Professional Documents
Culture Documents
LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA
BU E N A S P R AC T I C A S E N G E S T I N D E R I E S G O S
LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA
Adems de establecer este programa y las caractersticas a tener en cuenta para su elabo-
racin, este documento aporta un valor fundamental al definir un enfoque efectivo para
la administracin del fraude y un anlisis profundo sobre las responsabilidades y concien-
ciacin en su prevencin, deteccin e investigacin.
Las nuevas tendencias, impulsadas por la realidad econmica y por una creciente deman-
da social de mayor transparencia y control, exigen de los auditores internos respuestas
pertinentes frente a casos de fraudes corporativos y, sin duda, stas llegarn si tendemos
hacia la excelencia en nuestro trabajo, que viene motivada por la formacin y la capacita-
cin, adems de un correcto dimensionamiento de los equipos de Auditora Interna.
Con este espritu y con el impecable desarrollo de la investigacin por parte de los inte-
grantes de la Comisin Tcnica se ha desarrollado esta gua, que contribuir sin duda al
ptimo desempeo de nuestras funciones como auditores internos, y por ende, al de las
organizaciones en las que se desenvuelve nuestra profesin.
Ernesto Martnez
Presidente del Instituto de Auditores Internos de Espaa
3
BUENAS PRCTICAS EN GESTIN DE RIESGOS
ndice
INTRODUCCIN 06
RESPONSABILIDADES Y CONCIENCIACIN EN LA 15
PREVENCIN, DETECCIN E INVESTIGACIN DEL FRAUDE
Introduccin .................................................................................................................. 15
5
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Introduccin
En el actual marco regulatorio global, las or- actuacin y comportamientos de la actividad
ganizaciones estn cada vez ms sujetas a de la organizaciones; cuestiones que deben
normativas internacionales relacionadas con aceptarse, comunicarse, supervisarse, revaluar-
la comisin de delitos, sobre todo de corrup- se y adaptarse con regularidad, para asegurar
El sistema de principios, cin y soborno. Histricamente, el regulador la eficacia continua de los controles internos,
valores y reglas de ms activo ha sido, dado su carcter extrate- medidas y polticas de la compaa.
actuacin en las rritorial, el Departamento de Justicia (DOJ) de
organizaciones los Estados Unidos, a travs de la FCPA (Fo- El objeto es doble: por un lado, facilitar al
comienza en la alta reign Corrupt Practices Act). mercado informacin sobre los mecanismos
direccin y, a travs de especficos con los que la entidad mantiene
diversos elementos En este campo, muchos gobiernos siguen las un ambiente de control interno que propicia la
(cdigos de conducta, recomendaciones de la OCDE (Organizacin generacin de informacin financiera comple-
polticas y para la Cooperacin y el Desarrollo Econmi- ta, fiable y oportuna; y por otro, prevenir y
procedimientos, etc) se co). Los de Reino Unido, Francia, Turqua, y Es- atenuar las posibles conductas irregulares as
traslada al conjunto de paa, entre otros, han reformado sus legisla- como propiciar las vas para detectarlas.
la organizacin. ciones, alinendolas a la lucha contra el frau-
de y la corrupcin. Un ejemplo es la reforma Este sistema de principios, valores y reglas
del Cdigo Penal de Espaa, cuyo trmite se empieza en la alta direccin. Y a partir de ah,
inici en octubre de 2013 y fue aprobado fi- a travs de un cdigo de conducta, comporta-
nalmente el 21 de enero de 2015 por el Con- mientos adecuados y el diseo y la comunica-
greso de los Diputados. En otros casos, como cin de las correspondientes polticas y proce-
el del Reino Unido, se han introducido nuevas dimientos, se proyecta al resto de la organiza-
leyes como la UK Bribery Act. cin.
De acuerdo con las recomendaciones de la En esta gua detallamos los principales ele-
OCDE, los programas de cumplimiento norma- mentos de un programa eficaz de prevencin,
tivo definen los principios, valores, reglas de deteccin e investigacin de fraudes.
6
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Prevencin, deteccin
e investigacin del fraude
En cualquiera de sus categoras: apropiacin 4. Un plan de comunicacin y formacin para
de activos, corrupcin, manipulacin contable, toda la organizacin.
uso de informacin privilegiada, etc., los deli-
5. Un programa eficaz de prevencin, detec-
tos econmicos han derivado en nuevas ame-
cin e investigacin de fraude.
nazas para las organizaciones de todo el mun-
do. La irrupcin de las nuevas tecnologas y 6. Un canal de denuncias, como va de comu-
las dificultad de las organizaciones para adap- nicacin interna, que permita informar al
tarse por s solas a un entorno econmico en rgano responsable, tanto de irregularida-
cambio continuo, complican la situacin. El des de naturaleza financiera y contable, co-
aumento de los fraudes detectados y su im- mo de eventuales incumplimientos del C-
pacto han obligado a invertir en nuevas medi- digo de Conducta.
das de prevencin para minimizar los daos.
Para lograr reducir la probabilidad de fraude,
Es fundamental contar con un programa efi- las organizaciones deben realizar un gran es-
caz de prevencin, deteccin e investigacin fuerzo en la gestin de dicho riesgo. A conti-
de delitos; junto al que deben constar, al me- nuacin mostramos cinco principios funda-
nos, los siguientes elementos: mentales para que una organizacin gestione
proactivamente el riesgo de fraude. Esto es,
1. Un rgano colegiado o unipersonal, depen-
los cinco elementos de un programa eficaz de
diente del Consejo de Administracin, que La irrupcin de las
prevencin, deteccin e investigacin de deli-
vele por la aplicacin del Cdigo de Con- nuevas tecnologas y un
tos:
ducta y sirva para procurar un comporta- entorno econmico en
miento profesional, tico y responsable de 1. Establecer un programa de gestin del constante cambio,
toda la organizacin. riesgo de fraude, como parte de la estruc- obligan a las
tura de gobierno. Tambin conocido como organizaciones a
2. Un Cdigo de Conducta o de Buenas Prc-
programa anti-fraude, que incluye una pol- invertir en nuevas
ticas que defina los principios y valores que
tica escrita y que recoge las expectativas medidas de prevencin
rigen las relaciones de la organizacin con
del Consejo de Administracin y los altos del fraude.
sus grupos de inters (empleados, clientes,
accionistas, socios de negocio, y proveedo- directivos en relacin con la gestin de
res) y que se implanta, se difunde y es riesgo de fraude.
aceptado por dichos grupos de inters.
2. Realizar una evaluacin peridica de la
3. El compromiso de la alta direccin. exposicin al riesgo de fraude, con el fin
7
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Programa Evaluacin
peridica de Implementar Implementar Implantar
de gestin tcnicas de tcnicas de proceso de
del riesgo la exposicin
al riesgo prevencin deteccin reporting
de fraude
de fraude
8
BUENAS PRCTICAS EN GESTIN DE RIESGOS
que la direccin cumple con sus obligaciones y cin cuenta con un mapa de riesgos de fraude
responsabilidades. con el que valora y gestiona sus riesgos; si
bien slo un 27% de los trabajos de Auditora
Las partes interesadas de todas las organiza-
Interna incluyen tareas encaminadas a la valo-
ciones tienen sus expectativas puestas en los
racin de los citados riesgos.
comportamientos ticos de las mismas. Por
ello, las organizaciones deben responder ante A continuacin exponemos los principales as-
estas expectativas. pectos que deben abordarse en cualquier pro-
grama eficaz de gestin del riesgo de fraude:
El Consejo de Administracin y la alta direc-
cin deben asegurar que las prcticas de go- Roles y responsabilidades.
bierno marcan las pautas para la adecuada Compromiso de la alta direccin. Un programa eficaz
gestin del riesgo de fraude. Adems, deben Conocimiento del fraude. sobre tica en los
implementar polticas que fomenten un com- negocios es la base
Evaluacin del riesgo de fraude.
portamiento tico y que incluyan tanto proce- para prevenir y detectar
sos relativos a empleados, clientes, proveedo- Procedimiento de reporte y proteccin de actos fraudulentos y
res y otras terceras partes, como procesos que los denunciantes y denunciados. criminales.
especifiquen a quin reportar en los casos en Procedimiento de investigacin.
los que no se cumplan los estndares. Acciones correctivas.
9
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Identificacin del riesgo de fraude sos a los sistemas como las amenazas inter-
concreto nas y externas a la integridad de los datos, la
seguridad de los sistemas y el robo de infor-
Para identificar un riesgo, la organizacin pue- macin confidencial y sensible.
de utilizar fuentes de datos externas o inter-
nas. Entre las externas estn los organismos
Probabilidad de ocurrencia e impacto
reguladores, el propio sector, las principales
guas como COSO1, y organizaciones profesio- Evaluar la probabilidad e impacto de los po-
nales como The Institute of Internal Auditors tenciales riesgos de fraude es un proceso en el
(IIA), American Institute of Certified Public Ac- que hay que contar con factores monetarios o
countants (AICPA), Association of Certified econmicos, financieros, operacionales, repu-
Fraud Examiners (ACFE), etc. tacionales y legales. No todos los riesgos po-
Evaluar la probabilidad tenciales tienen la misma probabilidad y el
e impacto de los Las fuentes internas incluyen entrevistas con
mismo impacto en todos los casos.
riesgos inherentes el personal adecuado o representante de un
permite gestionar el amplio abanico de actividades dentro de la or- La organizacin debe considerar en primer lu-
riesgo de fraude e ganizacin; la revisin de las denuncias inter- gar aquellos riesgos inherentes2 a su negocio.
implementar y aplicar puestas a travs de los mecanismos implanta- Evaluar la probabilidad y el impacto de estos
procedimientos de dos (canal de denuncias o lnea tica) y otros riesgos le permite gestionar su riesgo de frau-
prevencin y deteccin procedimientos analticos. de e implementar y aplicar procedimientos
de manera razonable. preventivos y de deteccin de una forma ra-
Para que un proceso de identificacin y eva-
luacin del riesgo de fraude sea efectivo, debe cional.
incluir la evaluacin de los incentivos y las Una vez mapeados los riesgos, con sus respec-
presiones y oportunidades de cometer fraude. tivos controles, es posible que exista un riesgo
Asimismo, la evaluacin del riesgo de fraude residual3.
debe considerar la potencial eliminacin de
controles por parte de la direccin, as como el La direccin evala el potencial impacto de los
anlisis de aquellas reas donde los controles riesgos y decide la naturaleza y alcance de los
son dbiles o no existe una clara segregacin controles preventivos y de deteccin as como
de funciones. los procedimientos para su gestin.
10
BUENAS PRCTICAS EN GESTIN DE RIESGOS
complejidad del riesgo y el nmero de per- De forma adicional, las organizaciones deben
sonas involucradas en la revisin y aproba- evaluar los incentivos y presiones de los indi-
cin del proceso, entre otros factores. viduos y departamentos: qu individuos y de-
partamentos tienen mayores incentivos y, por
Evaluada la probabilidad de ocurrencia, s-
ta se categoriza de varias formas. La tres tanto, mayor probabilidad de comisin de
ms utilizadas son probabilidad remota, fraude. Toda esta informacin permite a la or-
probabilidad posible y probabilidad proba- ganizacin disear las respuestas adecuadas.
ble.
Respuesta al riesgo residual de fraude
Impacto en la organizacin. La evaluacin
del impacto de que un riesgo de fraude fi- La tolerancia al riesgo vara de una organiza-
nalmente se materialice no solo tiene en cin a otra. La alta direccin establece el nivel
cuenta factores monetarios en los estados La tolerancia al riesgo
de tolerancia al riesgo teniendo en cuenta su vara de una
financieros, sino tambin factores operacio-
responsabilidad frente a los socios o accionis- organizacin a otra.
nales, el valor de la marca, la reputacin,
tas, las entidades financiadoras y dems par- Es la alta direccin
aspectos legales y regulatorios.
tes interesadas. quien establece el nivel
Al igual que con la probabilidad de ocu- de tolerancia
Algunas organizaciones prefieren gestionar
rrencia, una vez evaluado el impacto de considerando su
que un riesgo de fraude se materialice, ste nicamente los riesgos de fraude con impacto responsabilidad ante
se categoriza. La forma ms comn es la material en los estados financieros; otras, im- los diferentes grupos de
que diferencia entre impacto no significati- plantan programas de respuesta al fraude inters.
vo, impacto significativo e impacto mate- ms estrictos, con polticas de tolerancia ce-
rial. ro.
11
BUENAS PRCTICAS EN GESTIN DE RIESGOS
12
BUENAS PRCTICAS EN GESTIN DE RIESGOS
pora siempre en los Planes de Auditora Inter- control y procedimientos proactivos de detec-
na tareas encaminadas a la deteccin de frau- cin de fraude, diseados especficamente pa-
de. ra identificar actividades fraudulentas.
Los controles de deteccin deben ser flexibles, La ltima encuesta referenciada al inicio de Los canales de
para adaptarse a los cambios de los riesgos. este documento muestra los medios de detec- denuncia y las
cin que las organizaciones ponen a disposi- revisiones de Auditora
Los controles preventivos son fcilmente iden- cin de sus empleados: los canales de denun- Interna continan
tificados por los empleados y/o terceras par- cias internos y externos5 y las revisiones de siendo los mtodos
tes. Pero los controles de deteccin son, por Auditora Interna continan siendo, con un ms eficaces de
su naturaleza, clandestinos: dichos controles 39% y un 47% respectivamente, los mtodos deteccin de fraude.
operan en un contexto que no es evidente en de deteccin ms eficaces.
el entorno empresarial. Las tcnicas de detec-
cin preventivas suelen:
Producirse en el curso normal de la activi- EFICACIA DE MEDIOS DE DETECCIN
dad de la compaa.
Basarse en informacin externa, que corro- Otros
bora informacin generada internamente. 14%
Canal de
Comunicar de manera formal y automtica denuncias
las deficiencias y excepciones identificadas. 39%
Mejorar y/o modificar otros controles. Revisiones de
Auditora Interna
Las tcnicas de deteccin incluyen mecanis- 47%
mos de reporting annimo (canal de denun-
cias), denuncia (annima o no), procesos de
5. Un 72,36% de los encuestados manifiesta contar en su empresa con un canal de denuncias o irregularidades, el cual
en casi un 50% de los casos est abierto a colaboradores, agentes y clientes.
13
BUENAS PRCTICAS EN GESTIN DE RIESGOS
14
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Responsabilidades y concienciacin
en la prevencin, deteccin e
investigacin del fraude
INTRODUCCIN
Las organizaciones estn cada vez ms suje- tar al mercado informacin acerca de los me- Las organizaciones
tas a exigencias de cumplimiento internacio- canismos especficos que la entidad ha habili- deben definir el sistema
nal relativas a la comisin de delitos, corrup- tado para mantener un ambiente de control de principios, valores,
cin y soborno y, por tanto, implementando interno que propicie la generacin de informa- reglas de actuacin y
programas de cumplimiento normativo. stos, cin financiera completa, fiable y oportuna, si- comportamientos que
segn la OCDE, deben definir el sistema de no prevenir o atenuar la comisin de conduc- regulan su actividad y
principios, valores, reglas de actuacin y com- tas irregulares y propiciar las vas para detec- deben comunicarlo,
portamientos que deben regular la actividad tarlas. supervisarlo y
de la empresa. Este sistema debe ser acepta- actualizarlo para
do, comunicado, supervisado, actualizado y Este sistema de principios, valores, reglas de mantener su eficacia.
adaptado con regularidad, segn sea necesa- actuacin y comportamientos empieza en la
rio, para asegurar la eficacia continua de los alta direccin de la entidad, la cual influye a
controles internos, medidas y polticas de la travs de sus propias acciones en el resto de
organizacin. Todo ello permite no slo facili- la organizacin, con el establecimiento de un
15
BUENAS PRCTICAS EN GESTIN DE RIESGOS
cdigo de conducta y unos adecuados com- sino tambin en cuanto a los riesgos inheren-
portamientos, y en el diseo y comunicacin tes a la comisin de delitos, al establecimien-
efectiva de las correspondientes polticas y to e implantacin de medidas para detectar y
procedimientos. prevenir conductas irregulares, a los cambios
regulatorios, a la existencia de mecanismos
Por tanto, es esencial que las compaas esta-
para denunciar o consultar el modo de proce-
blezcan un cdigo de conducta como pilar
der ante conductas que pudieran entenderse
bsico de su programa de cumplimiento, que
como irregulares y respecto a todo aquello
Es esencial que las procure un comportamiento profesional tico
que fomente y asiente la cultura empresarial
organizaciones y responsable de la organizacin y de todos
de la organizacin.
establezcan un cdigo sus empleados, en el desarrollo de sus activi-
de tica como pilar dades en cualquier parte del mundo. Dicho De forma adicional, dentro de los pilares bsi-
bsico de su programa cdigo de tica debe reflejar su cultura em- cos de un eficaz programa de cumplimiento,
de cumplimiento. presarial en la que se debe asentar la forma- destaca aquel que permita minimizar la pro-
cin y el desarrollo personal y profesional de babilidad de que se produzcan irregularidades
sus empleados, y definir los principios y valo- y asegurar que, las que eventualmente pue-
res que deben regir las relaciones de la orga- dan producirse, sean siempre identificadas,
nizacin con sus grupos de inters (emplea- comunicadas y resueltas con prontitud. Por
dos, clientes, accionistas, socios de negocio, y esto es recomendable, y as se est poniendo
proveedores). cada vez ms en prctica, la implantacin de
canales de denuncia, como va de comunica-
Una vez que la organizacin cuente con el
cin interna que permita la comunicacin al
compromiso de la alta direccin, se debe
rgano responsable de irregularidades de na-
transmitir este sistema de principios, valores,
turaleza financiera y contable, as como de
reglas de actuacin y comportamientos al res-
eventuales incumplimientos del cdigo de
to de la organizacin.
conducta y actividades irregulares. Este canal
Se recomienda la continua comunicacin y permite demostrar a terceros interesados que
formacin a los empleados de la organizacin la organizacin cuenta con procedimientos y
no slo en cuanto al Cdigo de Conduc- medios adecuados y que los mismos son per-
ta cultura empresarial de la organizacin manentemente revisados.
16
BUENAS PRCTICAS EN GESTIN DE RIESGOS
SUPERVISIN
Pistas y alertas
Protocolos de anlisis
Fuente: elaboracin propia
17
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Orientada a: Orientada a:
- Foco en fortalezas del control interno, errores y omisiones. - Pensamiento defraudador.
- nfasis en materialidad. - Prcticas no habituales.
- Evaluacin del diseo y su cumplimiento. - Uso abusivo de excepciones.
- Trabajo sobre muestras. - Cambios en la conducta emocional.
18
BUENAS PRCTICAS EN GESTIN DE RIESGOS
19
BUENAS PRCTICAS EN GESTIN DE RIESGOS
20
BUENAS PRCTICAS EN GESTIN DE RIESGOS
AUDITORA Garantizar al Consejo y a la Direccin que los controles de fraude son suficientes
INTERNA para cubrir los riesgos y que estn funcionando de forma eficaz.
nizacin. Estn entrelazados entre s, de tal dades de control de fraude, as como en las
forma que proporcionan un proceso interacti- actividades de seguimiento.
vo natural que promueve el tipo de entorno Informar acerca de sospechas o indicios de
que no tolera el fraude. fraude.
Todos los niveles de la organizacin, incluida Cooperar en las investigaciones de fraude.
la direccin, deben:
Tener un conocimiento bsico del fraude y Auditora Interna
estar atentos a las seales de alerta. Segn la definicin de The Institute of Internal
Entender cul es su papel en el marco de Auditors, Auditora interna es una actividad
control interno. El personal debe compren- independiente y objetiva de aseguramiento y
der cmo sus procedimientos de trabajo es- consulta, concebida para agregar valor y me- Auditora Interna debe
tn diseados para gestionar el riesgo de jorar las operaciones de una organizacin. asegurar al Consejo y a
fraude y que su incumplimiento puede dar Ayuda a una organizacin a cumplir sus obje- la direccin que los
controles en materia de
oportunidad al fraude. tivos aportando un enfoque sistemtico y dis-
fraude son suficientes
Leer y entender las polticas y procedimien- ciplinado para evaluar y mejorar la efectividad
para cubrir los riesgos
tos (polticas de fraude, cdigo de conducta de los procesos de gestin de riesgos, control
identificados y
y canal de denuncias, entre otros) as como y gobierno.
garantizar que dichos
las polticas operacionales (manual de com- Auditora Interna debe asegurar al Consejo de controles funcionan de
pras, etc.). Administracin y a la direccin que los con- manera eficaz.
Participar, en su caso, en el proceso de troles de fraude son suficientes para cubrir los
creacin de un fuerte ambiente de control y riesgos identificados y garantizar que estn
en el diseo e implementacin de las activi- funcionando de forma eficaz.
21
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Los auditores internos deben evaluar, en sus un cierto grado de escepticismo profesional y
planes anuales de Auditora Interna, los ries- mantenerse en guardia ante posibles signos
gos de fraude de la organizacin y revisar pe- de fraude. Los potenciales fraudes detectados
ridicamente la capacidad de gestin de la di- durante una auditora deben tratarse de
reccin. Deben reunirse peridicamente con acuerdo a un plan de respuesta bien definido
los encargados de identificar y evaluar el ries- y previamente establecido. De la misma for-
go de fraude y con aquellos otros puestos cla- ma, Auditora Interna debe tener un papel
ve de la organizacin para garantizar que han proactivo en el apoyo a la cultura tica de la
sido considerados adecuadamente todos los organizacin.
riesgos.
Auditora Interna participa en la gestin de
Al llevar a cabo su trabajo ordinario de con- los cinco elementos que forman el sistema de
trol, los auditores internos deben actuar con control de COSO sealados anteriormente.
Los auditores internos, RESPONSABILIDADES DE AUDITORA INTERNA SEGN LOS COMPONENTES QUE FORMAN COSO
en el desempeo de su Validar la existencia de polticas y procedimientos antifraude.
actividad, deben actuar
AMBIENTE DE CONTROL
22
BUENAS PRCTICAS EN GESTIN DE RIESGOS
La importancia que una organizacin concede de los controles establecidos, la realizacin de La importancia que una
a su unidad de Auditora Interna indica su seguimientos del canal de denuncias o la pro- organizacin concede a
compromiso con el control interno. El Estatuto mocin de sesiones de formacin en relacin su unidad de Auditora
de Auditora Interna debe incluir las funciones con la cultura tica de la organizacin. Interna, es un indicador
y responsabilidades relacionadas con la ges- de su grado de
tin del fraude. Y dentro de estas funciones En el apartado siguiente profundizamos en el compromiso con el
puede incluirse el anlisis de las causas, el es- rol que puede adoptar el auditor interno fren- control interno.
tablecimiento de recomendaciones de mejora te al fraude.
23
BUENAS PRCTICAS EN GESTIN DE RIESGOS
ofrece una manera simple y efectiva de po- gestionan sus propios riesgos (son los dueos
tenciar las comunicaciones entre los implica- o titulares de los mismos, son las reas de ne-
dos en la gestin y el control del riesgo, a par- gocios de las organizaciones); en la segunda
tir de la simplificacin de las tareas y respon- lnea estn los que vigilan los riesgos (depar-
La realidad econmica
sabilidades de cada rea. tamentos de gestin de riesgo, cumplimento
y las tendencias en los
normativo, calidad, etc.) y en la tercera, los
nuevos roles de
Distingue entre tres grupos o lneas de defen- terceros independientes que proveen de su
Auditora Interna
sa: en la primera lnea, se sitan aquellos que asesoramiento (los auditores internos).
demandan incluir en los
equipos permanentes
de Auditora Interna a
miembros con las NORMATIVA A CONSIDERAR
competencias
Auditora Interna es un ente de la organiza- mente cita (1210.A2) que los auditores in-
necesarias en materia
cin a cargo de la ejecucin de una actividad ternos deben tener conocimientos suficientes
de fraude.
independiente y objetiva de aseguramiento y para evaluar el riesgo de fraude y la forma en
consulta, con responsabilidades en la evalua- que se gestiona por parte de la organizacin,
cin de los procesos de gestin de riesgos, pero no es de esperar que tengan conoci-
control y gobierno. Pero no debe olvidarse in- mientos similares a los de aquellas personas
cluir entre sus compromisos la responsabili- cuya responsabilidad principal es la deteccin
dad en temas de fraude que afectan o pue- e investigacin del fraude. Posteriormente
dan afectar a la organizacin. indica (1220.A1) que el auditor interno debe
ejercer el debido cuidado profesional al consi-
El Cdigo tico de Auditora Interna recoge derar () la probabilidad de errores materia-
una serie de principios que cobran especial les, fraude o incumplimientos.
relevancia en temticas crticas como las de
fraude: La realidad econmica (aumento de casos de
Integridad, como capacidad para propor- fraude, disminucin de recursos para la con-
cionar base de confianza en los juicios emi- tratacin de expertos, etc.) y las tendencias en
tidos. los nuevos roles de Auditora Interna, deman-
dan por parte de la alta direccin que los
Objetividad, como caracterstica del proce-
equipos de Auditora Interna sean capaces de
so de obtencin, evaluacin y comunicacin
ofrecer respuestas adecuadas frente a casos
de los hechos examinados, sin dejarse in-
de fraudes corporativos. Esta realidad ha mo-
fluir por intereses propios o de terceros.
tivado que muchas organizaciones estn faci-
Confidencialidad, como deber de respeto litando a los auditores internos formacin en
del valor y propiedad de la informacin. tcnicas y habilidades relacionadas con la in-
Competencia, como medida de idoneidad vestigacin, e incluyendo en los equipos per-
profesional. manentes de Auditora Interna a miembros
con las competencias necesarias.
Las Normas sobre Atributos establecen que
los trabajos deben cumplirse con aptitud y El Marco Internacional para la Prctica Profe-
cuidado profesional adecuados y especfica- sional de la Auditora Interna (The Institute of
24
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Internal Auditors) define varias normas y con- la identificacin de los riesgos, la revisin de
sejos relacionados con el fraude, que no re- la calidad y operatividad de los controles que
producimos ntegramente a continuacin, pe- mitigan de forma principal o secundaria el
ro que ayudan a comprender el rol del auditor riesgo de fraude, el deber de informar sobre
interno en toda su extensin. los riesgos existentes y, paralelamente, formar-
2110 Gobierno se y cumplir internamente los requisitos para
2120 Gestin de Riesgos el desempeo de la funcin de manera idnea
Consejo para la prctica 2120-1 y con total cumplimiento de las normativas vi-
gentes.
2130 Control
Consejo para la prctica 2130.1: Tal como seala la Norma sobre Atributos El rol del auditor en
Control 2130.A1 (1010-Reconocimiento de la definicin de Au- materia de fraude
El marco normativo confiere al Director de Au- ditora Interna, el Cdigo de tica y las Nor- queda definido en
ditora Interna el deber de informar peridi- mas, en el Estatuto de Auditora Interna) la diversas normas del
funcin debe estar definida en propsito, au- Marco Internacional
camente a la alta direccin y al Consejo sobre
toridad y responsabilidades dentro del Estatu- para la Prctica
la actividad de auditora y que el informe
to que delimita la actividad del rea. Profesional de la
tambin debe incluir exposiciones al riesgo
Auditora Interna.
() incluido riesgo de fraude (2060). Segui-
Dentro de este Estatuto debe estar claramente
damente indica que la actividad de Auditora
definido el rol de Auditora Interna en relacin
Interna debe evaluar la posibilidad de ocu-
al tratamiento de los supuestos de comisin
rrencia de fraude y cmo la organizacin ma-
de delitos o irregularidades (identificados o
neja y gestiona el riesgo de fraude (2120.A2)
denunciados) que se investiguen dentro de la
y que el auditor interno debe considerar la
organizacin, sin perjuicio de las responsabili-
probabilidad de errores, fraude, incumplimien-
dades que colateralmente tengan determina-
tos y otras exposiciones significativas al elabo-
dos departamentos de la organizacin en as-
rar los objetivos del trabajo (2210.A2).
pectos derivados de la investigacin como por
Por lo expuesto, la primera responsabilidad de ejemplo, el departamento de Asesora Jurdica,
Auditora Interna en materia de fraude implica el de Recursos Humanos, etc.
25
BUENAS PRCTICAS EN GESTIN DE RIESGOS
El mapa de riesgos de de fraude externo son similares, aunque algo tentes y el grado de cobertura que ofrecen a
fraude es una parte menores, tanto en la prevencin como en la los riesgos identificados.
integrante del mapa de deteccin.
Este mapa de riesgos de fraude es una parte
riesgos generales de la
Adems, junto a los departamentos de Audi- del mapa de riesgos generales de la organiza-
organizacin.
tora Interna, colaboran en la deteccin e in- cin, desarrollado dentro del esquema de
vestigacin de fraudes los departamentos de identificacin que establece la organizacin
sistemas de la informacin, de cumplimiento (para ahondar en materia de Risk Assessment
normativo, legal, financiero, y recursos huma- nos remitimos a lo ya sealado por el Enter-
nos. prise Risk Management de COSO).
26
BUENAS PRCTICAS EN GESTIN DE RIESGOS
27
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Auditora Interna se encarga de la elabora- aquellos aspectos que puedan tener implica-
cin de los Planes de Auditora, y considera ciones legales.
en todo momento las opiniones e inquietudes
de la direccin. Adems, es necesario establecer protocolos
de actuacin para aquellas denuncias que se
Un proceso de Estos planes deben ser consecuentes con el reciben en temas de acoso o discriminacin,
identificacin y Estatuto de Auditora Interna, con los objeti-
derivando su tratamiento, por ejemplo, al rea
evaluacin de riesgos vos de la organizacin y de Auditora Interna
de relaciones laborales.
y con los requisitos de los reguladores en ma-
es un elemento bsico
teria de Auditora Interna y control interno. Por ltimo, la metodologa para la correcta
de un sistema de
control y una de las La eficacia en la elaboracin de los menciona- evaluacin de denuncias debe ser aplicable
bases del Plan de dos planes radica en un conocimiento global para el anlisis de riesgos, previo a la realiza-
Auditora Interna. del universo auditable (diferente al contable), cin de los trabajos de auditora.
as como de aplicar un enfoque basado en
riesgos, para que la planificacin de la audito- La participacin en la investigacin. La
ra vaya alineada con el crecimiento de las l- participacin del auditor interno en las
neas de negocio y de los cambios que sufren investigaciones de fraude puede ser diversa y
las organizaciones. abarcar diferentes niveles de responsabilidad
en funcin de la organizacion:
La evaluacin de riesgos permite analizar el
impacto de los potenciales eventos en el lo- - Realizacin de la investigacin en una fase
gro de los objetivos. Por tanto, un proceso pa- inicial, hasta confirmar las sospechas/indi-
ra identificar y evaluar los riesgos es un pilar cios o desestimar la existencia de fraude.
bsico de un sistema de control adecuado y
una de las bases para establecer un Plan de - Realizacin de la investigacin nicamente
Auditora Interna. en casos de hasta un cierto lmite de dao,
o en casos que no requieran determinadas
Los cambios a los que se enfrentan las orga-
competencias o medios tcnicos especiales,
nizaciones hacen que los planes deban ser
actualizados de forma peridica, al menos con los que no cuenta el rea de Auditora
anualmente. Interna.
De forma complementaria, Auditora Interna Los distintos roles que pueda adoptar Audito-
debe coordinarse con los servicios jurdicos en ra Interna en la investigacin deben estar
28
BUENAS PRCTICAS EN GESTIN DE RIESGOS
previstos en las polticas corporativas y en los mente los hallazgos y realizando la labor
propios estatutos de Auditora Interna. Estas con la idoneidad, transparencia y compe-
directrices posicionan la labor del auditor in- tencia debida.
terno y establecen su responsabilidad en la
investigacin, reconociendo su autoridad a Algunas organizaciones realizan grandes
todos los niveles dentro de la empresa. esfuerzos para que los miembros de Audi-
tora Interna cuenten con la competencia y
En cualquier caso, consideramos que el audi- la capacidad para llevar a cabo las corres-
tor interno, al menos: pondientes investigaciones. Un 45% de los
Cuando Auditora
- Debe ser informado de la existencia de encuestados por el IAI manifiesta que sus
Interna investigue
cualquier potencial fraude en los momentos equipos de Auditora Interna no cuentan denuncias o alertas de
previos a la investigacin, dado que se en- con formacin especializada en investiga- fraude debe
cuentra en la mejor posicin, por su presen- cin de fraudes y un 50% no cuenta con documentar
cia en la compaa y su conocimiento del los recursos tcnicos e informticos ade- adecuadamente sus
negocio, para prestar un apoyo experto so- cuados. hallazgos y realizar su
bre la potencial irregularidad y los posibles labor con la idoneidad,
- Documentar con el debido celo profesional
pasos a llevar a cabo. Todo ello con inde- transparencia y
todos los pasos ejecutados, prestando es-
pendencia del rol que desempee en la fu- competencia debidas.
pecial atencin a la validez legal en la cap-
tura investigacin.
tura de evidencias y el debido soporte de
- Debe ser informado de los avances que se los hallazgos, no slo de cara a sustentar y
produzcan. soportar el contenido del informe final, sino
- Debe ser informado de los resultados fina- adems como soporte y herramienta de de-
les de la investigacin y de las posibles ac- fensa de la empresa cuando, en caso de
ciones, dado que los resultados pueden producirse una irregularidad, la organiza-
afectar al plan de trabajo del rea de Audi- cin decida iniciar acciones legales contra
tora Interna y a la evaluacin y seguimien- el infractor y sea necesario utilizar estas
to de controles que realiza el rea. evidencias como prueba. Es necesario que
Auditora Interna cuente con el asesora-
La investigacin puede realizarse con perso-
miento del rea de Asesora Jurdica de la
nal propio o terceros especialistas contrata-
empresa cuando sea necesario.
dos. Pero la gestin y supervisin debe recaer
necesariamente en las reas de Auditora In- - Asesorarse/capacitarse sobre las particulari-
terna y Asesora Jurdica de la empresa. dades legales que debe cumplir en la cap-
tura, tratamiento y custodia de datos de
Si la investigacin de las denuncias recibidas
empleados, o terceros y en la forma en que
o de las alertas identificadas recae en el de-
puede acceder a los mismos durante la in-
partamento de Auditora Interna, el mismo
vestigacin, para no invalidar la prueba. El
debe:
rea de Asesora Jurdica debe asesorar en
- Cumplir las normas y principios en su labor materia de derechos del empleado y obli-
de investigacin, soportando fehaciente- gaciones legales de la empresa, para no
29
BUENAS PRCTICAS EN GESTIN DE RIESGOS
6. Es posible que sea necesaria la aplicacin de procedimientos especficos para la recopilacin de evidencia digital para
los que el rea de Auditora Interna no dispone ni de los medios tcnicos ni de las habilidades necesarias, para lo que,
de acuerdo con la Norma 1210. A1, sea necesaria la intervencin de expertos externos:
el Director de Auditora Interna debe obtener asesoramiento y asistencia competentes en caso de que los auditores in-
ternos carezcan de los conocimientos, las aptitudes u otras competencias necesarias para llevar a cabo el trabajo
En estos casos, Auditora Interna debe ponerse a disposicin del equipo externo ofreciendo su cooperacin y estando
dispuesto a participar en el proceso en aquello para lo que se le requiera. As, puede prestar una colaboracin til en
identificar la informacin relevante y dnde se encuentra alojada (bases de datos, ficheros, etc.) ya que normalmente
Auditora Interna conoce estos aspectos por el curso de su actividad cotidiana, lo que puede suponer ahorros de tiem-
po. En cualquier caso, participe activamente Auditora Interna o no, es importante mantener un clima de buen entendi-
miento entre ambos equipos ya que ambos trabajan por un mismo fin.
PRECAUCIONES
La Norma 1220. A2 referente al Cuidado Profesional en el ejercicio de su actividad dice: al ejercer el debido cuidado
profesional el auditor interno debe considerar la utilizacin de auditora basada en tecnologa y otras tcnicas de anli-
sis de datos.
y la Norma 1220.A3: el auditor interno debe estar alerta a los riesgos materiales que pudieran afectar los objetivos,
las operaciones o los recursos.
Por ello, el auditor interno debe actuar con la prudencia debida en tareas especialmente sensibles, para lo que debe
evaluar cules son los riesgos a los que se enfrenta cuando aplica procedimientos que pueden tener un impacto eleva-
do en el proceso, como son todos los relacionados con la evidencia digital. En particular, el auditor interno debe ser ex-
tremadamente prudente en no recopilar evidencias sin las debidas garantas simplemente porque conoce cmo llegar a
ellas, no manipular evidencias para darles otra apariencia o no respetar la cadena de custodia.
30
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Fuente: Managing the Business Risk of Fraud: A Practical Guide (The Institute of Internal Auditors, The American Institute of Certified Public Accountants, Asso-
ciation of Certified Fraud Examiners).
(1)Respecto al Canal de Denuncias, si seguimos las recomendaciones de la CNMV en materia de control interno sobre la informacin financiera en sociedades
cotizadas, el Comit de Auditora debe tener conocimiento y acceso directo a la denuncia de potenciales irregularidades. Por tanto, entendemos que es
deseable que Auditora Interna gestione el canal de denuncias, pudiendo ser el mismo administrado por la propia Auditora Interna, por un departamento
especfico o bien por un tercero.
31
Instituto de Auditores Internos de Espaa
Santa Cruz de Marcenado, 33 28015 Madrid Tel.: 91 593 23 45 Fax: 91 593 29 32 www.auditoresinternos.es
ISBN: 978-84-943299-0-6
Impresin: IAG, SL
LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA