BU E N A S P R AC T I C A S E N G E S T I N D E R I E S G O S

LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA
BU E N A S P R AC T I C A S E N G E S T I N D E R I E S G O S

LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA

MIEMBROS DE LA COMISIN TCNICA

COORDINACIN: Javier Lpez Andreo, CFE, CISA. PwC
Jorge Abad del Mazo. ENDESA
Luis Alonso Moreno. DELOITTE
Cristina Baus Rosa, CIA, CRMA. SAREB
David Caa Domnguez, CIA. MAPFRE
Mariano Casado Carrillo de Albornoz, CFE. IBERDROLA
Jos Enrique Daz Menaya, CIA, CRMA. BERGE Y CA
Enric Domenech Rey, CRMA. BDO
Reyes Fuentes Ortea, CIA, CISA, CFE, CCSA. NH HOTEL GROUP
Jaime Garca Ajuria, CIA. TRIODOS BANK
Sergio Gmez-Landero Prez, CIA, CISA, CFE. ENDESA
Luis Mesa Palomino. CORTEFIEL
Vicente Obrero Castilla. CAJASUR
Fernando Paton Botella, CFE. INDITEX
Almudena Ruiz-Ruescas Pradera. PwC
Juan Jess Valderas Martos. DELOITTE
Leyre Zayas Mariscal, CIA, CCSA. PwC
 BUENAS PRCTICAS EN GESTIN DE RIESGOS

LA FBRICA DE PENSAMIENTO, el think tank del Instituto de Auditores Internos de Espa-

a, aborda con acierto en este ltimo documento un resumen ejecutivo de una investi-
gacin ms amplia que el Instituto editar prximamente los diferentes procesos para
una ptima gestin del riesgo de fraude, que pasa inexorablemente por un programa efi-
caz de prevencin, deteccin e investigacin de fraudes.

Adems de establecer este programa y las caractersticas a tener en cuenta para su elabo-
racin, este documento aporta un valor fundamental al definir un enfoque efectivo para
la administracin del fraude y un anlisis profundo sobre las responsabilidades y concien-
ciacin en su prevencin, deteccin e investigacin.

Este enfoque se basa en un sistema de principios, valores, reglas y comportamientos que,

tal y como sostienen los autores del documento, comienza en la alta direccin de la orga-
nizacin, que tiene la misin de definir, y asumir, un cdigo de conducta como pilar bsico
de su programa de cumplimiento.

Si bien todos los miembros de la organizacin son responsables del establecimiento y

mantenimiento de los controles adecuados contra el fraude, Auditora Interna tiene un
papel fundamental de aseguramiento ante el Consejo de Administracin y la direccin de
que los controles de fraude son suficientes.

Las nuevas tendencias, impulsadas por la realidad econmica y por una creciente deman-
da social de mayor transparencia y control, exigen de los auditores internos respuestas
pertinentes frente a casos de fraudes corporativos y, sin duda, stas llegarn si tendemos
hacia la excelencia en nuestro trabajo, que viene motivada por la formacin y la capacita-
cin, adems de un correcto dimensionamiento de los equipos de Auditora Interna.

Con este espritu y con el impecable desarrollo de la investigacin por parte de los inte-
grantes de la Comisin Tcnica se ha desarrollado esta gua, que contribuir sin duda al
ptimo desempeo de nuestras funciones como auditores internos, y por ende, al de las
organizaciones en las que se desenvuelve nuestra profesin.

Ernesto Martnez
Presidente del Instituto de Auditores Internos de Espaa

3
 BUENAS PRCTICAS EN GESTIN DE RIESGOS

ndice
INTRODUCCIN 06

PREVENCIN, DETECCIN E INVESTIGACIN DEL FRAUDE 07

Programa de gestin de riesgo de fraude ........................................................... 08

Evaluacin del riesgo de fraude .............................................................................. 09

La prevencin del fraude ........................................................................................... 11

La deteccin del fraude ............................................................................................. 12

La investigacin del fraude y acciones correctivas ............................................. 13

RESPONSABILIDADES Y CONCIENCIACIN EN LA 15
PREVENCIN, DETECCIN E INVESTIGACIN DEL FRAUDE
Introduccin .................................................................................................................. 15

Roles y responsabilidades en la gestin del riesgo de fraude ......................... 16

EL ROL DEL AUDITOR INTERNO 23

Normativa a considerar ............................................................................................. 24

Funciones del rea de Auditora Interna en materia de prevencin,

deteccin e investigacin del fraude ...................................................................... 25

5
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Introduccin
En el actual marco regulatorio global, las or-
ganizaciones estn cada vez ms sujetas a
normativas internacionales relacionadas con
la comisin de delitos, sobre todo de corrup-
El sistema de principios, cin y soborno. Histricamente, el regulador
valores y reglas de ms activo ha sido, dado su carcter extrate-
actuacin en las rritorial, el Departamento de Justicia (DOJ) de
organizaciones los Estados Unidos, a travs de la FCPA (Fo-
comienza en la alta reign Corrupt Practices Act).
direccin y, a travs de
diversos elementos En este campo, muchos gobiernos siguen las
(cdigos de conducta, recomendaciones de la OCDE (Organizacin
polticas y para la Cooperacin y el Desarrollo Econmi-
procedimientos, etc) se co). Los de Reino Unido, Francia, Turqua, y Es-
traslada al conjunto de paa, entre otros, han reformado sus legisla-
la organizacin. ciones, alinendolas a la lucha contra el frau-
de y la corrupcin. Un ejemplo es la reforma
del Cdigo Penal de Espaa, cuyo trmite se
inici en octubre de 2013 y fue aprobado fi-
nalmente el 21 de enero de 2015 por el Con-
greso de los Diputados. En otros casos, como
el del Reino Unido, se han introducido nuevas
leyes como la UK Bribery Act.
De acuerdo con las recomendaciones de la
OCDE, los programas de cumplimiento norma-
tivo definen los principios, valores, reglas de
6
actuacin y comportamientos de la actividad
de la organizaciones; cuestiones que deben
aceptarse, comunicarse, supervisarse, revaluar-
se y adaptarse con regularidad, para asegurar
la eficacia continua de los controles internos,
medidas y polticas de la compaa.
El objeto es doble: por un lado, facilitar al
mercado informacin sobre los mecanismos
especficos con los que la entidad mantiene
un ambiente de control interno que propicia la
generacin de informacin financiera comple-
ta, fiable y oportuna; y por otro, prevenir y
atenuar las posibles conductas irregulares as
como propiciar las vas para detectarlas.
Este sistema de principios, valores y reglas
empieza en la alta direccin. Y a partir de ah,
a travs de un cdigo de conducta, comporta-
mientos adecuados y el diseo y la comunica-
cin de las correspondientes polticas y proce-
dimientos, se proyecta al resto de la organiza-
cin.
En esta gua detallamos los principales ele-
mentos de un programa eficaz de prevencin,
deteccin e investigacin de fraudes.

Prevencin, deteccin
e investigacin del fraude
En cualquiera de sus categoras: apropiacin
de activos, corrupcin, manipulacin contable,
uso de informacin privilegiada, etc., los deli-
tos econmicos han derivado en nuevas ame-
nazas para las organizaciones de todo el mun-
do. La irrupcin de las nuevas tecnologas y
las dificultad de las organizaciones para adap-
tarse por s solas a un entorno econmico en
cambio continuo, complican la situacin. El
aumento de los fraudes detectados y su im-
pacto han obligado a invertir en nuevas medi-
das de prevencin para minimizar los daos.
Es fundamental contar con un programa efi-
caz de prevencin, deteccin e investigacin
de delitos; junto al que deben constar, al me-
nos, los siguientes elementos:
1. Un rgano colegiado o unipersonal, depen-
diente del Consejo de Administracin, que
vele por la aplicacin del Cdigo de Con-
ducta y sirva para procurar un comporta-
miento profesional, tico y responsable de
toda la organizacin.
2. Un Cdigo de Conducta o de Buenas Prc-
ticas que defina los principios y valores que
rigen las relaciones de la organizacin con
sus grupos de inters (empleados, clientes,
accionistas, socios de negocio, y proveedo-
res) y que se implanta, se difunde y es
aceptado por dichos grupos de inters.
3. El compromiso de la alta direccin.
BUENAS PRCTICAS EN GESTIN DE RIESGOS
4. Un plan de comunicacin y formacin para
toda la organizacin.
5. Un programa eficaz de prevencin, detec-
cin e investigacin de fraude.
6. Un canal de denuncias, como va de comu-
nicacin interna, que permita informar al
rgano responsable, tanto de irregularida-
des de naturaleza financiera y contable, co-
mo de eventuales incumplimientos del C-
digo de Conducta.
Para lograr reducir la probabilidad de fraude,
las organizaciones deben realizar un gran es-
fuerzo en la gestin de dicho riesgo. A conti-
nuacin mostramos cinco principios funda-
mentales para que una organizacin gestione
proactivamente el riesgo de fraude. Esto es,
los cinco elementos de un programa eficaz de
La irrupcin de las
prevencin, deteccin e investigacin de deli-
nuevas tecnologas y un
tos:
entorno econmico en
1. Establecer un programa de gestin del constante cambio,
riesgo de fraude, como parte de la estruc- obligan a las
tura de gobierno. Tambin conocido como organizaciones a
programa anti-fraude, que incluye una pol- invertir en nuevas
tica escrita y que recoge las expectativas medidas de prevencin
del Consejo de Administracin y los altos del fraude.
directivos en relacin con la gestin de
riesgo de fraude.
2. Realizar una evaluacin peridica de la
exposicin al riesgo de fraude, con el fin
7
BUENAS PRCTICAS EN GESTIN DE RIESGOS

PROGRAMA EFICAZ DE PREVENCIN, DETECCIN E INVESTIGACIN DEL FRAUDE

Programa Evaluacin
peridica de Implementar Implementar Implantar
de gestin tcnicas de tcnicas de proceso de
del riesgo la exposicin
al riesgo prevencin deteccin reporting
de fraude
de fraude

de identificar potenciales actuaciones y investigacin de fraude, en cada uno de estos

fraudes especficos que la organizacin ne-
cesita mitigar.
3. Implantar tcnicas de prevencin que evi-
ten, en la medida de lo posible, posibles
fraudes y mitiguen los impactos en la orga-
nizacin (tanto econmicos como reputa-
cionales).
4. De forma adicional, implantar tcnicas de
deteccin, para descubrir fraudes cuando
las tcnicas de prevencin hayan fallado o
no hayan mitigado el riesgo de comisin
de fraude.
5. Y, por ltimo, implantar un proceso de re-
porting, para solicitar input sobre poten-
ciales fraudes. La investigacin del fraude
debe coordinarse con la accin correctiva,
para que la gestin sea adecuada.
En los siguientes apartados, detallamos el rol
del auditor interno en prevencin, deteccin e
cinco elementos.
Segn la ltima encuesta realizada por el Ins-
tituto de Auditores Internos de Espaa y con-
testada por 170 auditores internos, Auditora
Interna incluye cada vez ms entre sus funcio-
nes la prevencin, deteccin e investigacin
de fraude: un 81% de los encuestados mani-
fiesta que Auditora Interna colabora en la
prevencin de fraude interno; un 84%, en la
deteccin; y un 82%, en la investigacin. En el
caso del fraude externo, los porcentajes son
similares, aunque algo menores, tanto en la
prevencin como en la deteccin.
Los departamentos de sistemas de informa-
cin, cumplimiento normativo, legal, financie-
ro y recursos humanos colaboran junto a Au-
ditora Interna en la prevencin, deteccin e
investigacin de fraudes tal y como describi-
mos a lo largo de esta gua y resumimos en la
seccin relativa al rol del auditor interno.

PROGRAMA DE GESTIN DE RIESGO DE FRAUDE

El Libro Verde de Gobierno Corporativo de la chas otras maneras, como el proceso por el
Comisin Europea define ste como el siste- cual las empresas se hacen sensibles a los de-
ma por el cual las empresas son dirigidas y rechos y deseos de las partes interesadas".
controladas; aunque se puede definir de mu- Tambin puede describirse como el modo en

8

que la direccin cumple con sus obligaciones y
responsabilidades.
Las partes interesadas de todas las organiza-
ciones tienen sus expectativas puestas en los
comportamientos ticos de las mismas. Por
ello, las organizaciones deben responder ante
estas expectativas.
El Consejo de Administracin y la alta direc-
cin deben asegurar que las prcticas de go-
bierno marcan las pautas para la adecuada
gestin del riesgo de fraude. Adems, deben
implementar polticas que fomenten un com-
portamiento tico y que incluyan tanto proce-
sos relativos a empleados, clientes, proveedo-
res y otras terceras partes, como procesos que
especifiquen a quin reportar en los casos en
los que no se cumplan los estndares.
La mayora de las organizaciones tienen polti-
cas y procedimientos de gestin de riesgo de
fraude, pero pocas han desarrollado un docu-
mento nico que incluya todas estas activida-
des y que constituya una gua documental til
a la hora de comunicar y evaluar sus procesos,
es decir, un agregado de polticas y procedi-
mientos que denominamos programa de ges-
tin del riesgo de fraude.
Segn la encuesta del Instituto de Auditores
Internos de Espaa antes mencionada, el 49%
de los encuestados afirma que su organiza-
EVALUACIN DEL RIESGO DE FRAUDE
Para protegerse, tanto a s misma como a
otras partes interesadas, la organizacin debe
entender y conocer cul es su riesgo de fraude
y cules son los riesgos especficos a los que
est directa o indirectamente expuesta. Esta
evaluacin puede integrase en una evaluacin
BUENAS PRCTICAS EN GESTIN DE RIESGOS
cin cuenta con un mapa de riesgos de fraude
con el que valora y gestiona sus riesgos; si
bien slo un 27% de los trabajos de Auditora
Interna incluyen tareas encaminadas a la valo-
racin de los citados riesgos.
A continuacin exponemos los principales as-
pectos que deben abordarse en cualquier pro-
grama eficaz de gestin del riesgo de fraude:
Roles y responsabilidades.
Compromiso de la alta direccin. Un programa eficaz
Conocimiento del fraude. sobre tica en los
negocios es la base
Evaluacin del riesgo de fraude.
para prevenir y detectar
Procedimiento de reporte y proteccin de actos fraudulentos y
los denunciantes y denunciados. criminales.
Procedimiento de investigacin.
Acciones correctivas.
Vigilancia / seguimiento continuo.
Un programa eficaz sobre tica en los nego-
cios es la base para prevenir y detectar actos
fraudulentos y criminales. En la medida en que
una organizacin fortalece los sistemas de
prevencin y deteccin de fraude, mayor es la
probabilidad de evitarlo y, en su caso, identifi-
car y detectar su existencia. Una organizacin
que fomenta el tratamiento tico con sus em-
pleados, clientes, proveedores y otras terceras
partes, consigue ser tratada de la misma for-
ma.
del riesgo en conjunto, o desarrollarse de for-
ma independiente; pero, como mnimo, debe
incluir:
La identificacin del riesgo concreto.
La probabilidad de ocurrencia e impacto.
La respuesta al mismo.
9
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Evaluar la probabilidad
e impacto de los
riesgos inherentes
permite gestionar el
riesgo de fraude e
implementar y aplicar
procedimientos de
prevencin y deteccin
de manera razonable.
10
Identificacin del riesgo de fraude
concreto
Para identificar un riesgo, la organizacin pue-
de utilizar fuentes de datos externas o inter-
nas. Entre las externas estn los organismos
reguladores, el propio sector, las principales
guas como COSO1, y organizaciones profesio-
nales como The Institute of Internal Auditors
(IIA), American Institute of Certified Public Ac-
countants (AICPA), Association of Certified
Fraud Examiners (ACFE), etc.
Las fuentes internas incluyen entrevistas con
el personal adecuado o representante de un
amplio abanico de actividades dentro de la or-
ganizacin; la revisin de las denuncias inter-
puestas a travs de los mecanismos implanta-
dos (canal de denuncias o lnea tica) y otros
procedimientos analticos.
Para que un proceso de identificacin y eva-
luacin del riesgo de fraude sea efectivo, debe
incluir la evaluacin de los incentivos y las
presiones y oportunidades de cometer fraude.
Asimismo, la evaluacin del riesgo de fraude
debe considerar la potencial eliminacin de
controles por parte de la direccin, as como el
anlisis de aquellas reas donde los controles
son dbiles o no existe una clara segregacin
de funciones.
La tecnologa proporciona a la organizacin
muchos beneficios, como la velocidad en las
comunicaciones y la accesibilidad a la infor-
macin, pero tambin incrementa la exposi-
cin al riesgo de fraude. Por tanto, una evalua-
cin del riesgo debe considerar tanto los acce-
1. Committee of Sponsoring Organizations of the Treadway Commission.
2. El riesgo inherente es aquel riesgo al que est expuesta toda organizacin ante la ausencia total de controles.
3. El riesgo residual es aquel riesgo que queda en la organizacin una vez aplicados todos los controles.
sos a los sistemas como las amenazas inter-
nas y externas a la integridad de los datos, la
seguridad de los sistemas y el robo de infor-
macin confidencial y sensible.
Probabilidad de ocurrencia e impacto
Evaluar la probabilidad e impacto de los po-
tenciales riesgos de fraude es un proceso en el
que hay que contar con factores monetarios o
econmicos, financieros, operacionales, repu-
tacionales y legales. No todos los riesgos po-
tenciales tienen la misma probabilidad y el
mismo impacto en todos los casos.
La organizacin debe considerar en primer lu-
gar aquellos riesgos inherentes2 a su negocio.
Evaluar la probabilidad y el impacto de estos
riesgos le permite gestionar su riesgo de frau-
de e implementar y aplicar procedimientos
preventivos y de deteccin de una forma ra-
cional.
Una vez mapeados los riesgos, con sus respec-
tivos controles, es posible que exista un riesgo
residual3.
La direccin evala el potencial impacto de los
riesgos y decide la naturaleza y alcance de los
controles preventivos y de deteccin as como
los procedimientos para su gestin.
Probabilidad de ocurrencia. La evaluacin
de la probabilidad de ocurrencia de un de-
terminado riesgo de fraude considera facto-
res como la ocurrencia en la organizacin
de ese riesgo en el pasado, su frecuencia en
las organizaciones del mismo sector, la

PROBABILIDAD Probable
DE OCURRENCIA
IMPACTO EN Material
LA ORGANIZACIN
complejidad del riesgo y el nmero de per-
sonas involucradas en la revisin y aproba-
cin del proceso, entre otros factores.
Evaluada la probabilidad de ocurrencia, s-
ta se categoriza de varias formas. La tres
ms utilizadas son probabilidad remota,
probabilidad posible y probabilidad proba-
ble.
Impacto en la organizacin. La evaluacin
del impacto de que un riesgo de fraude fi-
nalmente se materialice no solo tiene en
cuenta factores monetarios en los estados
financieros, sino tambin factores operacio-
nales, el valor de la marca, la reputacin,
aspectos legales y regulatorios.
Al igual que con la probabilidad de ocu-
rrencia, una vez evaluado el impacto de
que un riesgo de fraude se materialice, ste
se categoriza. La forma ms comn es la
que diferencia entre impacto no significati-
vo, impacto significativo e impacto mate-
rial.
LA PREVENCIN DEL FRAUDE
Las tcnicas de prevencin de fraude no ga-
rantizan que el fraude no se cometa, pero son
la primera lnea de actuacin para minimizar
el riesgo.
Un elemento importante en un programa de
prevencin de fraude es la existencia de una
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Posible Remota
Significativo No Significativo
De forma adicional, las organizaciones deben
evaluar los incentivos y presiones de los indi-
viduos y departamentos: qu individuos y de-
partamentos tienen mayores incentivos y, por
tanto, mayor probabilidad de comisin de
fraude. Toda esta informacin permite a la or-
ganizacin disear las respuestas adecuadas.
Respuesta al riesgo residual de fraude
La tolerancia al riesgo vara de una organiza-
cin a otra. La alta direccin establece el nivel
La tolerancia al riesgo
de tolerancia al riesgo teniendo en cuenta su vara de una
responsabilidad frente a los socios o accionis- organizacin a otra.
tas, las entidades financiadoras y dems par- Es la alta direccin
tes interesadas. quien establece el nivel
de tolerancia
Algunas organizaciones prefieren gestionar
considerando su
nicamente los riesgos de fraude con impacto responsabilidad ante
material en los estados financieros; otras, im- los diferentes grupos de
plantan programas de respuesta al fraude inters.
ms estrictos, con polticas de tolerancia ce-
ro.
poltica escrita que establezca quin es el res-
ponsable de gestionar el riesgo dentro de la
organizacin en sus diferentes mbitos y cir-
cunstancias (prevencin, deteccin, e investi-
gacin). Un documento oficial que detalle cla-
ramente cules son los derechos y obligacio-
nes de todos los directivos y empleados frente
11
BUENAS PRCTICAS EN GESTIN DE RIESGOS
a la potencial irregularidad y sus consecuen-
cias, independientemente de su categora o
nivel profesional, o de su vinculacin a la or-
ganizacin. De hecho, el 64% de los encues-
tados por el Instituto de Auditores Internos de
Espaa manifiesta que su organizacin cuen-
ta con una poltica antifraude de este tipo.
La existencia de
Entre otros de los muchos elementos trascen-
polticas claramente
definidas, la dentales en la prevencin del fraude, se en-
contribucin del rea cuentran los procedimientos de Recursos Hu-
de Recursos Humanos, manos, los lmites de la autoridad y los proce-
los lmites de la dimientos transaccionales.
autoridad o las
Procedimientos de Recursos Humanos. La
revisiones efectuadas
funcin de Recursos Humanos juega un pa-
por terceras personas
pel muy importante en la prevencin del
son algunos de los
elementos principales fraude en los siguientes procedimientos:
de la prevencin del
- Desarrollo de investigaciones de antece-
fraude.
dentes, o conocimiento y verificacin del
perfil de un empleado.
- Imparticin de cursos anti-fraude.
LA DETECCIN DEL FRAUDE
En muchas casos, los controles de deteccin
dependen de los riesgos de fraude identifica-
dos en la organizacin. Por ejemplo, si una or-
ganizacin americana opera en pases con un
alto nivel de corrupcin, implantar controles
para identificar violaciones de FCPA4, como la
revisin de gastos u honorarios de consulto-
ra.
4. Foreign Corrupt Practice Act.
12
- Evaluacin del desarrollo y estableci-
miento de programas de compensacin.
- Realizacin de entrevistas de salida del
personal.
Lmites de la autoridad. La comisin de un
fraude es menos probable cuando el nivel
de autoridad de una persona en la organi-
zacin es proporcional a su nivel de res-
ponsabilidad. En este sentido, la desalinea-
cin entre responsabilidad y autoridad, uni-
do a la ausencia de controles y de segrega-
cin de funciones, tiene un impacto elevado
en la comisin de fraude.
Procedimientos transaccionales. Las revi-
siones de terceros, incluso de otras partes
relacionadas, ayuda a prevenir el fraude.
Las medidas preventivas son especialmente
necesarias para transacciones con partes
relacionadas controladas por miembros de
la alta direccin o por empleados con auto-
ridad y con inters especial en compaas
externas relacionadas con la organizacin.
Igual que ocurre con los controles preventivos,
la organizacin necesita evaluar y supervisar
de forma continua sus tcnicas de deteccin.
Si bien un 41% de las empresas encuestadas
por el Instituto de Auditores Internos de Espa-
a manifiesta no realizar trabajos de supervi-
sin o pruebas automatizadas para la detec-
cin del fraude, un 32% manifiesta que incor-

pora siempre en los Planes de Auditora Inter-
na tareas encaminadas a la deteccin de frau-
de.
Los controles de deteccin deben ser flexibles,
para adaptarse a los cambios de los riesgos.
Los controles preventivos son fcilmente iden-
tificados por los empleados y/o terceras par-
tes. Pero los controles de deteccin son, por
su naturaleza, clandestinos: dichos controles
operan en un contexto que no es evidente en
el entorno empresarial. Las tcnicas de detec-
cin preventivas suelen:
Producirse en el curso normal de la activi-
dad de la compaa.
Basarse en informacin externa, que corro-
bora informacin generada internamente.
Comunicar de manera formal y automtica
las deficiencias y excepciones identificadas.
Mejorar y/o modificar otros controles.
Las tcnicas de deteccin incluyen mecanis-
mos de reporting annimo (canal de denun-
cias), denuncia (annima o no), procesos de
LA INVESTIGACIN DEL FRAUDE Y ACCIONES CORRECTIVAS
Cualquier violacin, desviacin o infraccin de
un cdigo de conducta o de cualquier control,
debe ser reportado y tratado de forma oportu-
na, independientemente de quin lo cometa.
Es un hecho esencial para cualquier organiza-
cin. El castigo impuesto debe ser apropiado
a la infraccin. Y el Consejo de Administracin
debe asegurar que se apliquen la mismas re-
glas a todos los niveles de la organizacin, in-
cluyendo la alta direccin.
5. Un 72,36% de los encuestados manifiesta contar en su empresa con un canal de denuncias o irregularidades, el cual
en casi un 50% de los casos est abierto a colaboradores, agentes y clientes.
BUENAS PRCTICAS EN GESTIN DE RIESGOS
control y procedimientos proactivos de detec-
cin de fraude, diseados especficamente pa-
ra identificar actividades fraudulentas.
La ltima encuesta referenciada al inicio de Los canales de
este documento muestra los medios de detec- denuncia y las
cin que las organizaciones ponen a disposi- revisiones de Auditora
cin de sus empleados: los canales de denun- Interna continan
cias internos y externos5 y las revisiones de siendo los mtodos
Auditora Interna continan siendo, con un ms eficaces de
39% y un 47% respectivamente, los mtodos deteccin de fraude.
de deteccin ms eficaces.
EFICACIA DE MEDIOS DE DETECCIN
Otros
14%
Canal de
denuncias
39%
Revisiones de
Auditora Interna
47%
Es recomendable contar con un protocolo de
actuacin frente al fraude. Entre otros aspec-
tos, el documento debe definir el procedimien-
to desde que se detecta la posible infraccin
hasta su resolucin, y tratar todos los aspec-
tos que surjan a lo largo de la investigacin:
legales, toma de evidencias, consultas a exter-
nos, reas involucradas, modelo de reporting,
medidas correctivas, medidas disciplinarias,
etc.
13
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Una organizacin
puede tener noticia de
un potencial fraude a
travs de diversas vas:
empleados, clientes,
proveedores, auditores
internos, auditores de
cuentas, los procesos
de control o, incluso,
accidentalmente.
14
De la encuesta del Instituto de Auditores In-
ternos de Espaa se desprende que el 50%
de las empresas cuentan con un protocolo de
actuacin frente al fraude; que en el 49% de
los casos incluye quin es la persona o cul es
el departamento o comit encargado de re-
solver la investigacin y de adoptar las corres-
pondientes medidas.
Recepcin y evaluacin de las alega-
ciones
Recepcin de alegaciones. Una organiza-
cin puede tener noticia de un potencial
fraude a travs de diversas vas: los propios
empleados, clientes, proveedores, auditores
internos, auditores de cuentas, los procesos
de control, o, incluso, accidentalmente.
Entonces, la organizacin debe asegurar
que se ponga en marcha un sistema com-
petente, eficaz y confidencial para la revi-
sin de las alegaciones recibidas, la investi-
gacin del potencial fraude y su resolucin.
La investigacin y respuesta incluyen los si-
guientes procesos:
- Categorizacin de las alegaciones recibi-
das.
- Confirmacin de la validez de la alega-
cin.
- Definicin de la gravedad de la alega-
cin.
- Propuesta para transmitir el asunto al ni-
vel apropiado dentro de la organizacin.
- Realizacin de la investigacin y determi-
nacin de las responsabilidades.
Alegaciones Recepcin Evaluacin
Investigacin Recoleccin de evidencias
Supervisor de la investigacin
Reporting
- Resolucin y cierre de la investigacin.
- Determinar aquella informacin que de-
be permanecer confidencial.
- Documentacin de la investigacin lleva-
da a cabo.
De forma adicional, implementar un siste-
ma de gestin de denuncias o alegaciones
donde puedan registrarse adecuadamente
las mismas.
Evaluacin de las alegaciones. Recibida
una alegacin, se evala y califica. Para
ello, se designa a un individuo o grupo de
individuos con cierta autoridad dentro de la
organizacin y con las habilidades o capa-
cidades necesarias para esta primera eva-
luacin y determinar el procedimiento a se-
guir.
Si una alegacin involucra a la alta direc-
cin, o afecta a los estados financieros, es
necesario atender a las leyes o regulacio-
nes, que pueden exigir que otras partes
sean debidamente informadas.
Realizacin de las investigaciones
Es esencial planificar la investigacin para
que sea competente y exhaustiva. Una inves-
tigacin de fraude, generalmente, incluye las
siguientes cuestiones: entrevistas, recoleccin
de evidencias, tanto documentos internos co-
mo documentacin de fuentes pblicas, evi-
dencias digitales a travs de un anlisis foren-
se, y un anlisis de las evidencias recopiladas,
con pruebas analticas de testeo o hiptesis.
Calificacin
CORRECTIVAS
ACCIONES
Anlisis de evidencias
Direccin rea de Asesora Legal

Reporting de resultados
El equipo de investigacin informa sobre los
resultados obtenidos, tanto a la parte que su-
pervisa la investigacin, como a la direccin
de la organizacin y al departamento de ase-
sora legal.
La naturaleza de la comunicacin, as como la
forma de distribuirla, debe tener en cuenta los
objetivos de la investigacin y evitar cualquier
afirmacin difamatoria. Por ello, antes de que
el responsable de la supervisin de la investi-
gacin haga pblicos los resultados, se nece-
sita el asesoramiento de un abogado.
Responsabilidades y concienciacin
en la prevencin, deteccin e
investigacin del fraude
INTRODUCCIN
Las organizaciones estn cada vez ms suje-
tas a exigencias de cumplimiento internacio-
nal relativas a la comisin de delitos, corrup-
cin y soborno y, por tanto, implementando
programas de cumplimiento normativo. stos,
segn la OCDE, deben definir el sistema de
principios, valores, reglas de actuacin y com-
portamientos que deben regular la actividad
de la empresa. Este sistema debe ser acepta-
do, comunicado, supervisado, actualizado y
adaptado con regularidad, segn sea necesa-
rio, para asegurar la eficacia continua de los
controles internos, medidas y polticas de la
organizacin. Todo ello permite no slo facili-
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Acciones correctivas
Realizada la investigacin, la organizacin de-
termina qu acciones tomar en vista de los
resultados. Entre las posibles acciones estn:
Despedir.
Abrir un procedimiento penal.
Abrir un procedimiento civil.
Establecer medidas disciplinarias.
Solicitar una reclamacin al seguro contra-
tado.
Continuar con la investigacin, implantan-
do nuevos procedimientos.
Implantar nuevos procesos de negocio y de
control.
tar al mercado informacin acerca de los me- Las organizaciones
canismos especficos que la entidad ha habili- deben definir el sistema
tado para mantener un ambiente de control de principios, valores,
interno que propicie la generacin de informa- reglas de actuacin y
cin financiera completa, fiable y oportuna, si- comportamientos que
no prevenir o atenuar la comisin de conduc- regulan su actividad y
tas irregulares y propiciar las vas para detec- deben comunicarlo,
tarlas. supervisarlo y
actualizarlo para
Este sistema de principios, valores, reglas de mantener su eficacia.
actuacin y comportamientos empieza en la
alta direccin de la entidad, la cual influye a
travs de sus propias acciones en el resto de
la organizacin, con el establecimiento de un
15
BUENAS PRCTICAS EN GESTIN DE RIESGOS
cdigo de conducta y unos adecuados com-
portamientos, y en el diseo y comunicacin
efectiva de las correspondientes polticas y
procedimientos.
Por tanto, es esencial que las compaas esta-
blezcan un cdigo de conducta como pilar
bsico de su programa de cumplimiento, que
Es esencial que las procure un comportamiento profesional tico
organizaciones y responsable de la organizacin y de todos
establezcan un cdigo sus empleados, en el desarrollo de sus activi-
de tica como pilar dades en cualquier parte del mundo. Dicho
bsico de su programa cdigo de tica debe reflejar su cultura em-
de cumplimiento. presarial en la que se debe asentar la forma-
cin y el desarrollo personal y profesional de
sus empleados, y definir los principios y valo-
res que deben regir las relaciones de la orga-
nizacin con sus grupos de inters (emplea-
dos, clientes, accionistas, socios de negocio, y
proveedores).
Una vez que la organizacin cuente con el
compromiso de la alta direccin, se debe
transmitir este sistema de principios, valores,
reglas de actuacin y comportamientos al res-
to de la organizacin.
Se recomienda la continua comunicacin y
formacin a los empleados de la organizacin
no slo en cuanto al Cdigo de Conduc-
ta cultura empresarial de la organizacin
ROLES Y RESPONSABILIDADES EN LA GESTIN DEL RIESGO DE
FRAUDE
Para que un programa de cumplimiento cor-
porativo sea eficaz, es fundamental que la al-
ta direccin asuma sus principios y valores y
que los apoye de forma explcita y evidente.
Lo mismo ocurre con el compromiso del equi-
po directivo para prevenir y detectar conduc-
tas irregulares.
16
sino tambin en cuanto a los riesgos inheren-
tes a la comisin de delitos, al establecimien-
to e implantacin de medidas para detectar y
prevenir conductas irregulares, a los cambios
regulatorios, a la existencia de mecanismos
para denunciar o consultar el modo de proce-
der ante conductas que pudieran entenderse
como irregulares y respecto a todo aquello
que fomente y asiente la cultura empresarial
de la organizacin.
De forma adicional, dentro de los pilares bsi-
cos de un eficaz programa de cumplimiento,
destaca aquel que permita minimizar la pro-
babilidad de que se produzcan irregularidades
y asegurar que, las que eventualmente pue-
dan producirse, sean siempre identificadas,
comunicadas y resueltas con prontitud. Por
esto es recomendable, y as se est poniendo
cada vez ms en prctica, la implantacin de
canales de denuncia, como va de comunica-
cin interna que permita la comunicacin al
rgano responsable de irregularidades de na-
turaleza financiera y contable, as como de
eventuales incumplimientos del cdigo de
conducta y actividades irregulares. Este canal
permite demostrar a terceros interesados que
la organizacin cuenta con procedimientos y
medios adecuados y que los mismos son per-
manentemente revisados.
La alta direccin es responsable de la disua-
sin frente al fraude:
A travs del propio ejemplo en su gestin.
El tono tico de toda una organizacin de-
pende, significativamente, de cmo el resto
de la organizacin percibe la conducta de
 BUENAS PRCTICAS EN GESTIN DE RIESGOS

la alta direccin en su da a da y de cmo Los departamentos de gestin de riesgos, de

sta maneja las situaciones de crisis.
La alta direccin es responsable adems del
sistema de control interno, supervisin y do-
cumentacin de las reas de mayor riesgo,
tales como el reconocimiento de ingresos, la
gestin del efectivo, las compras y el inven-
tario.
Para que la gestin del riesgo de fraude sea
efectiva, es importante que estn muy bien
definidos los roles y las responsabilidades del
personal de la organizacin en todos los nive-
les. Las polticas internas de una organizacin,
la descripcin de los puestos de trabajo y las
delegaciones de autoridad, deben definir esos
roles y responsabilidades relacionados con la
gestin del fraude.
Toda esta estructura debe establecer quin es
el responsable de la supervisin de los contro-
les, cul es la responsabilidad de la direccin
en relacin con el diseo y la implementacin
de la estrategia y qu departamentos de la or-
ganizacin respaldan y apoyan la gestin del
riesgo.
cumplimiento normativo, asesora jurdica, el
comit de tica, seguridad y tecnologas de la
informacin y Auditora Interna, o sus equiva-
lentes, suelen ser los que respaldan la gestin
del riesgo de fraude. Sin embargo, son el Con-
sejo de Administracin, el Comit de Audito-
ra, la direccin, el propio personal y los audi-
tores internos los que tienen dentro de la or- Las polticas internas de
ganizacin el rol y la responsabilidad de la una organizacin, la
gestin de dicho riesgo. descripcin de los
puestos de trabajo y las
Por tanto, uno de los objetivos es establecer
delegaciones de
un enfoque efectivo para la administracin del
autoridad, deben definir
fraude, dirigido a:
los roles y
Prevenir, detectar y responder ante la comi-
responsabilidades
sin de cualquier irregularidad.
relacionados con la
Hacer converger las exigencias normativas y gestin del fraude.
las tendencias concentrando e integrando
auto-evaluaciones y auditoras con el ries-
go real de fraude.
Crear el rea especfica de Auditora Interna
y desarrollar una metodologa o programa
antifraude.
Delimitar las responsabilidades de los inte-
grantes de la evaluacin del fraude.
Implementar un proceso continuo dentro de
la evaluacin del control interno.

ENFOQUE EFECTIVO PARA LA ADMINISTRACIN DEL FRAUDE

DISEO
Identificar riesgos
y controles mitigantes

ALCANCE FEEDBACK IMPLEMENTACIN

Participantes, Gap y Casos de fraude Estrategia, estructura,
fecha de anlisis y auditora comunicacin, recursos
forense

SUPERVISIN
Pistas y alertas
Protocolos de anlisis
Fuente: elaboracin propia

17
BUENAS PRCTICAS EN GESTIN DE RIESGOS
La organizacin debe:
Identificar riesgos de fraude y mitigarlos con
controles.
Evaluar, supervisar, Asegurar que estos controles son efectivos.
planificar, informar y Asegurar que los niveles ms altos de la or-
colaborar son algunas ganizacin comparten la responsabilidad
de las actividades de del enfoque de administracin del riesgo.
Auditora Interna en
Auditora Interna, por su parte, asume la res-
materia de fraude.
ponsabilidad de:
Validar que se estipulan polticas y normas
que realizan una evaluacin y cobertura
aceptable del riesgo.
Planificar y supervisar la eficiencia del mo-
delo, en base a la matriz.
Informar al Comit de Auditora de los re-
sultados de las actividades.
Colaborar en la implementacin de progra-
mas de anlisis de riesgos de fraude.
En el cuadro adjunto mostramos las diferen-
cias de enfoque entre un proyecto de Audito-
ra Interna convencional y un proyecto de Au-
ditora orientado a la deteccin del fraude.
Pese a que la existencia de un adecuado siste-
ma de control interno es esencial en la pre-
Diferencias entre la auditora tradicional y la auditora para la deteccin de fraude
AUDITORA INTERNA TRADICIONAL
Procedimientos programados.
Orientada a:
- Foco en fortalezas del control interno, errores y omisiones.
- nfasis en materialidad.
- Evaluacin del diseo y su cumplimiento.
- Trabajo sobre muestras.
Basada en el anlisis de procesos.
Fuente: Elaboracin propia.
18
vencin, deteccin e investigacin del fraude,
es necesario tener en consideracin las si-
guientes cuestiones referentes al mismo:
Un buen sistema no garantiza la elimina-
cin del fraude. Siempre existen restriccio-
nes de recursos para realizar los controles y
muchos de ellos pueden ser vulnerables.
Los sistemas de control interno requieren
programas de prevencin, que disminuyen
la probabilidad de ocurrencia, minimizan su
impacto y permiten mayor rapidez de detec-
cin.
Los riesgos no son nicos ni estticos. De-
bemos estar atentos a los cambios tecnol-
gicos que representan, a la vez que nuevas
oportunidades, nuevas amenazas, tales co-
mo actividades en la nube (cloud compu-
ting), la ciber-seguridad, las redes sociales
como medio de venta, los dispositivos inte-
ligentes y su nueva tecnologa, los provee-
dores de servicios,etc.
Por tanto, las claves del xito de un sistema
de control interno son:
Apoyo de la alta direccin y la gerencia.
Firme decisin de cambio cultural de control
interno.
DETECCIN DE FRAUDE
Aleatoria - no programada.
Orientada a:
- Pensamiento defraudador.
- Prcticas no habituales.
- Uso abusivo de excepciones.
- Cambios en la conducta emocional.
Focalizada en debilidades de control
interno, excepciones y conductas.
Trabaja sobre universos e indicadores.

Participacin activa de los diferentes acto-
res.
Adopcin de herramientas tecnolgicas.
Coordinacin y trabajo interdisciplinar.
Flexibilidad del modelo.
Focalizar el objetivo, con soluciones alcan-
zables.
Diseo y ejecucin de un plan de informa-
cin.
Implementacin en etapas para evaluar el
avance.
Por tanto, un programa efectivo de adminis-
tracin de fraude requiere que toda la organi-
zacin dirija sus esfuerzos hacia la gestin
del riesgo de fraude.
El Consejo de Administracin
El Consejo de Administracin es el responsa-
ble de fijar el tono adecuado de gobierno de
una organizacin en el nivel ms alto posible
y de asegurar que la direccin disea un siste-
ma eficaz de gestin del riesgo de fraude, que
fomenta el comportamiento tico y anima a
los empleados, clientes y proveedores a cum-
plir estos estndares en todo momento.
Por ello, el Consejo de Administracin debe:
Entender el riesgo de fraude.
Supervisar la evaluacin del riesgo y asegu-
rar que forma parte del plan estratgico en
relacin con la evaluacin de los riesgos
generales. La responsabilidad se gestiona a
travs del orden del da del Consejo.
Realizar el seguimiento de los informes de
la direccin en relacin con los riesgos de
fraude, las polticas establecidas y las activi-
dades de control.
Supervisar los controles internos de la di-
reccin.
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Establecer el tono adecuado desde lo ms
alto de la organizacin (tone at the top),
con la descripcin del puesto del mximo
ejecutivo, su proceso de contratacin, su
evaluacin y los planes de sucesin o per-
manencia en el cargo.
Contratar expertos externos, cuando fuese
necesario.
Facilitar a los auditores de cuentas las evi-
dencias necesarias que den constancia de
la involucracin del Consejo en el conoci-
miento y gestin del riesgo de fraude.
Por lo general, el Consejo de Administracin
delega la supervisin de algunas o de todas
sus responsabilidades en el correspondiente
Comit de Direccin. No obstante, el Consejo
debe asegurarse de que la direccin cuenta
con los recursos necesarios y aprueba en el
presupuesto a largo plazo los recursos sufi-
cientes para realizar su gestin.
El Consejo de Administracin, adems, nom-
bra entre sus miembros a los componentes
del Comit de Auditora que asesoran y pres-
tan ayuda especializada al propio Consejo en
cuestiones relacionadas con la auditora de
cuentas, los sistemas de control interno, la
El Consejo de
elaboracin de las cuentas de la sociedad, su
Administracin es el
posterior comunicacin externa, etc.
responsable de fijar el
tono adecuado de
El Comit de Auditora
gobierno en una
El Comit de Auditora debe gestionar proac- organizacin para
tivamente el riesgo de fraude, supervisar acti- asegurar que la
vamente la evaluacin que la organizacin direccin disea un
realiza del mismo y mantener un contacto fre- sistema eficaz para la
cuente con los auditores internos y el perso- gestin del riesgo de
nal designado que realiza el seguimiento de fraude.
dicho riesgo de fraude.
Asimismo, mantiene el contacto con los audi-
tores de cuentas, comprometindose en la
gestin del riesgo de fraude y discute con
19
BUENAS PRCTICAS EN GESTIN DE RIESGOS
ellos el enfoque de los planes en materia de
deteccin del mismo como parte de la audito-
ra de los estados financieros.
El Comit de Auditora debe comprender, por
Todos los miembros de tanto, las estrategias de Auditora Interna y
una organizacin son externa en la gestin del riesgo de fraude, y
responsables del no centrarse slo en las acciones concretas
establecimiento y que llevan a cabo los auditores en deteccin
del fraude.
mantenimiento de los
controles adecuados Del mismo modo, el Comit de Auditora debe
contra el fraude. ser consciente de que los auditores de cuen-
tas tienen la responsabilidad, al planificar y
realizar su auditora, de obtener una seguri-
dad razonable de que los estados financieros
estn exentos de errores significativos, sea
por equivocacin o fraude.
El compromiso de cooperacin del Comit de
Auditora supone un dilogo abierto y franco
entre los miembros del Comit, los auditores
internos y los externos en relacin a cualquier
tipo de fraude o sospecha, que afecte a la or-
ganizacin; tambin respecto a la forma en
que el Comit de Auditora ejerce su funcin
de supervisin de los programas y controles
establecidos por la organizacin para mitigar
dichos riesgos.
De forma adicional, el Comit de Auditora
debe buscar asesoramiento legal en caso de
denuncias de fraude. Las acusaciones de frau-
de deben tomarse con la suficiente considera-
cin, ya que puede existir una obligacin le-
gal de investigar y/o informar sobre ello.
La direccin
La direccin de la organizacin tiene la res-
ponsabilidad general del diseo e implemen-
tacin del sistema de gestin del riesgo de
fraude, incluyendo:
Establecer el tono tico en la parte superior
de la organizacin. La cultura de la organi-
20
zacin juega un papel fundamental en la
prevencin, deteccin y disuasin del frau-
de. La direccin transmite al resto de la or-
ganizacin que el fraude no es un compor-
tamiento tolerable, que este tipo de hechos
sern tratados con rapidez y se asegura a
los denunciantes que no sufrirn represa-
lias.
Implementar los controles internos adecua-
dos, redaccin y recopilacin de las polti-
cas y procedimientos necesarios de gestin
del riesgo de fraude y evaluacin de su efi-
cacia.
Informar al Consejo de Administracin de
que se han tomado medidas para gestionar
los riesgos de fraude, as como presentar
peridicamente informes sobre la evalua-
cin de la eficacia del programa de gestin
de dicho riesgo.
El personal
Todos los miembros de una organizacin son
responsables del establecimiento y manteni-
miento de los adecuados controles contra el
fraude. La importancia de los controles inter-
nos para la gestin del riesgo de fraude no es
un concepto nuevo. En 1992 despus de
ms de tres aos de colaboracin entre dife-
rentes lderes empresariales, legisladores, re-
guladores, auditores, acadmicos y otros mu-
chos COSO present una definicin comn
sobre los controles internos y proporcion un
marco con el que las organizaciones pueden
evaluar y mejorar sus sistemas de control in-
terno.
COSO identific cinco componentes de lo que
denomin Marco Integrado de Control Inter-
no: entorno de control, evaluacin de riesgos,
actividades de control, informacin y comuni-
cacin, y supervisin. Estos elementos sirven
para el diseo de los controles en cada orga-
 BUENAS PRCTICAS EN GESTIN DE RIESGOS

CONSEJO DE Fijar el tono adecuado de gobierno de la organizacin en el nivel ms alto posible.

ADMINISTRACIN Asegurar que la direccin disea un sistema eficaz de gestin del riesgo de fraude.

COMIT Gestionar proactivamente el riesgo de fraude.

RESPONSABILIDADES

DE AUDITORA Supervisar activamente la evaluacin que se realiza de los riesgos de fraude.

DIRECCIN Disear e implementar el sistema de gestin de riesgos de fraude.

PERSONAL Establecer y mantener unos fuertes controles contra el fraude.

AUDITORA Garantizar al Consejo y a la Direccin que los controles de fraude son suficientes
INTERNA para cubrir los riesgos y que estn funcionando de forma eficaz.

nizacin. Estn entrelazados entre s, de tal
forma que proporcionan un proceso interacti-
vo natural que promueve el tipo de entorno
que no tolera el fraude.
Todos los niveles de la organizacin, incluida
la direccin, deben:
Tener un conocimiento bsico del fraude y
estar atentos a las seales de alerta.
Entender cul es su papel en el marco de
control interno. El personal debe compren-
der cmo sus procedimientos de trabajo es-
tn diseados para gestionar el riesgo de
fraude y que su incumplimiento puede dar
oportunidad al fraude.
Leer y entender las polticas y procedimien-
tos (polticas de fraude, cdigo de conducta
y canal de denuncias, entre otros) as como
las polticas operacionales (manual de com-
pras, etc.).
Participar, en su caso, en el proceso de
creacin de un fuerte ambiente de control y
en el diseo e implementacin de las activi-
dades de control de fraude, as como en las
actividades de seguimiento.
Informar acerca de sospechas o indicios de
fraude.
Cooperar en las investigaciones de fraude.
Auditora Interna
Segn la definicin de The Institute of Internal
Auditors, Auditora interna es una actividad
independiente y objetiva de aseguramiento y
consulta, concebida para agregar valor y me- Auditora Interna debe
jorar las operaciones de una organizacin. asegurar al Consejo y a
Ayuda a una organizacin a cumplir sus obje- la direccin que los
controles en materia de
tivos aportando un enfoque sistemtico y dis-
fraude son suficientes
ciplinado para evaluar y mejorar la efectividad
para cubrir los riesgos
de los procesos de gestin de riesgos, control
identificados y
y gobierno.
garantizar que dichos
Auditora Interna debe asegurar al Consejo de controles funcionan de
Administracin y a la direccin que los con- manera eficaz.
troles de fraude son suficientes para cubrir los
riesgos identificados y garantizar que estn
funcionando de forma eficaz.

21
BUENAS PRCTICAS EN GESTIN DE RIESGOS

Los auditores internos deben evaluar, en sus
planes anuales de Auditora Interna, los ries-
gos de fraude de la organizacin y revisar pe-
ridicamente la capacidad de gestin de la di-
reccin. Deben reunirse peridicamente con
los encargados de identificar y evaluar el ries-
go de fraude y con aquellos otros puestos cla-
ve de la organizacin para garantizar que han
sido considerados adecuadamente todos los
riesgos.
Al llevar a cabo su trabajo ordinario de con-
trol, los auditores internos deben actuar con
un cierto grado de escepticismo profesional y
mantenerse en guardia ante posibles signos
de fraude. Los potenciales fraudes detectados
durante una auditora deben tratarse de
acuerdo a un plan de respuesta bien definido
y previamente establecido. De la misma for-
ma, Auditora Interna debe tener un papel
proactivo en el apoyo a la cultura tica de la
organizacin.
Auditora Interna participa en la gestin de
los cinco elementos que forman el sistema de
control de COSO sealados anteriormente.

Los auditores internos, RESPONSABILIDADES DE AUDITORA INTERNA SEGN LOS COMPONENTES QUE FORMAN COSO
en el desempeo de su Validar la existencia de polticas y procedimientos antifraude.
actividad, deben actuar
AMBIENTE DE CONTROL

Verificar su alineacin con el cdigo de tica/conducta y polticas de contratacin.

con un cierto grado de Complementar y analizar las funciones de Auditora Interna en el nuevo contexto.
escepticismo
Incorporar un esquema de aprendizaje que desemboque en nuevos diseos y formacin.
profesional y
Implantar polticas y metodologas de investigacin.
permanecer alerta ante
Revisar eventos, alertas y comportamientos sospechosos de fraude.
posibles signos de
Delimitar responsabilidades y comunicar los resultados.
fraude.
RIESGOS DE FRAUDE
EVALUACIN DE

Validar evaluaciones de procesos que contemplen el riesgo de fraude.

Incorporar el riesgo de fraude en las matrices de riesgos y controles existentes.
Converger en la documentacin, actualizacin y certificacin de los procesos.
CONTROL DE FRAUDE

Colaborar en la definicin de controles mitigantes de riesgos identificados.

ACTIVIDADES DE

Contribuir a la mejora de controles preventivos y de deteccin.

Ayudar a generar planes antifraude con rotacin de reas aprobados por la direccin.
Incorporar al Plan Anual de Auditora actividades de control antifraude.
COMUNICACIN
INFORMACIN Y

Consensuar con RR.HH programas corporativos de comunicacin.

Asistir en la implementacin de capacitaciones.
Fomentar el uso de programas de denuncia annima.
SUPERVISIN

Realizar evaluaciones peridicas de controles antifraude.

Aprovechar las herramientas de anlisis de datos.

Fuente: Elaboracin propia.

Implementar un modelo de seguimiento continuo.

22

La importancia que una organizacin concede
a su unidad de Auditora Interna indica su
compromiso con el control interno. El Estatuto
de Auditora Interna debe incluir las funciones
y responsabilidades relacionadas con la ges-
tin del fraude. Y dentro de estas funciones
puede incluirse el anlisis de las causas, el es-
tablecimiento de recomendaciones de mejora
El rol del auditor interno
Actualmente, es habitual encontrar dentro de
las organizaciones equipos compuestos por
auditores internos, especialistas en riesgos,
especialistas en cumplimiento normativo, in-
vestigadores de fraude etc., trabajando con-
juntamente en la gestin del riesgo de la or-
ganizacin. Cada uno de estos especialistas
tiene una nica perspectiva y unas capacida-
des especificas que aportar a la organizacin.
BUENAS PRCTICAS EN GESTIN DE RIESGOS
de los controles establecidos, la realizacin de La importancia que una
seguimientos del canal de denuncias o la pro- organizacin concede a
mocin de sesiones de formacin en relacin su unidad de Auditora
con la cultura tica de la organizacin. Interna, es un indicador
de su grado de
En el apartado siguiente profundizamos en el compromiso con el
rol que puede adoptar el auditor interno fren- control interno.
te al fraude.
Pero, dado que las tareas asociadas a la ges-
tin del riesgo y su control crecen rpidamen-
te y afectan a diversos departamentos y divi-
siones, deben coordinarse cuidadosamente
para asegurar que gestionan adecuadamente
el riesgo.
El modelo de las Tres Lneas de Defensa ayu-
da a delegar y coordinar las tareas de gestin
del riesgo de forma sistemtica. Este modelo
Regulador / Supervisor
Auditora de Cuentas
23
BUENAS PRCTICAS EN GESTIN DE RIESGOS
ofrece una manera simple y efectiva de po-
tenciar las comunicaciones entre los implica-
dos en la gestin y el control del riesgo, a par-
tir de la simplificacin de las tareas y respon-
La realidad econmica
sabilidades de cada rea.
y las tendencias en los
nuevos roles de
Distingue entre tres grupos o lneas de defen-
Auditora Interna
sa: en la primera lnea, se sitan aquellos que
demandan incluir en los
equipos permanentes
de Auditora Interna a
miembros con las NORMATIVA A CONSIDERAR
competencias
Auditora Interna es un ente de la organiza-
necesarias en materia
cin a cargo de la ejecucin de una actividad
de fraude.
independiente y objetiva de aseguramiento y
consulta, con responsabilidades en la evalua-
cin de los procesos de gestin de riesgos,
control y gobierno. Pero no debe olvidarse in-
cluir entre sus compromisos la responsabili-
dad en temas de fraude que afectan o pue-
dan afectar a la organizacin.
El Cdigo tico de Auditora Interna recoge
una serie de principios que cobran especial
relevancia en temticas crticas como las de
fraude:
Integridad, como capacidad para propor-
cionar base de confianza en los juicios emi-
tidos.
Objetividad, como caracterstica del proce-
so de obtencin, evaluacin y comunicacin
de los hechos examinados, sin dejarse in-
fluir por intereses propios o de terceros.
Confidencialidad, como deber de respeto
del valor y propiedad de la informacin.
Competencia, como medida de idoneidad
profesional.
Las Normas sobre Atributos establecen que
los trabajos deben cumplirse con aptitud y
cuidado profesional adecuados y especfica-
24
gestionan sus propios riesgos (son los dueos
o titulares de los mismos, son las reas de ne-
gocios de las organizaciones); en la segunda
lnea estn los que vigilan los riesgos (depar-
tamentos de gestin de riesgo, cumplimento
normativo, calidad, etc.) y en la tercera, los
terceros independientes que proveen de su
asesoramiento (los auditores internos).
mente cita (1210.A2) que los auditores in-
ternos deben tener conocimientos suficientes
para evaluar el riesgo de fraude y la forma en
que se gestiona por parte de la organizacin,
pero no es de esperar que tengan conoci-
mientos similares a los de aquellas personas
cuya responsabilidad principal es la deteccin
e investigacin del fraude. Posteriormente
indica (1220.A1) que el auditor interno debe
ejercer el debido cuidado profesional al consi-
derar () la probabilidad de errores materia-
les, fraude o incumplimientos.
La realidad econmica (aumento de casos de
fraude, disminucin de recursos para la con-
tratacin de expertos, etc.) y las tendencias en
los nuevos roles de Auditora Interna, deman-
dan por parte de la alta direccin que los
equipos de Auditora Interna sean capaces de
ofrecer respuestas adecuadas frente a casos
de fraudes corporativos. Esta realidad ha mo-
tivado que muchas organizaciones estn faci-
litando a los auditores internos formacin en
tcnicas y habilidades relacionadas con la in-
vestigacin, e incluyendo en los equipos per-
manentes de Auditora Interna a miembros
con las competencias necesarias.
El Marco Internacional para la Prctica Profe-
sional de la Auditora Interna (The Institute of

Internal Auditors) define varias normas y con-
sejos relacionados con el fraude, que no re-
producimos ntegramente a continuacin, pe-
ro que ayudan a comprender el rol del auditor
interno en toda su extensin.
2110 Gobierno
2120 Gestin de Riesgos
Consejo para la prctica 2120-1
2130 Control
Consejo para la prctica 2130.1:
Control 2130.A1
El marco normativo confiere al Director de Au-
ditora Interna el deber de informar peridi-
camente a la alta direccin y al Consejo sobre
la actividad de auditora y que el informe
tambin debe incluir exposiciones al riesgo
() incluido riesgo de fraude (2060). Segui-
damente indica que la actividad de Auditora
Interna debe evaluar la posibilidad de ocu-
rrencia de fraude y cmo la organizacin ma-
neja y gestiona el riesgo de fraude (2120.A2)
y que el auditor interno debe considerar la
probabilidad de errores, fraude, incumplimien-
tos y otras exposiciones significativas al elabo-
rar los objetivos del trabajo (2210.A2).
Por lo expuesto, la primera responsabilidad de
Auditora Interna en materia de fraude implica
FUNCIONES DEL REA DE AUDITORA INTERNA EN MATERIA DE
PREVENCIN, DETECCIN E INVESTIGACIN DEL FRAUDE
De acuerdo con la encuesta realizada por el
Instituto de Auditores Internos de Espaa, ca-
da vez son ms los departamentos de Audito-
ra Interna que incluyen entre sus funciones la
prevencin, deteccin e investigacin de frau-
BUENAS PRCTICAS EN GESTIN DE RIESGOS
la identificacin de los riesgos, la revisin de
la calidad y operatividad de los controles que
mitigan de forma principal o secundaria el
riesgo de fraude, el deber de informar sobre
los riesgos existentes y, paralelamente, formar-
se y cumplir internamente los requisitos para
el desempeo de la funcin de manera idnea
y con total cumplimiento de las normativas vi-
gentes.
Tal como seala la Norma sobre Atributos El rol del auditor en
(1010-Reconocimiento de la definicin de Au- materia de fraude
ditora Interna, el Cdigo de tica y las Nor- queda definido en
mas, en el Estatuto de Auditora Interna) la diversas normas del
funcin debe estar definida en propsito, au- Marco Internacional
toridad y responsabilidades dentro del Estatu- para la Prctica
to que delimita la actividad del rea. Profesional de la
Auditora Interna.
Dentro de este Estatuto debe estar claramente
definido el rol de Auditora Interna en relacin
al tratamiento de los supuestos de comisin
de delitos o irregularidades (identificados o
denunciados) que se investiguen dentro de la
organizacin, sin perjuicio de las responsabili-
dades que colateralmente tengan determina-
dos departamentos de la organizacin en as-
pectos derivados de la investigacin como por
ejemplo, el departamento de Asesora Jurdica,
el de Recursos Humanos, etc.
de. Un 81% de los encuestados manifiesta
que entre las funciones de la Auditora Inter-
na, se encuentra la colaboracin en la preven-
cin de fraude interno; un 84% la deteccin,
y un 82%, la investigacin. Los porcentajes
25
BUENAS PRCTICAS EN GESTIN DE RIESGOS
El mapa de riesgos de
fraude es una parte
integrante del mapa de
riesgos generales de la
organizacin.
26
de fraude externo son similares, aunque algo
menores, tanto en la prevencin como en la
deteccin.
Adems, junto a los departamentos de Audi-
tora Interna, colaboran en la deteccin e in-
vestigacin de fraudes los departamentos de
sistemas de la informacin, de cumplimiento
normativo, legal, financiero, y recursos huma-
nos.
Entendemos que, en temas de riesgos de
fraude, pueden ser tambin responsabilidad
de Auditora Interna:
La confeccin peridica de un mapa de
riesgos. Analizar, con el apoyo de las
reas de negocio, las particularidades en ma-
teria de riesgos de fraude de cada proceso: su
nivel de exposicin, el tipo de procesamiento
(manual o sistematizado), las particularidades
de la gestin de la empresa (rotacin de per-
sonal, antigedad de gestores, posibles situa-
ciones de conflicto de intereses, etc.), los po-
sibles esquemas de fraude, los controles exis-
Confeccin peridica de un mapa de
riesgos.
Fomento e impulso de la existencia de
medidas preventivas.
Supervisin en cuanto a la
segregacin de funciones.
Elaboracin de Planes de Auditora
Interna.
Garanta del correcto funcionamiento
del canal de denuncias.
Participacin en la investigacin.
Realizacin del seguimiento de los
planes de accin.
tentes y el grado de cobertura que ofrecen a
los riesgos identificados.
Este mapa de riesgos de fraude es una parte
del mapa de riesgos generales de la organiza-
cin, desarrollado dentro del esquema de
identificacin que establece la organizacin
(para ahondar en materia de Risk Assessment
nos remitimos a lo ya sealado por el Enter-
prise Risk Management de COSO).
Fomentar e impulsar la existencia de
medidas preventivas dentro de la or-
ganizacin en general y los procesos en parti-
cular. Algunas de las medidas preventivas se
clasifican en:
- La existencia de un marco normativo apro-
piado y difundido dentro de la empresa,
que incluye, entre otros, el cdigo tico, c-
digos de conducta, cdigo disciplinario y
cualquier otro instrumento que d a cono-
cer el comportamiento tico esperado por
parte de las personas (empleados, provee-
dores, clientes, socios de negocio, etc.) de
la organizacin.
- La difusin y comunicacin de los compro-
misos ticos como normas de comporta-
miento en todos los niveles.
- Una clara y transparente estructura de roles
y funciones.
- La existencia de una metodologa adecua-
da de evaluacin de riesgos, conocida, di-
fundida y aplicada.
- Asesorar en la necesidad de controles en
los procesos, orientados a minimizar la ex-
posicin en riesgos de fraude.
- Prcticas efectivas de supervisin de activi-
dades en cada rea de negocio.

- Incorporar objetivos de control en materia
de fraude o irregularidades dentro de las
revisiones planificadas de auditora.
- Fomentar la existencia de modelos de de-
teccin o alerta temprana gestionados por
las reas de negocio, o como indicadores
(hooks) por parte de la propia auditora, en
forma de alertas ante anomalas o como in-
puts (en funcin de su grado de criticidad)
para incorporar a posteriores revisiones pla-
nificadas.
La supervisin en cuanto a la segrega-
cin de funciones. Auditora Interna
mantiene una posicin de independencia res-
pecto al resto de reas de la organizacin; in-
dependencia que ejerce con la debida super-
visin en cuanto a la segregacin de funcio-
nes.
En muchas organizaciones, la responsabilidad
de pruebas en segregacin de funciones pa-
ra bien o para mal se relega al auditor de
sistemas. El razonamiento que subyace tras
esta asignacin es que la revisin de la segre-
gacin de funciones se limita a los controles
de acceso a los Sistemas de Informacin. No
es que sea incorrecta, pero pasa por alto la
importancia de revisar poderes y permisos pa-
ra autorizar las funciones y tambin toda la
comprensin de los riesgos de negocio que
pueden ir asociados a funciones conflictivas.
Por ello, el auditor informtico se eleva por
encima de las matrices de configuracin de
acceso lgico, entiende el negocio de forma
que identifica los riesgos y facilita los meca-
nismos de control ms eficientes; es decir, tra-
baja en el marco de la Auditora Interna de
una forma organizada.
En este sentido se enmarca el rol del auditor
interno al comunicar un riesgo asociado a la
BUENAS PRCTICAS EN GESTIN DE RIESGOS
segregacin de funciones: que los controles
que deben implantarse vayan alineados con
la estrategia y objetivos fijados para la orga-
nizacin. El auditor interno, por lo tanto, debe
evaluar tanto que los controles de los poderes
de las tecnologas de la informacin estn ali-
neados con la organizacin del negocio y de-
bidamente implementados, como que los sis-
temas de control manuales de los poderes o
autorizaciones responden realmente a los ro- La planificacin de
les estratgicos asignados. Auditora Interna es
El auditor interno, con el soporte de auditores una actividad continua
que debe contar con la
de sistemas, puede reforzar tres pilares funda-
mentales para una correcta segregacin de necesaria
retroalimentacin y
funciones:
- El buen gobierno. actualizacin peridica.
- La gestin de riesgos.
- La adecuacin de los controles.
La elaboracin de Planes de Auditora
Interna. Debe entenderse por planifi-
cacin de Auditora Interna el conjunto de
planes, programas y actividades propios de
auditora encaminados a organizar en el tiem-
po la actividad de la funcin de Auditora In-
terna, con la finalidad de que sta garantice
de forma eficaz y eficiente la mxima cobertu-
ra de los riesgos de la organizacin con los
recursos de los que dispone.
La planificacin es una actividad continua, lo
que significa que debe existir una retroali-
mentacin que permita, a su vez, que sea in-
fluida por los resultados de los trabajos pro-
gramados.
Esto supone que los auditores internos deben
obtener de su trabajo informacin para la ela-
boracin de los planes correspondientes y fi-
jar el alcance de futuras auditoras, recursos
necesarios, tiempos de ejecucin, rotacin de
riesgos, etc.
27
BUENAS PRCTICAS EN GESTIN DE RIESGOS
Auditora Interna se encarga de la elabora-
cin de los Planes de Auditora, y considera
en todo momento las opiniones e inquietudes
de la direccin.
Un proceso de Estos planes deben ser consecuentes con el
identificacin y Estatuto de Auditora Interna, con los objeti-
evaluacin de riesgos vos de la organizacin y de Auditora Interna
y con los requisitos de los reguladores en ma-
es un elemento bsico
teria de Auditora Interna y control interno.
de un sistema de
control y una de las La eficacia en la elaboracin de los menciona-
bases del Plan de dos planes radica en un conocimiento global
Auditora Interna. del universo auditable (diferente al contable),
as como de aplicar un enfoque basado en
riesgos, para que la planificacin de la audito-
ra vaya alineada con el crecimiento de las l-
neas de negocio y de los cambios que sufren
las organizaciones.
La evaluacin de riesgos permite analizar el
impacto de los potenciales eventos en el lo-
gro de los objetivos. Por tanto, un proceso pa-
ra identificar y evaluar los riesgos es un pilar
bsico de un sistema de control adecuado y
una de las bases para establecer un Plan de
Auditora Interna.
Los cambios a los que se enfrentan las orga-
nizaciones hacen que los planes deban ser
actualizados de forma peridica, al menos
anualmente.
Garantizar el correcto funcionamiento
del canal de denuncias. Auditora Inter-
na puede tener tambin la obligacin de vigi-
lar el cumplimiento de todo lo relacionado
con el canal de denuncias, a fin de asegurar
que est siendo debidamente administrado,
que las denuncias recibidas son tratadas con-
venientemente y que, en el caso de producirse
irregularidades, ests son adecuadamente
identificadas.
De forma complementaria, Auditora Interna
debe coordinarse con los servicios jurdicos en
28
aquellos aspectos que puedan tener implica-
ciones legales.
Adems, es necesario establecer protocolos
de actuacin para aquellas denuncias que se
reciben en temas de acoso o discriminacin,
derivando su tratamiento, por ejemplo, al rea
de relaciones laborales.
Por ltimo, la metodologa para la correcta
evaluacin de denuncias debe ser aplicable
para el anlisis de riesgos, previo a la realiza-
cin de los trabajos de auditora.
La participacin en la investigacin. La
participacin del auditor interno en las
investigaciones de fraude puede ser diversa y
abarcar diferentes niveles de responsabilidad
en funcin de la organizacion:
- Realizacin de la investigacin en una fase
inicial, hasta confirmar las sospechas/indi-
cios o desestimar la existencia de fraude.
- Realizacin de la investigacin nicamente
en casos de hasta un cierto lmite de dao,
o en casos que no requieran determinadas
competencias o medios tcnicos especiales,
con los que no cuenta el rea de Auditora
Interna.
- Realizacin completa de la investigacin y
coordinacin con un equipo multidiscipli-
nar.
- Colaboracin/asistencia tcnica a equipos
externos, que lideran el proceso.
- Seguimiento de la implantacin de reco-
mendaciones o acciones de mejora pro-
puestas por el equipo responsable de la in-
vestigacin.
Los distintos roles que pueda adoptar Audito-
ra Interna en la investigacin deben estar

previstos en las polticas corporativas y en los
propios estatutos de Auditora Interna. Estas
directrices posicionan la labor del auditor in-
terno y establecen su responsabilidad en la
investigacin, reconociendo su autoridad a
todos los niveles dentro de la empresa.
En cualquier caso, consideramos que el audi-
tor interno, al menos:
- Debe ser informado de la existencia de
cualquier potencial fraude en los momentos
previos a la investigacin, dado que se en-
cuentra en la mejor posicin, por su presen-
cia en la compaa y su conocimiento del
negocio, para prestar un apoyo experto so-
bre la potencial irregularidad y los posibles
pasos a llevar a cabo. Todo ello con inde-
pendencia del rol que desempee en la fu-
tura investigacin.
- Debe ser informado de los avances que se
produzcan.
- Debe ser informado de los resultados fina-
les de la investigacin y de las posibles ac-
ciones, dado que los resultados pueden
afectar al plan de trabajo del rea de Audi-
tora Interna y a la evaluacin y seguimien-
to de controles que realiza el rea.
La investigacin puede realizarse con perso-
nal propio o terceros especialistas contrata-
dos. Pero la gestin y supervisin debe recaer
necesariamente en las reas de Auditora In-
terna y Asesora Jurdica de la empresa.
Si la investigacin de las denuncias recibidas
o de las alertas identificadas recae en el de-
partamento de Auditora Interna, el mismo
debe:
- Cumplir las normas y principios en su labor
de investigacin, soportando fehaciente-
BUENAS PRCTICAS EN GESTIN DE RIESGOS
mente los hallazgos y realizando la labor
con la idoneidad, transparencia y compe-
tencia debida.
Algunas organizaciones realizan grandes
esfuerzos para que los miembros de Audi-
tora Interna cuenten con la competencia y
la capacidad para llevar a cabo las corres-
pondientes investigaciones. Un 45% de los
Cuando Auditora
encuestados por el IAI manifiesta que sus
Interna investigue
equipos de Auditora Interna no cuentan denuncias o alertas de
con formacin especializada en investiga- fraude debe
cin de fraudes y un 50% no cuenta con documentar
los recursos tcnicos e informticos ade- adecuadamente sus
cuados. hallazgos y realizar su
labor con la idoneidad,
- Documentar con el debido celo profesional
transparencia y
todos los pasos ejecutados, prestando es-
competencia debidas.
pecial atencin a la validez legal en la cap-
tura de evidencias y el debido soporte de
los hallazgos, no slo de cara a sustentar y
soportar el contenido del informe final, sino
adems como soporte y herramienta de de-
fensa de la empresa cuando, en caso de
producirse una irregularidad, la organiza-
cin decida iniciar acciones legales contra
el infractor y sea necesario utilizar estas
evidencias como prueba. Es necesario que
Auditora Interna cuente con el asesora-
miento del rea de Asesora Jurdica de la
empresa cuando sea necesario.
- Asesorarse/capacitarse sobre las particulari-
dades legales que debe cumplir en la cap-
tura, tratamiento y custodia de datos de
empleados, o terceros y en la forma en que
puede acceder a los mismos durante la in-
vestigacin, para no invalidar la prueba. El
rea de Asesora Jurdica debe asesorar en
materia de derechos del empleado y obli-
gaciones legales de la empresa, para no
29
BUENAS PRCTICAS EN GESTIN DE RIESGOS

violar principios constitucionales, ni leyes, ni de la efectiva implantacin de las medidas) o

cualquier otro tipo de normativa vigente6.
- Informar a los rganos de gobierno de la
empresa sobre las caractersticas de los he-
chos denunciados o identificados e investi-
gados.
Realizar el seguimiento de los planes
de accin para instaurar medidas co-
rrectivas de las debilidades de control o pun-
tos de mejora en el desarrollo de los proce-
sos, con el fin de garantizar la mejora conti-
nua del sistema de control interno (en el caso
de alertar ante la permanencia de situaciones
que exponen a la organizacin (en el caso de
demoras o inaccin en la implantacin de me-
didas correctivas).
A continuacin exponemos una matriz, a mo-
do ilustrativo, que resume y visualiza las res-
ponsabilidades en materia de prevencin, de-
teccin e investigacin de fraude de los dife-
rentes departamentos que forman una orga-
nizacin, entre ellos, el departamento de Au-
ditora Interna.

6. Es posible que sea necesaria la aplicacin de procedimientos especficos para la recopilacin de evidencia digital para
los que el rea de Auditora Interna no dispone ni de los medios tcnicos ni de las habilidades necesarias, para lo que,
de acuerdo con la Norma 1210. A1, sea necesaria la intervencin de expertos externos:

el Director de Auditora Interna debe obtener asesoramiento y asistencia competentes en caso de que los auditores in-
ternos carezcan de los conocimientos, las aptitudes u otras competencias necesarias para llevar a cabo el trabajo

En estos casos, Auditora Interna debe ponerse a disposicin del equipo externo ofreciendo su cooperacin y estando
dispuesto a participar en el proceso en aquello para lo que se le requiera. As, puede prestar una colaboracin til en
identificar la informacin relevante y dnde se encuentra alojada (bases de datos, ficheros, etc.) ya que normalmente
Auditora Interna conoce estos aspectos por el curso de su actividad cotidiana, lo que puede suponer ahorros de tiem-
po. En cualquier caso, participe activamente Auditora Interna o no, es importante mantener un clima de buen entendi-
miento entre ambos equipos ya que ambos trabajan por un mismo fin.

PRECAUCIONES

La Norma 1220. A2 referente al Cuidado Profesional en el ejercicio de su actividad dice: al ejercer el debido cuidado
profesional el auditor interno debe considerar la utilizacin de auditora basada en tecnologa y otras tcnicas de anli-
sis de datos.

y la Norma 1220.A3: el auditor interno debe estar alerta a los riesgos materiales que pudieran afectar los objetivos,
las operaciones o los recursos.

Por ello, el auditor interno debe actuar con la prudencia debida en tareas especialmente sensibles, para lo que debe
evaluar cules son los riesgos a los que se enfrenta cuando aplica procedimientos que pueden tener un impacto eleva-
do en el proceso, como son todos los relacionados con la evidencia digital. En particular, el auditor interno debe ser ex-
tremadamente prudente en no recopilar evidencias sin las debidas garantas simplemente porque conoce cmo llegar a
ellas, no manipular evidencias para darles otra apariencia o no respetar la cadena de custodia.

30
 BUENAS PRCTICAS EN GESTIN DE RIESGOS

EJEMPLO DE MATRIZ DE DECISIN EN LA POLTICA DE PREVENCIN, DETECCIN E INVESTIGACIN DE FRAUDE

UNIDAD DE AUDITORA FINANZAS / DIRECCIN DIRECCIN DIRECCIN REA
ACCIN REQUERIDA INVESTIGACIN INTERNA CONTABILIDAD EJECUTIVA OPERACIONES RIESGOS COMUNICACIN RR.HH LEGAL
Controles para la
prevencin del fraude
Reportes de incidentes
detectados
Investigacin de fraude
Comunicacin con
las Autoridades
Recuperacin de las
cantidades defraudadas
Recomendaciones para la
prevencin del fraude
Revisin de los controles
internos
Atender los casos/
situaciones de naturaleza
sensible
Comunicados de prensa /
Publicidad
Litigios civiles
Acciones correctivas /
Recomendaciones para
prevenir acciones
recurrentes
Supervisin de las
recuperaciones
Auditoras proactivas
de fraude
Formacin y entrenamiento
sobre el fraude
Anlisis de riesgos en las
reas de vulnerabilidad
Anlisis de los casos
Canal de denuncias (1) P S
Lnea tica

RResponsabilidad Primaria RResponsabilidad Secundaria RResponsabilidad Compartida

Fuente: Managing the Business Risk of Fraud: A Practical Guide (The Institute of Internal Auditors, The American Institute of Certified Public Accountants, Asso-
ciation of Certified Fraud Examiners).

(1)Respecto al Canal de Denuncias, si seguimos las recomendaciones de la CNMV en materia de control interno sobre la informacin financiera en sociedades
cotizadas, el Comit de Auditora debe tener conocimiento y acceso directo a la denuncia de potenciales irregularidades. Por tanto, entendemos que es
deseable que Auditora Interna gestione el canal de denuncias, pudiendo ser el mismo administrado por la propia Auditora Interna, por un departamento
especfico o bien por un tercero.

31
Instituto de Auditores Internos de Espaa
Santa Cruz de Marcenado, 33 28015 Madrid Tel.: 91 593 23 45 Fax: 91 593 29 32 www.auditoresinternos.es

Depsito Legal: M-4003-2015

ISBN: 978-84-943299-0-6

Diseo y maquetacin: desdecero, estudio grfico

Impresin: IAG, SL
 LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA

Este nuevo documento de LA FBRICA DE PENSAMIENTO, el think tank

del Instituto de Auditores Internos de Espaa, aborda los diferentes
procesos para una ptima gestin del riesgo de fraude, que pasa por el
establecimiento de un programa eficaz de prevencin, deteccin e
investigacin de fraudes.

Esta publicacin, resumen ejecutivo del amplio estudio elaborado por la

Comisin Tcnica que ser editado prximamente, define adems un
enfoque efectivo para la gestin del riesgo de fraude y un anlisis profundo
sobre las responsabilidades en su prevencin, deteccin e investigacin.

Se trata de una gua, en definitiva, que ayudar a la alta direccin en

la que debe comenzar el sistema de principios, valores y comportamientos
adecuados para la organizacin y a los auditores internos, que
encontrarn las respuestas adecuadas frente a casos de fraudes
corporativos.