
Leyes y Normas; y por último Ciclo de Gestión de la Información Financiera.
Del total de procesos definidos en el modelo se identificaron los que pudieran
tener impacto material en los estados financieros. Cada compañía, debió
identificar sus propios procesos con impacto en las cuentas incluidas en la
revisión.
Pero por último, pero no menos importante, inventariar aquellos que estuvieran
documentados.
Para poder trabajar con los procesos y sacar conclusiones sobre ellos, es
preciso que estos estén documentados de forma clara, actualizada y accesible
a los empleados. Solo así podrán realizar sus funciones de forma homogénea.
Para aceptar como válida una documentación sobre los procesos de un
Compañía, esta debería cumplir con los siguientes requisitos:
 Reflejar la realidad de las actividades actuales del proceso.

 Reflejar de forma clara y comprensible el flujo de información

financiera, pudiendo ser rastreable

 La información sobre las actividades de control debían permitir

auditarlas.

66 www.auditool.org
Jesús Aisa Díez

 Tener acceso sencillo para quienes la deben utilizar.

Si estos condicionantes se incumpliesen habría que actuar reelaborando la

información en la forma requerida, ya que no solo era necesario que los
procesos estuviesen documentados, sino que permitiesen trabajar sobre ellos.
Para que la información financiera sea confiable, se debe cumplir con los
principios de contabilidad generalmente aceptados, así como con la legislación
aplicable. Según dichos principios para que una información financiera sea
válida debe reunir estos 5 requisitos:

 Comprensible por las personas a las que va dirigida.

 Relevante, es decir debe ser significativa.

 Fiable, que no contenga errores importantes.

 Comparable, pues debe ser consistente en el tiempo y presentada bajo

criterios homogéneos

 Oportuna, que se presente respetando los plazos legalmente

establecidos, evitando desfases importantes.

Con base al modelo de riesgos existente, se identificaron aquellos riesgos

que tuvieran un componente financiero. Es decir que afectasen a alguno
de estos 5 componentes

En el modelo descrito, del total de 50 riesgos definidos en él, se

identificaron 31 que tenían impacto en los estados financieros.

Como ya hemos comentado, la seguridad del Reporte Financiero de cualquier

Compañía dependerá de que lo sea el de los epígrafes que tengan una
determinada significación en la valoración que terceros puedan hacerse de los
datos facilitados.
Un error de un determinado porcentaje en una cuenta no trascendente del
Balance, no representa lo mismo que ese mismo error en una cuenta con una
elevada participación en determinada masa patrimonial, por ello, y con el fin de
evitar esfuerzos innecesarios, en línea con lo ya expuesto, y a fin de poder
racionalizar el esfuerzo que requiere atender los requerimientos de SOX,
hemos de ser selectivos y reconocer las cuentas que sean importantes, para
analizar su proceso de actualización, prescindiendo de aquellas otras que son
meramente marginales por su importancia.
La propia ley SOX reconoce que una evaluación del Control Interno del Reporte
Financiero (ICRF) será suficiente si ha analizado más de un determinado
porcentaje de las cuentas del balance. (COMPROBAR SU EXACTITUD)

67 www.auditool.org
Jesús Aisa Díez

En el modelo que estamos describiendo, al tratarse de una multinacional que

consolida las contabilidades de las diferentes empresas que integran su
perímetro societario, con presencia en diferentes países, con culturas de control
distintas, con líneas de negocios también distintas, y con diferentes estilos
gerenciales, entre otros, se hizo preciso que desde el origen se determinase el
grado de impacto que las cuentas a consolidar pudieran tener en el resultado
final agregado del Grupo. Es decir, el riesgo de incidir en la distorsión de la
información elaborada.
El riesgo en origen de cada cuenta dependerá de los factores ya conocidos,
probabilidad e impacto.
El impacto es el saldo de la cuenta, mientras que la probabilidad de error
dependerá de los entornos país, línea de negocio, sociedad y características
de la propia cuenta que estemos analizando.
Para la determinación del riesgo inherente final de cada cuenta vendrá
determinado por la consideración de los siguientes aspectos:
Riesgo Cuenta contable: Riesgo inherente al concepto registrado en cada
epígrafe, consensuado con el CFO corporativo.

Riesgo contable país de la sociedad: Se han considerado los siguientes

factores:

• Claridad y transparencia en las prácticas contables.

• Grado de implicación con las políticas y procedimientos

establecidos.

• Entorno legal y regulatorio.

Riesgo de la línea de negocio de la sociedad: La evaluación se realizó

considerando el riesgo de error en el reporting financiero inherente a cada línea
de negocio. Teniendo en consideración aspectos tales como la madurez de la
línea de negocio (experiencia en la aplicación de prácticas contables
generalmente aceptadas); el riesgo de las operaciones; la complejidad de la
legislación contable, aplicable para cada una de las líneas de negocio; así
como otros factores intrínsecos a la línea de negocio que se consideren
significativos.

Riesgo del grado de control interno de la sociedad: Se evaluó en base a la

puntuación de los cuestionarios de autoevaluación, preparados para el
cumplimiento de la Sección 404 de la ley SOX.

68 www.auditool.org
Jesús Aisa Díez

En el desarrollo del modelo se emplearon tres herramientas de evaluación del

Sistema de Control Interno del Reporte Financiero (ICFR), que se aplicaron en
función de la tipología de los controles, así como del nivel de riesgo de los
procesos o actividades a evaluar:

Auditoría Interna supervisa directamente la

Modelo General de suficiencia de los controles implantados, su diseño y
Evaluació
Evaluación su correcto funcionamiento.
.

Los principales responsables del ICFR, realizan una

autoevaluación de los controles implantados en su
compañía.
Cuestionarios Auditoría Interna realiza comprobaciones
muestrales de la correcta cumplimentación de los
cuestionarios.

Para determinados controles generales será

Pruebas enfocadas necesario diseñar y efect uar pruebas para evidenciar
su funcionamiento, dada la importancia de estos
controles.

Casi al inicio del curso relacionábamos las distintas formas que puede adoptar
el fraude de acuerdo con la visión de la Asociación de Examinadores
Certificados de Fraude, que recordemos eran: La malversación o apropiación
indebida de activos; los fraudes en los estados financieros, y por último la
corrupción, entendiendo que esta sucede cuando un empleado ejerce
indebidamente su influencia en una transacción comercial, de modo que viola
su deber para con el empleador a fin de obtener un beneficio directo o indirecto.

Es obvio que la Asociación de Examinadores Certificados de Fraude se estaba

refiriendo a la corrupción privada, no a la corrupción en el sector público, ni a la
política. Lo cual encaja en el ámbito en el que estamos desarrollando el
contenido del material que estamos compartiendo, y al que nos vamos a referir
también en lo sucesivo.

En un sentido amplio la corrupción la podríamos considerar como la acción y

efecto de dar o recibir algo de valor para que alguien haga (o deje de hacer)
algo, burlando una regla formal o implícita acerca de lo que se debe hacer, en
beneficio del que da ese algo de valor o de un tercero.
Soborno. Cuando la iniciativa la toma quien efectúa el pago. Algunos ejemplos
podrían ser: una compensación económica por un motivo determinado, el
porcentaje del valor de una operación comercial, un pago mensual por concepto
de consultoría mientras el contrato esté en vigencia, entre otros.

69 www.auditool.org
Jesús Aisa Díez

Extorsión. Cuando la iniciativa la toma quien recibe el pago, sea de forma

explícita o no. Ejemplo: una empresa es amenazada con la divulgación de
información confidencial a cambio de una compensación económica.
Abuso de pagos, regalos y favores. Un punto difícil de medir, ya que es una
forma más sutil que utilizar dinero, pudiendo confundirse u ocultarse como un
detalle legítimo de agradecimiento que muchas veces se ofrece abiertamente
en el transcurso de la actividad comercial con el fin de fomentar buenas
relaciones y marcar ocasiones especiales. Sin embargo, también pueden
catalogarse como corrupción según el contexto y la intención con la que se
realizan; por ejemplo, si se trata de un regalo costoso o lujoso brindado con la
intención deliberada de obtener una mayor ventaja comercial y hasta quizás
allanando el camino para siguientes regalos o favores futuros.
Pagos de facilitación. Al ser una forma de corrupción, los pagos de facilitación
son ilegales en muchos países. Pueden ser pagos exigidos por proveedores de
servicios con el fin de garantizar o “facilitar” los servicios a los que la empresa
tiene derecho, o bien pagos realizados por la empresa para “acelerar”, por
ejemplo, la realización de un pedido, orden o entrega de bienes, el pago de una
factura o concesión de permisos, entre otros tantos.
Aunque no observable a primera vista, incurrir en actuaciones corruptas es una
estrategia equivocada, porque la ventaja competitiva que puede adquirir la
empresa corrupta es poco sostenible y muy costosa a medio y largo plazo.
Una conducta que puede ser económicamente rentable cuando se practica por
primera vez, deja de serlo cuando se repite y hay que llevar a cabo prácticas
corruptas de forma habitual; el mantenimiento de este tipo de acciones es
crecientemente costoso y los “beneficios” recibidos a corto plazo no son
suficientes para cubrir las necesidades económicas de la empresa a medio o
largo plazo.
En consecuencia, a pesar de estos “beneficios” a corto plazo, no debe ignorarse
que la corrupción es un obstáculo para el desarrollo y crecimiento empresarial
y que sus consecuencias reales se vislumbrarán en un futuro cercano, así como
el que estas repercutirán en la economía nacional e incluso el plano mundial.
Descuidar las ventajas duraderas, basadas en calidad, innovación o calidad del
servicio, para pasarse a canales mucho más endebles, suele ser síntoma de
falta de calidad en la dirección.
Una empresa que funciona a base de prácticas corruptas, es una empresa que
no tiene control de sí misma, y no es socialmente responsable.
Estaremos ante una empresa socialmente responsable, cuando esta realice los
negocios basados en principios éticos y apegados al cumplimiento de la Ley.
La base de la responsabilidad social está en la concepción de la empresa como
un ente que actúa con base a criterios éticos de comportamientos. La empresa
(no el empresario) asume su rol ante la sociedad y el entorno en el que opera.

70 www.auditool.org
Jesús Aisa Díez

En la actualidad las iniciativas empresariales de lucha contra la corrupción

están vinculadas a dos grandes caminos:
 El próximo a los principios y valores morales, derivado a una actitud
por convicción, como el vinculado a la responsabilidad social
empresarial
 Y otro más pragmático relacionado con los costos derivados de
penas legales y pérdidas económicas, que estaría más próximo a
una medida por coerción, por ejemplo, una respuesta ante el riesgo
de que aparezcan investigadores para analizar denuncias por
corrupción.
Lo deseable es que adoptemos las medidas contra-corrupción por nuestro
convencimiento de que ser permisivos con este tipo de fraude va en contra de
la ética de los negocios.
La corrupción corporativa es un grave problema que requiere atención especial
y ser tomado muy en serio por las empresas debido a sus altos costos
financieros, que ponen en peligro la rentabilidad de las empresas y su
continuidad, generar costos importantes y riesgos difíciles de medir y manejar,
así como ineficiencia en la gestión o multas, entre otros.
Pero además conlleva riesgos legales, como acusaciones, sanciones, juicios;
institucionales, como el deterioro de la reputación, la creación de una atmósfera
corrupta o la ruptura de la confianza interna; y éticos, como deterioro de la
calidad ética y moral de los empleados y directivos de la organización, y de sus
principios y cultura.
Además, impacta negativamente en el ámbito social, al reducir el crecimiento,
la inversión y la eficiencia económica, deteriora la distribución de la renta y
deslegitima al Estado, a la economía de mercado y a la democracia.
Por todo ello se hace preciso que procedamos a:
 Conducir la actividad comercial de forma justa, honesta y
transparente.
 No pagar ni ofrecer sobornos, ya sea directa o indirectamente, para
conseguir ventajas comerciales.
 No aceptar sobornos, tanto directa como indirectamente, para
conceder ventajas comerciales.
 Desarrollar un programa para implementar y respaldar estos
principios.
La ONG Transparencia Internacional ha lanzado un decálogo para combatir los
casos de corrupción en el sector privado.

71 www.auditool.org
Jesús Aisa Díez

La prevención de la corrupción desde la empresa permitirá también avanzar

hacia una nueva cultura empresarial que recupere el valor de la integridad, que
se traducirá en resultados rentables a largo plazo. Para ello se precisará.
1. Cumplimiento de los Principios de Buen Gobierno Corporativo.

2. Implementación en la Empresa de un Código Ético.

3. Implementación de Programas de cumplimiento normativo.

4. Implementación de canales de denuncias para la comunicación de

posibles incumplimientos de las normas internas de la empresa y/o de
las normas legales.

5. Información pública de las retribuciones de los directivos y

administradores.

6. Información pública de las contrataciones con el sector público e

información de las actividades subvencionadas con ayudas públicas.

7. Información pública de las políticas de Responsabilidad Social

Corporativa.

8. Evitar prácticas de favorecimiento y corrupción en el sector privado.

9. Evitar prácticas de corrupción de funcionarios extranjeros en las

transacciones internacionales.

10. Cumplimiento de las obligaciones fiscales.

Estando claros los requerimientos que se entienden necesarios con los que
mejorar la lucha contra la corrupción, los cuales todos ellos se ubican en el
apartado correspondiente al Gobierno Corporativo de las Sociedades, Auditoría
Interna tendrá varios objetivos claros que cumplir:
 En primer lugar que las Sociedades incluyan en sus respectivos
Códigos de Buen Gobierno los 10 puntos que hemos recogido en
el slide anterior.
 En segundo lugar, si estos puntos no estuvieran recogidos en su
totalidad, proponer a la Comisión de Auditoría que valore la
necesidad de incluir aquellos que falten.
 Verificar que la Organización atiende las exigencias que se derivan
de los puntos anteriores, incluyendo su supervisión en el Plan
Anual de Auditoría.
 Denunciar al Comité de Auditoría las debilidades que se hayan
podido observar en los procesos de auditoría abiertos.

72 www.auditool.org
Jesús Aisa Díez

A título de recopilatorio y resumen de lo tratado en el curso, podemos señalar

que el fraude es, hoy en día, uno de los riesgos más importantes que afectan a
las organizaciones, que en épocas de crisis la probabilidad de ocurrencia se
incrementa, y que tiene un alcance universal, estando presente en cualquier
país y actividad empresarial, por lo que puede considerarse una amenaza
globalizada.
Es por ello que las organizaciones deben abordar, dentro de sus Sistemas de
Gestión de Riesgos los procesos específicos para combatir el fraude.
Incidiendo, como mejor práctica, debido a su mayor eficacia y eficiencia, los
controles de índole preventiva, que es la modalidad de actuación en la que
Auditoría Interna se encuentra en su campo de actuación, dejando la fase
detectiva a la denominada Auditoría Forense; todo ello sin olvidar que:
 La responsabilidad primordial para la prevención, detección e
investigación de fraude recae en la Gerencia como parte
responsable de establecer un control interno que sea suficiente y
satisfactorio.
 La Auditoría Interna proporciona una actividad consultiva
independiente, objetiva con certeza por medio de evaluaciones
sistemáticas y analiza, agrega valor, mejora operaciones y
reconoce la necesidad de vincular riesgos y controles relacionados
para el logro de objetivos.
 Se requiere que los Auditores Internos cumplan con los Estándares
Profesionales en el ejercicio de sus funciones y que tengan el
conocimiento suficiente para identificar fraudes.
 Los Auditores Internos están bien posicionados en la detección de
fraude debido a que:
 Se encuentran en la organización tiempo completo.
 Contribuyen en toda la gobernabilidad corporativa.
 Los Auditores Internos deben actualizarse continuamente
en el desarrollo de controles internos efectivos.
 Conocen en detalle el negocio en el que trabajan.
 Inciden sobre aspectos con los que mejorar la prevención.

73 www.auditool.org