Guía Didáctica: Maestría en Auditoría - UTPL
Document Details
Uploaded by CureAllSakura
UTPL
2024
Valero Vélez Wilson David
Tags
Summary
This is a curriculum guide for a Master's in Auditing program at UTPL. It covers topics such as the role of internal audit, risk management, and fraud in financial statements.
Full Transcript
Maestría en Auditoría con mención en Gestión del Riesgo de Fraude Financiero y Auditoría Forense Módulo. Auditoría interna y fraudes Guía didáctica 1 Facultad de Ciencias Económicas y Empresariales Maestría en Auditoría con mención en Gestión del Riesgo de Fraude Financiero y Auditoría Foren...
Maestría en Auditoría con mención en Gestión del Riesgo de Fraude Financiero y Auditoría Forense Módulo. Auditoría interna y fraudes Guía didáctica 1 Facultad de Ciencias Económicas y Empresariales Maestría en Auditoría con mención en Gestión del Riesgo de Fraude Financiero y Auditoría Forense Módulo. Auditoría interna y fraudes Guía didáctica Ciclo Bimestre 1 1 Autor: Valero Vélez Wilson David CONT_7046 utpl.edu.ec/maestrias 2 Maestría en Auditoría con mención en Gestión del Riesgo de Fraude Financiero y Auditoría Forense Módulo. Auditoría interna y fraudes Guía didáctica Valero Vélez Wilson David Diagramación y diseño digital: Ediloja Cía. Ltda. San Cayetano Alto s/n www.ediloja.com.ec [email protected] Loja-Ecuador ISBN digital: Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0) Usted acepta y acuerda estar obligado por los términos y condiciones de esta Licencia, por lo que, si existe el incumplimiento de algunas de estas condiciones, no se autoriza el uso de ningún contenido. Los contenidos de este trabajo están sujetos a una licencia internacional Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 (CC BY-NC-SA 4.0). Usted es libre de Compartir — copiar y redistribuir el material en cualquier medio o formato. Adaptar — remezclar, transformar y construir a partir del material citando la fuente, bajo los siguientes términos: Reconocimiento- debe dar crédito de manera adecuada, brindar un enlace a la licencia, e indicar si se han realizado cambios. Puede hacerlo en cualquier forma razonable, pero no de forma tal que sugiera que usted o su uso tienen el apoyo de la licenciante. No Comercial-no puede hacer uso del material con propósitos comerciales. Compartir igual-Si remezcla, transforma o crea a partir del material, debe distribuir su contribución bajo la misma licencia del original. No puede aplicar términos legales ni medidas tecnológicas que restrinjan legalmente a otras a hacer cualquier uso permitido por la licencia. https://creativecommons.org/licenses/by-nc-sa/4.0/ Abril, 2024 3 Índice Semana 1............................................................................... 9 Unidad 1. Misión, características y marco normativo de la auditoría interna............................................................. 9 Definición, misión, principios de la auditoría interna............. 9 Código y principios éticos para el auditor interno................. 11 Normas Internacionales para la práctica profesional de auditoría internas.................................................................. 14 Tipos de normas (Atributos y desempeño)........................... 18 Propósito, autoridad y responsabilidad................................. 19 Aptitud y cuidado profesional............................................... 20 Diferencia entre auditoría interna y auditoría externa........... 23 Semana 2............................................................................... 25 Unidad 2. Gobierno, gestión de riesgos y control interno.... 25 Modelo de gobierno de las 3 líneas del IIA........................... 25 Concepto de control interno y tipos de controles................. 30 Marcos de control interno, gestión de riesgos y fraude........ 33 Responsabilidades del auditor interno en el sistema de control interno....................................................................... 42 Semana 3............................................................................... 46 Unidad 3. Evaluación del riesgo de fraude desde la perspectiva de la auditoría interna (Parte 1)....................... 46 Responsabilidades del consejo de administración, alta 4 dirección y auditoría interna frente al riesgo de fraude......... 46 Evaluación de la gestión del riesgo de fraude a nivel organizacional....................................................................... 52 Semana 4............................................................................... 64 Unidad 3. Evaluación del riesgo de fraude desde la perspectiva de la auditoría interna (Parte 2)....................... 64 Evaluación del riesgo de fraude en los trabajos de auditoría interna.................................................................... 64 Evaluación de la segregación de funciones.......................... 82 Segregación de funciones en procesos claves..................... 86 Segregación de funciones en procesos claves (sistema financiero)............................................................................. 90 Semana 5............................................................................... 94 Unidad 4. Evaluación de riesgos y controles en funciones claves del negocio: compras y cuentas por pagar.................................................................................. 94 Introducción.......................................................................... 94 Factores de riesgos de fraude en el proceso de compras y cuentas por pagar............................................................... 97 Evaluación de controles en los procesos de compras y cuentas por pagar................................................................. 102 Semana 6............................................................................... 106 Unidad 5. Evaluación de riesgos y controles en funciones claves del negocio: Ventas y cuentas por cobrar. 106 Factores de riesgos de fraude en el proceso de ventas y 5 cuentas por cobrar................................................................ 106 Evaluación de controles en los procesos de ventas y cuentas por cobrar................................................................ 110 Semana 7............................................................................... 113 Unidad 6. Evaluación de riesgos y controles en funciones claves del negocio: Tesorería............................. 113 Factores de riesgos de fraude en el proceso de tesorería.... 113 Evaluación de riesgos y controles en funciones claves del negocio: Tesorería........................................................... 116 6 Índice de figuras Figura 1 Marco internacional para la práctica de auditoría interna.................................................................................. 15 Figura 2 Mapeo del MIIPP a las nuevas Normas Globales........ 18 Figura 3 El modelo de las tres líneas del IIA................................. 27 Figura 4 Resumen Coso ERM 2017 – Evaluación de riesgos empresariales..................................................................... 38 Figura 5 Mapa de calor..................................................................... 78 7 Índice de tablas Tabla 1 Diferencias claves entre auditoría interna y externa.. 25 Tabla 2 Componentes de control interno de COSO y principios de gestión del riesgo de fraude: Guía para auditores internos................................................... 59 Tabla 3 Evaluación del riesgo de fraude a nivel de organización de la actividad de auditoría interna....... 63 Tabla 4 Áreas participantes en lluvia de ideas.......................... 74 Tabla 5 Lluvia de ideas de escenario de fraudes...................... 75 Tabla 6 Matriz de Riesgo de Fraude para cuentas por pagar. 77 Tabla 7 Riesgos de fraude significativos.................................... 80 Tabla 8 Riesgos de fraude y matriz de cuentas por pagar..... 82 Tabla 9 Matriz de impacto y probabilidad.................................. 98 Tabla 10 Factores de riesgos de fraude: ciclo de compras y cuentas por pagar............................................................ 99 Tabla 11 Riesgo de fraude: ciclo de ventas y cuentas por cobrar...................................................................................108 Tabla 12 Factores de riesgos de fraude: ciclo de tesorería................................................................................................. 115 8 Semanas 1 2 3 4 5 6 7 Semana 1 Unidad 1. Misión, características y marco normativo de la auditoría interna Definición, misión, principios de la auditoría interna Estimado estudiante, bienvenido al estudio de la presente unidad, con la que iniciaremos comprendiendo las responsabilidades, misión, características y el marco normativo sobre el cual se estructura y ejecuta la función de la auditoría interna. Lo invito a revisar el material para cumplir con el proceso de enseñanza- aprendizaje, así como apoyarse en los recursos que a lo largo de este documento se plantearán. Definición, misión, principios de la auditoría interna El Instituto de Auditores Internos de España (IAI España, 2017), en el Marco Normativo para la práctica profesional de auditoría interna, establece la siguiente definición y misión de la función de la auditoría interna: Definición La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos, aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno (p.15). 9 Semanas 1 2 3 4 5 6 7 Misión Auditoría Interna tiene la misión de mejorar y proteger el valor de las organizaciones, proporcionando aseguramiento objetivo, asesoría y conocimiento basado en riesgos (p. 15). También el este Marco normativo para la práctica profesional de auditoría Interna instaura algunos principios sobre los cuales se debe regir la función de auditoría, “para conseguir un ejercicio eficaz de la profesión y alcanzar los objetivos propuestos con el objetivo de obtener eficacia dentro de las organizaciones” (IAI España,2017, p.12), los cuales son: Demuestra integridad. Demuestra competencia y diligencia profesional. Es objetiva y se encuentra libre de influencias (independiente). Se alinea con las estrategias, los objetivos y los riesgos de la organización. Está posicionada de forma apropiada y cuenta con los recursos adecuados. Demuestra compromiso con la calidad y la mejora continua de su trabajo. Se comunica de forma efectiva. Proporciona aseguramiento con base en riesgos. Hace análisis profundos, es proactiva y está orientada al futuro. Promueve la mejora de la organización. 10 Semanas 1 2 3 4 5 6 7 Código y principios éticos para el auditor interno Una vez revisado el contenido sobre la definición, misión y principios de la función de auditoría interna, nos adentramos al siguiente apartado, el cual está enfocado en comprender el código y los principios éticos que los auditores internos deben cumplir en la práctica de sus funciones y responsabilidades. De acuerdo con el Marco Internacional para la práctica profesional de la auditoría interna, del Instituto de Auditores Internos de España (2017) señala que el código de ética “establece los principios y expectativas que rigen el comportamiento de los individuos y organizaciones que ejercen la auditoría interna. Describe los requisitos mínimos de conducta y expectativas de comportamiento, sin entrar en actividades específicas” (p. 12) y “el propósito del código de ética del Instituto es promover una cultura ética en la profesión de la auditoría interna” (p. 19). El código de ética se compone de dos componentes: los principios, que son relevantes para la profesión y práctica de la auditoría interna, y las reglas de conducta, que describen las normas de comportamiento que se espera sean observadas por los auditores internos. Estas reglas son una ayuda para interpretar los principios en aplicaciones prácticas. Su intención es guiar la conducta ética de los auditores internos (IAI España, 2017, p. 19). A continuación, se detallan los principios y reglas de conducta: Principios Se espera que los auditores internos apliquen y cumplan los siguientes principios: 11 Semanas 1 2 3 4 5 6 7 1. Integridad: la integridad de los auditores internos establece confianza y, consiguientemente, provee la base para confiar en su juicio. 2. Objetividad: los auditores internos exhiben el más alto nivel de objetividad profesional al reunir, evaluar y comunicar información sobre la actividad o proceso a ser examinado. Los auditores internos hacen una evaluación equilibrada de todas las circunstancias relevantes y forman sus juicios sin dejarse influir indebidamente por sus propios intereses o por otras personas. 3. Confidencialidad: los auditores internos respetan el valor y la propiedad de la información que reciben y no divulgan información sin la debida autorización, a menos que exista una obligación legal o profesional para hacerlo. 4. Competencia: los auditores internos aplican el conocimiento, aptitudes y experiencia necesarios al desempeñar los servicios de auditoría interna. Reglas de conducta 1. Integridad. Los auditores internos: respecto a la integridad, los auditores internos: - Desempeñarán su trabajo con honestidad, diligencia y responsabilidad. - Respetarán las leyes y divulgarán lo que corresponda de acuerdo con la ley y la profesión. 12 Semanas 1 2 3 4 5 6 7 - No participarán a sabiendas en una actividad ilegal o de actos que vayan en detrimento de la profesión de auditoría interna o de la organización. - Respetarán y contribuirán a los objetivos legítimos y éticos de la organización. 2. Objetividad. Los auditores internos: - No participarán en ninguna actividad o relación que pueda perjudicar o aparente perjudicar su evaluación imparcial. Esta participación incluye aquellas actividades o relaciones que puedan estar en conflicto con los intereses de la organización. - No aceptarán nada que pueda perjudicar o aparente perjudicar su juicio profesional. - Divulgarán todos los hechos materiales que conozcan y que, de no ser divulgados, pudieran distorsionar el informe de las actividades sometidas a revisión. 3. Confidencialidad. Los auditores internos: - Serán prudentes en el uso y protección de la información adquirida en el transcurso de su trabajo. - No utilizarán información para lucro personal o que de alguna manera fuera contraria a la ley o en detrimento de los objetivos legítimos y éticos de la organización. 13 Semanas 1 2 3 4 5 6 7 4. Competencia. Los auditores internos: - Participarán solo en aquellos servicios para los cuales tengan los suficientes conocimientos, aptitudes y experiencia. - Desempeñarán todos los servicios de auditoría interna de acuerdo con las normas para la práctica profesional de auditoría interna. - Mejorarán continuamente sus habilidades y la efectividad y calidad de sus servicios. Para profundizar el contenido y la implementación del código de ética, lo invito a ver el siguiente webinar “Implementación del código de ética del IIA”. Normas Internacionales para la práctica profesional de auditoría internas Los trabajos que lleva a cabo auditoría interna son realizados en ambientes legales y culturales diversos, para organizaciones que varían según sus propósitos, tamaño y estructura, y por personas de dentro o fuera de la organización. Si bien estas diferencias pueden afectar la práctica de la auditoría interna en cada ambiente, el cumplimiento de las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna es esencial para el ejercicio de las responsabilidades de los auditores internos y la actividad de auditoría interna (IAI España, 2017, p. 29). 14 Semanas 1 2 3 4 5 6 7 El propósito de las normas es: 1. Orientar en la adhesión a los elementos obligatorios del marco internacional para la práctica profesional de la auditoría interna. 2. Proporcionar un marco para ejercer y promover un amplio rango de servicios de auditoría interna de valor añadido. 3. Establecer las bases para evaluar el desempeño de la auditoría interna. 4. Fomentar la mejora de los procesos y operaciones de la organización. Figura 1 Marco internacional para la práctica de auditoría interna Nota. Adaptado de Marco internacional para la práctica de auditoría interna [Ilustración], por Instituto mexicano de auditores internos, 2017, imai CC BY 2.0. Las normas son un conjunto de requisitos basados en principios, de cumplimiento obligatorio, que consisten en: 15 Semanas 1 2 3 4 5 6 7 Declaraciones de requisitos esenciales para el ejercicio de la auditoría interna y para evaluar la eficacia de su desempeño, que son internacionalmente aplicables en las personas y las organizaciones. Interpretaciones que aclaran términos o conceptos dentro de las Normas. Las Normas, junto con el Código de Ética, forman parte de los elementos de cumplimiento obligatorio del Marco Internacional para la Práctica Profesional (MIPP); por tanto, el cumplimiento con el Código de Ética y las Normas significa cumplimiento con todos los elementos obligatorios del MIPP (IAI España, 2017, p. 29). Las guías de implementación ayudarán a los profesionales en el cumplimiento de las normas internacionales. Tratan de forma colectiva el enfoque de auditoría interna y la metodología, pero no detallan procesos o procedimientos. Incluyen consideraciones para la implementación de las normas y demostrar su conformidad con ellas. Las guías complementarias no se vinculan directamente con el cumplimiento de las normas. Complementan temas de actualidad, asuntos específicos y sectoriales, e incluyen procesos y procedimientos, herramientas y técnicas, programas, enfoques paso a paso y ejemplos de entregables (IAI España, 2017, p. 11). Nuevas normas globales de auditoría interna El Instituto de Auditores Internos Global inició el proyecto IPPF Evolution en 2021, con el objetivo de modernizar y transformar los Estándares del IIA y garantizar su relevancia y capacidad de respuesta a los desafíos actuales. El proyecto IPPF Evolution buscó 16 Semanas 1 2 3 4 5 6 7 promover una práctica de auditoría interna global consistente y mejorar la capacidad de los auditores internos para ayudar a las organizaciones a lograr sus objetivos (Flai, 2022). Las Normas Globales de Auditoría Interna fueron emitidas en enero del 2024 y serán de aplicación obligatoria a partir del año 2025. Los principales cambios de las normas globales de auditoría interna se detallan a continuación: Se simplifica la estructura de marco profesional, como lo podrá observar en la figura a continuación. Se consolidan seis elementos del marco profesional (Misión, Definición, Código de Ética, Principios básicos, Normas y Guías de implementación) en las nuevas Normas. Se creó el nuevo propósito de auditoría interna, bajo las nuevas Normas. Enriqueció la Ética y profesionalismo agregando el debido cuidado profesional. Se agregaron consideraciones para la implementación y la evidencia de conformidad de cada Norma. Se agregaron consideraciones para la implementación para el sector público, pequeñas funciones y otras. Se aclaró el papel del Consejo en el gobierno de la función de auditoría interna. Se aclaró el rol del director ejecutivo de Auditoría en la gestión de la función de auditoría interna. 17 Semanas 1 2 3 4 5 6 7 Se incorporaron nuevos requisitos de desempeño para asegurar la calidad de los servicios de auditoría interna. Figura 2 Mapeo del MIIPP a las nuevas Normas Globales Nota. Adaptado de The IIA released a draft of the new Global Internal Audit Standards [Ilustración], por Negron, C., 2023, linkedin CC BY 2.0. Para profundizar el contenido de las nuevas normas globales de auditoría interna, lo invito a ver el siguiente video: Get to know the new global internal audit standards. Tipos de normas (Atributos y desempeño) Las normas se conforman en dos categorías principales: Las normas sobre atributos tratan las características de las organizaciones y las personas que prestan servicios de auditoría interna. 18 Semanas 1 2 3 4 5 6 7 Las normas sobre desempeño describen la naturaleza de los servicios de auditoría interna y proporcionan criterios de calidad con los cuales puede evaluarse el desempeño de estos servicios. Las normas sobre atributos y sobre desempeño se aplican a todos los servicios de auditoría interna (Instituto de Auditores Interno de España, 2017, pág. 30). Propósito, autoridad y responsabilidad El IAI España (2017), detalla lineamientos sobre el propósito, autoridad y responsabilidad de la función de auditoría interna: El propósito, la autoridad y la responsabilidad de la actividad de auditoría interna deben estar formalmente definidos en un estatuto, en conformidad con la Misión de Auditoría Interna y los elementos de cumplimiento obligatorio del Marco Internacional para la Práctica Profesional de la Auditoría Interna (los Principios Fundamentales para la Práctica Profesional de la Auditoría Interna, el Código de Ética, las Normas y la definición de auditoría interna). El director ejecutivo de auditoría debe revisar, periódicamente, el estatuto de auditoría interna y presentarlo a la alta dirección y al Consejo para su aprobación. El estatuto de auditoría interna es un documento formal que define el propósito, la autoridad y la responsabilidad de la actividad de auditoría interna. El estatuto de auditoría interna establece la posición de la actividad de auditoría interna dentro de la organización, incluyendo la naturaleza de la relación funcional del director ejecutivo de auditoría con el Consejo; autoriza su 19 Semanas 1 2 3 4 5 6 7 acceso a los registros, al personal y a los bienes relevantes para el desempeño de los trabajos, y define el alcance de las actividades de auditoría interna. La aprobación final del estatuto de auditoría interna corresponde al Consejo. 1000.A1 – La naturaleza de los servicios de aseguramiento proporcionados a la organización debe estar definida en el estatuto de auditoría interna. Si los servicios de aseguramiento fueran proporcionados a terceros ajenos a la organización, la naturaleza de esos servicios también deberá estar definida en el estatuto de auditoría interna. 1000.C1 – La naturaleza de los servicios de consultoría debe estar definida en el estatuto de auditoría interna (p. 33). Aptitud y cuidado profesional El IIA España (2017), establece condiciones que los auditores deben reunir en torno a la aptitud y cuidado profesional, según se detalla a continuación: Aptitud Los auditores internos deben reunir los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades individuales. La actividad de auditoría interna, colectivamente, debe reunir u obtener los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades. Interpretación: la aptitud es un término general que se refiere a los conocimientos, habilidades y otras competencias requeridas 20 Semanas 1 2 3 4 5 6 7 a los auditores internos para llevar a cabo eficazmente sus responsabilidades profesionales. Incluye tendencias, temas emergentes y la consideración de las actividades actuales para posibilitar asesoramiento relevante y formulación de recomendaciones. Se alienta a los auditores internos a demostrar su aptitud obteniendo certificaciones y cualificaciones profesionales apropiadas, tales como la designación de auditor interno certificado y otras designaciones ofrecidas por el Instituto de Auditores Internos y otras organizaciones profesionales apropiadas. 1210.A1 - El director ejecutivo de auditoría debe obtener asesoramiento y asistencia competentes en caso de que los auditores internos carezcan de los conocimientos, las aptitudes u otras competencias necesarias para llevar a cabo la totalidad o parte del trabajo. 1210.A2 - Los auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organización, pero no es de esperar que tengan conocimientos similares a los de aquellas personas cuya responsabilidad principal es la detección e investigación del fraude. 1210.A3 - Los auditores internos deben tener conocimientos suficientes de los riesgos y controles clave en tecnología de la información y de las técnicas de auditoría interna disponibles basadas en tecnología que le permitan desempeñar el trabajo asignado. Sin embargo, no se espera que todos los auditores internos tengan la experiencia de aquel auditor interno cuya responsabilidad fundamental es la auditoría de tecnología de la información. 21 Semanas 1 2 3 4 5 6 7 1210.C1 - El director ejecutivo de auditoría no debe aceptar un servicio de consultoría, o bien debe obtener asesoramiento y asistencia competentes, en caso de que los auditores internos carezcan de los conocimientos, las aptitudes y otras competencias necesarias para desempeñar la totalidad o parte del trabajo. Cuidado profesional Los auditores internos deben cumplir su trabajo con el cuidado y la aptitud que se esperan de un auditor interno razonablemente prudente y competente. El cuidado profesional adecuado no implica infalibilidad. 1220.A1 - El auditor interno debe ejercer el debido cuidado profesional al considerar: El alcance necesario para alcanzar los objetivos del trabajo; La relativa complejidad, materialidad o significatividad de asuntos a los cuales se aplican procedimientos de aseguramiento. La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control. La probabilidad de errores materiales, fraude o incumplimientos. El coste de aseguramiento en relación con los beneficios potenciales. 1220.A2 - Al ejercer el debido cuidado profesional, el auditor interno debe considerar la utilización de auditoría basada en tecnología y otras técnicas de análisis de datos. 22 Semanas 1 2 3 4 5 6 7 1220.A3 - El auditor interno debe estar alerta a los riesgos materiales que pudieran afectar los objetivos, las operaciones o los recursos. Sin embargo, los procedimientos de aseguramiento por sí solos, incluso cuando se llevan a cabo con el debido cuidado profesional, no garantizan que todos los riesgos materiales sean identificados. 1220.C1 - El auditor interno debe ejercer el debido cuidado profesional durante un trabajo de consultoría, teniendo en cuenta lo siguiente: Las necesidades y expectativas de los clientes, incluyendo la naturaleza, oportunidad y comunicación de los resultados del trabajo; La complejidad relativa y la extensión de la tarea necesaria para cumplir los objetivos del trabajo, y El coste del trabajo de consultoría en relación con los beneficios potenciales. Diferencia entre auditoría interna y auditoría externa Las diferencias principales de la auditoría interna y la auditoría externa, radica en que principalmente, la auditoría externa, tiene como objetivo principal, la de expresar una opinión sobre los estados financieros, mientras que la auditoría interna tiene como objetivos principales evaluar el sistema de control interno, la gestión de riesgos y los procesos de gobierno, lo que implica un mayor rango de alcance en los trabajos de aseguramiento. A continuación, se detallan las principales diferencias en los objetivos, alcanza, partes interesadas, normas, entre otras: 23 Semanas 1 2 3 4 5 6 7 Tabla 1 Diferencias claves entre auditoría interna y externa Auditoría interna Auditoría externa Analizar y mejorar Expresar opinión sobre los Objetivo los controles y el estados financieros. desempeño. Operaciones de la Alcance Informes financieros. organización. Contabilidad, finanzas, Habilidades Interdisciplina impuestos. Presente/futuro en Pasado en un momento Periodo curso. determinado. Consejo de Audiencia administración, Inversores, interés público. principal dirección ejecutiva. Las normas Principios de auditoría Internacionales para el generalmente aceptados, Normas ejercicio profesional de normas de auditoría la auditoría interna IIA. generalmente aceptadas. Fortalecer y proteger el Declaración razonabilidad Énfasis valor de la organización. de los estados financieros. Relación Empleado de la Un contratista laboral organización. independiente. Nota. Adaptado de Global perspectives and insights: Internal Audit and External Audit, por The Institute of Internal Auditors, 2017, Instituud van Internal Auditors CC BY 2.0. 24 Semanas 1 2 3 4 5 6 7 Semana 2 Unidad 2. Gobierno, gestión de riesgos y control interno Modelo de gobierno de las 3 líneas del IIA El IIA Global (2020), realizó la actualización del modelo de gobierno denominado “Las tres líneas del IIA” que establece lo siguiente: Las organizaciones son empresas humanas que operan en un mundo cada vez más incierto, complejo, interconectado y volátil. A menudo tienen múltiples partes interesadas con intereses diversos, cambiables y en ocasiones, competitivos. Las partes interesadas confían la supervisión organizativa a un organismo de gobierno, que a su vez delega recursos y autoridad a la dirección para que tome las medidas apropiadas, incluyendo la gestión de riesgo. Por estas y otras razones, las organizaciones necesitan estructuras y procesos eficaces que permiten alcanzar los objetivos, mientras apoyan un gobierno y una gestión de riesgo sólida. A medida que el organismo de gobierno recibe informes de la dirección sobre actividades, resultados y previsiones, tanto el organismo de gobierno como la dirección confían en la auditoría interna para proporcionar aseguramiento independiente y objetivo, asesorar en todos los asuntos, promover y facilitar la innovación y la mejora. El organismo de gobierno es principalmente responsable del gobierno, que se logra mediante las acciones y comportamientos tanto del organismo de gobierno, la dirección y la auditoría interna. 25 Semanas 1 2 3 4 5 6 7 El modelo de las tres líneas ayuda a las organizaciones a identificar las estructuras y los procesos que mejor facilitan el logro de los objetivos y promuevan un gobierno sólido y gestión de riesgo. El modelo se aplica a todas las organizaciones y se optimiza mediante lo siguiente: Adoptar un enfoque basado en principios y adaptar el Modelo a los objetivos y circunstancias de la organización. Enfocar la contribución de la gestión de riesgo en la obtención de objetivos y la creación de valor, así como en cuestiones de “defensa” y protección del valor. Comprender claramente los roles y responsabilidades representados en el Modelo y las relaciones entre ellos. Implementar medidas para garantizar que las actividades y los objetivos estén alineados con los intereses prioritarios de las partes interesadas. 26 Semanas 1 2 3 4 5 6 7 Figura 3 El modelo de las tres líneas del IIA Nota. Tomado de El modelo de las tres líneas [Ilustración], por Labella, O., 2023, linkedin CC BY 2.0. Las organizaciones difieren considerablemente en su distribución de responsabilidades. Sin embargo, los siguientes roles de alto nivel funcionan para ampliar los principios del modelo de las tres líneas: El organismo de gobierno Acepta la responsabilidad de las partes interesadas por la supervisión de la organización. Se compromete con las partes interesadas para supervisar sus intereses y comunicarse de forma transparente sobre el logro de los objetivos. 27 Semanas 1 2 3 4 5 6 7 Nutre una cultura que promueve el comportamiento ético y la responsabilidad. Establece estructuras y procesos de gobierno, incluyendo los comités auxiliares, según sea necesario. Delega la responsabilidad y proporciona recursos a la dirección para lograr los objetivos de la organización. Determina el grado de aceptación de riesgo organizacional y ejerce la supervisión de la gestión de riesgo (incluyendo el control interno). Supervisa el cumplimiento de las expectativas legales, reglamentarias y éticas. Establece y supervisa una función de auditoría interna independiente, objetiva y competente. Dirección, roles de primera línea Dirige y orienta las acciones (incluyendo la gestión de riesgo) y la aplicación de recursos para lograr los objetivos de la organización. Mantiene un diálogo continuo con el organismo de gobierno e informa sobre los resultados planificados, reales y esperados vinculados a los objetivos de la organización; y el riesgo. Establece y mantiene estructuras y procesos adecuados para la gestión de operaciones y riesgo (incluyendo el control interno). Garantiza el cumplimiento de las expectativas legales, reglamentarias y éticas. 28 Semanas 1 2 3 4 5 6 7 Roles de segunda línea Proporciona conocimientos especializados adicionales, apoyo, supervisión y cuestionamientos relacionados con la gestión de riesgo, incluyendo: El desarrollo, la implementación y la mejora continua de las prácticas de gestión de riesgo (incluyendo el control interno) en los procesos, los sistemas y la entidad. El logro de los objetivos de la gestión de riesgo, tales como: cumplimiento de las leyes, regulaciones y comportamiento ético aceptable, control interno, seguridad de la información y tecnología, sostenibilidad y aseguramiento de calidad. Proporciona análisis e informes sobre la adecuación y eficacia de la gestión de riesgo (incluyendo el control interno). Auditoría interna Mantiene la responsabilidad primaria ante el organismo de gobierno y la independencia de las responsabilidades de la gestión. Comunica el aseguramiento independiente y objetivo junto con el asesoramiento a la dirección y al organismo de gobierno sobre la adecuación y la eficacia del gobierno y la gestión de riesgo (incluyendo el control interno) para apoyar el logro de los objetivos organizacionales, promover y facilitar la mejora continua. Informa al organismo de gobierno las deficiencias en la independencia y la objetividad y aplica las salvaguardas necesarias. 29 Semanas 1 2 3 4 5 6 7 Proveedores de aseguramiento externo Proporciona aseguramiento adicional para: Satisfacer las expectativas legislativas y reglamentarias que sirven para proteger los intereses de las partes interesadas. Satisfacer las solicitudes de la dirección y del organismo de gobierno para complementar las fuentes internas de aseguramiento. Concepto de control interno y tipos de controles Definición de control El Glosario del IAI España (2017), define control como: Cualquier medida que tome la administración, el consejo y otras partes para gestionar los riesgos y aumentar la probabilidad de que se alcancen los objetivos y metas establecidos. La dirección planifica, organiza y dirige la realización de acciones suficientes para proporcionar una seguridad razonable que se alcanzarán los objetivos y metas. Limitaciones de los controles internos Incluso el mejor sistema de control interno tiene limitaciones. Por ejemplo: Los controles internos solo pueden proporcionar una seguridad razonable de que se pueden alcanzar los objetivos. Los controles internos nunca deben promoverse como garantía. 30 Semanas 1 2 3 4 5 6 7 El error humano, el juicio erróneo, la colusión y el fraude pueden limitar la eficacia de los controles. Los controles excesivos o irrazonables pueden aumentar la burocracia y reducir la productividad. Los controles deben ser evaluados en términos de su costo y beneficio para evitar el desperdicio de recursos. Clasificación de controles La clasificación de control ayuda a una organización determinada a comprender la relación y las jerarquías que gobiernan sus controles relacionados. Hay tres formas principales de clasificar los controles, de acuerdo con Hock (2024): Controles a nivel organizacional Controles a nivel corporativo (nivel de entidad). Incluyen declaraciones de política general, valores y procedimientos generales de seguimiento, como el comité de auditoría y el comité de gestión de riesgos. Controles a nivel operativo. Incluyen controles tanto manuales como automatizados. Los controles a nivel operativo abarcan la planificación y el seguimiento del desempeño, el sistema de rendición de cuentas a los supervisores y evaluación de riesgos. Controles a nivel de transacción. En su mayoría son automatizados y constan de procedimientos de control específicos y controles para garantizar que la información financiera sea precisa y completa. 31 Semanas 1 2 3 4 5 6 7 Controles manuales versus controles automatizados Los controles manuales funcionan mediante intervención humana. Ejemplos de controles manuales incluyen un supervisor que firma una solicitud de compra o el gerente revisa físicamente la información real versus la presupuestada. Los controles manuales son más propensos al error que los controles automatizados. Los controles automatizados operan a través y dentro del sistema de tecnología de la información de una empresa. Ejemplos de controles automatizados incluyen balances y conciliaciones automatizados, sistemas, controles de acceso, indicadores automatizados que identifican posibles entradas o datos no válidos o duplicados, y cualquier control realizado automáticamente por un sistema informático. Los controles automatizados suelen ser más confiables y eficientes que los controles manuales y, por lo tanto, pueden información más valiosa, oportuna y confiable. Dicho esto, hay casos en los que el control manual son críticos, especialmente en procesos complejos y dinámicos o en lugares donde el juicio humano es requerido. Una revisión de los procesos manuales puede revelar oportunidades de mejora automatizada. Estimado maestrante, lo invito a revisar la siguiente infografía donde se detalla los tipos de controles. 32 Semanas 1 2 3 4 5 6 7 Características de los controles eficaces Un sistema de control eficaz debe tener las siguientes características: Económico. Debe haber una relación costo/beneficio positivo, es decir, que la organización ahorre más que el costo del control. Significativo. Solo los elementos importantes y materiales necesitan controles. Adecuado. El sistema de control debe estar relacionado con un objetivo o meta de la empresa. Congruente. El resultado del sistema debe ser útil y acorde con lo que está midiendo. Oportuno. La información debe estar disponible con tiempo suficiente para actuar en consecuencia. Simple. El control debe ser comprensible para las personas que lo utilizan. Operacional. El control debe aportar beneficio a las operaciones y no simplemente ser interesante. Marcos de control interno, gestión de riesgos y fraude Los marcos de control y gestión de riesgos asisten a los consejos de administración/directorio, alta gerencia, auditores internos y externo a implementar y supervisar los sistemas de control interno 33 Semanas 1 2 3 4 5 6 7 y de gestión de riesgos con el propósito de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos empresariales. Existen 5 marcos de control interno y de gestión de riesgos globalmente aceptados: El modelo COCO. El Informe Turnbull. COSO Control Interno 2013. COSO ERM – Enterprise Risk Management 2017. COSO Gestión del riesgo de fraude 2023. Modelo COCO De acuerdo con la publicación de Villada (2020), señala que El Instituto Canadiense de Contadores Certificados (CICA), a través de un consejo que se encarga de diseñar y emitir los lineamientos generales sobre control interno dio a conocer el modelo de la Comisión de Criterios sobre el Control (COCO por sus siglas en inglés – The Criteria of Control). El modelo COCO tuvo su origen por el modelo COSO, ya que el Comité de Criterios canadiense revisó el informe COSO para su emisión y posterior adaptación para ser aplicado por las empresas canadienses. Los cambios que buscó hacer el Comité fueron con el fin de tener un modelo más sencillo y comprensible, puesto que durante la implementación de COSO muchas empresas en Canadá reportaron sufrir dificultades por la complejidad de la norma estadounidense. 34 Semanas 1 2 3 4 5 6 7 Propósitos y objetivos de COCO En principio, el modelo COCO busca los mismos objetivos del resto de los modelos de control interno, pero los plantea con los siguientes puntos: Proporcionar un marco de referencia a través de 20 criterios generales que todas las personas en las organizaciones puedan usar para el diseño, desarrollo, modificación o evaluación del control. Establece que el principio de control se aplica desde la parte más pequeña de la estructura; es decir, cada persona en su aportación individual para después a través de tareas guiadas a través de: El apoyo que reciba respecto a su capacidad o aptitudes para alcanzar los objetivos. Esto incluye la información, las herramientas y sus habilidades El sentido de compromiso e involucramiento para realizar sus tareas oportunamente y en la debida forma. Cada persona es la responsable de vigilar y evaluar su desempeño. Informe Turnbull Control interno: guía para directores sobre el Código Combinado (1999, actualizado en 2005) es más comúnmente conocido como el Informe Turnbull. Creado para el Consejo de Información Financiera (CRF), informa a los directores (tanto ejecutivos como no ejecutivos) de sus obligaciones bajo el Código Combinado del Reino Unido con respecto a mantener un control interno efectivo en sus empresas y 35 Semanas 1 2 3 4 5 6 7 realizar auditorías y controles adecuados para asegurar la calidad de los informes financieros. El Informe Turnbull dice que el sistema de control interno debería: Estar integrados en las operaciones de la empresa y formar parte de su cultura. Ser capaz de responder rápidamente a los riesgos cambiantes para el negocio que surgen de factores dentro de la empresa y a los cambios en el entorno empresarial. Incluir procedimientos para informar inmediatamente a los niveles apropiados de gestión, cualquier falla o debilidad de control significativa que se identifica junto con detalles de las medidas correctivas. COSO: Control interno 2013 En 1992, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) emitió el Control Interno – Marco Integrado. El informe COSO cambió el concepto de controles internos de términos técnicos y restringidos de informes financieros para incluir todos los aspectos de las operaciones comerciales y el cumplimiento, y estableció un estándar con el que todas las organizaciones podían medir sus sistemas de control interno. En el siguiente módulo didáctico, se detalla los componentes interrelacionados del modelo COSO. COSO ERM – Enterprise Risk Management 2017 COSO emitió una actualización a su marco de Gestión de Riesgos Empresariales (ERM) titulada “Integrating with Strategy and 36 Semanas 1 2 3 4 5 6 7 Performance”. Esta actualización, aunque no modifica el marco de control interno de 2013, ofrece una visión ampliada de cómo la gestión de riesgos se integra con la estrategia y el rendimiento. Las características clave de esta actualización incluyen: Integración con la estrategia y el rendimiento: pone un mayor énfasis en cómo la gestión de riesgos empresariales está vinculada con la estrategia y el rendimiento de la organización. Enfoque en la cultura de riesgo: resalta la importancia de una cultura de riesgo adecuada dentro de la organización. Mayor flexibilidad: ofrece un enfoque más adaptable que puede ser personalizado según el tamaño y la complejidad de la organización. En la figura a continuación se presentan los 20 principios que componen este marco COSO de gestión de riesgos: 37 Semanas 1 2 3 4 5 6 7 Figura 4 Resumen Coso ERM 2017 – Evaluación de riesgos empresariales Nota. Adaptado de Nuevo COSO ERM. Lo que todo auditor debe conocer [Ilustración], por Laski, J., 2021, josejimenezfalcon. CC BY 2.0. Gobierno y cultura La organización debe reforzar la importancia y comprensión de su gestión del riesgo, establecer las responsabilidades de supervisión necesarias para llevarla a cabo y definir sus valores éticos a seguir. 38 Semanas 1 2 3 4 5 6 7 Las acciones principales por desarrollar son los siguientes: - Aprobar una política a seguir por el Consejo de administración para supervisar el riesgo de la Entidad. - Establecer la estructura operativa. - Definir la cultura y valores deseados. - La alta dirección debe demostrar el compromiso con los valores fundamentales mediante, por ejemplo, la formación de comités y órganos colegiados para el control de su cumplimiento. - Atraer, desarrollar y retener al personal capacitado. Estrategias y establecimiento de objetivos Proceso de planificación estratégica mediante la definición de la gestión de riesgos empresariales, estrategias y objetivos de trabajo y el establecimiento de un apetito de riesgo alineado con ellos. Para llevar a cabo este bloque, la organización debe: Analizar el contexto del negocio. Definir el apetito de riesgo. Evaluar estrategias a seguir. Formular los objetivos de negocio. Desempeño Supone identificar y evaluar los riesgos que pueden afectar al logro de los objetivos empresariales. Los riesgos se priorizan por gravedad según el apetito de riesgo definido. A continuación, la 39 Semanas 1 2 3 4 5 6 7 organización selecciona las respuestas al riesgo y comprueba la cantidad de riesgo que ha asumido. Llevar a cabo este desempeño incluye: Identificar los riesgos. Evaluar la severidad de cada riesgo identificado. Identificar, seleccionar e implementar las respuestas al riesgo. Revisión y monitorización En la revisión del desempeño, la organización comprueba el funcionamiento de la gestión de los riesgos corporativos a lo largo del tiempo, y a la vista de los cambios sustanciales que se produzcan, decide qué revisiones o cambios son necesarios. Los puntos incluidos en la revisión son los siguientes: Evaluar los cambios relevantes que se hayan producido. Revisar los riesgos y el desempeño producido durante su gestión. Buscar la mejora en la gestión de los riesgos. Información, comunicación y reporte La gestión de riesgos empresariales requiere un proceso continuo de obtener y compartir la información necesaria, tanto de fuentes internas como externas. La comunicación debe fluir hacia arriba y hacia abajo, en toda la organización. Este apartado exige: Apoyar la gestión de riesgos con sistemas y tecnología. 40 Semanas 1 2 3 4 5 6 7 Utilizar canales de comunicación adecuados. Informar sobre riesgos, cultura y desempeño a todas las partes interesadas. COSO Gestión del riesgo de fraude 2017 Para brindar orientación sobre mejores prácticas para evaluar y gestionar los riesgos de fraude, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) se trabajó con la Asociación de Examinadores de Fraude Certificados (ACFE) para crear la Guía de Gestión de Riesgos de Fraude. El informe está diseñado para ayudar a las organizaciones a establecer de manera efectiva un programa integral de gestión del riesgo de fraude. Identifica específicamente cómo pueden: Establecer políticas de gobernanza del riesgo de fraude. Realizar evaluaciones de riesgo de fraude. Diseñar e implementar actividades de control de detección y prevención de fraude. Realizar investigaciones de fraude. Monitorear y evaluar la efectividad del programa de gestión del riesgo de fraude. Esta guía se revisará en profundidad en el módulo “Gestión del riesgo de fraude y gobernanza”. 41 Semanas 1 2 3 4 5 6 7 Responsabilidades del auditor interno en el sistema de control interno Los controles son un componente crítico e indispensable del éxito, por eso es importante para una organización. Realizar revisiones periódicas de los controles para asegurarse de que estén diseñados adecuadamente, sean completamente funcionales y eficaces. La norma 2130 (IAI España, 2017) establece las prioridades de la función de auditoría interna para evaluar los controles internos, de acuerdo con lo siguiente: Norma 2130 – Control La actividad de auditoría interna debe ayudar a la organización a mantener controles efectivos mediante la evaluación de su eficacia y eficiencia y promoviendo la mejora continua. 2130.A1 – La actividad de auditoría interna debe evaluar la adecuación y eficacia de los controles en responder a los riesgos dentro del gobierno, las operaciones y los sistemas de información de la organización con respecto a: Logro de los objetivos estratégicos de la organización. Fiabilidad e integridad de la información financiera y operativa. Efectividad y eficiencia de operaciones y programas. Salvaguarda de activos. Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos. 2130.C1 – Los auditores internos deben incorporar el conocimiento de los controles adquiridos a partir de trabajos de consultoría en la evaluación de los procesos de control de la organización. 42 Semanas 1 2 3 4 5 6 7 Trabajo preliminar El objetivo principal de la función de auditoría interna con respecto a los controles es evaluar la eficacia y la eficiencia y promover mejoras continuas. Para lograr este objetivo, el Directorio de Auditoría Interna debe obtener una exhaustiva comprensión de los protocolos de control de la empresa. Esta información se puede obtener a través de: Reuniones con la junta directiva y la alta dirección para tener una idea del “apetito de riesgo, la tolerancia al riesgo” y cultura del riesgo. Estudiar los controles actualmente en uso. Revisar cualquier evaluación previa de controles, recomendaciones y soluciones promulgadas. Consultar a un asesor legal interno para comprender los requisitos regulatorios o estatutarios relevantes. Evaluar la eficacia El sistema de evaluación de la eficacia del control procede de la siguiente manera: Identificar los objetivos y los riesgos asociados. Determinar la importancia de cualquier riesgo. Tomar nota de las respuestas a estos riesgos. Identifique los “controles clave”. Evaluar qué tan bien está diseñado un control determinado. Probar el control para determinar la efectividad del diseño. 43 Semanas 1 2 3 4 5 6 7 Evaluación de la eficiencia No importa cuán efectivo pueda ser un control, su valor disminuye considerablemente si no funciona eficientemente. Un control eficiente es rentable, maximiza la asignación de recursos y proporciona valor discernible para la empresa. Según la Guía de Implementación 2130, existen tres criterios que pueden ayudar a la función de auditoría interna a medir la eficiencia de un control específico: El nivel de control debe ser “apropiado para el riesgo que aborda”. Por ejemplo, mezquino. El dinero para gastos menores no necesita tantos controles como el efectivo recibido de los clientes. Los costos del control no deben exceder los beneficios que proporciona. Por ejemplo, la bodega de suministros no necesita vigilancia 24 horas al día, 7 días a la semana, ni un escáner biométrico para acceder, pero para un cuarto de servidores sería necesario. Ningún control debería “crear preocupaciones de negocio significativas”. Por ejemplo, independientemente de cómo eficientemente un control gestiona un riesgo particular, si el control infringe la ley, pone a la empresa en importante riesgo legal. Si un control satisface estos tres criterios, se puede considerar eficiente y, por tanto, útil. Si un control no puede satisfacer algunos o todos estos criterios, la función de auditoría interna podría recomendar ajustar, reemplazar o eliminar el control. 44 Semanas 1 2 3 4 5 6 7 Mejora continua La Guía de Implementación 2130 sugiere actividades adicionales para promover la “mejora continua” del ciclo de controles, incluyendo reuniones periódicas de formación para los empleados, contacto frecuente con la dirección para actualizaciones y aportes, y “seguimiento de los avances técnicos” que podrían mejorar el proceso de controles. 45 Semanas 1 2 3 4 5 6 7 Semana 3 Unidad 3. Evaluación del riesgo de fraude desde la perspectiva de la auditoría interna (Parte 1) Responsabilidades del consejo de administración, alta dirección y auditoría interna frente al riesgo de fraude Roles del consejo de administración El consejo de administración/directorio tiene la responsabilidad final de establecer una gobernanza eficaz de la gestión de riesgo de fraude y ayuda a establecer un apropiado Tone at the top. Trabajando con la alta gerencia, debe crear la expectativa correcta para los comportamientos éticos y establecer un adecuado apetito al riesgo para el riesgo de fraude. La junta debe garantizar que exista un marco y un programa de gestión del riesgo de fraude adecuados. Para lograr esto, monitorea y evalúa las actividades antifraude de la gerencia, incluyendo la identificación y evaluación del riesgo de fraude, implementación de medidas antifraude y una evaluación continua de la efectividad del programa del riesgo de fraude. Podría solicitar reportes de la alta dirección y de la función de auditoría interna. El director ejecutivo de auditoría interna proporcionará reportes periódicos a la alta dirección y al consejo de administración de la evaluación de auditoría interna sobre del riesgo de fraude. 46 Semanas 1 2 3 4 5 6 7 Comité de auditoría El consejo de administración/directorio podría establecer un comité de auditoría para supervisar las actividades de la función de auditoría interna. En tales casos, el consejo de administración / directorio podría asignar roles al comité de auditoría para asistirlo en el monitoreo y supervisión del riesgo de fraude, incluyendo los controles para prevenir y detectar fraudes de la gerencia. En este caso, el comité de auditoría es responsable de la supervisión del cumplimiento de la alta dirección respecto al apropiado reporte de información financiera y prevenir la manipulación de controles por parte de la gerencia. Roles de gerencia La dirección tiene la responsabilidad de establecer y mantener un sistema de control eficaz a un costo razonable, incluyendo la consideración del uso de tecnología para asistir en las actividades de la gestión del riesgo de fraude de la gerencia. La gerencia supervisa las actividades de los empleados y típicamente lo realiza al implementar y monitorear procesos y los controles internos. Además, la gerencia evalúa la vulnerabilidad de la entidad sobre las actividades fraudulentas. Roles de la función de auditoría interna El Instituto de auditores internos (The IIA) publicó en el 2019 un artículo de posición denominado “Fraud and Internal Audit: Assurance Over Fraud Controls Fundamental to Success”, este documento describe cuándo y dónde se pueden utilizar más eficazmente las habilidades de auditoría interna y en qué punto se deben aprovechar otros recursos frente a los riesgos de fraude, así como también 47 Semanas 1 2 3 4 5 6 7 explica las principales de responsabilidades de la función de auditoría interna frente a los riesgos de fraude. A continuación, revisamos los asuntos relevantes: La perspectiva del IIA La auditoría interna es una actividad de consultoría y aseguramiento objetiva e independiente diseñada para agregar valor y mejorar las operaciones de una organización. Su rol incluye detectar, prevenir y monitorear los riesgos de fraude y abordar esos riesgos en auditorías e investigaciones. Debe considerar dónde está presente el riesgo de fraude dentro del negocio y responder adecuadamente, auditando los controles de esa área, evaluando el potencial de que ocurra fraude y cómo la organización gestiona el riesgo de fraude (Estándar 2120.A2) a través de la evaluación de riesgos y la planificación de auditorías. No es responsabilidad directa de la auditoría interna evitar que se produzca fraude dentro de la empresa. Esta es responsabilidad de la dirección como primera línea de defensa. No se debe esperar que el auditor interno tenga la experiencia de una persona cuya responsabilidad principal es investigar el fraude. Es mejor que estas investigaciones las lleven a cabo personas con experiencia para realizar dichas tareas. La auditoría interna debería utilizar su experiencia para analizar conjuntos de datos con el fin de identificar tendencias y patrones que puedan sugerir fraude y abuso de financiación. Cuando la experiencia no esté disponible dentro del equipo de auditoría interna, la organización debería considerar reclutar o contratar recursos con suficiente conocimiento o experiencia. La organización debe tener 48 Semanas 1 2 3 4 5 6 7 un plan de respuesta antifraude adecuado que describa políticas clave y metodologías de investigación. El plan debe dejar claro el papel de auditoría interna cuando exista sospecha de fraude y fallas de control asociadas. Desde el punto de vista operativo, la auditoría interna debería tener suficiente conocimiento del fraude para: Identificar señales de alerta que indiquen que se puede haber cometido fraude. Comprender las características del fraude y las técnicas utilizadas para cometerlo, y los distintos esquemas y escenarios de fraude. Evaluar los indicadores de fraude y decidir si es necesario tomar medidas adicionales necesarias o si se debe recomendar una investigación. Evaluar la efectividad de los controles para prevenir o detectar fraude. Cuando se recopile evidencia electrónica, la auditoría interna debe brindar aseguramiento sobre si se están cumpliendo los derechos de acceso y los requisitos legislativos necesarios. Cuando se ha producido fraude, la auditoría interna debe comprender cómo fallaron los controles e identificar oportunidades de mejora. Debe considerar la probabilidad de que se produzcan más errores, fraude o incumplimiento en toda la organización y reevaluar el costo de aseguramiento en relación con los beneficios potenciales. Muchos factores, incluidos los recursos disponibles, influyen en la forma en que responden las organizaciones frente al riesgo de algunas organizaciones, incluyen mecanismos de concientización 49 Semanas 1 2 3 4 5 6 7 (proactivos) y de respuesta (reactivos) sobre el fraude dentro de la actividad de auditoría interna, y algunos auditores internos pueden investigar el fraude. Si se requiere auditoría interna para investigar fraude, el auditor interno debe tener las habilidades y experiencia necesarias para llevar a cabo la investigación y cumplir con su responsabilidad profesional sin poner en peligro la investigación y la evidencia asociada. La investigación no suele ser una tarea de auditoría interna; por lo tanto, los auditores internos deben ejercer el debido cuidado profesional (Norma 1220) al considerar el alcance del trabajo necesario para lograr los objetivos del trabajo y la complejidad, materialidad o importancia relacionadas. Deben decidir si están en la mejor posición para llevar a cabo la investigación o si contratarán asesoría legal interna, recursos humanos, examinadores de fraude calificados o certificados, análisis forense digital o experiencia legal y de investigación externa. Responsabilidades de la auditoría interna frente al riesgo de fraude La función de auditoría interna es responsable de evaluar los procesos de gestión de riesgos de la organización y su eficacia, incluida la evaluación de los riesgos de fraude y cómo son gestionados por la organización (2120.A2). Sin embargo, evaluar el potencial de ocurrencia de fraude al planificar cada trabajo es importante porque pueden surgir nuevos riesgos de fraude en cualquier momento. Por lo tanto, los auditores internos deben 50 Semanas 1 2 3 4 5 6 7 considerar la probabilidad de fraude cuando desarrollan los objetivos de cada trabajo de auditoría (Norma 2210.A2). Realizar una evaluación de riesgo de fraude al inicio de un trabajo permite a los auditores internos descubrir los riesgos de fraude que pueden no haber estado presentes cuando se realizó la última actualización de la evaluación de riesgos de la organización. Además, los riesgos de fraude que pueden ser insignificantes a nivel organizacional pueden alcanzar importancia en un área o proceso individual. Si bien los auditores internos deben tener el conocimiento suficiente para evaluar el riesgo de fraude y cómo lo gestiona la organización, no se espera que tengan la experiencia de una persona cuya principal responsabilidad es detectar e investigar el fraude (Norma 1210.A2). Al evaluar los riesgos de fraude, se espera que los auditores internos ejerzan la debida atención profesional (Norma 1220. A1) y mantengan una actitud imparcial y objetiva (Norma 1120 - Objetividad Individual). Los auditores internos también exhiben escepticismo profesional -una actitud inquisitiva, libre de prejuicios o suposiciones sobre la honestidad inherente de la gerencia o los empleados - porque permite una evaluación objetiva y crítica del proceso bajo revisión La función de auditoría interna podría contribuir con entrenamiento en la gestión del riesgo de fraude y apoyo en las investigaciones. Sin embargo, el rol de la actividad de la auditoría interna en la gobernanza y gestión del riesgo de fraude debería estar claramente estipulada en el estatuto de auditoría interna y reflejarse en las políticas y procedimientos. Esto ayuda a asegurar que la alta dirección y el consejo de administración entiendan y acuerden el rol 51 Semanas 1 2 3 4 5 6 7 de la función de auditoría interna y reconocer alguna salvaguarda que ayuden a mantener la independencia de la actividad de auditoría interna y la objetividad de los auditores internos. Consecuentemente, podemos resumir que la función de auditoría interna tiene dos principales responsabilidades sobre la evaluación del riesgo de fraude: i. Evaluar la gestión de fraude a nivel organizacional. ii. Evaluar los riesgos de fraude en los trabajos de auditoría interna. Evaluación de la gestión del riesgo de fraude a nivel organizacional Un programa eficaz de gestión del fraude incluye una política de ética, concientización sobre el fraude, evaluación del riesgo de fraude, revisiones continuas, prevención y detección e investigación. La evaluación general de riesgos debe identificar el riesgo de fraude, que incluye la evaluación de las oportunidades y motivaciones potenciales del comportamiento fraudulento. Los controles desarrollados e implementados adecuadamente reducirán el riesgo de fraude; por lo tanto, el auditor debe examinar cuidadosamente los controles relacionados con el fraude. Al evaluar el riesgo de fraude, los auditores internos deben determinar si: La organización ha fijado metas y objetivos realistas. 52 Semanas 1 2 3 4 5 6 7 La organización fomenta un ambiente de conciencia de control. Existen políticas escritas, como un Código de Ética, que describen las actividades prohibidas y las acciones que se tomarán en caso de violaciones. La organización ha implementado políticas, prácticas, procedimientos e informes para monitorear las actividades para salvaguardar los activos, particularmente en áreas de alto riesgo. La organización ha instalado el canal de comunicación adecuado que facilitará la gestión con información adecuada y confiable. Se establecen recomendaciones para mejorar la estructura de control para ayudar a disuadir el fraude. El IIA Global (2022) publicó una guía práctica denominada “Internal Audit and Fraud: Assessing fraud risk governance and management at the organizational level, 2nd edition”, la cual establece como propósito la de incrementar la concientización del auditor interno frente al riesgo de fraude, incluyendo el rol de la función de auditoría que debe desempañar, y proveer una guía en cómo realizar una evaluación de riesgo de fraude a nivel organizacional. La Guía Práctica describe los cinco pasos clave de la evaluación del riesgo de fraude: Identificar los factores de riesgo de fraude relevantes. Identificar posibles esquemas de fraude y priorizar según el riesgo. 53 Semanas 1 2 3 4 5 6 7 Mapear los controles existentes con posibles esquemas de fraude e identificar brechas. Probar la eficacia operativa de los controles de prevención y detección de fraude. Documentar y reportar la evaluación del riesgo de fraude. Identificar factores de riesgo de fraude relevantes El auditor interno debe comprender las actividades comerciales de la organización, así como a los socios comerciales externos, para obtener una comprensión completa del riesgo de fraude. El auditor debe revisar trabajos anteriores y estudiar cualquier fraude previo o sospecha de fraude para asegurarse de que los riesgos de esos eventos hayan sido abordados. Identificar posibles esquemas de fraude y priorizarlos según el riesgo Se podrá crear un equipo de evaluación del riesgo de fraude para identificar los posibles fraudes que podrían cometerse. Después, una vez identificados los riesgos potenciales, es necesario priorizarlos, teniendo en cuenta una serie de factores sugeridos: Impacto monetario. Impacto en la reputación de la organización. Pérdida de productividad. Posibles acciones penales/civiles, incluido el posible incumplimiento normativo. Integridad y seguridad de los datos. Pérdida de activos. Ubicación y tamaño de las operaciones/unidades. 54 Semanas 1 2 3 4 5 6 7 Cultura de la empresa. Rotación de directivos/empleados. Liquidez de los activos. Volumen y/o tamaño de las transacciones. Subcontratación. Los riesgos de fraude deben comunicarse a la junta al menos una vez al año o con mayor frecuencia si es necesario. Mapear los controles existentes con posibles esquemas de fraude e identificar brechas Para cada riesgo de fraude, el equipo de evaluación identificará los controles preventivos y de detección que la organización mantiene. Esta evaluación incluirá controles antifraude en toda la entidad, como un programa de denuncia de irregularidades, la supervisión del directorio y un código de conducta. Además, es necesario que se evalúe el riesgo de manipulación de controles por parte de la gerencia o alta dirección. Probar la eficacia operativa de los controles de prevención y detección de fraude Una vez identificados los controles relevantes, es necesario probarlos para determinar si están funcionando adecuada y eficazmente. La función de auditoría interna debería estar muy involucrada en estas pruebas y evaluaciones. 55 Semanas 1 2 3 4 5 6 7 Documentar e informar la evaluación del riesgo de fraude La evaluación del riesgo de fraude debe incluir: Los tipos de fraude que tienen alguna posibilidad de ocurrir. El riesgo inherente de fraude, considerando la disponibilidad de activos líquidos y vendibles, la moral de la organización, rotación de empleados, historial de fraude y pérdidas, y otros aspectos específicos de las áreas del negocio. La idoneidad de los programas antifraude, seguimiento y controles preventivos existentes. Las posibles brechas (debilidades) en los controles de fraude de la organización, incluida la segregación de funciones. La probabilidad de que ocurra un fraude significativo. El impacto empresarial del fraude. Marco COSO para la gestión del riesgo de fraude El Principio 8 del Marco Integrado de Control Interno de COSO de 2013 requiere que las organizaciones consideren “el potencial de fraude al evaluar los riesgos para el logro de los objetivos”. La Guía de gestión del riesgo de fraude complementa este marco al proporcionar información sobre cómo realizar una evaluación del riesgo de fraude, así como orientación sobre cómo establecer un programa general de gestión del riesgo de fraude. La siguiente tabla ilustra cómo el marco COSO utiliza los cinco componentes del control interno como base para establecer cinco principios de gestión del riesgo de fraude. A partir de estos principios, las 56 Semanas 1 2 3 4 5 6 7 organizaciones pueden desarrollar un programa para gestionar el riesgo de fraude que se ajuste a sus necesidades. Así mismo, establece consideraciones de los auditores internos deberían considerar en la evaluación del riesgo de fraude de la organización. El programa de gestión del riesgo de fraude permitirá a la organización establecer: Un entorno de control sólido. Actividades de riesgo confiables que gestionan el fraude dentro de los apetitos establecidos por la alta dirección y el directorio. Controles preventivos, detectivos y correctivos efectivos del riesgo de fraude. Un flujo de información listo para respaldar las actividades de gestión del riesgo de fraude. Un medio para monitorear, evaluar y realizar mejoras continuas al programa. 57 Semanas 1 2 3 4 5 6 7 Tabla 2 Componentes de control interno de COSO y principios de gestión del riesgo de fraude: Guía para auditores internos Programa de evaluación del riesgo de Marco de gestión del riesgo de fraude fraude Componentes de Gestión del riesgo de fraude Ejemplo control interno Control de detección y prevención de fraude bien documentado, actividades, tales como: ID de usuario y autenticación. Altas y bajas de usuarios. Análisis d varianza y análisis de Actividad de control de fraude: datos proactivo. la organización selecciona, Conciliaciones de cuentas. desarrolla, y despliega medidas Capacitación sobre concientización preventivas y actividades de sobre fraude para todos los 3. Actividades de detección de fraude de control empleados. control para mitigar el riesgo de eventos Vacaciones obligatorias y rotaciones de fraude. laborales para reducir la posibilidad de que las personas encubran Ocurriendo o no siendo detectado esquemas de fraude. en de manera oportuna. Línea directa antifraude y encuestas anónimas. Protección de denunciantes. Conteos físicos periódicos. Seguridad física y vigilancia. Revisiones de gestión continuas y ad hoc. 58 Semanas 1 2 3 4 5 6 7 Programa de evaluación del riesgo de Marco de gestión del riesgo de fraude fraude Componentes de Gestión del riesgo de fraude Ejemplo control interno Sistemas de planificación previa, investigación y correctivos, procesos de acción: Estrategia de comunicación del Investigación de fraude y acción riesgo de fraude, incluyendo correctiva: la organización procedimientos para escalamiento establece un proceso de y evaluación de potenciales eventos comunicación para obtener de fraude reales. 4. Información y información sobre fraude potencial Seguimiento de las actividades de comunicación e implementa un enfoque control. coordinado para la investigación Revisión cíclica ("rápido, competente y acción correctivo para abordar y confidencial", COSO). el fraude de manera adecuada y Investigaciones de fraude y mala oportuna. conducta. Análisis de la causa raíz. Pronta resolución del incumplimiento. Acción disciplinaria según sea necesario. Sistema de seguimiento y evaluación del Gestión del riesgo de fraude riesgo de fraude, programa de gestión general integrado en la rutina. Actividades de monitoreo: la organización selecciona, Procesos de negocios: desarrolla y realiza evoluciones continuas para determinar si Evaluaciones holísticas periódicas y cada uno de los cinco principios ad hoc del programa de gestión del de la gestión del riesgo de fraude 5. Monitoreo riesgo de, incluyendo informes de está presente y funcionando y CAE a la alta dirección y al consejo comunica las deficiencias del de administración. programa de gestión del riesgo Capacidad de respuesta de la de fraude de manera oportuna a administración a los hallazgos de las partes responsables de tomar la auditoría interna de evaluaciones medidas correctivas, incluidos continuas y periódicas y otras los altos directivos, gerencia y el revisiones. consejo de administración. Resolución oportuna de debilidades. Nota. Adaptado de Practice Guide: Internal Audit and Fraud, por The Institute of Internal Auditors, 2022, Auditors CC BY 2.0. 59 Semanas 1 2 3 4 5 6 7 Los denunciantes son fundamentales para la disuasión y detección del fraude. Las denuncias son el método más común de detección, y un sistema de reporte anónimo, bien administrado y confidencial, puede disuadir de que se produzcan muchos esquemas de fraude. Dicho sistema puede incluir una línea directa, una línea web, un correo electrónico, una aplicación móvil y un buzón de correo físico. Las sospechas de fraude de los denunciantes deben informarse a la gerencia, a una unidad de investigación de fraude, a un miembro de la junta directiva, a auditoría interna u otro destinatario adecuado. Deben existir procesos para garantizar que estos se investiguen con prontitud y se escalen en consecuencia. Evaluación de la gobernanza y la gestión del riesgo de fraude en toda la organización Para proporcionar aseguramiento en toda la organización sobre la gobernanza y la gestión del riesgo de fraude, los auditores internos deberán evaluar la idoneidad y eficacia de: Las estructuras y los procesos de gobernanza del riesgo de fraude. El programa de gestión del riesgo de fraude (utilizando un modelo adecuado como la Guía de Gestión del Riesgo de Fraude COSO). Actividad de control y seguimiento del fraude por parte de la Dirección. Al hacerlo, los auditores internos pueden aprovechar el conocimiento y la comprensión de trabajos anteriores en los que se consideraron riesgos de fraude significativos. Los auditores internos tienen una 60 Semanas 1 2 3 4 5 6 7 presencia continua en la organización que les proporciona una comprensión acumulativa de la organización y sus sistemas de control. Además, como parte de su revisión, los auditores internos deben realizar una evaluación del riesgo de fraude en toda la organización, trabajando con quienes desempeñan funciones de primera y segunda línea, manteniendo al mismo tiempo la independencia y la objetividad. Los auditores internos pueden realizar auditorías proactivas para buscar actos fraudulentos como la apropiación indebida de activos y la tergiversación de información. Para ello podrán utilizar técnicas de auditoría asistidas por ordenador, como auditoría continua, extracción de datos y análisis de datos. Los auditores internos también pueden emplear procedimientos analíticos y de otro tipo para encontrar elementos inusuales y realizar análisis detallados de cuentas y transacciones de alto riesgo para identificar posibles fraudes. Proceso de evaluación del riesgo de fraude en toda la organización de Auditoría Interna Si bien la administración es responsable de poner en práctica la gestión del riesgo de fraude, la actividad de auditoría interna debe liderar la evaluación del riesgo de fraude con aportes de la administración. Debe discutir los resultados con los gerentes responsables y, en algunos casos, se puede esperar que comparta sus hallazgos con auditores externos, dependiendo de las leyes y regulaciones, o por otras razones. La tabla a continuación ilustra los pasos apropiados para que la actividad de auditoría interna complete su evaluación de los riesgos de fraude, utilizando los componentes 10-14 de Gestión de Riesgos Empresariales de COSO: Integración de estrategia y desempeño, 2017 como estructura. 61 Semanas 1 2 3 4 5 6 7 Tabla 3 Evaluación del riesgo de fraude a nivel de organización de la actividad de auditoría interna Componentes del COSO y principios Evaluación del riesgo de fraude de la auditoría interna 10-14 Identifique el potencial de fraude en el contexto de los 10. Identifica objetivos y operaciones de la organización utilizando: el riesgo: La Listas de verificación. organización Evaluaciones previamente completadas (como identifica el riesgo evaluaciones de riesgos realizadas por la gerencia que impacta el y las unidades de negocios, auditoría interna y otros desempeño de proveedores de aseguramiento y consultores). la estrategia y Reuniones de investigación de hechos. los objetivos Entrevistas, encuestas, sesiones de lluvia de ideas comerciales. y grupos focales con partes interesadas de toda la organización en todos los niveles. Evaluar la gravedad del riesgo de fraude: 11. Evalúa la Identificando factores de fraude relevantes y posibles gravedad de riesgo: esquemas de fraude. La organización Aplicar criterios apropiados (incluidas medidas de evalúa la gravedad probabilidad, impacto, velocidad, etc., consistentes del riesgo. con los enfoques organizacionales para la evaluación de riesgos). 12. Prioriza los riesgos: La Analizar y evaluar los riesgos de fraude y priorizar organización prioriza en consecuencia en el contexto de los objetivos riesgos como base organizacionales. para seleccionar respuestas a riesgos. 62 Semanas 1 2 3 4 5 6 7 Componentes del COSO y principios Evaluación del riesgo de fraude de la auditoría interna 10-14 13. Implementa Revisar las respuestas al riesgo de fraude organizacional respuestas a mediante: los riesgos: La Mapeo o revisión de mapas existentes de procesos organización y controles existentes relacionados con cada posible identifica y esquema de fraude. selecciona Evaluar el riesgo residual e identificar las prioridades respuestas a los de aseguramiento. riesgos. Considere las interrelaciones entre los riesgos de fraude y el impacto de otros riesgos sobre el potencial de 14. Desarrolla una fraude. Los factores pueden incluir: visión de cartera: Reestructuración, expansión, consolidación, fusiones La organización y adquisiciones. desarrolla y evalúa Cambios de roles y responsabilidades. una visión de riesgo Rotación de personal, ausencias y escasez. de cartera. Disposiciones de reconocimiento, recompensa, promoción y compensación. Condiciones económicas. Nota. Adaptado de Practice Guide: Internal Audit and Fraud, por The Institute of Internal Auditors, 2022, Auditors CC BY 2.0. Evaluación del programa de gestión del riesgo de fraude La evaluación de auditoría interna de cada componente del programa de gestión del riesgo de fraude es fundamental para proporcionar aseguramiento sobre el riesgo de fraude en toda la organización. Es altamente recomendable que los auditores internos utilicen la Guía de gestión de riesgos de fraude de COSO, como marco de referencia para realizar las evaluaciones, esta guía se profundizará en el módulo: Gestión del riesgo de fraude. 63 Semanas 1 2 3 4 5 6 7 Semana 4 Unidad 3. Evaluación del riesgo de fraude desde la perspectiva de la auditoría interna (Parte 2) Evaluación del riesgo de fraude en los trabajos de auditoría interna El IIA Global (2017), publicó una guía práctica denominada “Planteamiento del trabajo – Evaluación del riesgo de fraude”, la cual describe las características del fraude y el proceso de identificación y evaluación de los riesgos de fraude que los equipos de auditoría interna deben tener en consideración durante la planificación de los proyectos, con el objetivo de brindar una mayor orientación para el cumplimiento de las responsabilidades de las funciones de auditoría interna en la organización. La guía establece lo siguiente: El fraude puede interrumpir las operaciones, presentar riesgos de cumplimiento, manchar la reputación de una organización y costar a una organización y sus partes interesadas una cantidad sustancial de dinero. Si bien la administración, con supervisión del Directorio, tiene la responsabilidad principal de establecer y monitorear controles efectivos para disuadir y detectar fraudes, la actividad de auditoría interna debe evaluar el riesgo de fraude, de acuerdo con las Normas Internacionales para la Práctica Profesional de Auditoría Interna. Además, el Director Ejecutivo de Auditoría (CAE, por sus siglas en inglés) debe informar sobre cuestiones importantes de riesgo y control, incluido el fraude, a la alta gerencia y al Directorio (Norma 2060 - Informes a la Alta Dirección y el Directorio). Las 64 Semanas 1 2 3 4 5 6 7 Normas requieren que la actividad de auditoría interna evalúe los riesgos de fraude a nivel organizativo y por cada trabajo de auditoría. Para garantizar una revisión adecuada de los riesgos relevantes para cada trabajo, los auditores internos deben realizar una evaluación de riesgo de fraude como parte de la planificación del proyecto (Norma 2210.A1). Con el tiempo, el conocimiento que la actividad de auditoría interna obtiene durante los trabajos programados se puede compilar en una evaluación de riesgo de fraude más sólida y completa en toda la organización. El proceso exacto de incorporación de una evaluación de riesgo de fraude en la planificación del trabajo puede variar según las necesidades de cada organización, la actividad de auditoría interna y el trabajo de auditoría. Sin embargo, el proceso generalmente incluye los siguientes pasos: Recopilar información para comprender el propósito y el contexto del trabajo de auditoría, así como el gobierno, la gestión del riesgo y los controles relevantes para el área o proceso bajo revisión. Hacer una lluvia de ideas sobre escenarios de fraude para identificar posibles riesgos de fraude. Evaluar los riesgos de fraude identificados para determinar qué riesgos requieren una evaluación adicional durante la plan
