1

XXX CONFERENCIA INTERAMERICANA DE CONTABILIDAD

TRABAJO INTERAMERICANO

AREA 2 – AUDITORÍA

SUB AREA 2.4 LA AUDITORIA INTERNA EN LA DETECCION Y PREVENCIÓN DE FRAUDES

AUTOR

JUAN FONSECA

PAÍS

BOLIVIA

PRESIDENTE DE LA COMISIÓN TÉCNICA INTERAMERICANA DE AUDITORÍA

ANGEL DEVACA PAVÓN

(PARAGUAY)

2

LA AUDITORIA INTERNA EN LA DETECCION Y PREVENCIÓN

DE FRAUDES

INDICE CONTENIDO PAG.

1

RESUMEN EJECUTIVO

3

2

PALABRAS CLAVES

4

3

INTRODUCCION

5

4

OBJETIVO

5

5

CONCEPTUALIZACIÓN Y CARACTERIZACIÓN DEL FRAUDE

6

6

CONTROL INTERNO

6

7

LA GESTIÓN DEL RIESGO DE FRAUDE

9

8

ACTIVIDADES DE CONTROL Y PREVENCIÓN DEL FRAUDE

10

9

FACTORES DE RIESGO EN AUDITORIA INTERNA

11

10

EL ROL DEL AUDITOR INTERNO RESPECTO AL FRAUDE

13

a. Responsabilidades 15

b. Alertas para identificar eventos de fraude 15

c. Divulgación de eventos de fraude 16

11

VALORACION DE RIESGOS POR AUDITORIA INTERNA

16

12

PROPUESTAS

20

a. Mecanismos de detección de fraude 20

b. Plan de trabajo de auditoría en el área de fraude 21

13

CONCLUSION

23

14

GUIA DE DISCUSION

25

15

BIBLIOGRAFIA

26

3

LA AUDITORIA INTERNA EN LA DETECCION Y PREVENCIÓN DE FRAUDES

1. RESUMEN EJECUTIVO El trabajo tiene por finalidad proponer herramientas técnicas con que la profesión cuenta para detectar, disminuir posibles hechos ilícitos afectando a las economías y desarrollo de las empresas y en la mayoría de los países. Las actividades de control implementadas en las organizaciones para prevenir y disminuir el riesgo operativo y con ello minimizar la posibilidad de ocurrencia de fraudes. Actividades que están expresadas en políticas, normas y procedimientos de las empresas, mediante la aprobación, la autorización, la verificación, el control cruzado, la conciliación, la inspección, la salvaguardia de los recursos, la segregación de funciones, la supervisión y un entrenamiento adecuado. Las actividades de control son importantes no solo porque en sí mismos implican la forma correcta de hacer las cosas, sino debido a que son el medio idóneo de asegurar el mayor grado en el logro de los objetivos. El propósito de los controles es asegurar una operación y continuidad adecuada, con ayuda de la tecnología los sistemas informáticos de la organización debe incorporar controles internos que permitan disminuir el riesgo operativo al que está expuesta la organización.

Los auditores internos, en conjunto con las áreas de riesgos de las empresas, deben conocer las herramientas metodológicas que les permitan realizar evaluaciones de las estrategias, políticas, normas y procedimientos encaminados al control integral del negocio a fin de minimizar la materialización de potenciales hechos de fraude externo e interno.

El auditor interno debe prever de asistir en la prevención del fraude a través de exámenes y evaluaciones de un adecuado y efectivo control sobre los posibles riesgos potenciales en diferentes segmentos de operación de la organización, para lo cual debe estar capacitado para identificar posibles fraudes, este conocimiento incluye características, técnicas y los tipos de fraudes asociados con las actividades auditadas.

Profundizar la revisión en los casos que encuentre debilidades de control, si se identifican debilidades de control significativas se deberá ampliar el alcance de las pruebas de auditoria que permitan la identificación de otras señales de fraude. Si el fraude podría haber sido cometido, decidir acciones adicionales o recomendar una investigación.

Es importante que el auditor interno comunique de inmediato a la Administración, su Comité o al Directorio cualquier hallazgo de fraude.

4

2. PALABRAS CLAVES

Factor Riesgo

Auditoria Interna

Fraude Interno

Fraude Externo

Control y Prevención del Fraude

Divulgación de Fraude

5

LA AUDITORIA INTERNA EN LA DETECCION Y PREVENCIÓN DE FRAUDES

3. INTRODUCCION A lo largo de la historia han sucedido innumerables casos de fraude que han tenido impactos catastróficos en las empresas. Este tema cada vez está adquiriendo mayor fuerza debido a la mayor complejidad de los negocios, a la globalización, al uso de tecnología. Por lo tanto, estos factores hacen que las empresas operen con un mayor nivel de riesgo operativo. Al parecer las empresas no están gestionando adecuadamente el riesgo operativo y están cada vez más vulnerables a fraudes que pudieran realizar sus trabajadores y/o terceros. Según algunas estadísticas el 1% de los trabajadores de una empresa están alertas a encontrar una debilidad en el control interno de la compañía en la que operan y aprovechar de esa situación. Un informe publicado por KPMG menciona que en las empresas el 20% de su personal presenta un perfil deshonesto, mientras que un porcentaje similar es honesto. El 60% restante “depende de las circunstancias”. Cabe resaltar que la mayor cantidad de fraudes son realizados por los mismos funcionarios de las empresas y los eventos son descubiertos por casualidad. La detección y prevención de fraudes requieren la atención de todos a niveles de la organización. Esta situación representa un desafío para los profesionales de las diferentes disciplinas, especialmente de los auditores, que deben profundizar el análisis y mantener un amplio conocimiento de la actividad desarrollada, su volumen, carácter y tipo del negocio. 4. OBJETIVO El presente trabajo tiene como objetivo satisfacer la responsabilidad que nos fuera confiada por la comisión de normas y prácticas de auditoría al designarnos la presentación del trabajo interamericano para el sub área 2.4, que en virtud al plan bianual de trabajo presentado a, y aprobado por, las autoridades de la Asociación Interamericana de Contabilidad (AIC), en el temario de la comisión, bajo el título de “La auditoría interna en la detección y prevención de fraudes”. Según el fundamento de la comisión del tema designado, el “fraude se ha presentado en los últimos años como uno de los grandes males para las empresas, las economías y la sociedad en general. Como quiera, el auditor interno convive en un ambiente de riesgos de actos fraudulentos. El establecimiento de medidas preventivas y la detección de fraude es responsabilidad de la gerencia de la entidad, a cargo de la auditoría interna está la evaluación de los procedimientos y medidas preventivas como de las detectivas de errores y fraudes, dispuestos por la administración.” Con el humilde aporte de este trabajo esperamos de los delegados un debate enriquecedor del tema, de tal suerte a plantear una posición del área de discusión sobre la actitud del auditor interno ante la prevención y detección de fraude en la entidad a la que presta su servicio.

6

Esperamos haber respondido la confianza de la comisión y la satisfacción de los delegados concurrentes de la XXX CIC al considerar el contenido del documento, por sobre todo que les sirva de alguna luz para enfrentar los desafíos de la comisión de fraude en las organizaciones. 5. CONCEPTUALIZACION Y CARACTERIZACIÓN DEL FRAUDE El fraude es un hecho ilícito, ocasionado por la acción u omisión, realizado por trabajadores y/o terceros ajenos a la empresa, con el objetivo de un beneficio propio o ajeno y en detrimento de la institución.

Existen muchas formas de fraude que pueden darse en una empresa, tales como el hurto, la estafa, la falsificación, la adulteración, el abuso de confianza, el uso de información confidencial y otros.

De acuerdo a su ocurrencia o magnitud se pueden distinguir los fraudes en los tipos siguientes:

Pérdidas de gran magnitud que se dan en un solo golpe, en una sola vez, que son fáciles de detectar pero su prevención es compleja, estos casos generalmente trascienden a la Policía y a Órganos Judiciales.

Pérdidas pequeñas por goteo, esporádicas, rutinarias que son difíciles de identificar y de prevenir.

De acuerdo a quien realiza el hecho, el fraude se puede clasificar en: o Fraude Interno

Genera pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar regulaciones, leyes o políticas empresariales (excluidos los eventos de diversidad / discriminación) en las que se encuentra implicada, al menos, una parte interna a la empresa. Esta categoría incluye eventos asociados con: actividades no autorizadas, hurto y fraude.

o Fraude Externo

Genera pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o soslayar la legislación, por parte un tercero. Esta categoría incluye eventos asociados con: seguridad de los sistemas, hurto y fraude.

6. CONTROL INTERNO El control interno involucra un conjunto de elementos que afecta sobre todos los procesos del negocio (centrales y de soporte), es realizado por la dirección de la empresa, la administración, los profesionales de diferentes disciplinas y el personal dependiente y a todos los niveles de la organización. Es influenciada por la historia de la entidad, nivel de cultura administrativa, estructura organizativa, políticas prácticas del recurso humano, delegación de autoridad y responsabilidad.

7

El diseño y desarrollo del sistema de control interno para prevenir el fraude debe estar orientado a lograr los objetivos siguientes:

- Cuidar los recursos de la empresa, buscando su adecuada administración ante posibles riesgos que los afecten.

- Garantizar la eficacia y economía en todas las operaciones, promoviendo y facilitando

la correcta ejecución de las funciones y actividades definidas para el logro de los objetivos de la empresa.

- Velar por que las actividades, recursos de la empresa estén dirigidas al cumplimiento

de sus objetivos.

- Asegurar la oportunidad y confiabilidad de la información y sus registros.

- Aplicar medidas para prevenir riesgos, detectar y corregir las desviaciones que se presenten en la empresa y que puedan afectar el logro de sus objetivos.

- Disponer de sus propios mecanismos de verificación y evaluación. - Velar porque la empresa disponga de procesos de planeación y mecanismos

adecuados para el diseño y desarrollo organizacional. - El profesional debe contar con procedimientos específicos y eficientes que le permitan

advertir si está realmente ante las operaciones sospechosas, resguardar los soportes documentales del análisis, definir la generación de informes confidenciales al respecto y establecer controles.

Entre las características del control interno se tiene las siguientes:

a) El sistema de control interno forma parte integrante de los sistemas de negocio, contabilidad, financieros, planeación, información y operaciones de la empresa.

b) Corresponde al Órgano directivo y a la alta gerencia, la responsabilidad de establecer,

mantener y perfeccionar el sistema de control interno, el cual debe ser adecuado a la naturaleza, estructura, misión de la empresa.

c) Todas las transacciones de la empresa, deberán registrarse en forma exacta,

oportuna, de forma tal que permita preparar informes operativos, administrativos y financieros confiables.

d) Todos los trabajadores de la empresa deben cumplir con los controles previamente

establecidos y aplicar los controles que le corresponden según su cargo. A modo de fundamentar la gestión de riesgo de fraude por la entidad, que desarrollaremos en el numeral 7, recordemos los componentes de control manejados desde el año 1992, a partir de la publicación de reporte COSO, como sigue:

1. Ambiente de control. Incluye las funciones de mando y administración, y las actitudes, conciencia y acciones de los encargados del mando y de la administración en lo concerniente al control interno de la entidad y su importancia en la misma. El ambiente de control marca el tono de una organización, influyendo en la conciencia de control de su gente. Es el fundamento para un control interno efectivo, y brinda disciplina y estructura.

8

2. El proceso de evaluación del riesgo por la entidad. El auditor deberá obtener un

entendimiento del proceso de la entidad para identificar riesgos de negocio relevantes para los objetivos de información financiera y para decidir sobre acciones para atender a esos riesgos, y los resultados consecuentes. El proceso se describe como el “proceso de evaluación del riesgo por la entidad” y forma la base de cómo determina la administración los riesgos que hay que administrar.

3. El sistema de información incluyendo los procesos del negocio relacionados,

relevantes a la información financiera y la comunicación. El sistema de información relevante a los objetivos de información financiera, que incluye el sistema contable, consiste de los procedimientos y registros establecidos para iniciar, registrar, procesar e informar transacciones de la entidad y para mantener la rendición de cuentas por los activos, pasivos y capital relacionados.

4. Actividad de control. Las actividades de control son las políticas y procedimientos que

ayudan a asegurar que se llevan a cabo las directivas de la administración por ejemplo, que se toman las acciones necesarias para atender a los riesgos que amenazan el logro de los objetivos de la entidad.

5. Monitoreo de controles. Es un proceso para evaluar la efectividad del desempeño del

control interno a través del tiempo. Implica evaluar el diseño y operación de los controles oportunamente y emprendiendo las acciones correctivas necesarias modificadas por cambios en las condiciones.

El Control interno está Integrado por elementos interrelacionados como:

a) Ambiente de control,

Es el entorno que estimula e influencia la actividad del personal con respecto al control de sus actividades, es en esencia el principal elemento sobre el que sustenta o actúan otros componentes, es indispensable a su vez para la realización de los propios objetivos de control.

b) Valores éticos,

Es importante para el éxito del control interno la forma en que los valores éticos son comunicados y fortalecidos. La participación de la alta administración es clave para obtener resultados positivos, ya que su ejemplo es imitado por los dependientes.

Se debe tener cuidado con factores que pueden inducir a conductas adversas a los valores éticos, debido a controles débiles o inexistentes.

c) Competencia,

Son los conocimientos y habilidades que debe poseer el personal para cumplir adecuadamente sus tareas.

d) Filosofía Administrativa y Estilo de Operación

El ambiente de control tiene gran influencia en la forma como se desarrollan las operaciones, se establecen los objetivos y se identifican los riesgos, además tiene que ver con el comportamiento de los sistemas de información y la supervisión en general.

9

Está en la inteligencia del auditor interno unir las acciones entre los elementos mencionados y otros no abordados en este material, con base a los componentes y objetivos del control interno y su vinculación con la comisión de irregularidades. 7. GESTIÓN DEL RIESGO DE FRAUDE Se refieren a los mecanismos necesarios para identificar, medir, monitorear, controlar, mitigar y divulgar los riesgos originados en eventos de fraude. Este aspecto es considerado como parte de la gestión del riesgo operativo dentro de las organizaciones, tanto los que se originan en el entorno de la organización como en el interior de la misma. En toda empresa es indispensable el establecimiento de objetivos tanto globales, como de actividades relevantes, obteniendo con ello una base sobre la cual serán identificados y analizados los factores de riesgo que amenazan su oportuno cumplimiento. Un evento de fraude, dependiendo de su impacto, puede afectar en el logro de los objetivos empresariales. La evaluación de riesgo debe ser una responsabilidad ineludible para todos los niveles que están involucrados en el logro de los objetivos. Esta actividad de autoevaluación debe ser revisada por los auditores internos para asegurar que tanto el objetivo, enfoque, alcance y procedimiento hayan sido apropiadamente llevados a cabo. Los aspectos sobresalientes del riesgo son entre otras:

a) Establecimiento de Objetivos:

La fijación de objetivos es el camino adecuado para identificar factores críticos de éxito. Una vez que los factores hayan sido identificados, la gerencia tiene la responsabilidad de establecer criterios para medirlos y prevenir su posible ocurrencia a través de mecanismos de control, de información, a fin de estar enfocando permanentemente tales factores críticos de éxito.

El logro de los objetivos está sujeto a los siguientes aspectos:

A la efectividad y alcance de los controles internos ya que éstos proporcionan una garantía razonable de que los objetivos sean alcanzados.

A la adecuada gestión de los riesgos, en la que la organización tenga un mapeo de todos los riesgos que podrían afectar a la organización. Los principales riesgos que afectan a las empresas son los siguientes: Riesgos de mercado, de competencia, legales y regulatorios, operativos, de crédito y de liquidez. Cada uno de estos riesgos deben ser gestionados por empresa. El fraude es parte del riesgo operativo.

Todas las entidades enfrentan estos riesgos y estos deben ser identificar oportunamente, medir, monitorear, establecer medidas de control y de mitigación y divulgar.

b) Proceso

El proceso mediante el cual se gestionan riesgos forma parte esencial de un sistema de control interno efectivo. Para ello la organización debe establecer un proceso

10

suficientemente amplio que tome en cuenta sus interacciones más importantes entre todas las áreas y de estas con el exterior.

Los riesgos incluyen no solo factores externos, sino también internos, por ejemplo sistema de procesamiento de información, calidad de personal, capacidad o cambios en relación con las responsabilidades de la gerencia.

c) Manejo de Cambios

Este elemento resulta de vital importancia debido a que está enfocado a la identificación de los cambios que pueden influir en la actividad de la empresa y éstos a su vez en los controles internos. Tales cambios son importantes ya que los controles diseñados bajo ciertas condiciones pueden no funcionar apropiadamente en otras circunstancias. De lo anterior se deriva la necesidad de contar con un proceso que identifique las condiciones que puede tener un efecto desfavorable sobre los controles internos o de cambios deben estar ligados con el proceso y análisis de riesgos, ser capaces de proporcionar información para identificar y responder a las condiciones cambiantes. Existen factores que requieren atenderse con oportunidad y que presentan sistemas relacionados con el manejo de los cambios como son; nuevo personal, sistema de información nuevo o modificado, crecimiento rápido, nueva tecnología, reorganizaciones y otros aspectos de igual transcendencia. Los mecanismos en este proceso deben tener un marcado sentido de anticipación que permita planear e implantar las acciones necesarias que respondan al criterio de costo-beneficio.

8. ACTIVIDADES DE CONTROL Y PREVENCIÓN DEL FRAUDE

Las actividades de control son aquellas que realizan la gerencia y personal de la organización para disminuir el riesgo operativo y con ello minimizar la posibilidad de ocurrencia de fraudes. Estas actividades están expresadas en las políticas, normas y procedimientos de las empresas. Ejemplos de estas actividades son la aprobación, la autorización, la verificación, el control cruzado, la conciliación, la inspección, la salvaguardia de los recursos, la segregación de funciones, la supervisión y entrenamiento adecuado. Las actividades de control tienen distintas características pueden ser manuales o computarizadas, administrativas y operacionales, generales o específicas. Las actividades de control son importantes no solo porque en sí mismos implican la forma correcta de hacer las cosas, sino debido a que son el medio idóneo de asegurar el mayor grado en el logro de los objetivos.

La prevención de fraude Al diseñar los controles, la administración o el gobierno de mando de la entidad toma en cuenta una serie de medidas con miras a prevenir los actos delictivos. Recordemos que los controles internos por naturaleza están orientados a proteger los bienes de quienes los diseñan y los aplican. Existen algunos principios que deben ser respetados para prevenir el uso indebido o la apropiación indebida de los bienes de la entidad, entre ellos, posiblemente el más importante, se encuentra el principio administrativo de “separación de funciones”, otro

11

principio fundamental en cualquier organización es la “asignación de responsabilidades” dada a las personas que tienen bajo su custodia activos de la empresa. Es frecuente asignar responsabilidad a los colaboradores que luego se consideran como dueño de los bienes consignados, esto es un riesgo potencial de fraude. Muchos inquilinos de bienes inmuebles se quedan como propietario por usucapión, en verdad uno puede cuestionar esta situación y calificarla como desinterés, negligencia o por lo menos descuido de los propietarios, pero en definitiva para el auditor interno puede ser indicativo relevante de fraude. Sea cual fuere la situación analizada en que los controles adoptados que están orientados a prevenir razonablemente la ocurrencia de fraude, el papel del auditor interno sigue siendo el mismo, informar de su hallazgo a la gerencia o a la dirección pertinente, recayendo en la gerencia la responsabilidad de establecer los controles para que el auditor lo evalúe en cuanto a su implantación, vigencia y si constituye una barrera que evite la comisión de fraude. Al establecer los controles antifraude, el responsable de su diseño debe considerar dos tipos de controles, aquellos considerados de carácter disciplinario y otros que son básicos. Los controles disciplinarios están orientados a la protección de los activos y a la aplicación correcta de los controles básicos, éstos a su vez tienen como función garantizar razonablemente la exactitud de la información. Una buena medida preventiva de fraude es disponer siempre de una póliza de seguro de fidelidad de los empleados, política de rotación sorpresiva y permanente de empleados con cargos de responsabilidad y de quienes gozan de cierta discrecionalidad en la administración y manejo de los bienes de la empresa. 9. FACTORES DE RIESGO EN AUDITORÍA INTERNA Son el criterio usado para identificar el significado relativo de condiciones y eventos que puedan ocurrir y afectar negativamente a la entidad. El auditor mide tales factores utilizando su mejor juicio profesional, por lo cual requiere el debido cuidado en su determinación. Las tareas desarrolladas por el auditor interno en la ubicación de los factores indicativos de riesgo son delicadas y requiere de paciencia y sapiencia, normalmente el auditor interno dedica muchas horas en el estudio de los factores que normalmente existen cuando ocurren las irregularidades, aunque muchos de los factores no siempre significan la presencia de inexactitudes, menos de fraude; no obstante mediante el seguimiento de los indicativos determinados por el auditor en momento menos esperado descubre las incorrecciones, actividades ilícitas y por qué no fraudes, aunque sin calificarlos como tal. Según las guías de la Declaración (SIAS) 9 “Valuación de riesgos”, los factores de riesgo pueden incluir:

a. Clima de ética y presión a la gerencia para el logro de objetivos. b. Competencia, aptitud e integridad del personal.

c. Tamaño del activo, liquidez, o volumen de transacciones.

d. Condiciones financieras y económicas.

12

e. Condiciones competitivas.

f. Complejidad y volatilidad de las actividades.

g. Impacto en clientes, proveedores y reglamentos gubernamentales.

h. Nivel de sistemas computarizados de información.

i. Dispersión geográfica de las operaciones.

j. Oportunidad y efectividad de los sistemas de control interno.

k. Cambios organizacionales, operacionales, tecnológicos y económicos.

l. Juicios gerenciales y estimaciones contables.

m. Aceptación de hallazgos de auditoría y acciones correctivas tomadas, y

n. Fecha y resultados de auditorías previas.

Creemos que existen otras cuestiones relevantes que adicionamos a continuación como factores de riesgo a los citados precedentemente.

a. Tipo de industria en que se desarrollan las actividades de la compañía. b. Conflicto de la patronal con sus empleados.

c. Baja remuneración de la gerencia.

d. Alta rotación de recursos humanos claves, principalmente del área de contabilidad y finanzas.

e. Cultura de evasión de impuestos de la compañía, que en conjunción de la situación mencionada en c. puede significar una coraza para quien cometa fraude.

Al considerar los factores de riesgo, el auditor interno debe establecer una relación con la significancia del impacto que pueda generar de concretar la ocurrencia del riesgo, es decir convertirse en realidad la probabilidad de ocurrencia de condiciones y hechos pronosticados originalmente. Al establecer la relación de la importancia económica, o de otra naturaleza ejemplo daño moral, que pueda afectar adversamente a la entidad, el auditor usa su juicio para establecer un umbral para a partir de ese punto reportar como indicio de fraude las irregularidades detectadas. Las alertas para identificar eventos de fraude descriptas en el sub tópico de “El rol del auditor interno respecto al fraude” letra b. pueden ayudar si se complementan con los factores de riesgo mencionados en este apartado. Control de los Sistemas de Información

13

Los sistemas de información automáticos de las empresas están diseminados y todos ellos atienden a uno o más objetivos de control. De manera amplia se considera que existen controles generales y controles de aplicación sobre los sistemas de información.

a) Controles Generales

Su propósito es asegurar una operación y continuidad adecuada, e incluyen el control sobre el departamento de procesamiento de datos y su seguridad física, contratación, mantenimiento del hardware y software. También lo relacionado con las funciones de desarrollo y mantenimiento de sistemas, soporte técnico, administración de base de datos y otros.

b) Controles de Aplicación

Dirigidos hacia el interior de cada sistema y funcionan para lograr el procesamiento, integridad, confiabilidad, mediante la autorización y validación correspondiente. Desde luego estos controles cubren las aplicaciones destinadas a las interfaces con otros sistemas de las que reciben o entregan información.

Los sistemas de información y su tecnología brindan la posibilidad para incrementar la productividad y competitividad. Ciertos hallazgos sugieren la integración de la estrategia, la estructura organizacional y la tecnología de la información como concepto clave.

Es conveniente que con ayuda de la tecnología se diseñen controles a través de ellas, el procesamiento de imágenes, el intercambio electrónico de datos y hasta asuntos relacionados con los sistemas expertos. El sistema informático de la organización debe incorporar controles internos que permitan disminuir el riesgo operativo al que está expuesta la organización.

10. EL ROL DEL AUDITOR INTERNO RESPECTO AL FRAUDE. El Statements On Internal Auditing Standards – SIAS – 3 (Declaración Sobre Normas Para la Práctica Profesional de la Auditoría Interna) emitido por el Instituto de Auditores Internos –IIA–, una asociación internacional dedicada al desarrollo profesional continuo del auditor interno y de la profesión de auditoría interna ofrece guías para llevar a cabo las responsabilidades de auditoría interna para la prevención, detección, investigación y reporte de fraudes. Este documento puede servir de herramienta fundamental del auditor interno en su trabajo orientado hacia el fraude. La prevención de fraude no es tarea del auditor interno, sino es una responsabilidad de la gerencia de la entidad en el que se desempeña el auditor interno, la responsabilidad de éste consiste en examinar y evaluar lo adecuado de las acciones tomadas por la administración para hacer frente al riesgo de fraude. Del auditor interno se espera que tenga suficiente conocimiento de la práctica deshonesta para estar capacitado de detectar los indicadores que podrían ser indicadores de la existencia de fraude. En el desempeño de su labor, el auditor debe evaluar permanente los riesgos de fraude, si detectare debilidades significativas de control deberá estar predispuesto a la posibilidad de

14

ampliar su examen en busca de otros elementos que podrían confirmar o rechazar la idea de la existencia de fraude, aunque ningún procedimiento de auditoría llevado a cabo por el auditor interno garantiza que el fraude cometido será indefectiblemente detectado. El fraude puede implicar, entre otros:

- Manipulación, falsificación o alteración de registros o documentos. - Malversación de activos. - Supresión u omisión de los efectos de transacciones en los registros o documentos. - Registros de transacciones sin sustancia. - Mala aplicación de políticas contables.

Consecuentemente, podemos entender que el fraude es una práctica de la simulación o del artificio con intención de engañar o lesionar a otro, por lo que involucra la representación falsa y voluntaria o la ocultación deliberada de un hecho importante con el fin de inducir a otra persona a que haga o se abstenga de hacer algo en su detrimento, o a no revelar un hecho importante, de modo a que pueda inducir fraudulentamente a una persona a que renuncie a sus derechos sobre una propiedad, a que abandone sus derechos legales o a que acepte un compromiso en condiciones desfavorables a sus intereses. Los fraudes son actos ilegales que solo ejecutan los seres humanos. Las transformaciones que verifican las sociedades le adicionan nuevas dimensiones al fraude, un ejemplo de estas dimensiones son los fraudes ejecutados a través de medios computacionales. El fraude hoy día es el dolor de cabeza de los hombres de negocios y de todo de quien tiene interés en sí mismo, o en una institución pública o privada, la gerencia de una institución con responsabilidad ante tercero debe diseñar medidas proyectivas ante el peligro de fraude en su organización. Ahora, como el fraude puede ser cometido también por la gerencia, las entidades jurídicas, especialmente, cada día se expone más y más a ser despojadas de sus bienes por personas con intenciones de apoderarse de lo ajeno. Ante este escenario, el auditor interno adquiere relevancia en su desempeño profesional ético, debido a su alta responsabilidad de supervisar el control interno y evaluar los riesgos de fraude. No es su responsabilidad detectar fraude ni disponer de técnicas antifraude, su rol consiste en evaluar los riesgos y ofrecer información a la alta gerencia o al gobierno de mando para que éstos dispongan del diseño, implantación y mantenimiento de los controles pertinentes que aminoren el impacto del riesgo a niveles aceptablemente bajos. De detectar indicios de fraude el auditor procederá a denunciar ante la dirección para que ésta adopte las medidas legales que cada caso amerite, en ningún caso el auditor interno estará capacitado para calificar una irregularidad como FRAUDE, solo calificará con indicio de fraude o riesgo de fraude. La calificación de una inexactitud o de un acto como fraude es competencia de una autoridad judicial competente. El auditor recomendará a la dirección ante riesgo significativo de fraude el inicio de un sumario administrativo y la denuncia ante la justicia, si la dirección considera pertinente. En la evaluación de los riesgos de fraude, el auditor interno, evaluará permanentemente los controles establecidos relacionados con la prevención de fraude a cargo del gobierno de mando y ejecutará en consecuencia las pruebas de auditoría tendientes a confirmar su indicio o refutarlo, para luego informar a los órganos competentes, siempre sin calificar su hallazgo como fraude. Los auditores y en especial los auditores internos, en conjunto con las áreas de riesgos de las empresas, deben conocer las herramientas metodológicas que les permitan realizar

15

evaluaciones de las estrategias, políticas, normas y procedimientos encaminados al control integral del negocio en todos sus aspectos a fin de minimizar la materialización de potenciales hechos de fraude externo e interno en contra de las empresas. El auditor interno debe prever de asistir en la prevención del fraude a través de exámenes y evaluaciones de un adecuado y efectivo control sobre los posibles riesgos potenciales en diferentes segmentos de operación de la organización.

a. Responsabilidades

Para llevar a cabo un trabajo de auditoría interna:

El auditor debe estar capacitado para identificar posibles fraudes, este conocimiento incluye características, técnicas y los tipos de fraudes asociados con las actividades auditadas.

Conocer los eventos de riesgo operativo que están presentes en los procesos de negocio y de soporte de la empresa.

Prestar especial énfasis en los puntos de control establecidos por la administración, en términos de su aplicación y eficiencia.

Profundizar la revisión en los casos que encuentre debilidades de control, si se identifican debilidades de control significativas se deberá ampliar el alcance de las pruebas de auditoria que permitan la identificación de otras señales de fraude.

Si el fraude podría haber sido cometido, decidir si es necesario efectuar más acciones adicionales o recomendar una investigación.

Comunicar a la administración y a su Comité o al Directorio cualquier hallazgo de fraude.

Obtener el mapa de riesgo operativo elaborado por la Unidad de Riesgos para hacer seguimiento a los aspectos de control mas importantes dentro de la empresa.

Evaluar todos los fraudes cometidos en la organización con el fin de evaluar la eficiencia de los controles internos.

b. Alertas para identificar eventos de fraude

El auditor debe tomar en cuenta ciertas alertas que le permitan identificar posibles fraudes entre ellas:

Negativa de trabajadores a dar acceso a la documentación

El extravió de documentación

Arqueos de caja en los que nunca existen sobrantes ni faltantes

Sistemas informáticos habilitados en horarios inusuales

Inventarios irregulares

Pagos realizados sin comprobantes formales.

Incumplimiento en los procesos.

16

El uso excesivo de correctores

Encontrar copia de los documentos en lugar de los originales

Pagos inexistentes o con justificativo alterados

Trabajadores que no sacan vacaciones.

Trabajadores que aparentan tener un estándar de vida superior al que su salario les permitiría.

Trabajadores que tienen problemas familiares.

Cuando los trabajadores gozan de excesiva confianza de sus inmediatos superiores.

Trabajadores que pasan muchas horas en la oficina, fuera de los horarios laborales.

c. Divulgación de eventos de fraude

El proceso de comunicar las debilidades y oportunidades de mejoramiento de los sistemas de control, deben estar dirigido hacia quienes son los propietarios y responsables de operarlos con el fin de que implementen las acciones necesarias. Dependiendo de la importancia de las debilidades identificadas, la magnitud del riesgo existente y la probabilidad de ocurrencia se determinarán el nivel administrativo al cual deban comunicarse las deficiencias.

11. VALORACION DE RIESGOS POR AUDITORIA INTERNA La actividad más importante de la auditoría interna en la consideración de riesgos es la valoración, que implica una de las tareas a desarrollar. El riesgo se valora o se evalúa con base a dos elementos: a. la probabilidad de la ocurrencia de la contingencia y b. la magnitud de la pérdida o del daño. La evaluación de riesgo es probablemente el paso más importante en un proceso de gestión de riesgos, y también el paso más difícil y con mayor posibilidad de cometer errores. Una vez que los riesgos han sido identificados y evaluados, los pasos subsiguientes para prevenir que ellos ocurran, protegerse contra ellos o mitigar sus consecuencias son mucho más previsibles. Una de las principales barreras en la administración de riesgos que la gerencia debe superar consiste en la estimación razonable de la posibilidad de que el riesgo considerado sea real y factible, la otra es la precisión en la valoración del impacto que implicaría el perjuicio para la entidad. La gestión de riesgo no solo debe determinar la presencia de estos factores (ocurrencia y valoración del riesgo), sino, lo más importante, establecer procedimientos de prevención de la aparición del primero de los factores, la posibilidad de ocurrencia del riesgo, es decir, la materialización de la contingencia, y en los casos ya consumados procurar la mitigación de su efecto. Recordemos que la responsabilidad de la prevención de errores (resultado del riesgo) es del gobierno de mando, la de la Gerencia (o su equivalente cuando el nivel máximo es identificado como gerencia, en pequeñas empresas) es la medición, tanto de la posibilidad de la ocurrencia como del daño que pueda causarlo. El auditor está para monitorear e informar de sus hallazgos relacionados con el riesgo. Existen riesgos que podrían significar daño importante, de gran volumen o de impacto, como la pérdida de credibilidad, pero de poca posibilidad de su ocurrencia y otros que son de alta posibilidad de su ocurrencia pero cuyo efecto genera reducido daño. Ambos deben ser considerados por el auditor con juicios críticos y procedimientos diferenciados.

17

En términos generales, el efecto de un riesgo significa pérdidas económicas o financieras, sin embargo no siempre es así, pues a veces no es posible cuantificarlos en recursos financieros o medirlos en medios económicos. Las pérdidas de atributos de los que goza la compañía en la comunidad, tales como la ética empresarial, el prestigio, la solvencia de conducta, la consideración de los entes superiores de control y otros patrimonios cualitativos de la entidad no se miden en dinero sino deben considerarse como daño a la moral. En el estudio y consideración inicialmente se debe descubrir cuáles son las fuentes principales de riesgo. Para ello se pueden emplear distintas metodologías como: sesiones de discusión e intercambio de ideas entre los distintos sectores o áreas operacionales, análisis de datos históricos obtenidos durante un periodo dado. Al auditor interno le interesan aquellos que puedan ser significativos para la entidad y que le puedan generar daños económicos o morales; no pretende abordar todos los riesgos posibles.

Mitigación de los posibles efectos de los riesgos operativos

Normalmente la organización acumula su expertise en prevenir actividades perniciosas contra su patrimonio. El esfuerzo en recursos económicos y humanos que dispone para la protección de sus activos le genera auto protección, aun sin que implique formalmente una administración de riesgos. Para evaluar los riesgos operativos el auditor debe tener en cuenta:

a. La probabilidad de suceso de un evento de riesgo, que consiste en el número de ocasiones en las que se detecta la presencia de hechos causales del riesgo.

b. El impacto que puedan causar los riesgos sobre la entidad.

La auditoría interna debe identificar y evaluar los riesgos importantes a nivel de la entidad como unidad económica y a nivel de actividades individuales, para lo cual identifica los riesgos a lo largo del proceso de obtención de datos y del entorno, incluyendo los controles relevantes que se relacionan con los riesgos, y al considerar las clases de transacciones que se realizan en cada sector (caja, tesorería, créditos, inventarios, deudas, ingresos, etc.), relaciona los riesgos identificados con lo que pueda estar mal a nivel de actividad rutinaria, considera si los riesgos son de una magnitud que pudiera dar como resultado un daño importante a nivel de la organización como un todo o a nivel de un sector determinado, considera la probabilidad de que los riesgos pudieran dar como resultado una pérdida económica o un daño moral a la empresa. Auditoría interna utiliza información reunida al desempeñar procedimientos de evaluación del riesgo, incluyendo la evidencia de auditoría obtenida al evaluar el diseño de los controles y determinar si se han implementado, usa la evaluación del riesgo para determinar si procede a una recomendación a la administración para tomar los recaudos para evitar la ocurrencia o si procede a informar a los niveles adecuados. Determina si los riesgos identificados se relacionan con clases específicas de actividades o si se relacionan de un modo más dominante con la compañía como un todo y potencialmente afectan a muchas actividades, contaminantes con varios sectores de la organización. La naturaleza de los riesgos que se originan de un entorno débil de control es tal que no es probable que se reduzcan a riesgos individuales específicos de actividades individuales, más bien, las debilidades, como falta de competencia de la administración, pueden tener un

18

efecto más dominante en la organización y pueden requerir una respuesta global por parte de la Gerencia. Al hacer evaluaciones de los riesgos, la auditoría interna puede identificar los controles con probabilidad de prevenir, o detectar y corregir, un error producido en una actividad específica, en este caso debe obtener un entendimiento de los controles y relacionarlos con actividades en el contexto de procesos y sistemas en que interactúan y valorar la vigencia y eficacia de tales controles; este procedimiento ayudará a la administración porque las actividades individuales de control a menudo no atienden por sí mismas a un riesgo. A menudo sólo las actividades múltiples de control, junto con otros elementos del control interno, serán suficientes para atender a un riesgo. La actitud de la Gerencia es fundamental en la interpretación de los posibles riesgos y de si los controles vinculantes serán suficientes para trabar el avance del riesgo en cuestión. En otros casos, algunas actividades de control pueden tener un efecto específico en una acción operativa incorporada a otras funciones multisectoriales, como cuando las actividades de control que establece la entidad para asegurar que el responsable elaborando el detalle de la cartera de clientes con sus respaldo documentario (pagarés) de manera correcta y completa al cierre del ejercicio y su conciliación con los registros contables se relacionan directamente con los principios de existencia e integridad para un rubro y uno de los sectores más propicios para la comisión de fraude. Los controles pueden estar directa o indirectamente relacionados con una actividad. Mientras más directa sea la relación, menos efectivo puede ser el control para prevenir, o detectar y corregir, los errores en dicha actividad, por ejemplo, que el cajero efectúe diariamente el arqueo de su propia caja solo aseguraría detectar faltante proveniente de algún error suyo, pero no será efectivo dicho control para detectar faltante cometido voluntariamente por el mismo cajero, en este supuesto, lo ideal sería que el arqueo sea realizado de modo sorpresivo por el auditor interno. En su evaluación, la auditoría interna debe considerar la naturaleza de los riesgos, en especial:

1. Si el riesgo es un riesgo de fraude.

2. La complejidad del asunto considerado como riesgo.

3. Si el riesgo involucra a operaciones importantes con autoridades o personal con cargos relevantes en la entidad.

4. El grado de subjetividad en la medición de información relacionada con el riesgo, especialmente la que implique una amplia gama de falta de certeza en la medición.

5. Si el riesgo implica transacciones importantes que estén fuera del curso normal del negocio para la entidad, o que de otro modo parezcan ser inusuales. Ejemplo, conceder créditos por montos superiores a los autorizados por el reglamento a las autoridades, personal superior o algún cliente que pueda considerarse como trato preferencial.

Los riesgos importantes a menudo se relacionan con transacciones importantes no rutinarias y con asuntos de juicio. Las transacciones no rutinarias son aquéllas que son inusuales, ya sea debido a su tamaño o naturaleza y que, por lo tanto, ocurren con poca frecuencia. Los asuntos de juicio pueden incluir el desarrollo de estimaciones financieras o no para las que hay una falta importante de certeza en la medición.

19

Los riesgos de errores importantes pueden ser mayores para riesgos relacionados con transacciones importantes no rutinarias que se originan de asuntos como los siguientes:

1. Mayor intervención de la gerencia para especificar el tratamiento considerado (apoyo tácito).

2. Mayor intervención manual para la compilación y procesamiento de datos.

3. Cálculos financieros complejos.

4. La naturaleza de las transacciones no rutinarias, que pueden dificultar a la entidad implementar controles efectivos sobre los riesgos.

Los riesgos de errores importantes pueden ser mayores para riesgos relacionados con asuntos de juicio que requieren el desarrollo de estimaciones complejas, que se originan en cuestiones como:

a. Proyecciones de ingresos futuros basadas en resultados posibles de inversiones.

b. La generación de recursos para repago de créditos sujetos a eventos políticos.

c. El juicio requerido puede ser subjetivo, complejo o requerir supuestos sobre los efectos de cuentas futuras.

Para riesgos importantes, al grado en que la Gerencia no lo haya hecho así, auditoría interna deberá evaluar el diseño de los controles relacionados de la entidad, incluyendo actividades relevantes de control, y determinar si se han implementado. Se requiere un entendimiento de los controles relacionados con los riesgos importantes para proporcionar al auditor información adecuada para desarrollar una evaluación. La administración debería estar enterada de los riesgos importantes; sin embargo, a menudo es menos probable que los riesgos relativos a asuntos no rutinarios o de juicio estén sujetos a controles de rutina. Por lo tanto, el entendimiento de auditoría interna de si la entidad ha diseñado e implementado controles para estos riesgos importantes incluye si, y cómo, responde la administración a los riesgos y si se han implementado actividades de control como revisión de supuestos de la administración de alto rango o expertos, procesos formales para estimaciones o aprobación del gobierno de mando, para atender a los riesgos. Por ejemplo, donde hay hechos fuera de serie como el recibo de notificación de un juicio legal importante, la consideración de la respuesta de la entidad incluirá asuntos como si se ha referido a los expertos apropiados (al asesor legal interno o externo), si se ha hecho una evaluación del efecto potencial y cómo se propone que las circunstancias se divulguen a los accionistas o dueños del negocio. Si la administración no ha respondido de manera apropiada mediante la implementación de controles sobre los riesgos importantes y si, como resultado, el auditor juzga que hay una debilidad importante en el control interno de la entidad, debe comunicar este hecho al gobierno de mando. Como parte de la evaluación del riesgo, el auditor deberá evaluar el diseño y determinar la implementación de los controles de la empresa, incluyendo las actividades relevantes de control, sobre los riesgos para los que, a su juicio, no es posible o factible reducir los riesgos de representación errores importantes. El entendimiento del sistema de información de la entidad hace posible identificar los riesgos de errores importantes que se relacionan directamente con el registro de clases

20

rutinarias de gestiones (como cobranza en caja), incluye los riesgos de procesamiento inexacto o incompleto. Ordinariamente, estos riesgos se relacionan con clases importantes de transacciones como ingreso, compras y recibos de efectivo o pagos en efectivo de la entidad o con las decisiones tomadas en el Consejo de Administración no transcritas en actas. Las características de las transacciones de negocios diarias de rutina a menudo permiten un procesamiento altamente automatizado con poca o ninguna intervención manual. En tales circunstancias, puede no ser suficiente la evaluación básica de los riesgos; pueden ser necesarias actitudes analíticas del auditor interno en encontrar medidas de valoración especiales; así en circunstancias donde una cantidad importante de la información de la entidad se inicia, registra, procesa o informa electrónicamente como en un sistema integrado, puede determinar que no es posible detectar fallas con solo analizar los reportes. En estos casos el auditor interno debe estar alerta sobre los siguientes indicativos de riesgos:

1. Si la compañía conduce su negocio utilizando TI para iniciar un proceso de gestión y conducirlo con base en decisiones generadas por el sistema no se produce ni mantiene ninguna otra documentación más que a través del sistema de TI.

2. La empresa que presta servicios a terceros vía medios electrónicos y usa TI para

crear un registro de los servicios dados, para iniciar y procesar sus facturaciones por los servicios y registrar automáticamente dichas cantidades en registros electrónicos que son parte del sistema que se usa para producir la información, base de las decisiones operativas.

12. PROPUESTAS Como resultado de nuestro trabajo y a modo de un humilde aporte al debate del área 2, a continuación presentamos nuestras propuestas consistentes en:

a. Mecanismos de detección de fraude

Los sistemas de control de la organización deben tener sus propios mecanismos para detectar el fraude, entre los cuales consideramos relevante el monitoreo de los controles a cargo de la dirección, evaluado periódicamente por auditoría interna.

La evaluación del cumplimiento de normas, leyes y regulaciones que afecta a la organización es fundamental como medida de prevención de fraude, pues el incumplimiento de las obligaciones formales de la entidad es un caldo de cultivo para la comisión de fraude, pues la persona con intención de cometer fraude tiene de su lado la amenaza de denunciar el incumplimiento como medida de presión para que la administración no tome represalia ni denuncie hechos de fraude por temor a recibir males perores.

El examen de pago de impuestos correcto, es otro de los procedimientos que puede ayudar evitar fraude. Pareciera que este planteamiento no tendría relación o justificación con el fraude, pero analicemos. Si la entidad evade impuesto, la persona con ánimo de cometer acto ilícito aprovecharía la práctica de evasión de impuesto que la organización tiene en práctica para apropiarse de lo ajeno, pues consideraría que en caso de ser descubierto, similar al caso anterior, amenazaría a la empresa a

21

denunciar ante la administración fiscal, con lo que, además de amedrentar, ganaría dinero porque en la mayoría de los países americanos existe compensación por la denuncia de evasión de impuesto.

El auditor interno debe disponer de técnicas que pueda aplicar en cualquier momento que le permitan conducir una auditoría eficaz y satisfactoria para detectar las inexactitudes materiales que sean indicativos de fraude, tales como el análisis, la observación, comparación de datos y hechos, inspección, indagación y confirmación de terceros. El auditor interno debe mantener un escepticismo profesional en todo momento, mantenerse en posición de máxima alerta y lo más importante una mente inquisitoria, atributos que deben ser acompañados con una conducta personal y ética intachables.

El auditor interno no debe confundir su rol, especialmente cuando se encuentra ante indicio relevante de hechos ilegales; no debe considerarse policía ni fiscal de delito económico, tampoco su relación de amistad debe sopesar en el momento de emitir su informe, en el sentido de ocultar datos para no dañar su amistad con personas afectadas por su hallazgo. La confianza que pueda transmitir por su integridad y ecuanimidad le ayudarán a que aquellos que cometieron incorrecciones no le acusen como causante de su desgracia sino a asumir su propia causa.

b. Plan de trabajo relacionado con el área de riesgo de fraude

Otra medida apropiada para detectar e incluso evitar fraude es un adecuado plan de trabajo del auditor interno, nuevamente aquí puede apoderarse de los señores delegados de esta conferencia la duda a que el tema sea apropiado para detectar fraude, vemos cómo un plan puede ser medida de detección:

b.1 Objetivos. El plan de trabajo debe definir los objetivos esperado en cada etapa, periodo, sectores a examinar, etc. están dado por el alcance de las labores a ejecutar, así como de su oportunidad. Si el auditor interno no es sistemático, organizado, pulcro, difícilmente puede hacer frente a los ladrones que tienen técnicas exquisitas para la comisión de los actos ilícitos. Siempre están año luz por adelantado a las técnicas de prevención de fraude. Es por ello que definir los objetivos en un plan de trabajo es fundamental.

b.2 Plan amplio. El trabajo del auditor interno es bien diferente al de un auditor independiente, en cuanto a la previsibilidad de los procedimientos a aplicar. Es frecuente que tanto la administración como otros sectores estén en conocimiento del alcance, la naturaleza y oportunidad de los procedimientos a aplicar por lo que la imprevisibilidad de los sectores a auditar es más complicado. Debido a esto, el plan de trabajo debe ser lo suficientemente amplio y flexible, no debe haber limitación de acceso a la información, a sectores o a personas para llevar a cabo los procedimientos que el auditor decida y cuando decida.

b.3 Enfoque. La forma en que el auditor enfrentará y procurará solución adecuada a los conflictos presentados también deben ser definidos en el plan. El enfoque de auditoría estará determinado por la naturaleza, complejidad y estructura de la entidad en que presta servicio el auditor interno, así como el grado de independencia de que goza en la organización, que implica si depende de la máxima autoridad de la empresa, su

22

enfoque puede abarcar a la más alta dirección y podrá planear procedimientos orientados a obtener evidencia comprobatoria a cualquier nivel, pero si depende de determinada gerencia su enfoque no podrá superar ese nivel. Es de nuestra opinión que el enfoque profesional que orientará su trabajo debe estar basado en riesgo de fraude. Este enfoque le permitirá ahorro y le redituará eficiencia en su trabajo. Por qué ahorro? Porque direccionará su trabajo hacia un objetivo identificado, y le generará beneficio porque su trabajo le permitirá reportar casos concretos para que quienes tienen gobierno de mando puedan tomar las decisiones que en cada caso correspondan.

b.4 Estrategia de auditoría. Definir una apropiada estrategia general ayudará al auditor interno a determinar riesgos y otros asuntos relevantes para su labor, además de prever los recursos materiales y humanos, incluyendo a expertos o especialistas que en algunas áreas precisaría, ejemplo, la posibilidad de requerir asesoramiento legal o impositivo, el apoyo de analista de sistemas entre otros. En esta etapa de la planeación también se incluirá las localidades a visitar, la oportunidad y el tamaño de muestra que querría abarcar, y lo más importante los posibles riesgos a cubrir. Por otra parte, en la estrategia también se incluirá la forma en que el propio auditor, o su departamento, administrará, dirigirá y monitoreará estos recursos a aplicar.

b.5 Comunicación. Este aspecto requerirá del auditor mucha discreción, deberá estudiar adecuadamente a quién o quiénes comunicarán su plan de examen de los riesgos de fraude.

b.6 Programa de auditoría para examinar riesgos de fraude. Además de los procedimientos típicos (pruebas analíticas, pruebas de controles y pruebas sustantivas) el auditor contemplará procedimientos adicionales que le permitan dar respuestas adecuadas a los riesgos de fraude evaluados. Entre estos procedimientos incluirán la entrevista, simulación de compras, infiltración, grabación secreta, concurso de especialistas, etc. Estos procedimientos no debe divulgar el auditor a fin de disminuir la posibilidad de su conocimiento de parte de las personas o sectores a ser evaluados como sujetos de posibles actores de fraude.

b.7 Resultados. El auditor deberá definir en un plan cómo, cuándo y a quién comunicará los resultados.

b.8 Aprobación del plan. El documento debe contar con la aprobación del más alto nivel de autoridad de la organización, conforme a la Declaración (SIAS) 12, la aprobación del plan deber ser por escrito de parte del Director de Auditoría o por quién el designe, antes de iniciarse el trabajo de auditoría.

La mejor medida preventiva de fraude es la buena práctica administrativa. 13. CONCLUSIONES

23

Los auditores internos juegan un papel integral para combatir el fraude en sus respectivas organizaciones, responsabilidad que hace que deben estar bien preparados.

Los auditores internos tienen la responsabilidad de coadyuvar en la prevención del fraude a través de una evaluación constante de los sistemas de control interno de las entidades y la presentación a la alta gerencia de las recomendaciones necesarias para mitigar los efectos negativos que pudieran derivarse de las debilidades de estos sistemas.

Las evidencias demuestran que las organizaciones se sienten más seguras cuando cuentan con auditores internos con amplios conocimientos y la experiencia sobre la prevención a los riesgos de fraude.

El auditor debe informar sobre alertas de fraude cuando realizan sus auditorías normales y la identificación además de aplicar metodologías y herramientas tecnológicas existentes para analizar identificar eventos de fraude.

Las empresas en la actualidad deben establecer adecuados controles internos a fin de prevenir el riesgo del fraude externo e interno y que requiere la participación de todos los trabajadores de la organización. La auditoría interna avanzó en la realización de su trabajo con un enfoque de riesgos y es una respuesta al fraude en las empresas e instituciones. Las empresas deben gestionar (identificar, medir, monitorear, controlar, mitigar y divulgar) todos sus riesgos a fin de minimizar el riesgo de no alcanzar sus objetivos. El sistema informático debe ser una herramienta que coadyuve a los objetivos de negocio así como a mejorar el sistema de control interno. El Auditor interno, debe contar con una buena preparación y estar actualizado con las técnicas, para enfrentar el fraude.

Se abre una importante etapa en nuestra profesión en la prevención y control de riego del fraude, el profesional en auditoria tiene un rol fundamental a cumplir, para lo cual deberá capacitarse cada vez mejor para poder hacer frente a este nuevo desafío de la auditoria interna.

Estamos persuadidos de que las propuestas planteadas en este trabajo interamericano podrán asistir a los colegas como una herramienta más en sus labores diarias y podrán jerarquizar aún más la práctica de la auditoría interna, muy necesaria en los tiempos actuales, por ello, las medidas de detección de fraude acompañadas de un plan de auditoría para el área de fraude puede posicionar al auditor interno como un profesional respetado más que temido.

24

14. GUÍA DE DISCUSIÓN

Los auditores internos juegan un papel integral para combatir el fraude en sus respectivas organizaciones, responsabilidad que hace que deben estar bien preparados, tienen la responsabilidad de coadyuvar en la prevención del fraude a través de una evaluación constante de los sistemas de control interno de las entidades y la presentación a la alta gerencia de las recomendaciones necesarias para mitigar los efectos negativos que pudieran derivarse de las debilidades de estos sistemas.

Las evidencias demuestran que las organizaciones se sienten más seguras cuando cuentan con auditores internos con amplios conocimientos y la experiencia sobre la prevención a los riesgos de fraude.

Los puntos de discusión: ¿Que se hace para evitar innumerables casos de fraude que tienen impactos en las empresas?, que cada vez adquiere mayor fuerza debido a la mayor complejidad de los negocios, la globalización, al uso de tecnología. ¿La mayor cantidad de fraudes son realizados por los mismos funcionarios de las empresas y son descubiertos por casualidad?

¿El fraude hecho ilícito, ocasionado por la acción u omisión, realizado por trabajadores o ajenos a la empresa, es con el único objetivo de un beneficio propio y en detrimento de la institución? ¿El sistema de control interno forma parte integrante de los sistemas de negocio, contabilidad, financieros, planeación, información y operaciones de la empresa?. ¿Corresponde al Órgano directivo y a la alta gerencia, la responsabilidad de establecer, mantener y perfeccionar el sistema de control interno? ¿Para el éxito del control interno en que forma los valores éticos son comunicados y fortalecidos? ¿La participación de la alta administración es clave para obtener resultados positivos, ya que su ejemplo es imitado por los dependientes?. ¿Que cuidados se deben tener con factores que pueden inducir a conductas adversas a los valores éticos, debido a controles débiles o inexistentes?

¿El auditor debe tomar en cuenta ciertas alertas que le permitan identificar posibles fraudes, la negativa de trabajadores a dar acceso a la documentación, el extravió de documentación, Arqueos de caja perfectos que nunca existen sobrantes ni faltantes?

BIBLIOGRAFIA

25

Marco para la práctica profesional de la auditoría interna, dic. 2006 Instituto de Auditores Interna, Capitulo Bolivia

Control Interno tercera edición, Ing. Milton A. Maldonado E., 1996

Trabajos Interamericanos XXI Conferencia Interamericana de Contabilidad, Cancún, México 1995

NIA - Normas Internacionales de Auditoría - IFAC

SAS – Declaraciones sobre Auditoría SAS – Instituto de Contadores Públicos Certificados (AICP)

GAFI – Normas Internacionales sobre la lucha contra el lavado de dinero y el financiamiento del terrorismo (GRAFI SUD) 2012.

SAS No. 99, Consideración de Fraude en una Auditoria de Estados Financieros, establece los estándares y proporciona lineamientos a los auditores para cumplir con responsabilidad

Ley Sarbanes Oxley Act Secc. 301, responsabilidad del Gerente General y Gerente Financiero, fija las obligaciones de comunicar a los auditores y al Comité de Auditoria toda defraudación.

SIAS – Statements on Internal Auditing Standards. Normas para la Práctica Profesional de la Auditoría Interna. Traducción Instituto Mexicano de Auditores Interno, A.C.

DEVACA Pavón, Angel. Auditoría Interna. Un elemento de control. Tercera edición. Año 2006. Gráfico Imperio SRL

Paginas

www.bcb.gov.bo

www.finning.com.bo

www.gao.gov

www.cpaindepende.org

www.sec.gov

26

RESUMEN HOJA DE VIDA DE JUAN FONSECA

Licenciado en Auditoria y/o Contador Público Autorizado, obtenido en la Universidad Mayor de San Andrés, La Paz, Maestría en Contaduría Pública (egresado) de la Universidad Mayor de San Andrés. Past Presidente del Colegio de Auditores de La Paz, Miembro del Instituto de Auditores

Internos, Capitulo Bolivia.

Participante de Congresos Nacionales e Internacionales de la AIC y Otras Instituciones,

Socio Principal de la empresa Servicio Interdisciplinarios de Consultoría “Seinco Ltda”,

Gerente General con mas de 25 años de ejercicio profesional prestando servicio a

empresas nacionales e internacionales.