M I A I A.

[Octubre/2015]

Modelo Integrado de
Auditoría Interna Auditool

Módulo 11 – La actividad de auditoría interna y el

riesgo de fraude
www.auditool.org
MIAIA

11. LA ACTIVIDAD DE AUDITORÍA INTERNA Y EL RIESGO DE FRAUDE

En la actualidad, como ya hemos comentado, una de las características que mejor pueden
definir la actividad empresarial es su globalización, pues las nuevas tecnologías han
permitido romper las barreras de las distancias, y la interconexión existente entre las
distintas economías nacionales es prácticamente total, por lo que ahora es totalmente cierto
aquel dicho que oíamos hace tiempo de que Cuando Estados Unidos “se resfría” el resto del
mundo “ya estornuda”. Con la salvedad de que ya no es solo Estados Unidos el posible
causante de los estornudos, puesto que la interdependencia entre las diferentes economías
es multilateral.

Otra de las manifestaciones de la globalización en la que nos encontramos es la que nos

conduce a la universalización de determinados riesgos. Entre estos está, y de forma muy
destacada, el de los fraudes, el cual es visible, en mayor o menor medida, en TODAS las
economías, sectores económicos y procesos. Es por ello que las organizaciones deben
implementar en forma profesionalizada procedimientos antifraude que sirvan como una clara
señal emitida por la alta gerencia, para tratar de neutralizar las amenazas que les afectan.

Este es el objetivo que perseguimos con el apartado que ahora iniciamos, pero enfocado
fundamentalmente en la actividad a desarrollar por la función de auditoría interna.

El fraude, como hemos comentado, es un fenómeno universal, no es único, ni idéntico en

todos los ambientes en los que se manifiesta, y se puede presentar de distintas formas, a
las cuales queremos dedicar la necesaria atención, a fin de que podamos identificar los
factores que puedan propiciarlos, así como también aclarar los distintos roles que deben
desempeñar los protagonistas que participan en su erradicación, entre los que destacamos
la labor a efectuar por los auditores internos y la de los auditores forenses. Para ello,
creemos que un contenido adecuado podría ser el siguiente:

1. Debatir sobre el fenómeno de los fraudes, sus modalidades y estimar el impacto de las
mismas en las organizaciones empresariales; reconocer el perfil habitual de sus
causantes, y los factores que lo posibilitan.
2. Conocer y diferenciar los roles que deben realizar los auditores forenses y los
auditores internos en el ámbito de actuación de los riesgos de fraude. Así,
promovemos la necesaria coordinación de actuaciones entre ambos.
3. Destacar el valor y recomendar el empleo de las actuaciones preventivas a realizar por
la función de auditoría interna.
4. Conocer los pronunciamientos de las instituciones internacionales de mayor prestigio
en esta materia, a saber: COSO, Instituto de Auditores Internos, Securities and
Exchange Commission de Estados Unidos, Associations of Certified Fraud Examiners,
American Institute of Certified Public Accountants,
5. Recomendar determinados indicadores de riesgo de fraudes (Banderas rojas).
6. Conocer las actuaciones específicas incorporadas en el Sistema de Control Interno de
la Información Financiera, Ley Sarbanes-Oxley.
7. Hacer referencia a y comentar una aplicación práctica real.

Para comenzar, entendemos conveniente señalar que la palabra fraude procede del vocablo
latino FRAUDEM, que significa hacer algo de mala fe. También incluye el fraude la
falsificación intencional de un hecho con objeto de que la persona engañada actúe de una
manera determinada. El fraude es una acción generadora de beneficios materiales y su
MIAIA

control se ubica en la acción organizacional o el tratamiento judicial.

Para las organizaciones especializadas ya citadas, en sus definiciones de fraude lo que se

destaca es la finalidad de los mismos: el aprovechamiento o beneficio de determinadas
personas o instituciones.

El fraude está instalado en nuestra vida cotidiana e instituido en nuestras sociedades, y

forma parte de nuestra cultura. Para ello, existen unos factores socioculturales de carácter
permanente, que corresponden al ambiente social, y otros factores circunstanciales, que
corresponden al entorno y al momento.

Pero independientemente de los factores socioculturales a los que hemos hecho referencia,
debemos reconocer que estos elementos se verán potenciados si las circunstancias que
concurran en los entornos en los que se desenvuelvan las amenazas de los fraudes se ven
potenciadas o favorecidas, como por ejemplo las condiciones de trabajo en las que se
desarrolle la actividad, tales como:

• Externalización de actividades. Por el alejamiento entre los procesos productivos o

administrativos desarrollados en culturas empresariales diferentes.
• Inseguridad laboral. Disminución de la fidelidad de los empleados con la
organización.
• Deterioro de la calidad de los servicios. Pérdida de autoestima y reputación
empresarial.
• Elevación de la morosidad. Peligro de continuidad de la empresa.
• Nuevos servicios. Desconocimiento en detalle de los procesos empleados, debilidad
de los controles.
• Desorden administrativo. Carencia de custodia de documentos.
• Eliminación de rutinas y controles básicos. Pérdidas de eficacia en los controles.
• Implantación de nuevos procesos sin adecuado contraste. Improvisación y
carencias de controles verificados.

Se puede observar que, en todos estos supuestos, se podría producir un incremento de los
factores del riesgo de fraude, consecuencia del deterioro de la cultura de control, la falta de
compromiso de la Alta Dirección, controles básicos deficientes, permisividad a las prácticas
corruptas.

Respecto a las formas que puede adoptar el fraude, la clasificación más habitual es la de
considerar los siguientes dos tipos:

• Fraude Interno u Ocupacional: es el realizado por algún empleado de la sociedad

para obtener beneficios para la organización (alteración de los EEFF, comisiones,
influencias, fijación de precios de transferencia premeditados e irregulares, sobornos,
pagos impropios, falta de calidad de los productos, valoración irregular de
transacciones) o en su propio beneficio (aceptación de sobornos o comisiones, fraude
en pagos/cobros, desfalco, robo de activos de la empresa, aprovechamiento propio de
oportunidades para la empresa, uso no autorizado de activos, ocultación o falsificación
de hechos o datos).
MIAIA

• Fraude Externo: el realizado por terceros ajenos a la empresa y que afectan sus
intereses (robo de secretos comerciales, fondos, inventarios u otros activos de la
empresa, adquisición de productos defectuosos, exceso de facturación, comisión a
terceros).

En cualquier caso, es comúnmente aceptado que para que se pueda producir un fraude
interno en una empresa deben de cumplirse tres circunstancias, requisitos o condiciones
previas, las cuales forman lo que se denomina “triángulo del fraude“. Estas condiciones son:

Saber: el defraudador conoce los procedimientos administrativos, por lo general los utiliza
frecuentemente en su trabajo y sabe de sus debilidades, de sus descontroles y disfunciones,
conoce también las consecuencias y ganancias que le puede reportar su acción, e intuye
aquellos resquicios por los que puede actuar sin dejar huella. Así, se verifica que existe la
oportunidad.

Poder: el defraudador sabe de los controles que se realizan a posteriori las pistas no se
siguen, las verificaciones que no se realizan, los vacíos de control, la falta de conciliaciones
de resultados, poca integridad de algún tipo de información en donde la inconsistencia pasa
desapercibida. Además, es difícil que detecten ciertas actuaciones y mucho más difícil que
se descubran al autor. Así, lo racionaliza y tiene capacidad para actuar.

Querer: se tiene voluntad de hacerlo. Las circunstancias sociales, las personales, el medio
cultural, los malos ejemplos, el deficiente ambiente de trabajo, su escasa formación moral,
su lamentable sentido de la responsabilidad, de la ética, del pudor, de la fidelidad, y su mala
conciencia se lo permiten y lo justifican. Se beneficiará de ello.

Figura 67. Triángulo del fraude

Estas circunstancias son las que han posibilitado que podamos referirnos también al
triángulo del fraude por sus tres atributos: OPORTUNIDAD, RACIONALIZACIÓN e
INCENTIVO. A estos últimamente se ha añadido un cuarto factor, la CAPACIDAD de
actuación, dando origen al denominado actualmente diamante del fraude.
MIAIA

Las “oportunidades” pueden ser ocasionadas por múltiples situaciones, tales como la
inexistencia de controles que prevengan o detecten comportamientos fraudulentos, la
inhabilidad para juzgar la calidad del desempeño, a que los perpetradores no sean
castigados o disciplinados; a la falta de acceso a la información en poder de perpetrador o
silos de la empresa; a ignorancia, apatía o incapacidad (edad, lenguaje, vulnerabilidad)¸o a
la inexistencia de un adecuado control interno.

La “racionalización” se puede producir interiorizando aspectos como los siguientes:

• La organización me lo debe.
• Es solo un préstamo, lo voy a pagar.
• Nadie sale perjudicado.
• Merezco más de lo que gano.
• Es por un buen propósito.
• Arreglamos los libros cuando mejore la situación.
• La empresa tiene mucha plata.
• Solo por esta vez, no lo vuelvo a hacer.

En cuanto al “incentivo” este estará representado por el beneficio que se espera obtener.

Y por último la “capacidad”, es decir, lo puedo hacer, tengo los conocimientos necesarios
para ello.

Una vez conocidos los factores que determinan la probabilidad de ocurrencia de los riesgos
de fraudes resulta evidente que, como sucede con cualquier otro riesgo, la forma de reducir
su posibilidad de ocurrencia es actuando sobre los factores que lo propician.

En nuestro caso, por tanto, tendremos que buscar las medidas para reducir el quiero, el sé y
el puedo. Para lograr esto una forma eficaz de actuar sería la siguiente:

1. Contra el Saber la solución estaría en la integridad de los procesos y la rotación de

personal.
Para ello, implementemos procedimientos seguros y adecuados, repasando
periódicamente sus posibles indefiniciones y vacíos de control. Esto supone un estudio
profundo de criterios de riesgo, eficacia y costo, y propicia la rotación de personas
para evitar el excesivo conocimiento de controles, aunque es difícil buscar el adecuado
equilibrio.
2. Contra el Poder deberíamos pensar en actuaciones del tipo segregación de funciones,
revisión y autorización. Realizando verificaciones constantes y frecuentes por los
responsables de línea y los órganos de control interno. Así mismo, incorporando
adecuadas segregación de funciones aunque supongan algún incremento de recursos.
Conciliaciones realizadas por terceras personas.
3. Contra el Querer incrementando la fidelidad de los empleados, su cultura, integración
y revisando los niveles retributivos. También promoviendo códigos de conducta,
ambiente de trabajo, integración en la empresa, política de remuneraciones,
seguimiento de actividades del personal que trabaja en procesos sensibles. Tenemos
que prestar atención especial a los procesos de subcontratación, dado que hay que
extremar el cuidado y vigilancia del personal de servicios contratados, pues se trata de
personal ajeno, con libre acceso, con facilidad de movimientos, con conocimientos,
MIAIA

con empleo precario, sin responsabilidad directa y en cuya formación y selección no

participa la empresa contratante. Además, con dependencia jerárquica y salarial
también ajenas, fuera de nuestro alcance y control. La contratación de servicios
externos para las áreas críticas es un riesgo empresarial importante.

De acuerdo con lo expuesto, la probabilidad del fraude, que podríamos identificar con la
superficie del triángulo, se verá afectada por la dimensión de los tres factores: Saber, Querer
y Poder, sobre los que debemos aplicar las medidas necesarias para controlarlos, bien de
forma colectiva o individualmente considerados, ya que al rebajar uno de ellos estaremos
aminorando la probabilidad del riesgo de fraude que amenaza a la organización, como
vemos por ejemplo en la Figura 68, donde al incidir sobre un solo factor estaremos
consiguiendo reducir considerablemente, o en el mejor de los casos eliminar, el riesgo de
fraude.

Figura 68. Reducción de la superficie del triángulo del fraude

De los tres factores, el que está más en manos de la organización controlar es Poder, el que
condiciona las facilidades que se ofrezcan a los defraudadores para actuar. Por este motivo,
controlar adecuadamente el Poder es un objetivo básico a la hora de definir los programas
antifraude, por lo que los auditores internos necesitarán identificar las oportunidades de
fraude que existan a fin de combatirlas.

Una vez que hemos tratado el atributo de la “probabilidad” de los fraudes, procedería
centrarnos en el del “impacto”. Para ello y para darnos una idea de la importancia del riesgo
de fraude, y situarnos en el contexto en el que realmente nos encontramos, creemos que
antes de seguir avanzando en la descripción y estudio de este riesgo resultaría oportuno
hacer mención de determinados datos cuantitativos que los especialistas manejan. Por
ejemplo, la Association of Certified Fraud Examiners concluye con base en los estudios
realizados que las empresas, en promedio, pierden el equivalente al 5% de sus ventas de
cada año por los fraudes cometidos por sus directivos y empleados.

Si extrapoláramos dicha estadística al tamaño de la economía del mundo, estaríamos

hablando de pérdidas anuales de 3,5 millones de millones de dólares. En España serían
más de 50.000 millones de euros. Esto nos permite hacernos una idea de su importancia.
Además, en promedio, los fraudes ocurren durante 18 meses dentro de las empresas antes
de que estos sean detectados.
MIAIA

Otro aspecto que también creemos conveniente resaltar es el correspondiente a los

protagonistas que practican el fraude, ya que ello nos permitirá tener ya la “película” casi
completa.

Basándonos nuevamente en la opinión de los especialistas y expertos investigadores de los

fraudes, KPMG Fraud Barometer reveló en un reciente estudio de 348 investigaciones de
fraudes en 69 países el perfil básico del perpetrador de fraudes corporativos: el perfil
característico del defraudador es varón, de entre 36 y 45 años, relacionado con el área
financiera, con cargo gerencial o superior, con más de diez años en la compañía, y trabaja
coludido con otros colegas.

También parece que existe una cierta correlación entre los niveles de los ejecutivos que
realizan fraudes y los perjuicios producidos, puesto que el número de fraudes cometidos por
los representantes de la Alta Dirección, el 10% de los detectados, ocasionan el 75% del
perjuicio total experimentado, mientras que los fraudes realizados por los mandos
intermedios se sitúan en un 30% del total contabilizado, pero alcanzan solo un 20% de los
daños observados. Por último, el número de los fraudes atribuibles a los empleados de nivel
bajo se sitúa cuantitativamente en un 60% del total realizado, pero llegan únicamente a un
5% del total de los perjuicios ocasionados.

Así, se cumple clarísimamente la denominada Ley de Pareto, aquella que nos enseñó que el
20% del esfuerzo genera el 80% de los resultados, tal como se representa en la siguiente
figura.

Figura 69. Relación esfuerzo-resultados

En este sentido, podemos concluir que tener buenos controles internos es importante, pero
sin olvidar que aún con buenos controles todo depende del comportamiento humano, por lo
que tendremos que ser muy selectivos, aplicando el esfuerzo controlador donde sea
conveniente.

Según la Association of Certified Fraud Examiners (ACFE), cuando hablamos de fraudes

corporativos nos estamos refiriendo a cualquiera de estas tres formas:
MIAIA

• Malversación o apropiación indebida de activos, cuando el empleado es quien roba

o hace mal uso de los recursos de la organización (apropiación de dinero,
facturaciones fraudulentas o reporte de gastos inflados).
• Corrupción, cuando el empleado ejerce indebidamente su influencia en una
transacción comercial, de modo que viola su deber para con el empleador a fin de
obtener un beneficio directo o indirecto.
• Fraude en los estados financieros, se produce cuando el empleado registra
intencionadamente un error u omisión en la información relevante de los estados
financieros

Por lo que se refiere a la forma de detectar los fraudes, las estadísticas disponibles destacan
la denuncia como la forma que permite una mayor detección, seguida de las revisiones de la
Dirección y las realizadas por la auditoría interna, pero en ambos casos con una eficacia
muy inferior a la que se produce con las denuncias. Esto nos da una pista de por dónde
debemos empezar a trabajar

Los cambios en el sistema empresarial, cada vez más competitivo, y en el sistema

financiero, cada vez más amplio y disperso, producen responsabilidades diluidas y el
otorgamiento de poderes a profesionales de la gestión con intereses ajenos a la empresa,
sin que se apliquen medidas de control a su gestión. Auditoría Interna debe tener capacidad
y autoridad para poder auditar la gestión de los directivos y verificar aquellas decisiones más
transcendentales dentro del proceso de gobierno de las empresas. Estos cometen un tipo de
fraude complicado de evidenciar y difícil de detectar. Pero es lo que nos toca supervisar,
puesto que el cumplimiento de Ley de Pareto nos debe orientar a supervisar las actuaciones
de este colectivo de forma prioritaria, ya que es donde se acumulan los mayores impactos
que inciden en los procedimientos administrativos.

Una función necesaria y común para todas las empresas es la función administrativa. La
función administrativa es por naturaleza compleja pero fácilmente sistematizable, por lo que
demanda la implantación de procedimientos que orienten, controlen y regulen las
actividades administrativas.

A través de los procesos administrativos se mueve dinero, se cobra y se paga, se adquieren

y venden bienes y servicios, por lo que son objetivo preferente de fraude. El fraude en los
procedimientos administrativos es, tal vez, el más importante por ser el más extendido y el
más simple, y también porque requiere menor conocimiento técnico y más conocimiento
práctico, que suele ser más divulgado y de uso más común. La mayoría de los fraudes
empresariales descubiertos pertenecen a esta categoría, debido a las siguientes
circunstancias:

− Mayor descentralización operativa.

− Mayor complejidad de las operaciones.
− Falta de identificación del personal con la empresa.
− Presión en objetivos a corto plazo con reducción de costes.
− Búsqueda de nuevos mercados.
MIAIA

Pero también, en cualquier caso, debido a las necesidades derivadas de la crisis económica
que nos castiga desde el año 2008.

Pero ¿por qué la crisis económica está incrementando las probabilidades de que las
empresas soporten o se vean sometidas a un mayor número de fraudes? O, dicho de otra
manera más técnica, ¿por qué el riesgo inherente de los fraudes está incrementándose por
la crisis? Pues por diversas razones:

• Menos personal para realizar funciones específicas de Control Interno.

• Cambio de enfoque de la administración hacia la supervivencia del negocio.
• Transferencia de operaciones a nuevos territorios.
• Debilitamiento de los controles de IT que incrementan la vulnerabilidad a la egresión
externa.
• Diversificación del portfolio de productos.
• Escaso control por las entidades reguladoras.

Pero aunque la crisis es un factor importante, existen otras circunstancias que también
incrementan las posibilidades de incentivar la existencia de los fraudes. A continuación,
relacionamos algunas de las debilidades de control en los procedimientos, que son unas
veces motivo, y otras, simplemente, generadoras, de un ambiente incitador al fraude:

• Falta de controles básicos en los procedimientos.

La separación de funciones, por ejemplo, para el manejo de datos sensibles una
persona introduce los datos, otra los revisa y una tercera los aprueba; la revisión
constante de los datos introducidos verificando cada uno de ellos con los soportes
documentales reales, y la comprobación de totales parciales clasificados por alguna
categoría.
• Excepciones en los procedimientos.
Esta situación suele ocurrir precisamente en aquellos procedimientos que requieren
mayor seguridad, por lo que los controles deberían ser más rígidos y los procesos más
complejos. Un día cualquiera, por una circunstancia que parece razonable y
justificable, pero, en contra de la seguridad y en pro de la flexibilidad, se establece un
procedimiento excepcional rápido, flexible y descontrolado. Esta excepción se
convierte, a la larga, en la puerta principal del fraude.
• Falta de verificaciones.
Normalmente, el flujo de datos y de información en cualquier línea de proceso es
importante o masiva, palabra horrible, pero gráfica. La mistificación de la información
dificulta el control de la misma, pequeñas desviaciones relativas son difíciles de
detectar, por lo que es necesario que existan verificaciones y comprobaciones
periódicas sobre los datos sensibles, utilizando interrelaciones, ratios y técnicas de
muestreo.
• Ausencia de integración de la información.

Nos referimos a la integración de la información por funciones secundarias como

herramienta para la comprobación de resultados parciales. Así, por ejemplo, información de
horas extraordinarias por centro de trabajo, listado de clientes con descuento, facturación de
algún proveedor. En definitiva, procesos informáticos que totalicen por conceptos y
actividades diferentes a la principal, y que se disponga también de procesos de
consolidación y conformación interna de importes.
MIAIA

También influye la falta de un comportamiento ético de la Dirección, el tipo de modelo de

gestión empleado en la empresa, o la reducida rotación de los empleados.

Tras haber visto el atributo “probabilidad” del riesgo de fraude, debemos ocuparnos ahora
del impacto que este ocasiona, pues además de las posibles pérdidas económicas o
monetarias, el fraude tiene también otras consecuencias, como las que se indican a
continuación:

− Imagen: las empresas que han sido objeto de fraudes significativos siempre
trascienden a la opinión pública y sufren un deterioro de su reputación por parte de los
accionistas, bancos, proveedores, clientes, etc., que pueden modificar la actitud y
comportamiento habituales de todos ellos, respecto a la organización.
− Desconfianza en los inversores: este tipo de noticias generalmente se desorbita y
actúan como mecanismos de ampliación de la propia realidad.
− Indisciplina: donde los fraudes proliferan, la disciplina se relaja y es difícil mantener
actitudes exigentes.
− Efecto estimulante o multiplicador: cada persona puede considerarse con derecho a
tratar de beneficiarse de las posibilidades que le ofrece el desempeño de su trabajo.
− Pérdida de eficiencia: algunos empleados estarán más atentos a buscar debilidades
de control, que al desempeño y perfeccionamiento de sus tareas.
− Desmotivación: la no persecución del fraude se interpreta como falta de interés de la
Dirección hacia el trabajo de los empleados, considerando que no es relevante que las
cosas se hagan bien o mal y se pierde el interés y la ilusión que requiere el trabajo
bien hecho.
− Costos adicionales: normalmente suele ser preciso realizar investigaciones, análisis,
auditorías, demandas judiciales, etc., para tratar de resolver cada situación.
− Ataque al trabajo en equipo: un grupo de personas no trabaja de forma integrada en
un equipo cuando alguno de sus miembros ha cometido fraude y la desconfianza y las
tensiones generadas impiden el ambiente necesario para que el equipo funcione.
− Despido laboral: el fraude de un empleado puede ser causa de despido disciplinario
(competencia desleal, apropiación de dinero, abuso de poder), pero hay que identificar
quién ha cometido el fraude e incluir todos los hechos en la carta de despido, no
puede tratarse de una conducta tolerada por la empresa, deben respetarse los plazos
legales establecidos para sanciones laborales e informar al comité de empresa en su
caso.
− Proceso penal: es un método para presionar y tratar de recuperar lo defraudado, ya
que el fraude es asimilable a delitos tipificados en el código penal tales como robo,
estafa, apropiación indebida, etc.

11.1 Rol a desempeñar por los auditores internos y los auditores forenses

Dado que el fraude es uno de los alcances de la función auditora, veamos cómo está
recogida esta responsabilidad en las Normas del IIA, en concreto la N. 1210, A1: “Los
auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y
la forma en que se gestiona por parte de la organización, pero no es de esperar que tengan
conocimientos similares a los de aquellas personas cuya responsabilidad principal es la
detección e investigación del fraude”.
MIAIA

Ante esto nos surge una primera pregunta: ¿quiénes son entonces los responsables de la
detección e investigación del fraude? De momento dejémosla sin responder, aunque pronto
encontraremos la respuesta que entendemos adecuada.

En cualquier caso, ¿qué es lo que le corresponde entonces realizar a Auditoría Interna en la

lucha contra el fraude?. Pues bien, el IIA señala claramente que la responsabilidad de la
disuasión del fraude está en la Alta Dirección de la empresa, a la que corresponde
establecer el sistema de control de la misma. Los auditores internos son responsables del
examen y evaluación de la adecuación y eficacia de las acciones adoptadas por la
Dirección para el cumplimiento de esta obligación.

No obstante, Auditoría Interna debe cumplir también las siguientes funciones:

• Sensibilizar y recomendar a las Direcciones de varias maneras: ayudándolas a

adquirir la mentalidad de que el fraude está instalado en su entorno, tratando de que
exista un Código de conducta, delimitando las áreas de riesgo y los puntos críticos de
fraude dentro de la empresa mediante una cuidada selección y rotación para sus
responsables, y definiendo unas claras normas de actuación y de autoridad para el
personal investigador de fraudes y una correcta organización funcional que permita la
segregación de funciones.
• Cooperar en la disuasión del fraude determinando si existe conciencia de control, si se
fijan metas y objetivos realistas, si existen políticas apropiadas de autorización de
transacciones, canales de comunicación adecuados y fiables para la Dirección, y
haciendo recomendaciones para mejorar el costo y la efectividad de los controles.
• Detectar los indicadores de fraude (transacciones no autorizadas, inobservancia de
los controles, excepciones de precios no explicadas y pérdidas de productos
anormales), lo que incluye la necesidad de conocer las características del fraude, las
técnicas utilizadas para cometerlo y los tipos de fraude relacionados con las
actividades auditadas.
• Participar en la investigación de los fraudes evaluando el nivel de probabilidad y la
extensión de la complicidad, la relación entre las personas que investigan y las
investigadas; diseñando los procedimientos a utilizar para intentar la identificación de
los responsables; determinando la amplitud del fraude, las técnicas utilizadas y las
causas del fraude, y si es necesario implantar algún control o reforzar los existentes,
para reducir la vulnerabilidad en el futuro.
• Realizar un informe preliminar sobre si existe suficiente información para proceder a
realizar una investigación y un informe final, que debe incluir todas las evidencias,
conclusiones, recomendaciones y acciones correctivas que hayan sido tomadas.

Unas líneas más arriba nos hacíamos una pregunta que habíamos dejado sin contestar.
Retomémosla, y adelantemos que quienes son los responsables de la detección y la
investigación de los fraudes son los auditores forenses.

El término forense proviene del latín “forensis”, que significa “público y manifiesto”, o
“perteneciente al foro”; a su vez, “forensis” se deriva de “forum”, que significa “foro”, “plaza
pública”, “plaza de mercado” o “lugar al aire libre”. Por esto, a la Auditoría Forense se la
define como “la ciencia de reunir y presentar información financiera en una forma que sea
aceptada por una corte judicial contra los perpetradores de un crimen económico”.
MIAIA

El trabajo del auditor puede ser requerido por un juez y ser puesto a consideración de la
justicia, que se encargará de analizar, juzgar y sentenciar los hechos evidenciados relativos
a los delitos cometidos. Por lo tanto, la auditoría forense es una auditoría especializada en
la obtención de evidencias para presentarlas como pruebas, generalmente en un proceso
judicial. También en situaciones concretas, en las que se produce alguna irregularidad en
una empresa, se acostumbra a solicitar una auditoría forense orientada específicamente a
analizar y cuantificar el fraude detectado.

En una auditoría forense pueden intervenir un mayor número de profesionales, además del
auditor de cuentas: abogados, investigadores, técnicos informáticos o grafólogos, entre
otros.

Nos encontramos, pues, ante dos escenarios:

(i) la prevención y
(ii) la detección del fraude, conceptos que aunque están relacionados no son lo mismo.

La “prevención” abarca las políticas, los procedimientos, la capacitación y la comunicación

para impedir que el fraude se produzca, mientras que la “detección” se centra en las
actividades y técnicas que reconocen si el fraude se ha producido, o se está produciendo, y
quién lo realizó o lo está realizando.

Una forma gráfica de observar las diferencias entre ambas actividades es la que emplearon
Golden, Skalak y Clayton en su obra “A guide of Forensic Accounting Investigation”,
identificando la tarea de los auditores con las realizadas por un vigilante que patrulla las
calles observando que nada anormal esté sucediendo en ellas, mientras que la del
investigador forense es como la de un detective que interviene cuando se ha cometido un
delito que hay que esclarecer.

En este punto nos surge una duda: independientemente de su complementariedad, ¿cuál

de las dos formas de abordar los fraudes será la más eficiente?, ¿La preventiva o la
detectiva? Para encontrar la respuesta, lo primero que deberíamos hacer es recordar los
distintos tipos de controles que existen: los correctivos, los detectivos y los preventivos. Es
opinión generalizada que la mayor eficiencia de los controles se consigue cuando estos
actúan de manera preventiva, es decir, antes de que se inicie el proceso, en nuestro caso el
proceso del fraude.

Asumamos entonces como acertado lo que habitualmente se considera básico: “que más
vale prevenir que curar”. Esta opinión está avalada porque según los estudios
especializados en la lucha contra el fraude, la prevención representa el 80% de la solución.
Además, no solo evita que se produzcan los fraudes, y los perjuicios que de ellos se
derivan, sino que también impide que se queden impunes, a través de indultos, los delitos
que hayan sido evidenciados, que en los casos de corrupción, sobre todo si ésta es política,
no es algo infrecuente.

Como ante cualquier otro riesgo, la forma de gestionar el fraude es dual, lo que incide sobre
su probabilidad de ocurrencia y sobre el impacto que pueda producir. De manera que el
riesgo residual que hayamos evaluado inicialmente lo deberemos reconducir hacia
posiciones del entorno de la tolerancia al riesgo que se haya considerado razonable por la
MIAIA

organización. Sin embargo, en nuestra opinión, en el caso concreto de los fraudes

deberíamos posicionarnos en el “nivel de tolerancia cero”.

Resulta evidente que en este contexto la función de auditoría interna tendrá un amplio
campo de actuación asesorando convenientemente a los gestores sobre la estrategia a
emplear para atacar el fraude desde la perspectiva de la prevención, y así disminuir tanto el
impacto como, fundamentalmente, la probabilidad de ocurrencia.

El proceso de gestión de los fraudes se moverá en un escenario de acción-reacción como

el que aparece en la Figura 70, en donde se puede observar que para cada uno de los
elementos que propician el fraude, salvo para la Racionalización, por los motivos que ahora
comentaremos, se identifican las medidas que se entienden oportunas para contrarrestar
los factores que los desarrollan. Por ejemplo, la MOTIVACIÓN debe combatirse con
Políticas adecuadas de Recursos Humanos.

Figura 70. Proceso de acción-reacción en la gestión del fraude

Como decíamos, este esquema no resulta válido para la Racionalización, pues este
elemento es intrínseco de las personas, y depende en gran medida de los principios
morales que les sean inherentes, por lo que, en principio, se escaparía de las actuaciones
que pueden desarrollar las organizaciones.

Otro aspecto básico en la definición de los programas que se desarrollen y apliquen en las
organizaciones para combatir los fraudes es entender que su desarrollo, como sucede en el
ámbito de la Gestión de Riesgos Empresariales, es una tarea de todos, en la que se
destaca el compromiso del Consejo/Junta de Directores y la Alta Dirección, de las
siguientes maneras:

• Prohibiendo todo tipo de actividad ilegal aunque beneficie a la empresa.

• Definiendo las capacidades de los que lleven a cabo las investigaciones.
• Exigiendo la notificación de los empleados que sospechen de fraudes.
• Prohibiendo los encubrimientos y las represalias contra los denunciantes.
MIAIA

• Requiriendo el cumplimiento de las normas y la obligación de colaborar.

• Trato similar para todos los empleados y función desempeñada.
• Asumiendo la responsabilidad de conocer los riesgos de fraude.
• Editando y difundiendo un Código de Conducta coherente con lo anterior.
• Habilitando un “canal de denuncias” anónimo.

Todos estos posicionamientos son importantes, pero aunque esto es totalmente cierto
también lo es que algunos estamentos empresariales resultarán determinantes en la lucha
contra el fraude. Por ejemplo, el compromiso de la Alta Dirección se asemeja a lo que
sucede con las bandadas de aves, en las que el que va a la cabeza es el que marca la ruta
que ha de seguir toda la bandada, y así ocurre en las organizaciones empresariales.
Aunque aquí esta forma de actuar se llama Tone at the top.

Debido a este rol tan importante que juega la Alta Dirección es imprescindible que se
cumplan las siguientes acciones:

 La Comisión de Auditoría/Auditoría Interna supervise su compromiso.

 Se deben lanzar mensajes claros a la organización.
 La Dirección debe dar ejemplos positivos.
 Es necesario un código ético.
 Una normativa sobre el conflicto de intereses.
 La normativa interna debe detallar:

− Los deberes de diligencia y lealtad de los Directivos y Consejeros.

− La regulación de las situaciones de conflicto de interés.
− El deber de confidencialidad.
− La obligación de los Consejeros de dimitir en su caso.

La importancia de la gestión de los riesgos de fraudes pude observarse también por la

cantidad de protocolos que existen para administrarlos, de los que podemos destacar
COSO, la Guía para la Gestión de los Riesgos de Fraudes de los Negocios, SAS 99,
Sarbanes-Oxley, etcétera, a los que ya hemos hecho mencionado en este documento.

Además se destaca el documento sobre Gestión de Riesgo Empresarial elaborado por la

Associations of Certified Examiners (ACFE), el American Institute of Certified Accountnas
(AICP) y el IIA, en el que defienden la necesidad de que las empresas actúen en la lucha
contra el fraude siguiendo los siguientes 5 principios:

1) Como parte de la estructura de Gobierno Corporativo de las organizaciones, estas

deberían implementar un Programa de Gestión del Riesgo de Fraude, incluyendo una
política (o políticas) por escrito para transmitir las expectativas de la Junta Directiva y
la Alta Dirección respecto a la gestión del riesgo de fraude.
2) La exposición al riesgo de fraude debería ser evaluada periódicamente por la
organización para identificar posibles esquemas y eventos específicos que se deban
mitigar.
3) Las técnicas de prevención para evitar potenciales eventos clave de riesgo de fraude
deberían estar establecidas, cuando sea posible, para mitigar posibles impactos en la
organización.
MIAIA

4) Las técnicas de detección deberían estar orientadas a descubrir eventos de fraude

cuando las medidas preventivas fallen o los riesgos no mitigados se materialicen.
5) El proceso de reporte a emplear debería estar implementado para poder solicitar
datos sobre potenciales fraudes, y se debería utilizar un enfoque coordinado de
investigaciones y acciones correctivas para ayudar a asegurar que el potencial fraude
es afrontado de manera apropiada y oportuna.

De forma resumida, de acuerdo con lo que acabamos de ver, los hitos sobre los que
debería descansar un adecuado Programa de Gestión del Fraude, se resume en estos tres
aspectos:

1. Establecimiento de la cultura empresarial de honestidad que a entender organización

corresponda a sus principios y objetivos.
2. Determinar los controles antifraude que se consideren adecuados, e implementarlos.
3. Realizar el seguimiento de los resultados alcanzados, y actuar en consecuencia.

Para cumplir estos aspectos es imprescindible actuar atendiendo a la siguiente secuencia:

1. Valoración de las necesidades de la organización con base en la naturaleza del

fraude, riesgos de mala conducta y los programas y controles antifraude existentes.
2. Diseño de programas y controles de una manera consistente con la legalidad y con
los criterios de regulación, así como prácticas de la industria que las empresas
generalmente han encontrado para ser eficaces.
3. Implementación de programas y controles a través de la asignación de roles, la
construcción de capacidades internas, y el despliegue de recursos.
4. Supervisión del resultado del programa y del diseño de control, así como su ejecución,
y su eficacia operativa.

Hemos visto que uno de los hitos sobre los que debe descansar un adecuado programa
antifraude es el correspondiente al establecimiento de una cultura empresarial de
honestidad. Ahora recordemos que la cultura antifraude se determina e implementa desde
la Junta de Directores y la Alta Gerencia, y debe contener:

(i) los valores, la cultura y los principios de integridad, y

(ii) el mensaje explícito y ejemplificador sobre la nula tolerancia a cualquier conducta
inapropiada.

A título de resumen de lo que hemos comentado hasta ahora, respecto a la eficacia de los
programas antifraude podríamos señalar que:

• Si una empresa quiere disponer de buenos controles debe contratar y mantener

buenos empleados.
• El papel de los administradores y los gerentes es prevenir el fraude, descubrirlo,
investigarlo y tratarlo.
• El fraude se previene con control, se descubre con supervisión, se investiga
integrando un equipo y se trata con acciones ejemplares.
• Un auditor interno, un auditor externo, un examinador de fraude o un auditor forense
no ponen control, lo evalúan.
MIAIA

• Un auditor interno no es experto en fraudes, pero lo investiga como apoyo a la

Gerencia.
• Un auditor externo tampoco es experto en fraudes, pero debe saber si su informe está
afectado por fraudes.
• Un auditor forense sí es experto en fraudes e investigación y puede evaluar e informar
con objetividad.

Pero si volvemos a la eficiencia de los controles, de todos los que podemos aplicar los
canales de denuncia son uno de los más recomendables, según la ACFE. Habilitar un
medio telemático o telefónico para informar de actividades sospechosas es una parte crítica
de un programa de lucha contra el fraude. Se debe habilitar a fuentes tanto internas como
externas, y se debe permitir el anonimato, o al menos garantizar la confidencialidad.

La Dirección debe alentar activamente a los empleados a reportar actividades sospechosas,

así como promulgar y hacer hincapié en una política contra las represalias.

Acabamos de ver que la lucha con el fraude se manifiesta en un escenario de tres

dimensiones, en el que una de ellas es la correspondiente al ámbito de la Auditoría Interna.
Esta tiene los siguientes deberes:

1. Contemplar el riesgo de fraude en la evaluación del control interno.

2. Tener suficiente conocimiento sobre fraudes para identificar banderas rojas que
indiquen que un fraude pudo haberse cometido o puede estarse cometiendo. Este
conocimiento incluye características del fraude, técnicas para cometer fraudes, y
esquemas y escenarios de fraude asociados a las actividades en revisión.
3. Estar alerta a las oportunidades que podrían permitir que se cometa un fraude, tales
como debilidades de control interno.
4. Evaluar la gestión de riesgos de fraude desarrollada por la Gerencia como parte de
sus responsabilidades.
5. Evaluar los indicadores de fraude para determinar si es necesario trabajo adicional o
si se requiere una investigación.
6. Recomendar o requerir una investigación cuando sea necesario.

Un aspecto frecuente es que la mayoría de los defraudadores exhiben rasgos de

comportamiento que pueden servir como señales de advertencia de sus acciones. Estas
señales de alerta generalmente no son identificadas por los controles internos tradicionales.

Los gerentes, empleados y los auditores deben estar atentos a estos patrones comunes de
comportamiento y se les animará a considerarlos como ayudas a identificar los patrones
que podrían indicar una actividad fraudulenta. Nos estamos refiriendo y dando entrada a los
indicadores del riesgo de fraude, denominados en el argot auditor “Banderas rojas contra el
fraude”.

11.2 Banderas rojas contra el fraude

Aclaremos en primer lugar a qué nos referimos cuando citamos las denominadas “banderas
rojas”: a aquellos indicios o indicadores que pueden ser empleados en la lucha eficaz contra
el fraude, ya que nos permitirán distinguir situaciones anómalas, extrañas, inusuales o fuera
de lugar, que despierten la sospecha del auditor. En este caso se habrá detectado una
MIAIA

"bandera roja" o, empleando términos más técnicos, un KRI (Indicador de Riesgo Clave)
sobre los fraudes. Estos indicadores tienen las siguientes características:

 No necesariamente deben ser definitivos y concluyentes; son sólo una alerta que se
plantea el auditor ante una situación que percibe extraña o fuera de lugar.
 No establecen la existencia de irregularidades por sí mismas, pero constituyen una
alerta para el auditor.
 No se deben descartar situaciones porque parezcan demasiado obvias.
 Cuando busquemos explicaciones, debemos comenzar por las más simples, ya que
muchas veces la irregularidad se encubre en el terreno de lo obvio.

Estos indicadores, indicios o “banderas rojas” pueden observarse en multitud de aspectos

que rodean a los fraudes, entre los que se destacan los siguientes:

• Documentales: son los que encontramos en documentos, contratos, facturas,

correspondencia, etc.
• Personales: son aquellos que podemos distinguir respecto a las personas, que
pueden traducirse en actitudes o comportamientos extraños o inusuales.
• De los procesos: son debilidades que se dan en los procedimientos administrativos
en los que se efectúan gastos, cobros, reportes de información financiero-contable,
etcétera.
• Conceptuales: son aquellos aspectos que necesitan del elemento racional para poder
hallarlos, son los que no se derivan de la observación directa de los hechos sino que
requieren de un proceso de razonamiento por parte del auditor.

Pero también se pueden observar, de forma más trascendente, en:

 Inexistencia de líneas claras de responsabilidad y autoridad.

 Implantación de objetivos operativos poco realistas.
 Carencia de políticas y procedimientos de personal claros y concretos sobre:
− Conducta laboral, ética y conflicto de intereses.
− Políticas retributivas por debajo del mercado.
− Comportamientos benévolos en el castigo a los infractores.
− Problemas de comunicación sobre los procesos antifraude.
− Estructuras del negocio complejas.
− Transacciones entre partes relacionadas de manera inusual.
− Entorno de control interno insuficiente.

Así como en circunstancias que conlleven a:

 Procesos contenciosos con los Organismos Reguladores.

 Existencia de documentos manipulados, rectificados, corregidos.
 Ausencia de documentos soportes de operaciones del negocio.
 Uso frecuente de documentos duplicados por ausencia del original.
 Documentos soporte con enmiendas o tachaduras.

En lo que respecta a los perfiles de los empleados que realizan fraudes, a lo largo del
documento ya hemos descrito algunas de sus características más destacables, pero
debemos aclarar que aunque en algún empleado concurran estas circunstancias, eso no es
evidencia de que sea un defraudador, solo que nos encontramos ante un colaborador cuyo
MIAIA

perfil se encuentra dentro del perfil de la población de riesgo más frecuente.

Este perfil, recordemos, es: varón, entre 36 y 45 años, relacionado con el área financiera,
con cargo gerencial o superior, con más de diez años en la compañía, y que trabaja
coludido con otros colegas. Pero además:

 Llega muy temprano a su puesto de trabajo y se queda fuera de hora, trabaja fines de
semana y feriados.
 Exhibe un nivel de vida que no se corresponde con sus ingresos oficiales.
 No delega funciones y se maneja en forma autónoma.
 Se involucran en actividades de otros departamentos.
 Explica que su alto nivel de vida responde a los ingresos de su esposa y/o herencias
recibidas.
 Evidencia nerviosismo ante cualquier consulta sobre sus comportamientos.
 No solicita cambios de sector y/o promociones.

Al Concentrarnos en los procesos operativos, y empezando por el Ciclo de Ventas y

Cuentas por Cobrar, los indicadores más destacables a los que tendremos que prestar
atención son:

• Pérdida de clientes sin motivo aparente.

• Alto nivel de reclamos.
• Ruptura de secuencia en la numeración de las facturas, notas de débito/crédito y/o
recibos.
• Documentos comerciales duplicados.
• Remisiones y/o recibos no asociados a facturas.
• Diferencia de saldos con respecto a las circularizaciones.
• Aumento de las notas de crédito, en especial al cierre del ejercicio.
• Variaciones inusuales en el monto de ventas.
• Cantidad poco frecuente de ajustes contables.
• Inexistencia de revisión de condiciones de financiación, pago y precios.
• Costos de despacho y envío no proporcionales a los montos de venta.
• Las negociaciones para operaciones importantes se hacen en lugares inusuales y en
algunos casos con intermediarios.

Además, los siguientes:

• Demoras en la conciliación de las c/c de los clientes.

• Manejo indebido de los deudores morosos o en litigio.
• Inexistencia de listas o políticas de precios y/o de otorgamiento de créditos.
• Descripciones abreviadas en las facturas.
• Ventas anuladas y no refacturadas.
• Relación entre los descuentos otorgados y las ventas realizadas por cliente, vendedor,
etc.
• Débitos y créditos no aplicados, por cliente y responsable de emisión.
• Ventas por clientes superiores a los promedios históricos.
• Notas de crédito emitidas para vulnerar límites de crédito.
• Montos acumulados de crédito emitidos por persona.
• Ventas a clientes con límite de crédito excedido.
MIAIA

• Códigos y/o nombres de clientes duplicados.

• Clientes con datos compartidos (nombre, domicilio, cuenta bancaria, etc.) y distinto
código.
• Números de NIF duplicados, inconsistentes o erróneos.
• Clientes con límites de crédito superiores al valor de las compras promedio.
• Clientes con saldos inconsistentes respecto a las operaciones registradas.
• Saldos de crédito vencidos con una antigüedad significativa.
• Variaciones inusuales en los límites de crédito.
• Recibos no aplicados.
• Variaciones de lista de precios de venta superiores a un determinado porcentaje.
• Variaciones de bonificaciones por cliente.
• Gran número de devoluciones luego de cada cierre de ejercicio.

En cuanto al Ciclo de Compras y Cuentas por Pagar podemos señalar los siguientes
indicadores:

• Inhabituales compras acumuladas por proveedor.

• Compras por montos superiores al promedio histórico.
• Compras acumuladas por persona.
• Ruptura de la secuencia de la numeración de las órdenes de compra, informes de
recepción y órdenes de pago.
• Facturas de proveedores no asociadas a órdenes de compra y/o informes de
recepción.
• Documentos comerciales duplicados.
• Documentos anulados en exceso.
• Relación entre notas de débito/crédito y compras por proveedor/comprador.
• Frecuencia de compra por proveedor.
• Monto de compras acumulado por comprador.
• Diferencias entre orden de compra y la factura por proveedor o entre ésta y la orden
de pago.
• Proveedores con saldos inconsistentes respecto a las operaciones registradas.
• Códigos y/o nombres de proveedores repetidos.
• Proveedores con datos compartidos (nombre, domicilio, cuenta bancaria) y distinto
código.
• Números de NIF duplicados, inconsistentes o erróneos.
• Proveedores con pagos individualmente inmateriales pero significativos en su
conjunto.
• No se cancelan los comprobantes (sello pagado e intervenido).
• Facturas de varios proveedores en un mismo papel, formato y hasta con el mismo pie
de imprenta.
• Cambio de proveedor para pedidos urgentes.
• Juntar pedidos y hacer pedidos excesivos y en corto plazo de entrega para beneficiar
al que tiene un acuerdo especial.
MIAIA

En lo que respecta a los inventarios o stocks, los indicadores que deben alertarnos sobre
la posible existencia de irregularidades son los siguientes:

• Mermas frecuentes y no lógicas por tipo de inventario, localización, etc.

• Movimientos de inventarios duplicados.
• Antigüedad de mercadería en tránsito.
• Ajustes de inventario por responsable.
• Ajustes de inventario por proveedor.
• Ajustes negativos compensados con ajustes positivos.
• Modificaciones a los stocks mínimos de seguridad.
• Ítems en stock inmovilizados durante mucho tiempo.
• Ítems con vida útil (antes de la fecha de vencimiento) inferior a x días.
• Programas de inventarios donde varios usuarios pueden modificar datos.
• Devoluciones por ítem/proveedor.
• ABC de rotación.
• Costo de inmovilización del stock neto del efecto de deuda con proveedores.
• Falta de controles de ingreso de bienes para reparación.
• Falta de control en el uso de las herramientas informáticas.
• Ítems depositados en lugares de difícil acceso o inusuales que complican su revisión.
• Identificar un mismo ítem con diferente costo unitario según localización.
• Ítems con variaciones de costos mayores a un x% entre períodos.
• Identificar ítems con costo o cantidades negativas.
• En los ingresos y/o egresos no existe control de calidad.

En cuanto a Recursos humanos y Liquidación de retribuciones, podemos comentar los

siguientes indicadores:

• Pagos realizados a empleados por conceptos distintos al de remuneraciones

habituales.
• Números de cédula duplicados, inconsistentes o erróneos
• Empleados con datos compartidos (nombre, domicilio, DNI) y con distinto número de
documento.
• Variaciones de sueldos básicos por empleado.
• Ranking de horas extras por empleado/jefe autorizante.
• Altas y bajas de personal.
• Altas de personal que fue previamente dado de baja.
• Porcentaje de adelantos de fondos sobre salarios mensuales.
• Frecuencia de anticipos por empleado.
• Depósitos de sueldos en cuentas bancarias a nombre de un beneficiario distinto del
empleado.
• Monto de liquidaciones finales.

En lo que se refiere al proceso de Tesorería, uno de los más sensibles, los indicadores
clásicos los podemos identificar con los siguientes aspectos:

• Cheques emitidos no asociados a órdenes de pago.

• Débitos bancarios no asociados a cheques emitidos.
• Cheques anulados y no reemitidos.
• Cheques duplicados.
MIAIA

•
• Facturas en fotocopias sin certificación de autenticidad.
• Ruptura de la correlatividad en la numeración de los cheques.
• Débitos y créditos bancarios por transferencias inconsistentes.
• Diferencia de caja por responsable.
• Ranking de operaciones canceladas en efectivo por proveedor y por responsable.
• Créditos bancarios por depósito, no asociados a liquidaciones de Tesorería.
• Movimiento de fondos por entidad financiera (montos operados, operaciones
promedio y cantidad de depósitos y cheques emitidos).
• Depósitos directos de clientes no asociados a recibos.
• Solicitudes de pago de último momento sin el suficiente respaldo documental.
• Arreglos especiales con bancos para transacciones poco claras (giros en descubierto,
préstamos, etc.).
• No se revisan los cheques devueltos para conocer los endosos.
• No hay revisión independiente de las conciliaciones bancarias.
• No hay revisión independiente de la cobranza de bonos, intereses, cupones,
dividendos, etc.
• Falta de control de consistencia en rendiciones de fondos de caja.
• Inexistencia de revisión independiente de las conciliaciones bancarias.
• Falta de revisión independiente de la cobranza de bonos, intereses, cupones,
dividendos, etc.

Al inicio de este epígrafe comentábamos que los fraudes se podían subdividir en tres
grandes tipos:

(i) malversación o apropiación indebida de activos,

(ii) fraude en los Estados Financieros y
(iii) la corrupción.

Tras haber visto las “banderas rojas” susceptibles de ser investigadas correspondientes al
primer grupo, la malversación de activos, pasemos ahora a los correspondientes a los
fraudes en los Estados Financieros o fraudes contables.

Según las Naciones Unidas los fraudes contables son “actos intencionales de uno o más
individuos de la administración de las organizaciones, que dan como resultado la
representación errónea de los Estados Financieros”, materializados, por ejemplo, en:

1. Ingresos ficticios (sobreestimación).

2. Diferencias temporales.
3. Representaciones inapropiadas o incorrecta evaluación de Transacciones, Activos,
Pasivos, Ingresos, Costos o Gastos.
4. Estimaciones inapropiadas de Pasivos.
5. Pasivos y Gastos Escondidos (subestimación).
6. Cambios de criterios Contables.
7. Manipulación, falsificación o alteración de registros o documentos.
8. Malversación de Activos.
9. Venta o cesión de Activos Falsos.
10. Supresión u omisión de los efectos de las transacciones en los Registros o en
documentos.
MIAIA

11. Alteración de los Registros o Revelación de Información significativa para mejorar el

panorama financiero de la propia Organización o de otras organizaciones ajenas.
12. Mala aplicación de Políticas Contables.

Como ya se comentó en el apartado 3, en Junio del 2010 la Comisión Nacional del Mercado
de Valores español (CNMV), difundió una publicación titulada Control Interno de la
Información Financiera de las Sociedades Cotizadas
(http://www.cnmv.es/DocPortal/Publicaciones/Grupo/Control_interno_sciifc.pdf).

Para la CNMV, el Comité de Auditoría es el órgano encargado de supervisar el

funcionamiento y la eficacia del Sistema de Control Interno de la Información Financiera
(SCIIF), y para que éste pueda realizar tal labor debe disponer de una función de auditoría
interna que, en cumplimiento de su plan anual de actuación, le ayude a evaluar la eficacia
de dicho Sistema de Control, informándole periódicamente de las debilidades detectadas,
aportando la serie de indicadores que deberían ser analizados por Auditoría Interna a fin de
emitir un diagnóstico veraz sobre la bondad del Sistema de Control empleado. De ellos
destacamos los objetivos de los 16 indicadores que se incluyen en el documento que
describe el Sistema de Control Interno de la Información Financiera:

a) La necesidad de disponer de una función específica encargada de definir y mantener

actualizadas las políticas contables (área o departamento de políticas contables), así
como resolver dudas o conflictos derivados de su interpretación, manteniendo una
comunicación fluida con los responsables de las operaciones en la organización.
b) La existencia de un manual de políticas contables actualizado y comunicado a las
unidades a través de las cuales opera la entidad.
c) Disponer de mecanismos de captura y preparación de la información financiera con
formatos homogéneos, de aplicación y utilización en todas las unidades de la entidad
o del grupo, que soporten los estados financieros principales y las notas, así como la
información que se detalle sobre el SCIIF.
d) Una descripción del alcance de la evaluación del SCIIF realizada en el ejercicio, y del
procedimiento por el cual el encargado de ejecutarla comunica sus resultados, si la
entidad cuenta con un plan de acción que detalle las eventuales medidas correctoras,
y si se ha considerado su impacto en la información financiera,
e) Una descripción de las actividades de supervisión del SCIIF realizadas por el Comité
de Auditoría,
f) Si la información remitida a los mercados respecto de SCIIF ha sido sometida a
revisión por el auditor externo, en cuyo caso la entidad debería incluir el informe
correspondiente. En caso contrario, debería informar de sus motivos para no hacerlo.

En el inicio de este epígrafe relacionamos las distintas formas que puede adoptar el fraude
de acuerdo con la visión de la Asociación de Examinadores Certificados de Fraude (ACFE):
la malversación o apropiación indebida de activos, los fraudes en los estados financieros, y
la corrupción, entendiendo que ésta sucede cuando un empleado ejerce indebidamente su
influencia en una transacción comercial, de modo que viola su deber para con el empleador
a fin de obtener un beneficio directo o indirecto.

Es obvio que la ACFE se refiere a la corrupción privada, no a la corrupción en el sector

público, ni a la política. Esto encaja en el ámbito en el que estamos desarrollando el
contenido de este material, al que nos vamos a referir también en lo sucesivo.
MIAIA

En un sentido amplio la corrupción se puede considerar como la acción y efecto de dar o

recibir algo de valor para que alguien haga (o deje de hacer) algo, burlando una regla
formal o implícita acerca de lo que se debe hacer, en beneficio del que da ese algo de
valor o de un tercero.

Así, soborno es cuando la iniciativa la toma quien efectúa el pago. Algunos ejemplos
pueden ser una compensación económica por un motivo determinado, el porcentaje del
valor de una operación comercial, un pago mensual por concepto de consultoría mientras el
contrato esté en vigencia, etc. Por otra parte, extorsión es cuando la iniciativa la toma
quien recibe el pago, sea de forma explícita o no. Por ejemplo, una empresa es amenazada
con la divulgación de información confidencial a cambio de una compensación económica.

El Abuso de pagos, regalos y favores es un punto difícil de medir, ya que es una forma
más sutil que utilizar dinero, y se puede confundir o camuflar como un detalle legítimo de
agradecimiento que muchas veces se ofrece abiertamente en el transcurso de la actividad
comercial con el fin de fomentar buenas relaciones y marcar ocasiones especiales. Sin
embargo, también pueden catalogarse como corrupción según el contexto y la intención con
la que se realizan; por ejemplo, si se trata de un regalo costoso o lujoso brindado con la
intención deliberada de obtener una mayor ventaja comercial y hasta quizás allanando el
camino para siguientes regalos o favores futuros.

Los Pagos de facilitación al ser una forma de corrupción, son ilegales en muchos países.
Pueden ser pagos exigidos por proveedores de servicios con el fin de garantizar o “facilitar”
los servicios a los que la empresa tiene derecho, o bien pagos realizados por la empresa
para “acelerar” la realización de un pedido, orden o entrega de bienes, el pago de una
factura o concesión de permisos, etc.

Aunque no es observable a primera vista, incurrir en actuaciones corruptas es una

estrategia equivocada, porque la ventaja competitiva que puede adquirir la empresa
corrupta es poco sostenible y muy costosa a medio y largo plazo, puesto que es una
conducta que puede ser económicamente rentable cuando se practica por primera vez, pero
deja de serlo cuando se repite y hay que llevar a cabo prácticas corruptas de forma habitual.
El mantenimiento de este tipo de acciones es crecientemente costoso y los “beneficios”
recibidos a corto plazo no son suficientes para cubrir las necesidades económicas de la
empresa a medio o largo plazo.

En consecuencia, a pesar de estos “beneficios” a corto plazo, no debe ignorarse que la

corrupción es un obstáculo para el desarrollo y crecimiento empresarial y que sus
consecuencias reales se vislumbrarán en un futuro cercano, y repercutirán en la economía
nacional e incluso en el plano mundial. Descuidar las ventajas duraderas, basadas en
calidad, innovación o calidad del servicio, para pasarse a canales mucho más endebles,
suele ser síntoma de falta de calidad en la Dirección.

Una empresa que funciona a base de prácticas corruptas es una empresa que no tiene
control de sí misma, y no es socialmente responsable. Por el contrario, estaremos ante una
empresa socialmente responsable cuando ésta realice los negocios basados en principios
éticos y apegada al cumplimiento de la Ley. La base de la responsabilidad social está en la
concepción de la empresa como un ente que actúa con base en criterios éticos de
comportamientos. La empresa (no el empresario) asume su rol ante la sociedad y el entorno
en el que opera.
MIAIA

En la actualidad, las iniciativas empresariales de lucha contra la corrupción están vinculadas

a dos grandes caminos:

• El cercano a los principios y valores morales, derivado a una actitud por convicción,
como el vinculado a la responsabilidad social empresarial.

• Y otro más pragmático relacionado con los costos derivados de penas legales y
pérdidas económicas, que estaría más próximo a una medida por coerción. Por
ejemplo, una respuesta ante el riesgo de que aparezcan investigadores para analizar
denuncias por corrupción.

Lo deseable es que adoptemos las medidas contra la corrupción por nuestro propio
convencimiento de que ser permisivos con este tipo de fraude va en contra de la ética de
los negocios.

La corrupción corporativa es un grave problema que requiere atención especial y ser

tomado muy en serio por las empresas debido a sus altos costos financieros, que ponen en
peligro la rentabilidad de las empresas y su continuidad, generan costos importantes y
riesgos difíciles de medir y manejar, así como ineficiencia en la gestión, multas, etc. Pero
además conlleva riesgos legales, como acusaciones, sanciones, juicios; riesgos
institucionales, como el deterioro de la reputación, la creación de una atmósfera corrupta o
la ruptura de la confianza interna; y riesgos éticos, como deterioro de la calidad ética y
moral de los empleados y directivos de la organización, y de sus principios y cultura.
Además, impacta negativamente en el ámbito social, al reducir el crecimiento, la inversión y
la eficiencia económica, deteriorar la distribución de la renta y deslegitimar al Estado, a la
economía de mercado y a la democracia.

Por esto es preciso que procedamos a:

 Conducir la actividad comercial de forma justa, honesta y transparente.

 No pagar ni ofrecer sobornos, ni directa ni indirectamente, para conseguir ventajas
comerciales.
 No aceptar sobornos, ni directa ni indirectamente, para conceder ventajas
comerciales.
 Desarrollar un programa para implementar y respaldar estos principios.

La ONG Transparencia Internacional ha lanzado un decálogo para combatir los casos de

corrupción en el sector privado. La prevención de la corrupción desde la óptica empresarial
permitirá también avanzar hacia una nueva cultura que recupere el valor de la integridad, lo
que se traducirá en resultados rentables a largo plazo. El decálogo contempla lo siguiente:

1. Cumplimiento de los Principios de Buen Gobierno Corporativo.

2. Implementación en la Empresa de un Código Ético.
3. Implantación de Programas de cumplimiento normativo.
4. Habilitación de canales de denuncias para la comunicación de posibles
incumplimientos de las normas internas de la empresa y/o de las normas legales.
5. Información pública de las retribuciones de los directivos y administradores.
6. Información pública de las contrataciones con el sector público e información de las
actividades subvencionadas con ayudas públicas.
MIAIA

7. Información pública de las políticas de Responsabilidad Social Corporativa.

8. Prevención de prácticas de favorecimiento y corrupción en el sector privado.
9. Prevención de prácticas de corrupción de funcionarios extranjeros en las
transacciones internacionales.
10. Cumplimiento de las obligaciones fiscales.

Teniendo claros los requerimientos necesarios para mejorar la lucha contra la corrupción,
que se ubican en el apartado correspondiente al Gobierno Corporativo de las Sociedades,
Auditoría Interna tendrá varios objetivos claros que cumplir:

 En primer lugar, conseguir que las Sociedades incluyan en sus respectivos Códigos
de Buen Gobierno los 10 puntos que hemos referido con anterioridad.
 En segundo lugar, si estos puntos no estuvieran recogidos en su totalidad, proponer a
la Comisión de Auditoría que valore la necesidad de incluir aquellos que falten.
 Verificar que la Organización atiende las exigencias que se derivan de los puntos
anteriores, incluyendo su supervisión en el Plan Anual de Auditoría.
 Denunciar al Comité de Auditoría las debilidades que se hayan podido observar en los
procesos de auditoría abiertos.

A título de recopilación y resumen de lo tratado hasta aquí respecto de las acciones

fraudulentas, podemos señalar que el fraude es, hoy en día, uno de los riesgos más
importantes que afectan a las organizaciones, que en épocas de crisis la probabilidad de
ocurrencia se incrementa, y que tiene un alcance universal, pues está presente en cualquier
país y actividad empresarial, por lo que puede considerarse una amenaza globalizada.

A causa de esto, las organizaciones deben abordar, dentro de sus Sistemas de Gestión de
Riesgos, los procesos específicos para combatir el fraude y privilegiar como mejor práctica,
debido a su mayor eficacia y eficiencia, los controles de índole preventiva, pues es la
modalidad de actuación en la que Auditoría Interna se encuentra en su campo de actuación
propio. La fase detectiva se reserva a la denominada Auditoría Forense pero no hay que
olvidar que:

 La responsabilidad primordial para la prevención, detección e investigación de fraude

recae en la Gerencia pues es la parte responsable de establecer un control interno
que sea suficiente y satisfactorio.
 La Auditoría Interna proporciona una actividad consultiva independiente, objetiva y
con certeza, por medio de evaluaciones sistemáticas. Además, analiza, agrega valor,
mejora operaciones y reconoce la necesidad de vincular riesgos y controles
relacionados para el logro de objetivos.
 Se requiere que los auditores internos cumplan con los estándares profesionales en el
ejercicio de sus funciones, que tengan el conocimiento suficiente para identificar
fraudes, y que estén bien posicionados en la detección de fraude debido a que:

 Se encuentran en la organización a tiempo completo.

 Contribuyen en toda la gobernabilidad corporativa.
 Los auditores internos deben actualizarse continuamente en el desarrollo de
controles internos efectivos.
 Conocen en detalle el negocio en el que trabajan.
 Inciden sobre aspectos que permiten mejorar la prevención.
MIAIA

11.3 Informes integrados

Hace ya algunos años se celebró en Madrid, con el auspicio del diario económico Cinco
Días, un encuentro dedicado a analizar los Informes integrados, considerados estos como
fórmula para aportar valor y credibilidad a las organizaciones. Allí se llegó a la conclusión de
que “las compañías tienen que hacer frente a unos grupos de interés que cada vez piden
más información y no solo la financiera. La transparencia y la confianza están en juego”.

Esta conclusión está plenamente en sintonía con lo que hemos insistido a lo largo de esta
Guía. Por ello, creemos oportuno dedicar atención a este fenómeno que puede dar un giro
importante en lo que respecta a uno de los objetivos del Control Interno, el que hemos
identificado como reporting.

Recientemente, el Consejo Internacional de Informes Integrados (International Integrated

Reporting Council [IIRC]) ha publicado el nuevo Marco Internacional de Elaboración de
Informes Integrados, cuyo objetivo es establecer las directrices y contenidos a los que debe
responder un Informe Integrado que atienda a las necesidades crecientes de información y
transparencia empresarial que vienen demandando los grupos de interés.

Debemos señalar que el IIRC es una coalición global de reguladores, inversores, empresas,
emisores de normas, profesionales de la contabilidad y organizaciones no
gubernamentales. Esta coalición comparte la opinión de que los informes corporativos
deben evolucionar para convertirse en una comunicación que permita entender mejor la
estrategia de la empresa y su relación con la capacidad de crear valor a corto, medio y largo
plazo, así como con el uso de los capitales y el efecto que tienen sobre ellos.

Así, para el IIRC un Informe Integrado es una comunicación concisa sobre el modo como la
estrategia de una organización, y su gobierno, desempeño y perspectivas en el contexto de
su entorno, conducen a la creación de valor en el corto, medio y largo plazo. Es, por lo
tanto, una visión global de la actividad de la organización, que permita apreciar la
coherencia de sus actuaciones.

Se trata de aprovechar las prácticas de información financiera y no financiera existentes, y

responder a dos tendencias actuales: por un lado, la necesidad de transparencia
empresarial y la capacidad de respuesta de las partes interesadas y, por otro, la necesidad
de dar a conocer la información material que guía la estrategia corporativa, la gestión del
riesgo y la asignación de recursos.

El propósito principal de un Informe Integrado se focaliza en atender las necesidades de

información de aquellos que proporcionan financiación a la empresa. Sin embargo, no
debemos olvidar que también es una información muy beneficiosa para todos los grupos de
interés a los que atañe la capacidad de una organización para crear valor a lo largo del
tiempo incluyendo, entre otros, empleados, clientes, proveedores, socios empresariales,
comunidades locales, legisladores y reguladores y responsables de diseñar las políticas
públicas.
MIAIA

El objetivo del nuevo Marco es asistir a las empresas en el proceso de elaboración de estos
informes. En este sentido, establece las directrices y los contenidos que deben observarse
en el contenido general de dichos informes y explica los conceptos fundamentales que se
abordan.

El Marco está concebido fundamentalmente para su aplicación en el sector privado, en

empresas de cualquier tamaño aunque, como se indica en su introducción, también puede
ser utilizado, convenientemente adaptado, en el sector público y en organizaciones sin
ánimo de lucro.

Los siete principios o directrices en los que se basa el contenido de un Informe Integrado y
el modo como se presenta la información son los siguientes:

 Enfoque estratégico y orientación futura.

 Conectividad de la información.
 Relaciones con los grupos de interés.
 Relevancia.
 Concisión.
 Fiabilidad e integridad.
 Coherencia y comparabilidad.

Por otra parte, en el apartado 4 del Marco se establece el contenido de un Informe

Integrado, indicando que deberá incluir los siguientes elementos:

a) Descripción general de la organización y su entorno.

b) Gobierno.
c) Modelo de negocio.
d) Oportunidades y riesgos.
e) Estrategia y asignación de recursos.
f) Desempeño.
g) Perspectivas de futuro.
h) Bases de presentación.

En todo caso, lo que resulta fundamental es tener claro qué es y qué no es un informe
integrado, ya que algunas compañías están elaborando un único informe que suma el
informe de sostenibilidad (o responsabilidad corporativa) con el informe financiero. Esta
agregación no aporta más valor que el que aportaría la lectura por separado de ambos
informes, puesto que normalmente los contenidos se elaboran de manera aislada, por
unidades independientes dentro de la organización que, usualmente, no intercambian
información hasta el momento de la maquetación para tratar de darle al informe una
estructura unitaria.

El informe integrado, por el contrario, debe ser el resultado de un proceso de reflexión cuyo
objetivo es mostrar la relación entre la estrategia, el gobierno y el desempeño financiero,
con el entorno social, económico y ambiental en el que opera la organización. Conocer esas
conexiones es lo que permitirá a las organizaciones tomar decisiones que creen valor a
corto, medio y largo plazo. Por los tanto, el informe integrado incluye información
económica, pero no como un anexo de cuentas y balances, sino identificando los
indicadores relevantes que muestren las conexiones para crear valor.
MIAIA

Este nuevo foco exige aportar la información necesaria para mejorar la toma de decisiones
que afectan el desempeño a largo plazo, de modo que se pueda valorar la relación entre la
creación de valor económico y la sostenibilidad social y ambiental. Sudáfrica ha sido el
primer país en establecer la obligación de presentar informes integrados. El informe King
III (The King Code on Governance for South África, 2009) establece cómo deben realizarse
estos informes (muy en línea con el IIRC), qué contenidos deben incluir y cómo debe
verificarse la información.

En consecuencia, hoy en día existe una tendencia mundial orientada hacia la integración
de sistemas de gestión en la organización, entendiendo la calidad, el medio ambiente y
la salud y seguridad ocupacional como los principales aspectos de la misma.

Un Sistema Integrado de Gestión (SIG) cubre todos los aspectos de la organización, desde
el aseguramiento de la calidad del producto y el incremento de la satisfacción del
cliente hasta el mantenimiento de las operaciones dentro de una situación de prevención de
la contaminación y el control de los riesgos de salud y seguridad ocupacional.
También, cuando exista la necesidad de implementar dos o más normas de gestión es
imprescindible integrarlas adecuadamente de forma tal que se evite duplicar información,
generar documentación excesiva, y llevar doble registro.

Además, para las organizaciones que están en proceso de implementar SIG, o ya lo han
hecho, resulta necesario contar con auditores con competencias específicas, que con su
participación en la planificación y realización de auditorías internas contribuyan a la mejora
continua del SGI. También es imprescindible que estos auditores sepan analizar y valorar
los requerimientos de las Normas ISO 9001.2008, ISO 14001:2004; OHSAS 18001: 2007,
de forma que les sepan establecer la metodología a seguir para planear, ejecutar y efectuar
las auditorías internas del Sistema Integrado de Gestión con el propósito de verificar que las
actividades y los resultados relacionados con la calidad estén conformes con las
disposiciones establecidas e, igualmente, determinar la eficacia, eficiencia y efectividad del
Sistema en su conjunto.

En la siguiente tabla aportamos un ejemplo de las variables más significativas a considerar

en el contenido de los informes integrados.
MIAIA

Tabla 1. Elementos del contenido de los informes integrados