Enero 2016 Boletín de Investigación Comisión de Desarrollo SE Auditoría Interna - Sur Núm.

34

Auditoría interna y el fraude

 ÍNDICE PÁGINA

I. Introducción 3
2014 – 2016
II. El fraude en las empresas 3
C.P.C. Jorge Alberto Téllez Guillén
Presidente
III. La líneas de defensa frente
C.P.C. Ricardo Paullada Nevárez
Vicepresidente de Desarrollo y Capacitación al fraude 5
Profesional

L.C.P. Luis Bernardo Madrigal Hinojosa

IV. Construcción a partir
Director Ejecutivo de la experiencia 9

Comisión de Desarrollo SE Auditoría Interna – Sur V. Conclusiones 10

Presidente
C.P.C. Agustín Francisco Albarrán Carranza

Vicepresidente
C.P.C. Adolfo Ramírez Fernández del Castillo

Secretario
C.P. Salvador Cruz Hernández

Integrantes

C.P. Juan Fernando Calvillo Armendariz

C.P. Gerardo Díaz Valdez
C.P.C. Jaime Ignacio García Jiménez
C.P. Mario Enrique Mota Sevchovicius
C.P. Gabriel Sánchez Curiel
C.P. Mario Sánchez Martínez
C.P. José de Jesús Sandoval Muñoz
C.P. Fernando Soto Barreto
L.A.F. Adolfo Tanda Aguayo
C.P.C. Fernando Pérez Mendoza
L.C.I. Israel Pichardo Camargo
C.P. Arturo Salvador Reyes Figueroa
C.P. Antonio Salas Hernández
C.P. Omar Cruz Fuentes
C.P. Miguel Ángel Castillo Bautista
C.P. Antonio Riverón Sarmiento
Mtro. Juan Ernesto Gómez Enciso

Gerencia de Comunicación y Diseño

Comisión de Desarrollo Sector Empresa Auditoría

Interna - Sur del Colegio, año III, núm. 34, enero de
2016. Boletín Informativo edición e impresión por el
Colegio de Contadores Públicos de México, A.C.
Responsables de la Edición: Alejandra Mendoza
Espinosa, Lic. Asiria Olivera Calvo, Lic. Aldo Plazola
González. Diseño: Adriana Huescas Hernández.
Bosque de Tabachines Núm. 44, Fracc. Bosques de las
Lomas, Deleg. Miguel Hidalgo 11700. El contenido de
los artículos firmados es responsabilidad del autor;
prohibida la reproducción total o parcial, sin previa
autorización.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Enero de 2016

2
 Auditoría interna y el fraude

I. Introducción

En un sentido general, el fraude es un engaño cometido de manera consciente, buscando

el beneficio individual, en perjuicio de terceras personas físicas o morales. En las
entidades económicas dicho engaño implica disponer de efectivo, títulos de crédito,
mercancías y otros activos, modificar registros contables, alterar archivos electrónicos y
falsificar información documental, entre otros actos similares.

Prevenir el fraude es parte de la administración integral de los riesgos a que están

expuestas las organizaciones, esto es, el proceso que combina recursos humanos,
intelectuales, financieros, materiales y tecnológicos, para identificar, medir, analizar y
monitorear eventos que pueden desembocar en daños al patrimonio de la empresa e
impedir el logro de sus objetivos.

La prevención y detección del fraude es responsabilidad de la administración de la

entidad e implica diseñar e implantar mecanismos adecuados de control interno en todas
las áreas de la empresa, incluyendo las acciones de toda índole que deben llevarse a
cabo cuando ocurre un acto indebido como éste.

A su vez, Auditoría Interna debe agregar valor a la entidad, sin comprometer su

independencia, interactuando con el grupo directivo para opinar con objetividad sobre el
proceso de administración de riesgos, impulsar proactivamente las mejoras y las
adecuaciones que éste requiera y, en los casos de fraude, apoyar a la empresa en las
investigaciones y análisis propios de su competencia.

De acuerdo con lo anterior, este boletín incluye consideraciones generales sobre el

fraude y destaca de manera especial las responsabilidades y la participación que debe
tener Auditoría Interna cuando se presenta un evento adverso de esta naturaleza.

II. El fraude en las empresas

La administración de los recursos humanos ha desarrollado mecanismos eficaces para

reclutar y seleccionar personal. De acuerdo con las responsabilidades y funciones de
cada puesto, se establecen requisitos sobre el perfil, preparación, experiencia, aptitudes
y valores morales de los candidatos; los estudios socioeconómicos, exámenes
psicométricos y pruebas de toda índole se aplican para identificar las mejores opciones

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Enero de 2016

3
 posibles. Sin embargo, el fraude sigue ocurriendo en modalidades que afectan
patrimonialmente desde el efectivo, las cuentas por cobrar, las mercancías y los activos
fijos, hasta la información operativa y financiera que se encuentra en los archivos
documentales y electrónicos de la empresa.

En dicho escenario existe un precedente que debe considerar Auditoría Interna para
optimizar sus funciones: el “diamante del fraude”, concepto que describe cuatro factores
propios de las personas que cometen un acto de esta índole y aporta información valiosa
para mejorar los mecanismos de reclutamiento y selección de personal, ya que los
buenos antecedentes académicos, la riqueza de la experiencia profesional y los
resultados satisfactorios de las pruebas psicológicas no siempre garantizan la
autenticidad de los valores morales de un individuo. Los factores del diamante del fraude
son los siguientes:

1. Motivación
2. Oportunidad
3. Racionalización
4. Capacidad

Motivación. Es el estímulo, incentivo o presión de cualquier naturaleza que impulsa a un

individuo hacia el fraude: saldar deudas personales, obtener el pago de un bono ejecutivo
en función a resultados, conservar el puesto cumpliendo cuotas mínimas de ventas, y
otros conceptos similares. Al quedar fuera del alcance de un empleado o un ejecutivo,
dichos propósitos amenazan su estabilidad y pueden conducirlo a cometer todos los
actos indebidos que considere necesarios.

Oportunidad. Quien comete fraude percibe que existe un entorno propicio para ello. Los
insuficientes o inexistentes mecanismos de control interno y de seguridad operativa para
prevenir, disuadir, mitigar o detectar oportunamente actos irregulares o atípicos, más la
posibilidad de coludirse, son factores de alto riesgo que alientan a potenciales
defraudadores.

Racionalización. Quien está motivado y encuentra la oportunidad para cometer fraude,

está plenamente seguro de tener éxito y de que no será descubierto; de lo contrario, no
actuaría. Además, está convencido de que sus actos son plenamente justificados, pues
maneja una escala de valores distorsionada y totalmente opuesta a la de la empresa.
Dicha racionalización es una excusa que puede originarse en la insatisfacción por su
sueldo, la falta de reconocimiento económico por supuestos méritos individuales y la

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Enero de 2016

4
 comparación prejuiciosa de sus cargas de trabajo con las de sus pares, entre otros
factores similares que con frecuencia corresponden a una baja autoestima.

Capacidad. La persona que decide cometer un fraude ha ocupado un puesto en la

empresa durante el tiempo suficiente para conocer profundamente sus procesos y los
controles internos respectivos. En el marco de su racionalización se aprovecha de los
puntos vulnerables que ha identificado y utiliza su experiencia y conocimientos para lograr
sus propósitos. En este vértice del diamante del fraude es frecuente encontrar personas
con un alto coeficiente de inteligencia y sólida preparación profesional.

Considerando el entorno a que pertenece la entidad, el perfil de su estructura y la

dependencia de sus controles internos en los recursos humanos, ciertos tipos de fraude
muestran una recurrencia significativa en el interior de las empresas. En forma
enunciativa y no limitativa se mencionan a continuación algunos de ellos:

a) Información financiera fraudulenta: Es consecuencia de manipulaciones indebidas en los

aplicativos del sistema de contabilidad, que implican violaciones a las normas de información
financiera y producen cifras distorsionadas cuya lectura provoca errores en los usuarios.
Ejemplos de ello son: ventas y gastos de operación ficticios; valuaciones incorrectas de activos
fijos y circulantes; obligaciones y contingencias no reveladas, entre otros casos similares.

b) Malversación de recursos: Invertir o utilizar ilícitamente activos de la empresa para propósitos

distintos a los que están destinados. El robo de efectivo, mercancías, documentos mercantiles,
archivos con información estratégica, así como el empleo de equipos de transporte para fines
personales, ilustran esta clase de fraudes.

c) Actos de corrupción: Abuso, mal uso o exceso en el ejercicio de facultades y funciones para
obtener un beneficio personal en perjuicio de los recursos e intereses de la empresa. Este es
uno de los tipos más amplios de fraude, que comprende casos como el favorecer a un cliente
o a un proveedor, llevar a cabo transacciones con partes relacionadas para concederles
beneficios ilícitos, todo ello a cambio de privilegios individuales, dinero u otros recursos.

Otro punto a considerar es el denominado “fraude externo”, que corresponde a manejos

ilícitos efectuados por personas que no trabajan en la empresa ni tienen vínculos de
negocios con ella. Quienes acceden a los recursos de la entidad para disponer
ilegalmente de ellos, se aprovechan de la falta de mecanismos de control interno o de
insuficientes medidas de seguridad tanto física como informática y frecuentemente
utilizan el apoyo de algún empleado o ejecutivo de la empresa para lograr sus propósitos.

III. Las líneas de defensa frente al fraude

Considerando los riesgos globales en el entorno actual de los negocios, entre ellos el
relativo al fraude, The Institute of Internal Auditors describe el modelo estructural para
enfrentarlos, denominado “Las tres líneas de defensa”, cuyos fundamentos fortalecen las
prácticas de un buen gobierno corporativo, pues marcan el límite de las

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Enero de 2016

5
 responsabilidades que deben asumir las áreas que tienen a su cargo la vida de la
empresa, así como las que corresponden al Consejo de Administración y a Auditoría
Interna. Dichas líneas son:

1. Primera línea de defensa: Gestión operativa y ejercicio del control interno

Corresponde a los gerentes del negocio, que son dueños del control y administran los riesgos.
Se encarga del mantenimiento efectivo del control interno y de ejecutar procedimientos frente
a los riesgos cotidianos; los identifica, evalúa, mitiga y controla; orienta el desarrollo e
implantación de políticas, normas y sistemas y se asegura de que las actividades se lleven a
cabo y sean compatibles con los objetivos de la empresa También es responsable de implantar
acciones correctivas para optimizar los procesos y eliminar las deficiencias de control.

2. Segunda línea de defensa: Apoyo a la administración de riesgos; diseño e implantación del

control interno.

Representada por las áreas a cargo de la supervisión operativa, tales como contraloría,
recursos humanos, seguridad, calidad y otras similares, que facilitan y corroboran la
implantación de las prácticas de gestión de riesgos emitidas por las gerencias operativas y les
ayudan a distribuir información adecuada sobre ellas hacia los cuatro puntos cardinales de la
organización.

3. Tercera línea de defensa: La función de auditoría interna

Se concentra en cerciorarse de que la primera y segunda líneas de defensa cumplan correcta

y oportunamente con sus responsabilidades; aporta aseguramiento sobre la eficacia del
gobierno corporativo, previene, identifica y evalúa la gestión de riesgos, tanto en el diseño
como en el cumplimiento del control interno e informa oportunamente al consejo de
administración.

En el marco de las tres líneas de defensa, es necesario señalar que la responsabilidad

de disuadir, prevenir y detectar un fraude, así como de las acciones administrativas y
legales que derivan de ello, no corresponden a Auditoría Interna sino a los propietarios
del control y a la administración de la empresa.

Reacción de la empresa ante un fraude

Las estructuras de control interno y su alianza con las tres líneas de defensa no son
infalibles. El factor humano es decisivo y cuando éste no cumple fielmente con sus
responsabilidades o decide actuar de manera indebida, suele ocurrir un fraude en
cualquiera de sus modalidades. En estos casos, es recomendable que la administración
de la empresa lleve a cabo las acciones en la secuencia descrita a continuación:

1. Formación de un Comité.

2. Definición de acciones respecto al fraude.

3. Construcción a partir de la experiencia.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Enero de 2016

6
 Los objetivos que dichas acciones implican, tienen dimensiones sujetas a la naturaleza y
características del fraude, el momento en que ha sido detectado y, desde luego, respecto
al giro de la empresa. Los puntos básicos son:

Formación de un Comité

Tiene el propósito de dimensionar el fraude, así como definir y coordinar todas las
acciones que sean necesarias respecto a su origen, efectos, sanciones y
aprovechamiento de la experiencia que implica. Está integrado por los funcionarios a
cargo de las áreas involucradas en el fraude; entre ellas la que ha recibido su impacto
directo.

Considerando la naturaleza de sus responsabilidades y funciones, dichas áreas son:

Recursos Humanos, Finanzas, Jurídico y Auditoría Interna que estarán presentes en
todos los casos; Dirección General, si el fraude es significativo y el área de Sistemas de
Cómputo si las implicaciones lo ameritan.

Aunque las circunstancias respecto al fraude son determinantes en la estructura de este

Comité, tomando en cuenta que se trata de un acto ilícito, es recomendable que el
liderazgo corresponda al área jurídica con el apoyo directo de recursos humanos.

Puesto que Auditoría Interna conoce la estructura de la empresa y está familiarizada con
sus fortalezas y debilidades operativas, su participación en el comité contribuye a definir
el origen del fraude y las acciones institucionales que procedan.

Los principales postulados del Comité son: cero tolerancia respecto a los responsables
del fraude, la aplicación severa de todas las acciones necesarias conforme a la ley y el
que la restitución del monto defraudado no implica que la empresa esté dispuesta a
suspender dichas acciones. Otorgar el perdón bajo consideraciones sobre la cuantía del
fraude o los buenos antecedentes laborales de los involucrados, debilita los controles
internos disuasivos y alienta a potenciales perpetradores.

Definición de acciones respecto al fraude

El directivo en cuya área ha ocurrido el fraude debe presentar una descripción objetiva y
documentada sobre sus características, controles internos omitidos, monto del daño
patrimonial causado e identidad de la persona o personas que lo han llevado a cabo. Los
miembros del comité, incluyendo a Auditoría Interna, aportan puntos de vista sobre los
controles internos omitidos, implicaciones del fraude, efectos colaterales y posible
extensión o duración de ellos.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Enero de 2016

7
 Por otra parte, se presentan casos de indicios de fraude en que se delega la
responsabilidad de desarrollar la investigación a Auditoría Interna, pues dichos indicios
no bastan para identificar a los involucrados y, al permitir que el área afectada se
investigue a sí misma, se corre el riesgo de encubrimiento o destrucción de evidencias.

Asegurar la confidencialidad en torno al fraude es factor indispensable a fin de evitar

interferencias sobre la oportunidad y los plazos que establecen las leyes para las
acciones penales y laborales que serán emprendidas. Las características y alcance de
ellas deben definirse por el área jurídica con la participación de recursos humanos.

Respecto al inicio de dichas acciones penales, la evidencia documental debe ser

suficiente y contundente para demostrar el daño patrimonial causado a la empresa. En
este sentido, es práctica frecuente que los miembros del comité ya mencionado, sugieran
la intervención de Auditoría Interna. Al respecto existen dos opciones:

a) Recurrir a un perito contable independiente que autentifique la evidencia documental

disponible, emita un dictamen sobre el daño patrimonial causado a la empresa y lo ratifique
en su momento frente a las autoridades ministeriales correspondientes.

b) Asignar dicha autentificación documental a Auditoría Interna para que agilice el trabajo y
contratar al perito contable independiente a fin de que redacte el dictamen con apoyo del
auditor y lleve a cabo la comparecencia y ratificación ante las autoridades ministeriales.

En todo caso, es necesario que Auditoría Interna se involucre en el proceso de autentificar

la evidencia documental sobre el fraude, para que identifique con precisión las fallas o
deficiencias de los controles internos que lo hicieron posible.

Otra vertiente en la que Auditoría Interna debe participar corresponde a los trámites ante
las aseguradoras y afianzadoras cuyos contratos las obligan al pago del quebranto
derivado del fraude. Las indagaciones que dichas compañías llevan a cabo no sólo
incluyen la evidencia documental sobre el fraude; también abarcan la evaluación de los
sistemas y mecanismos de control interno respectivos, para lo cual la presencia y apoyo
de Auditoría Interna al área que tramita el pago ante dichas instituciones es
indispensable.

Cuando se pide a Auditoría Interna un reporte derivado de su intervención sobre el origen

y efectos de un fraude, es necesario que la redacción sea rigurosamente objetiva, limitada
a describir hechos de su competencia profesional y contundentemente sustentados por
la documentación respectiva, evitando con especial cuidado utilizar términos legales
exclusivos de los abogados.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Enero de 2016

8
 Si existe la amenaza de que el origen del fraude se replique en otras personas o áreas
pares de la empresa, es práctica frecuente que Auditoría Interna lleve a cabo un examen
dirigido a detectar y cuantificar nuevos casos, incluyendo la identificación de los
responsables. Sin embargo, las líneas de defensa también deben asumir su obligación
de hacer efectivo el control interno; cerciorarse de que la autorización y monitoreo de las
transacciones se lleven a cabo; supervisar los segmentos de la operación que lo
requieran; verificar la coincidencia de datos documentales y unidades físicas, entre otras
funciones similares. Bajo este entorno la disuasión se fortalece y, de existir, el fraude no
permanece oculto.

IV. Construcción a partir de la experiencia

Para fortalecer los controles internos disuasivos, el despido y otras sanciones a los
responsables del fraude, debe comunicarse al personal de la empresa. Dicha
comunicación debe ser institucional, preparada por Recursos Humanos y aprobada por
el área jurídica, a fin de que incluya únicamente términos permitidos por la ley para
salvaguardar la reputación de los involucrados. El mensaje debe ser claro en el sentido
de que la empresa no tolera actos de corrupción, cualquiera que sea el monto de ellos.

Concluidas las actividades originadas por el fraude, el comité debe acordar y establecer
compromisos formales sobre las acciones remediales que son necesarias para prevenir
y evitar nuevos casos. Dentro de dichas acciones puede mencionarse:

a) Institucionalizar las fuentes de reclutamiento de personal.

b) Modernizar los mecanismos de selección de candidatos.

c) Implantar declaraciones firmadas por cada empleado, respecto al compromiso de cumplir los
controles internos a su cargo.

d) Efectuar estudios socioeconómicos anuales a empleados y ejecutivos cuyas funciones los

exponen a conflictos de intereses.

e) Reducir los plazos para el cambio de claves individuales de acceso al sistema de cómputo.

f) Ampliar la cobertura de equipos de televisión en circuito cerrado.

g) Cambiar y ajustar los sistemas, procedimientos y métodos, en los casos necesarios para
mitigar o eliminar puntos débiles o susceptibles a malos manejos.

Los acuerdos constan en una minuta que incluye nombres y puestos de los responsables
de cumplirlos, así como clara mención de los plazos respectivos. El seguimiento está a
cargo del titular del área donde ocurrió el fraude, quien debe informar oportunamente a
los miembros del comité, incluyendo por supuesto a Auditoría interna.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Enero de 2016

9
 En el marco de la experiencia derivada del fraude, Auditoría Interna cuenta con nuevas
oportunidades para enriquecer la orientación de sus servicios: autentificar las acciones
remediales aprobadas por el comité; evaluar la capacidad de crecimiento de la empresa
a partir de eventos adversos; y, desde luego, incluir al área que protagonizó el fraude en
los referentes preliminares para su plan anual de auditoría basado en riesgos.

V. Conclusiones

La administración de los riesgos que cotidianamente enfrentan las empresas es una de

las responsabilidades más importantes de la alta gerencia. Cada una de las áreas en la
entidad es depositaria de los recursos necesarios para lograr sus objetivos y debe
utilizarlos con esmero a fin de obtener de ellos el máximo beneficio posible. En este
sentido, mitigar, prevenir y detectar un fraude son funciones que deben asumir los
propietarios del control.

Así como la gerencia de almacenes es responsable de evitar que las mercancías entren
o salgan indebidamente del área a su cargo y, en su caso, de investigar un faltante en el
inventario hasta lograr su absoluta aclaración, todas las áreas de la empresa enfrentan
un compromiso de las mismas dimensiones y alcances respecto a sus tramos de control;
son las propietarias de éste.

De acuerdo con lo anterior, cuando ocurre un fraude, la administración de la empresa

debe trabajar en equipo haciendo todos los cuestionamientos necesarios hasta aclarar
plenamente su origen e identificar a los responsables para que asuman las
consecuencias que les correspondan.

Es en los cuestionamientos a los dueños del control interno cuyas áreas protagonizan un
fraude, donde debe actuar Auditoría Interna aportando su capacidad profesional y el
conocimiento que tiene sobre la estructura de la empresa. El alcance y enfoque de dicha
actuación han quedado descritos en el contexto de este documento.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Enero de 2016

10