Planeamiento del Trabajo

Evaluando el Riesgo de Fraude

 Practice Guide / Engagement Planning: Assessing Fraud Risks

Contenido
Resumen ejecutivo ..............................................................................................................................3
Introducción ........................................................................................................................................4
Comprendiendo el fraude ...................................................................................................................5
Reuniendo información ......................................................................................................................6
Evaluaciones e investigaciones previas ..........................................................................................7
Mecanismos formales de presentación de informes y entrevistas ..................................................7
Revisión preliminar del entorno de control ....................................................................................8
Investigaciones externas y especializadas ......................................................................................9
Lluvia de ideas sobre escenarios de fraude ......................................................................................10
Evaluar los riesgos de fraude ............................................................................................................11
Identificando controles .................................................................................................................14
Apéndice A. Normas y orientación del IIA ......................................................................................15
Apéndice B. Glosario....................................................................................................................16
Apéndice C. Ejemplos de actos fraudulentos ...................................................................................17
Apéndice D. Posibles bandera roja (en palabras) a considerar ........................................................18
Apéndice E. Caso de Estudio: Trabajo sobre aseguramiento de desembolsos de efectivo ..............19

2
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Resumen ejecutivo

El fraude puede interrumpir las operaciones, presentar riesgos de cumplimiento, manchar la

reputación de una organización y costar a una organización y sus partes interesadas una cantidad
sustancial de dinero. Si bien la administración, con supervisión del Directorio, tiene la
responsabilidad principal de establecer y monitorear controles efectivos para disuadir y detectar
fraudes, la actividad de auditoría interna debe evaluar el riesgo de fraude, de acuerdo con los
Normas Internacionales para la Práctica Profesional de Auditoría Interna. Además, el Director
Ejecutivo de Auditoría (CAE, por sus siglas en inglés) debe informar sobre cuestiones importantes
de riesgo y control, incluido el fraude, a la alta gerencia y a el Directorio (Norma 2060 - Informes
a la Alta Dirección y el Directorio).

Las Normas requieren que la actividad de auditoría interna evalúe los riesgos de fraude a nivel
organizativo y por cada trabajo de auditoría. Para garantizar una revisión adecuada de los riesgos
relevantes para cada trabajo, los auditores internos deben realizar una evaluación de riesgo de
fraude como parte de la planificación del proyecto (Norma 2210.A1). Con el tiempo, el
conocimiento que la actividad de auditoría interna obtiene durante los trabajos programados se
puede compilar en una evaluación de riesgo de fraude más sólida y completa en toda la
organización.

Esta guía práctica describe las características del fraude y el proceso de identificación y evaluación
de los riesgos de fraude durante la planificación del proyecto. El proceso exacto de incorporación
de una evaluación de riesgo de fraude en la planificación del trabajo puede variar según las
necesidades de cada organización, la actividad de auditoría interna y el trabajo de auditoría. Sin
embargo, el proceso generalmente incluye los siguientes pasos:

• Recopilar información para comprender el propósito y el contexto del trabajo de auditoría,

así como el gobierno, la gestión del riesgo y los controles relevantes para el área o proceso
bajo revisión.
• Hacer una lluvia de ideas sobre escenarios de fraude para identificar posibles riesgos de
fraude.
• Evaluar los riesgos de fraude identificados para determinar qué riesgos requieren una
evaluación adicional durante la planificación del trabajo.

3
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Introducción

La actividad de auditoría interna es responsable de evaluar los procesos de gestión de riesgos de la

organización y su eficacia, incluida la evaluación de los riesgos de fraude y cómo son gestionados
por la organización (2120.A2). Sin embargo, evaluar el potencial de ocurrencia de fraude al
planificar cada trabajo es importante porque pueden surgir nuevos riesgos de fraude en cualquier
momento. Por lo tanto, los auditores internos deben considerar la probabilidad de fraude cuando
desarrollan los objetivos de cada trabajo de auditoría. (Norma 2210.A2).

Realizar una evaluación de riesgo de fraude al inicio de un trabajo permite a los auditores internos
descubrir los riesgos de fraude que pueden no haber estado presentes cuando se realizó la última
actualización de la evaluación de riesgos de la organización. Además, los riesgos de fraude que
pueden ser insignificantes a nivel organizacional pueden alcanzar importancia en un área o proceso
individual.

Si bien los auditores internos deben tener el conocimiento suficiente para evaluar el riesgo de
fraude y cómo lo gestiona la organización, no se espera que tengan la experiencia de una persona
cuya principal responsabilidad es detectar e investigar el fraude (Norma 1210.A2). Al evaluar los
riesgos de fraude, se espera que los auditores internos ejerzan la debida atención profesional
(Norma 1220.A1) y mantengan una actitud imparcial y objetiva (Norma 1120 - Objetividad
Individual). Los auditores internos también exhiben escepticismo profesional -una actitud
inquisitiva, libre de prejuicios o suposiciones sobre la honestidad inherente de la gerencia o los
empleados- porque permite una evaluación objetiva y crítica del proceso bajo revisión.

Esta guía práctica proporciona una breve descripción de las características del fraude, seguida de
una descripción de cómo evaluar los riesgos de fraude como parte de la planificación del trabajo.
La guía describe cómo recopilar información, realizar una lluvia de ideas sobre escenarios de
fraude, identificar los riesgos de fraude y calificar su importancia para determinar qué riesgos de
fraude deberían evaluarse más durante el trabajo de auditoría.

4
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Comprendiendo el fraude

Si bien existen muchas definiciones, el IIA define el fraude como "cualquier acto ilegal
caracterizado por engaño, ocultamiento o violación de la confianza". La definición captura la
característica que lo hace único entre los riesgos: la intención. Los actos fraudulentos involucran a
personas que pretenden eludir controles o explotar debilidades en la organización. La definición
del IIA también señala que "los fraudes se perpetran para obtener dinero, propiedad o servicios;
para evitar el pago o la pérdida de servicios; o para asegurar una ventaja personal o comercial”.

Debido a que las leyes varían, la legalidad de un acto fraudulento puede ser cuestionable. Por
ejemplo, una organización multinacional con sede en un país donde un acto es ilegal puede realizar
negocios en otros países donde el mismo acto no viola las leyes locales. Sin importar las
distinciones legales, el propósito de una evaluación de riesgo de fraude es identificar el potencial
para la presencia de abuso de confianza, explotación de debilidades y elusión de los controles.

Tres factores están constantemente presentes cuando las personas cometen fraude: presión o
incentivo, oportunidad percibida y racionalización1.

Presión o incentivo - necesidad real o percibida que proporciona una razón o motivo, como por
ejemplo:

• La necesidad de alcanzar objetivos de desempeño organizacional o metas financieras.

• Problemas o factores estresantes externos (por ejemplo, problemas financieros, problemas
de salud o adicciones).
• El deseo de obtener poder, influencia o estima a los ojos de familiares, amigos, colegas o
directivos (por ejemplo, piratas informáticos que cometen fraude, con la intención de
mostrar sus capacidades en lugar de causar daño).

Oportunidad - Una combinación de circunstancias o condiciones que permiten que se produzca

un fraude, como por ejemplo:

• Diseño deficiente del control, falta de controles, seguridad insuficiente o segregación de

tareas u otras circunstancias que pueden permitir una falla de control.
• Un nivel de confianza, autoridad, conocimiento y / o acceso a los procesos de control que
permite al personal eludir o anular los controles existentes.
• Supervisión, capacitación o comunicación inadecuada con respecto a las políticas de
conducta profesional y las consecuencias de las violaciones.

1
Cressey, D.R. “The Criminal Violation of Financial Trust,” American Sociological Review, 15, no. 6 (1950): 738-743.

5
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Racionalización - una justificación inventada, convincente y plausible, como por ejemplo:

• Sentimientos de titularidad debido al compromiso organizacional (por ejemplo, antigüedad,

exceso de horas no remuneradas trabajadas o desempeño no recompensado).
• La creencia de que las acciones son aceptables porque "otros probablemente también lo
hagan".
• La creencia de que las acciones son aceptables porque son culturalmente comunes o se
consideraron aceptables en organizaciones anteriores.
• La creencia de que las políticas y procedimientos no tienen sentido o no están justificados.
• Razonar que las acciones son temporales y / o un evento de una sola vez (por ejemplo,
"pedir prestado dinero y devolverlo" o "solo esta vez").
• La creencia de que la acción no genera víctimas o es tan insignificante que nadie lo notaría
y / o le preocuparía.

De los tres factores, la oportunidad es la única que las organizaciones pueden controlar
directamente. La gerencia puede diseñar controles internos para tratar de prevenir oportunidades
de fraude y detectar actividades fraudulentas si estas ocurren.

Los auditores internos deben tener en cuenta que aquellos que participan en actividades
fraudulentas pueden racionalizar el fraude no solo para su propio beneficio, sino también para el
beneficio de su organización o una persona u organización externa. El fraude cometido para
beneficiar a la organización generalmente se ejecuta explotando la oportunidad de obtener una
ventaja injusta o deshonesta a través del engaño de un tercero. Sin embargo, incluso cuando los
empleados usan dicha racionalización, típicamente reciben un beneficio personal indirecto, como
el logro de un objetivo de rendimiento, una recompensa financiera y / o una promoción. El
Apéndice C enumera ejemplos de actos fraudulentos y cómo se racionalizan.

Reuniendo información

Para identificar los riesgos de fraude en el área o proceso bajo revisión, los auditores internos
deben comprender la organización y el contexto más amplio en el que opera (es decir, entornos
legales, políticos, sociales, económicos, de mercado, industriales y culturales). Además, los
auditores internos deben comprender los objetivos estratégicos y operativos de la organización y
cómo se alinean con los objetivos del área o proceso en revisión (Norma 2200 - Planificación del
trabajo).

Para lograr esta idea, los auditores internos deben buscar información de una variedad de fuentes,
que incluyen:

• Evaluaciones e investigaciones previas.

• Mecanismos formales de presentación de informes y entrevistas.
• Una revisión preliminar del entorno de control.
• Investigaciones externas y especializadas.

6
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Al recopilar información para desarrollar la evaluación del riesgo de fraude de un trabajo, el papel
de la actividad de auditoría interna es evaluar los riesgos de fraude relevantes para un trabajo, en
lugar de investigar un posible fraude. Por lo tanto, los auditores internos deben comunicarse
discretamente, mantener la confidencialidad y evitar expresar sospechas o acusaciones de fraude.
Una comunicación descuidada podría interrumpir una investigación potencial e introducir
innecesariamente riesgos legales y de reputación no deseados.

Evaluaciones e investigaciones previas

La evaluación de riesgos de toda la organización, que documenta los riesgos importantes
identificados a nivel organizacional y forma la base del plan anual de auditoría interna (Norma
2010.A1), es un buen punto de partida para identificar riesgos que podrían ser relevantes para el
área o proceso bajo revisión. Las evaluaciones centradas solo en los riesgos de fraude, ya sea en
toda la organización o limitados al área o proceso bajo revisión, también pueden ser fuentes de
información útiles. Los auditores internos deben revisar las evaluaciones de riesgos relevantes y
las investigaciones de fraude realizadas por la administración del área bajo revisión y otros
proveedores de servicios de aseguramiento y consultoría, tanto internos como externos. Para ser
eficientes, los auditores internos generalmente solo consideran evaluaciones recientes.

Aunque las evaluaciones e investigaciones previas pueden proporcionar información valiosa, la

importancia de los riesgos de fraude puede verse afectada por muchos factores y puede cambiar
rápidamente. Por lo tanto, la realización de una evaluación preliminar de los riesgos de fraude para
cada proyecto es esencial para la efectiva planificación del trabajo.

Mecanismos formales de presentación de informes y entrevistas

El personal de una organización puede proporcionar información útil sobre los riesgos de fraude.
De hecho, la Asociación de Examinadores de Fraude Certificados (ACFE) informa que
independientemente del tamaño o tipo de organización, o de si existe un mecanismo de informe
formal, el personal es la fuente de más del 50 por ciento de los consejos de fraude, la forma más
común de detectar fraude2. Cabe destacar que la actividad de auditoría interna se identificó como
el segundo método más común de detección de fraude.

Muchas organizaciones han establecido mecanismos formales (por ejemplo, líneas directas de
denuncias, formularios en línea o envíos de correos electrónicos) para facilitar el reporte de
sospechas de actos fraudulentos y debilidades de control interno que podrían exponer a la
organización al riesgo de fraude. Las preocupaciones comúnmente reportadas incluyen valuación
de activos a criterio propio, abuso de autoridad, apropiación indebida de activos, colusión y otros
comportamientos no éticos o sospechosos. Si existe un mecanismo formal de denuncia de fraude,
los auditores internos pueden solicitarle a la (s) persona (s) responsable (s) de su administración
que brinden acceso a cualquier información pertinente al área o proceso bajo revisión, tales como
llamadas grabadas o declaraciones documentadas.

2
Association of Certified Fraud Examiners, 2016 Report to the Nations on Occupational Fraud and Abuse (Austin, TX:
Association of Certified Fraud Examiners, 2016), 20-25, http://www.acfe.com/rttn2016.aspx (accessed October 31, 2017).

7
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Para obtener una idea de las actividades fraudulentas del pasado que han sido denunciadas,
descubiertas y / o investigadas, los auditores internos suelen consultar al personal de la
organización responsable de gestionar los riesgos, acusaciones y sucesos relacionados con el
fraude. Dicho personal puede incluir asesoría legal, recursos humanos, funcionarios de ética,
oficiales de riesgo y cumplimiento, seguridad y administración de riesgos de fraude.

Además, entrevistar al personal de todos los Frases – Potenciales Banderas Rojas

niveles en el área o proceso bajo revisión
puede arrojar información valiosa que de
otro modo no estaría disponible. Las
personas que realizan las tareas y funciones
diarias del área o proceso a menudo
proporcionan la descripción más precisa y
actualizada de cómo funcionan realmente el
proceso y los controles relevantes, en
comparación con la forma en que se
pretende que funcionen. Comprender las
operaciones reales puede revelar varias
formas en que se pueden eludir los
controles. Para identificar a los
entrevistados, los auditores internos pueden
referirse a un organigrama que contiene los
roles y responsabilidades del personal en el
área bajo revisión o un mapa de procesos
con una lista de controles clave (ya sea
Ciertas frases utilizadas por los entrevistados
pueden indicar posibles deficiencias de control
y / o riesgos de fraude:
"De manera alternativa ..."
"Solo por esta vez ..."
"Siempre lo he hecho de esta manera".
"De vez en cuando nosotros ..."
"Fuera del registro …"
"No hay políticas o procedimientos para este
proceso".
"Alguien me dijo que lo hiciera de esta
manera; sin embargo, no estoy seguro de por
qué”.
"Así es como se hace realmente".
"La forma en que se supone que funciona ..."
El Apéndice D enumera posibles palabras de bandera roja.

provista por la administración o creada por

la actividad de auditoría interna).

Revisión preliminar del entorno de control

Los mecanismos formales de presentación de informes y las entrevistas a menudo exponen
cuestiones relacionadas con el entorno de control de la organización que podrían conducir al
fraude. Se pueden descubrir banderas rojas adicionales mediante una revisión de los elementos del
entorno de control, como la estructura y los valores éticos de la organización, así como la filosofía
y el estilo operativo de la administración. Una evaluación del entorno de control debe incluir la
evaluación de la madurez del entorno de control y la efectividad de los controles relevantes. La
evaluación puede revelar posibles factores conductuales y / o presiones que podrían llevar a los
empleados a racionalizar la comisión de fraude. Por ejemplo, el personal puede expresar
preocupación por las presiones de desempeño o las preocupaciones de los objetivos poco realistas
que las personas podrían utilizar para justificar un comportamiento fraudulento. Para obtener una
idea de las presiones potenciales, los auditores internos deben identificar los objetivos y las
medidas de rendimiento (es decir, los indicadores clave de rendimiento) y los incentivos
relacionados en el área bajo revisión.

8
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Debido a que los auditores internos tienen una visión

holística de la organización y su entorno de control, Posibles banderas rojas
pueden tomar conciencia de los cambios culturales en la
organización a lo largo del tiempo. Los cambios Asuntos Gerenciales:
culturales podrían aumentar la probabilidad de que el Falta de experiencia en el área
fraude pueda ocurrir y pasar desapercibido. A nivel de Falta de supervisión
Historial de violaciones legales
cada trabajo los auditores internos pueden estar más
cerca que la alta gerencia (y otros que manejan los
Problemas de personal:
riesgos de fraude en toda la organización) de las Falta de verificación de antecedentes
operaciones, sistemas y personal detallados del área o Empleados insatisfechos
proceso bajo revisión. Por lo tanto, es vital que los Falta de voluntad para compartir deberes
auditores internos estén atentos a las palabras o acciones
del personal que puedan indicar debilidades en el Problemas del proceso:
entorno de control. Si se sospecha de debilidades en el Deberes no segregados
entorno de control, el supervisor del trabajo debe Pobre seguridad física
comunicar la información al Director Ejecutivo de Pobres controles de acceso
Auditoría (DEA), ya que el problema puede exceder el
alcance del proyecto. La Guía práctica IIA "Auditoría
del entorno de control" cubre este tema en mayor
detalle.

Investigaciones externas y especializadas

Los auditores internos no están obligados a tener la experiencia de un investigador especializado
en fraudes. Sin embargo, deben tener los conocimientos suficientes para evaluar el riesgo de
fraude y la forma en que la organización lo administra (Norma 1210.A2). Los auditores internos
pueden obtener ese conocimiento investigando fraudes que han ocurrido en organizaciones o
industrias similares y estudiando tendencias de fraude. Además, los auditores internos pueden usar
puntos de referencia para comparar las prácticas de gestión del riesgo de fraude de la organización
y el área bajo revisión con aquellas de organizaciones comparables y / o más maduras. El
conocimiento también se puede adquirir leyendo publicaciones relevantes, manteniéndose al día
con los cambios en las reglamentaciones y asistiendo a conferencias y capacitaciones. Las
organizaciones profesionales relevantes a menudo proporcionan tales herramientas e información,
así como también estándares profesionales.

El DEA debe garantizar que la actividad de auditoría interna posea u obtenga colectivamente las
competencias necesarias para cumplir sus responsabilidades (Norma 1210 - Competencia) y debe
obtener asesoramiento y asistencia competentes si los auditores internos carecen de las
competencias necesarias para realizar todo o parte del trabajo (Norma 1210.A1). Además de
proporcionar oportunidades de capacitación y tutoría para el personal de auditoría interna, el DEA
puede solicitar apoyo de especialistas con conocimiento de la industria o áreas o procesos
funcionales específicos. Al realizar una lluvia de ideas sobre escenarios de fraude o realizar un
trabajo que incluya riesgos de fraude, los auditores internos pueden consultar con dichos
especialistas según sea necesario.

9
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Lluvia de ideas sobre escenarios de fraude

Con base en la información recopilada, los auditores internos pueden comenzar a contemplar
posibles escenarios de fraude y riesgos de fraude relevantes para el área o proceso bajo revisión.
La lluvia de ideas para identificar escenarios de fraude es una forma efectiva de determinar las
características y circunstancias exclusivas del área o proceso específico bajo revisión que pueden
generar oportunidades e incentivos para el fraude.

La necesidad de sesiones de lluvia de ideas, la Participantes potenciales de una

complejidad de las sesiones y los participantes sesión de lluvia de ideas
involucrados varían de un proyecto a otro,
dependiendo de las necesidades de la actividad •Contabilidad y Finanzas.
de auditoría interna, la organización y el •Auditoría Interna.
proyecto, así como del conocimiento del área o •Legal y Cumplimiento.
proceso por parte de los auditores internos bajo •Operaciones.
•Dueños del proceso.
revisión. Para lograr una lista exhaustiva de
•Alta Gerencia.
escenarios de fraude, los auditores internos •Otros proveedores del servicio de
deben intercambiar ideas con personas diversas aseguramiento.
en cuanto a su conocimiento, perspectiva y
relación con el área o proceso bajo revisión.

En una sesión de lluvia de ideas sobre riesgos de fraude, los participantes deben considerar
posibles presiones y oportunidades para cometer fraude en el área o proceso en revisión. Los
participantes también deben considerar escenarios de fraude que involucren amenazas de TI
internas y externas, como el acceso para anular las configuraciones del sistema, lo que podría
permitir transacciones fraudulentas y / o robo de información confidencial de la organización.

La sesión de lluvia de ideas tiene como objetivo fomentar la participación abierta y el intercambio
de pensamientos e ideas sin inhibiciones. Por lo tanto, al revisar los escenarios de fraude que se
han propuesto, los auditores internos deben reconocer que algunos posibles riesgos de fraude
pueden ser altamente improbables, no estar bien alineados con los objetivos del trabajo o estar más
allá del alcance y la asignación de recursos del proyecto actual.

La información recopilada durante las sesiones de lluvia de ideas podría usarse para desarrollar
una lista de escenarios de fraude y riesgos de fraude en cualquier área o proceso auditable. Para
ilustrar, la Figura 1 presenta los escenarios de fraude y los riesgos correspondientes que podrían
identificarse durante una sesión de lluvia de ideas para un proyecto de aseguramiento de cuentas
por pagar. El Apéndice E muestra una evaluación de riesgo de fraude en un proyecto de proceso de
desembolsos de efectivo.

10
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Figura 1 : Lluvia de Ideas de Escenario de Fraudes

Escenario de fraude Riesgo de Fraude

A.1. Las tarjetas corporativas se emiten intencionalmente de forma

inadecuada, lo que resulta en gastos fraudulentos.

A. Gastos ficticios de A.2. Los gastos enviados por servicios o bienes en realidad no se
personal proporcionan a la organización.

A.3. Múltiples reembolsos de gastos asociados a un mismo gasto.

B.1. Creación de proveedores ficticios en el sistema, generan pagos

fraudulentos.
B. Desembolsos
fraudulentos.
B.2. Se procesan reembolsos falsos.

C.1. Omisión intencional de gastos por malas deudas.

C. Pasivos y gastos
ocultos
C.2. Gastos capitalizados.

D. Transacciones con D.1. Una parte relacionada recibe beneficios que no se hubieran
partes relacionados obtenido en condiciones de igualdad.

E.1. El personal paga los gastos personales con fondos de la

E. Malversación
organización y falsifica los registros financieros para cubrirlo.

Evaluar los riesgos de fraude

Debido a que cada trabajo de auditoría no puede cubrir todos los riesgos, los auditores internos
evalúan la importancia de los riesgos de fraude que se identificaron durante la lluvia de ideas para
determinar qué riesgos se deben evaluar más durante el trabajo. Una forma efectiva de realizar y
documentar la evaluación del riesgo de fraude es crear una matriz de riesgos de fraude que liste los
escenarios de fraude y los riesgos relevantes y luego ampliar la matriz para incluir medidas de
importancia.

Se puede crear una matriz de riesgos de fraude usando una hoja de cálculo o documento similar,
con o sin un programa de software de auditoría. El formato de la matriz puede variar, pero
generalmente incluye una fila para cada riesgo y una columna para cada medida de riesgo, como el
impacto y la probabilidad.

11
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

La Figura 2 muestra cómo los escenarios de fraude documentados en la Figura 1 podrían ampliarse
para incluir las clasificaciones de riesgo de impacto y probabilidad.

Evaluar el impacto Figura 2: Matriz de Riesgo de Fraude para cuentas por pagar
puede ser complicado
Escenario de Impacto Probabilidad
porque involucra fraude
Riesgo de Fraude (B,M.A) (B,M.A)
factores tanto A.1. Las tarjetas corporativas se emiten
cuantitativos como intencionalmente de forma inadecuada, lo que B M
cualitativos. Los resulta en gastos fraudulentos.
A.2. Los gastos enviados por servicios o bienes
auditores internos A. Gastos ficticios de
en realidad no se proporcionan a la A M
deberían tener en cuenta personal organización.
no solo el impacto A.3. Múltiples reembolsos de gastos asociados
M A
financiero, operativo y a un mismo gasto.
normativo de los
B.1. Creación de proveedores ficticios en el
posibles riesgos de sistema, generan pagos fraudulentos.
A A
fraude, sino también los B. Desembolsos
fraudulentos.
impactos no financieros, B.2. Se procesan reembolsos falsos. B A
como el daño a la
reputación de la
C.1. Omisión intencional de gastos por malas
organización o las deudas.
A B
relaciones con clientes o C. Pasivos y gastos
proveedores. Por ocultos
ejemplo, un riesgo de C.2. Gastos capitalizados. A B
fraude con un impacto
financiero inmaterial D.1. Una parte relacionada recibe beneficios
D. Transacciones con
que no se hubieran obtenido en condiciones de M M
directo en la partes relacionados
igualdad.
organización podría E.1. El personal paga los gastos personales con
afectar su reputación y, E. Malversación fondos de la organización y falsifica los M M
por lo tanto, puede registros financieros para cubrirlo.

clasificarse como de alto impacto.

Los factores a considerar cuando se evalúa la probabilidad incluyen denuncias o casos de fraude en
el pasado, frecuencia de fraudes similares en la industria y la complejidad y la cantidad de
personas involucradas en el proceso.

Las calificaciones de riesgo de la matriz de riesgo de fraude se pueden representar en un gráfico

básico, como un mapa de calor. Al trazar el impacto de cada riesgo en un eje y su probabilidad en
el otro eje, los auditores internos describen claramente la importancia o prioridad general del
riesgo. Típicamente, la importancia combinada del impacto y la probabilidad se indica mediante
un sistema de color: el rojo denota las prioridades más altas, el naranja denota los riesgos que son
lo suficientemente significativos como para justificar la consideración, y el amarillo denota los
riesgos que no son significativos.

12
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

La Figura 3 muestra un mapa de calor creado a

Figura 3: Mapa de Calor
partir de la información en la matriz de riesgo
de fraude presentada en la Figura 2. El mapa de B.2 A.3 B.1

Alto
calor debe incluirse en los trabajos porque

Probabilidad
respalda las decisiones de los auditores internos
sobre la importancia del riesgo.

Medio
A.1 D.1 A.2

E.1

Una limitación de los mapas de calor es que el

impacto y la probabilidad parecen ser C.1

Bajo
igualmente importantes. Si bien esa C.2
equivalencia puede ser cierta a veces, el
impacto generalmente tiene prioridad sobre la
Bajo Medio Alto
probabilidad. Por ejemplo, en la mayoría de los
casos, un riesgo calificado de alto impacto y
baja probabilidad (A, B) debe tener prioridad Impacto
sobre un riesgo considerado de bajo impacto,
incluso si la probabilidad de que
ocurra es alta (B, A). Figura 4: Riesgos de Fraude significativos
Impacto Probabilidad
Una limitación adicional de los Riesgo de Fraude (B,M.A) (B,M.A)
mapas de calor es que solo se
B.1. Creación de proveedores ficticios en el
pueden considerar dos medidas a A A
sistema, generan pagos fraudulentos.
la vez (en este caso, impacto y A.2. Los gastos enviados por servicios o bienes
probabilidad). Puede ser deseable en realidad no se proporcionan a la A M
organización.
o necesario considerar también
medidas tales como la velocidad, A.3. Múltiples reembolsos de gastos asociados
M A
a un mismo gasto.
la vulnerabilidad, la volatilidad, la
interdependencia y / o la C.1. Omisión intencional de gastos por malas
A B
deudas.
correlación cuando se determina
la importancia del riesgo.
C.2. Gastos capitalizados. A B
Con base en el mapa de calor
D.1. Una parte relacionada recibe beneficios
completo, los auditores internos
que no se hubieran obtenido en condiciones de M M
pueden visualizar fácilmente los igualdad.
riesgos de fraude significativos E.1. El personal paga los gastos personales con
que deberían incluirse en el fondos de la organización y falsifica los M M
proyecto para realizar más registros financieros para cubrirlo.

pruebas. La Figura 4 muestra la

matriz de riesgo de fraude ajustada para reflejar sólo los riesgos de fraude priorizados en el
ejemplo de cuentas por pagar.

Los auditores internos pueden proporcionar a la administración los riesgos de fraude identificados
para que sean considerados en la evaluación de riesgos de toda la organización. Los riesgos de

13
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

fraude que no se seleccionen para una evaluación adicional durante este trabajo de auditoría se
pueden transferir al inventario de riesgos de fraude de auditoría interna, o lista de vigilancia, a ser
considerados en futuros proyectos.

Si la información descubierta durante la evaluación del riesgo de fraude indica un acto

potencialmente fraudulento, los auditores internos deben seguir los protocolos establecidos para
denunciar internamente e investigar denuncias de fraude. Típicamente, los auditores internos
informan la preocupación y la evidencia preliminar al DEA, quien luego decide si el problema
necesita ser escalado a la Alta Gerencia y / o al Directorio.

Identificando controles
Después que los auditores internos hayan considerado los escenarios de fraude y hayan
identificado y priorizado los riesgos de fraude, deberían determinar qué controles, en su caso,
existen para mitigar esos riesgos.

La Figura 5 representa la
Figura 5: Riesgos de Fraude y Matriz de cuentas por pagar
expansión de la matriz de la
Impacto Probabilidad
Figura 4 para incluir los Riesgo de Fraude (B,M.A) (B,M.A)
Control
controles existentes.
B.1. Creación de proveedores ficticios en Segregación de funciones en la
A A
Al igual que el mapa de calor, el sistema, generan pagos fraudulentos. gestión de proveedores.

la matriz de riesgo y control del A.2. Los gastos enviados por servicios o Confirmación de recepción de
bienes en realidad no se proporcionan a la A M
fraude debe incluirse en los organización.
bienes y servicios.
documentos del trabajo de Controles automáticos para
A.3. Múltiples reembolsos de gastos
auditoría. La información de la asociados a un mismo gasto. M A detectar envios de gastos
duplicados.
matriz luego se incorpora en la Monitoreo regular y aprobación
C.1. Omisión intencional de gastos por
evaluación preliminar de malas deudas.
A B o cálculos de gastos de la deuda
riesgos utilizada para establecer incobrable.
Revisión y aprobación de la
los objetivos y el alcance del C.2. Gastos capitalizados. A B gerencia para el cálculo de los
trabajo. La Guía de práctica IIA gastos de la deuda incobrable.
"Planificación del trabajo: D.1. Una parte relacionada recibe Debida diligencia para
Establecimiento de objetivos y beneficios que no se hubieran obtenido en M M transacciones de partes
condiciones de igualdad. relacionadas.
alcance" proporciona
Segregación de funciones en
información detallada sobre la E.1. El personal paga los gastos personales
cuentas por pagar y aprobación
con fondos de la organización y falsifica M M
construcción de la evaluación los registros financieros para cubrirlo.
administrativa requerida para
gastos de personal
de riesgos para desarrollar los
objetivos y el alcance del trabajo. Además, el mapa de calor de riesgo de fraude y la matriz de
riesgo y control respaldarán los resultados y conclusiones del proyecto, de conformidad con la
Norma 2330- Documentación de la información.

14
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Apéndice A. Normas y orientación del IIA

Normas relevantes de IIA

Las siguientes Normas Internacionales para la Práctica Profesional de Auditoría Interna del IIA
son relevantes para la Planificación del Trabajo: Evaluación de Riesgos de Fraude. Por favor
refiérase a las normas para un completo entendimiento. Para ayudar con la implementación de las
normas, el IIA recomienda que los auditores internos consulten la respectiva Guía de
Implementación de cada norma.

1210 - Competencia

1210.A1

1210.A2

1220 - Debido cuidado profesional

1220.A1

2120 - Gestión de riesgos

2120.A2

2200 - Planificación del trabajo

2210 - Objetivos del trabajo

2210.A1

2210.A2

Guías relacionadas

Guía de práctica, "Auditoría del entorno de control".

Guía de práctica, "Planificación del trabajo: establecimiento de objetivos y alcance".

Guía de práctica, "Auditoría interna y fraude".

15
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Apéndice B. Glosario

Los términos identificados con un asterisco (*) están tomados del "Glosario" del Marco
Internacional para la Práctica Profesional de Auditoría Interna, edición 2017.

Control*: cualquier medida tomada por la gerencia, el Directorio y otras partes para gestionar el
riesgo y aumentar la probabilidad de que se logren los objetivos y metas establecidas. La gerencia
planifica, organiza y dirige el desempeño de acciones suficientes para proporcionar una garantía
razonable de que se alcanzarán los objetivos y las metas.

Entorno de control* - La actitud y las acciones del Directorio y la alta gerencia con respecto a la
importancia del control dentro de la organización. El entorno de control proporciona la disciplina y
la estructura para el logro de los objetivos principales del sistema de control interno. El entorno de
control incluye los siguientes elementos:

• Integridad y valores éticos.

• La filosofía de la administración y el estilo de operación.
• Estructura organizativa.
• Asignación de autoridad y responsabilidad.
• Políticas y prácticas de recursos humanos.
• Competencia del personal.

Fraude*: cualquier acto ilegal caracterizado por engaño, ocultamiento o violación de la confianza.
Estos actos no dependen de la amenaza de la violencia o la fuerza física. Los fraudes son
perpetrados por las partes y las organizaciones para obtener dinero, propiedades o servicios; para
evitar pagos o pérdidas o servicios; o para asegurar una ventaja personal o comercial.

Riesgo* - La posibilidad de que ocurra un evento que tendrá un impacto negativo en el logro de
los objetivos. El riesgo se mide en términos de impacto y probabilidad.

16
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Apéndice C. Ejemplos de actos fraudulentos

Los siguientes ejemplos de actos fraudulentos no comprenden una lista exhaustiva o priorizada. En
cambio, se proporcionan para estimular el conocimiento de posibles riesgos de fraude
categorizados por tipo de racionalización.

Los ejemplos de fraude cometidos para el beneficio directo de un individuo incluyen:

• Desvío intencional de ingresos a un empleado, parte interesada o parte externa que

normalmente generaría ganancias para la organización.
• Malversación (por ejemplo, apropiación indebida de dinero o propiedad, y falsificación de
registros financieros para encubrir el acto).
• Espionaje, incluida la investigación y el desarrollo.
• Ocultación intencional o tergiversación de eventos, transacciones o datos.
• Reclamos presentados por servicios o bienes que en realidad no se proporcionan a la
organización.
• Falta intencional de actuar cuando la organización o la ley lo requieren.
• Uso no autorizado o ilegal de información confidencial o de propiedad exclusiva.
• Manipulación no autorizada o ilegal de redes de TI o sistemas operativos.
• Robo.
• Aceptación de sobornos.

Los ejemplos de fraude que benefician directamente a la organización incluyen:

• Tergiversación de datos financieros o no financieros, incluida la valoración de

transacciones, activos, pasivos, ingresos o datos estadísticos (particularmente en fusiones y
adquisiciones).
• Precios de transferencia (es decir, la valoración de los bienes intercambiados entre
organizaciones relacionadas) que permiten a la administración mejorar los resultados en
detrimento de las organizaciones competidoras.
• Actividades vinculadas por las cuales una de las partes recibe algún beneficio que no puede
obtenerse en una transacción en condiciones de plena competencia.
• Falta de registrar o divulgar información significativa con exactitud o completamente, que
puede presentar una representación mejorada, pero falsa, de la organización a terceros.
• Venta o asignación de activos ficticios o tergiversados.
• Falta intencional de actuar cuando la organización o la ley lo requieren.
• Errores materiales intencionales en las finanzas u otras actividades de cumplimiento para
mejorar el precio de las acciones, obtener una ventaja competitiva o reducir impuestos
adeudados o multas adeudadas.
• Actividades comerciales que violan los estatutos, regulaciones o contratos del gobierno.
• Contribuciones políticas ilegales, sobornos proporcionados a clientes o proveedores, o a
funcionarios gubernamentales o sus intermediarios.

17
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Apéndice D. Posibles bandera roja (en palabras) a considerar

La siguiente tabla proporciona ejemplos de elecciones de palabras del entrevistado que pueden
elevar el escepticismo del auditor interno en ciertas circunstancias o contextos, lo que justifica una
investigación adicional.

Posibles bandera roja (en palabras) a considerar

Agresivo Fuerza Redistribuir

Anticipado Fragmentado Reservas

Asumo Freelance Revisar

Desafiante Interpretación Arriesgado

Complejo Problema Situacional

Máscara /
Preocupación Suavizado
Enmascarado
Creativo Disidente A veces

Amortiguar Modificar Subjetivo

Depende Nueva forma A medida

Enfoque diferente No es seguro Temporal

Difícil Fuera del registro Transición

Desconectar Anular Incierto

Evolucionando Posiblemente Poco convencional

18
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Apéndice E. Caso de Estudio: Trabajo sobre aseguramiento de desembolsos

de efectivo

El siguiente caso de estudio ilustra cómo se pueden identificar y documentar los riesgos de fraude
al planificar un trabajo de aseguramiento del proceso de desembolsos de efectivo. El estudio de
caso no cubre todos los riesgos de fraude en un proceso real de desembolsos de efectivo y no está
destinado a ser utilizado como una plantilla o programa de evaluación de riesgos. Como las
características de cada organización son diferentes, también lo son sus riesgos de fraude.

Reuniendo información

Al planificar el trabajo de aseguramiento de los desembolsos de efectivo, los auditores internos

reunieron la siguiente información:

• No hay registro de evaluaciones o investigaciones previas internas o externas.

• Los empleados que tienen la capacidad de actualizar la información del proveedor en el
archivo maestro de proveedores también tienen la capacidad de procesar pagos en el
sistema.
• Varios empleados tienen acceso de super usuario a las funciones de cuentas por pagar:
administrar el archivo maestro de proveedores, crear facturas, anular la aprobación de
facturas y actualizar la información de pago.
• El flujograma de aprobaciones se aplica de forma inconsistente y se invalida con frecuencia
en el sistema.
• Las revisiones y aprobaciones de desembolsos se ejecutan de forma inconsistente.
• Los ingresos disminuyeron significativamente con respecto al año anterior, mientras que
los gastos operativos aumentaron inesperadamente en el mismo período.
• Las bonificaciones solo se otorgan si se cumplen los objetivos financieros.
• Las entrevistas con el personal de recursos humanos revelaron que el supervisor de cuentas
por pagar fue acusado de relaciones indebidas con empleados en su línea de reporte.
• El supervisor es bastante amigable y confía en el personal de cuentas por pagar.

19
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Lluvia de ideas sobre escenarios de fraude

Los auditores internos documentaron la siguiente información durante las sesiones de lluvia de
ideas sobre escenarios de fraude.

Factores de Escenarios de fraude

fraude
Se otorgan bonificaciones sustanciales si se alcanzan los objetivos
financieros.
Algunos empleados están preocupados por la limitada posibilidad para
ascender y / o temen perder su trabajo.
Presión
Las bonificaciones podrían no pagarse este año.

Recientemente, un empleado se jactó con sus compañeros de trabajo sobre

su estilo de vida lujoso.

Los deberes no están segregados adecuadamente.

Las relaciones entre los empleados y la administración pueden ser

inapropiadas. Un empleado tiene una relación particularmente estrecha con
su gerente.
Oportunidad
Varios empleados comparten el acceso de inicio de sesión del administrador,
y los datos de procesamiento de pagos y la información bancaria pueden ser
modificados por los empleados con acceso de administrador.
El archivo principal del proveedor puede ser actualizado por todos los
empleados, y el sistema no rastrea el historial de cambios.
Los empleados pueden percibir favoritismo y sentirse pasados por alto y
resentidos.
Los empleados pueden percibir que la gerencia fomenta un negativo “tone at
Racionalización
the top”.

El comportamiento incorrecto parece ser algo común.

20
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Evaluar los riesgos de fraude e identificar los controles

Los auditores internos crearon la siguiente matriz de control y riesgo de fraude para incluirla en el plan del
proyecto de auditoría.
Escenario de
Riesgo de Fraude
Fraude
A.1 Proveedores ficticios
se registran en el sistema,
lo que puede resultar en
pagos fraudulentos
A. Proveedores
A.2 Las direcciones de los
no
proveedores se
aprobados
reemplazan por las
direcciones de los
empleados; o la
información de pago se
cambia a cuentas
bancarias de empleados
B.1 Procesamiento de
reembolsos ficticios para
B. Pagos el pago
incorrectos B.2 Aprobaciones de
facturas ficticias o
duplicadas que se anulan
en el Sistema.
Impacto Likelihood
Control
(B,M,A) (B,M,A)
- Segregación de funciones
- Revisión periódica del
A A
archivo principal del
proveedor
- Se requiere aprobación
de la administración para
actualizaciones de
M M direcciones de
proveedores y
transferencia electrónica
de fondos.
- Se requiere la aprobación
M M de la gerencia para los
desembolsos
- Se requiere la aprobación
A A
de la administración antes
de poder procesar el pago

C.1 Colusión entre el

C. Colusión supervisor y el empleado A M - Ninguno
para evitar los controles
existentes

Incorporación de resultados en el plan de trabajo

Después de crear la matriz de riesgo y control del fraude, los auditores internos incorporaron la
evaluación del riesgo de fraude y los hallazgos preliminares en el plan de trabajo de aseguramiento
de los desembolsos de efectivo, junto con las siguientes notas:

• Revise el archivo principal del proveedor con nombres y direcciones para verificar si hay
proveedores duplicados.
• Revise nombres de proveedores similares con diferentes direcciones y / o información de
pago.
• Verifique las direcciones de los proveedores y la información bancaria para ver si coinciden
con los datos de los empleados.
• Busque direcciones de proveedores que parezcan ser residenciales.
• Revise el historial de facturas y los montos de pago correspondientes para buscar números
de factura duplicados o pagos repetidos.
• Recorra el proceso de pago y busque problemas de segregación de funciones con respecto a
las aprobaciones.

21
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Autores/Colaboradores

Equipo de Desarrolladores de Guías

Glenn Ho, CIA, CRMA, Sur África (Presidente)

Doug Hileman, CRMA, CPEA, Estados Unidos (Jefe de Proyecto)
Caroline Glynn, CIA, Estados Unidos
John Mickevice, CIA, CRMA, Estados Unidos
Daniel Samson, CIA, Estados Unidos

Contribuidores a la Guía Global

Awad Elkarim Mohamed Ahmed, CIA, CCSA, CFSA, CGAP, CRMA, Emiratos Arabes Unidos
Elastos Chimwanda, CIA, Zimbabwe
Dana Lawrence, CIA, CFSA, CRMA, Estados Unidos
Barry Smit, CIA, Sur Africa
Dr. Gokhan Sungun, CIA, CCSA, CRMA, Estados Unidos
Oliver Sznitkies, Francia

IIA Global Estándares y Guía

Christine Hovious, CIA, CRMA, Director (Jefe de Proyecto)

Lisa Hirtzinger, CIA, QIAL, CCSA, CRMA, Vice Presidente
Debi Roth, CIA, Gerente a cargo
Lauressa Nelson, Escritor técnico
Christina Brune, Escritor tecnico

El IIA desea agradecer a los siguientes órganos de supervisión por su apoyo: Comité de
Desarrollo de Orientación, Consejo Asesor de Orientación Profesional, Junta de Normas
Internacionales de Auditoría Interna, Comité de Responsabilidad y Ética Profesional y
Consejo de Supervisión del Marco de Prácticas Profesionales Internacionales.

22
The Institute of Internal Auditors Global
 Practice Guide / Engagement Planning: Assessing Fraud Risks

Acerca del Instituto

El Instituto de Auditores Internos (The Institute of Internal Auditors o IIA) es una asociación profesional internacional,
fundada en 1941, con sede mundial en Altamonte Springs, Florida, Estados Unidos. El IIA se constituye como la voz
global de la profesión, autoridad líder reconocida y principal defensor y educador de la auditoría interna. Para más
información, visite www.globaliia.org o www.theiia.org.

Acerca de la Guía Complementaria

La Guía Complementaria forma parte del Marco Internacional para la Práctica Profesional (MIPP) del IIA y ofrece
orientación complementaria recomendada (no obligatoria) para llevar a cabo actividades de auditoría interna. Si bien es un
complemento de las Normas, la Guía Complementaria no pretende constituirse como un eslabón directo para lograr
conformidad con las Normas. Su finalidad, en cambio, es el abordaje de áreas temáticas y cuestiones específicas de cada
sector, e incluye procesos y procedimientos detallados. Esta guía fue refrendada por el IIA mediante procesos formales de
revisión y aprobación.

Guías para la Práctica

Las Guías para la Práctica constituyen un tipo de Guía Complementaria que ofrece orientación detallada para
llevar a cabo actividades de auditoría interna. Incluyen procesos y procedimientos detallados, como
herramientas y técnicas, programas, así como enfoques paso a paso y ejemplos de entregables. Como parte de
la Guía del MIPP, se recomienda guardar conformidad con las Guías para la Práctica (no obligatorio). Las
Guías para la Práctica fueron refrendadas por el IIA mediante procesos formales de revisión y aprobación.

Una Guía de Auditoría de Tecnología Global (GTAG) es un tipo de Guía para la Práctica redactada en
lenguaje de negocios claro y directo para abordar cuestiones oportunas relativas a la gestión de
tecnología de la información, control o seguridad.

Para acceder a otros materiales de orientación autoritativos suministrados por el IIA,

visite nuestro sitio webwww.globaliia.org/standards-guidance o www.theiia.org/guidance.

Descargo de responsabilidad
El IIA publica el presente documento con fines informativos y educativos, y no pretende brindar una respuesta
categórica a los interrogantes individuales y específicos. En este sentido, su única finalidad es servir de guía. El IIA
recomienda solicitar siempre asesoramiento de expertos independientes relacionado específicamente a cualquier
situación específica. El IIA no toma ninguna responsabilidad por quien tome estas orientaciones como su única fuente
confiable.

Derechos de autor
Copyright ® 2017 The Institute of Internal Auditors, Inc. Todos los derechos reservados. La traducción al español de este
documento fue autorizada por The Institute of Internal Auditors, Inc. y fue realizada por:

O Fundación Latinoamericana de Auditores Internos (FLAI); traductores: Álvaro Andaluz y Katherine Román

O Carlos Ibáñez, CIA revisor.

Para solicitar permiso de reproducción, escríbanos a.guidance@theiia.org

Octubre 2017

23
The Institute of Internal Auditors Global