Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
INSTITUTO POLITECNICO NACIONAL ESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN UNIDAD TEPEPAN SEMINARIO: LA AUDITORÍA INTERNA COMO INSTRUMENTO PARA LA TOMA DE DECISIONES GERENCIALES TEMA: “LA AUDITORÍA INTERNA EN LA PREVENCION Y DETECCION DE FRAUDES EN LA EMPRESA DE FABRICACIÓN DE CALZADO” INFORME FINAL QUE PARA OBTENER EL TITULO DE CONTADOR PÚBLICO PRESENTAN: OMAR TREJO BLANCO OMAR GALARZA RAMÍREZ OSCAR GARCIA PERIANES JUAN CARLOS JIMÉNEZ GÁMEZ JORGE DENNIS CONTRERAS ARCOS CONDUCTOR DEL SEMINARIO: C.P. CARLOS MARTÍNEZ ESTRELLA MÉXICO, D.F. MARZO 2009 AGRADECIMIENTOS A LA ESCUELA SUPERIOR DE COMERCIO Y ADMINSTRACIÓN UNIDAD TEPEPAN. Por semillero especialistas sociales y administrativas capaces de aportar en gran medida al desarrollo económico del país, de las empresas y organizaciones y de sus propias familias; por crear hermandad y amistad entre sus egresados; por ser una escuela capaz de crear la excelencia entre toda su comunidad. AL INSTITUTO POLITECNICO NACIONAL. Por ser uno de los principales entes dedicados a la excelencia en le enseñanza académica y creador de profesionistas especializados en la técnica al servicio de la patria; por ser un instituto público, laico que contribuye a las clases mas modestas del país a sobresalir y salir avantes en sus expectativas de vida. Por aportar ciencia y técnicas de vanguardia capaz de sobre salir entre las mejores del país y del mundo. Por la oportunidad de pertenecer a una Institución tan grande y rica en valores. A LOS PROFESORES. Por inspirar confianza entre sus alumnos; por enseñar la escuela de la vida profesional y laboral; por no guardar ningún conocimiento que pudiera contribuir al desarrollo humano de la carrera; por la amistad brindada y el apoyo incondicional que siempre nos mostraron. Gracias por tanta dedicación, empreño y cariño. ABREVIATURAS IMAI: Instituto Mexicano de Auditoría Interna. KAM: Metodología de la Auditoría de KPMG INC. SEC: US Securities and Exchange Commission COSO: Committee of Sponsoring Organizations of the Treadway Commission . TI: Tecnología de la Información. ERP: Sistema de Planeación de Recursos. EDI: Intercambio Electrónico de Datos. ERM: Enterprise Risk Management IMCP: Instituto Mexicano de Contadores Públicos. ACFE: Association of Certified Fraud Examiners. -4- I N D I C E INTRODUCCIÓN 06 OBJETIVO 07 JUSTIFICACIÓN 07 CAPITULO I. LA AUDITORÍA INTERNA 08 1.1 Normas de Auditoría Interna (IMAI) aplicables al fraude. 08 1.2 Independencia del Departamento de Auditoría interna 13 1.3 Identificación de las áreas de riesgo e indicadores de fraude. 15 1.4 Uso de herramientas de gestión. 22 1.5 Elaboración de programas de trabajo enfocados al fraude 32 1.6 Auditoría y control de los procesos informáticos 62 1.7 Incorporación de especialistas forenses 00 1.8 Ejemplos de pruebas enfocadas a la prevención y detección del fraude 80 CAPITULO II. CONTROL INTERNO 85 2.1 Definición de control interno 85 2.2 Técnicas de evaluación del control interno 89 2.3 Matriz de control interno 111 CAPITULO III. EL FRAUDE EN LA EMPRESA 115 3.1 Generalidades 115 3.2 Estadísticas 115 3.3 Definiciones y tipos de fraude 119 3.4 Perfil del auditor interno para la realización de una Auditoría Interna 122 enfocada al fraude 3.5 Repercusiones del fraude en la empresa 124 3.6 Descripción del “Defraudador” y etapas del proceso de fraude 125 3.7 Condiciones que generalmente se encuentran en un posible fraude. 126 -5- CAPITULO IV. ANTECEDENTES DE LA EMPRESA 130 CAPITULO V . CASO PRÁCTICO 131 CONCLUSIONES 144 GLOSARIO 145 BIBLIOGRAFÍA 147 -6- INTRODUCCIÓN El fraude es el delito más creativo, requiere de las mentes más agudas y podemos decir que es prácticamente imposible de evitar. En el momento en que se descubre el remedio, alguien inventa algo nuevo. Cabe destacar que aunque se puede controlar de cierta manera es casi imposible terminar con el fraude por su manera de evolucionar en nuevos fraudes y estrategias de la mente que las crea; Pero su detección a tiempo puede ahorrar un mal rato e inclusive pérdidas económicas. El auditor deberá planear la Auditoría de tal modo que exista una expectativa razonable de detectar anomalías importantes, resultantes del fraude y/o el error. Sin embargo la meta que se persigue en esta investigación responde a una necesidad y convicción inaplazables de fortalecer el control interno, ya que el fraude y el error, radican en la responsabilidad de la administración. Por otro lado, es interesante significar que sólo el dirigente que reconozca la necesidad de considerar la empresa como un conjunto de sistemas interrelacionados y entrelazados, habrá descubierto la clave para entender cómo opera realmente la empresa. Muchas empresas han dejado de existir como producto de sus falencias en el control interno, y en la falta de una auditoría interna que evalúe eficazmente la misma. La falta de buenos controles internos no sólo han dado lugar a estafas o defraudaciones, sino también a graves errores en materia de decisiones, producto de graves errores en materia de información. Ahora bien, cuando de custodia de activos o patrimonios se trata, la auditoría interna “tradicional” pone todo su acento en los activos físicos, derechos y obligaciones de las empresas, dejando desprotegidos activos tan valiosos como son los clientes y sus niveles de satisfacción, el personal y su capital intelectual, y la calidad de los bienes y servicios producidos por la empresa. La nueva visión de la auditoría interna, deberá estar enfocada e integrada a la Gestión Total de Calidad haciendo pleno uso de los diferentes instrumentos y herramientas de gestión a los efectos de lograr mayores niveles en la prestación de sus servicios. -7- OBJETIVO El presente estudio va dirigido al estudio de un problema común en las empresas, “el fraude”; el cual es fuente de interminables conflictos para las entidades económicas las cuales requieren por un lado contar con sistemas, controles y personal de confianza para apoyar en ellos la realización de los objetivos propuestos por la administración. Proporcionar las bases teóricas y técnicas de las Normas de Auditoría Interna aplicables al fraude, supuestos de aplicación y su forma de abordarlos; para que por medio de la participación del Auditor Interno en la revisión del Control Interno por áreas específicas se pueda inhibir y minimizar el riesgo de sufrir pérdidas por fraude. JUSTIFICACIÓN. En México y en el mundo se sabe que para realizar negocios influyen muchos factores; entre ellos el que se considera el pilar de cualquier tipo de negociación, es la Confianza, lo que se ha convertido en las ultimas décadas el activo intangible más importante para las empresas, pero también el más difícil de conseguir y mantener en una corporación. Todos los fraudes registrados se han detectado tiempo después de su ejecución y por error; pero ninguno se ha frustrado gracias a algún sistema de prevención en las empresas; esto nos lleva obligatoriamente a pensar en la eficacia de nuestros controles internos, hay que ¿renovarlos? ¿Cambiarlos? ¿Reforzarlos? Es cierto que a partir de casos documentados de fraude se han ido creando estatutos y regulaciones con el fin de inhibirlos o castigar a sus ejecutores; pero no se han enfocado a realizar acciones encaminadas a crear sistemas de prevención y detección oportuna para evitar los mismos. Sin duda esta labor debe ser realizada por las Gerencias Administrativas con apoyo, asesoría y vigilancia del Departamento de Auditoría Interna; ya que cuenta con el personal que cumple con el perfil y la preparación necesariapara darle el valor agregado al muy descuidado Control Interno de las empresas; tomando en cuenta que esté es la base más importante para determinar las políticas de prevención y detección de fraudes. El presente informe pretende abordar el tema el “Fraude” en las empresas del sector privado y en específico en industria del calzado comenzando con el planteamiento de esta problemática en México, su incidencia y recurrencia; posteriormente su definición; estudiando la lógica de sus ejecutores; para poder predecir sus acciones. Así mismo los diferentes tipos de fraude existentes en las organizaciones y la importancia del Auditor Interno para detectarlas, apoyado por diversas metodologías. Por último se enfoca todo este conocimiento a un caso práctico realizado en el transcurso del seminario de titulación basado en una industria de fabricación de calzado “Fabrica de calzado Destroyer, S. A. de C. V.”, la cual consta de diversos departamentos en los cuales se han padecido diversos casos de fraude; los evaluaremos en conjunto con su control interno para establecer medidas precautorias a implementar por la Administración. -8- CAPITULO I. LA AUDITORÍA INTERNA 1.1 Normas de Auditoría Interna (IMAI) aplicables al fraude. La mayoría de las organizaciones están expuestas a sufrir un fraude el cual afecta de manera directa a las operaciones de la misma, para evitar este tipo de riesgos es necesario establecer controles y saber identificar los errores que permitan que el fraude se lleve a cabo. A continuación describiremos brevemente que es el fraude y de igual manera enunciaremos algunas de las Normas de Auditoría aplicables al detectar este tipo de riesgos. Fraude. Cualquier acto ilegal caracterizado por engaño, ocultación o violación de confianza. Estos actos no requieren la aplicación de amenaza de violencia o de fuerza física. Los fraudes son perpetrados por individuos y por organizaciones para obtener dinero, bienes o servicios, para evitar pagos o pérdidas de servicios, o para asegurarse ventajas personales o de negocio. Un fraude puede ser el inicio de un gran problema para una organización, debido a que puede ser el origen de una serie de acciones que pueden culminar con la quiebra de la empresa. No es necesario saquear las cuentas bancarias de la organización para que esta tenga problemas financieros, ya que se puede presentar de diversas formas. Generalmente el realizar un fraude lleva tiempo, pues no es un simple robo o engaño, el fraude se caracteriza por la forma de actuar por parte del defraudador y los cuidados que este tiene antes, durante y después de la acción, pues trata de no cometer errores para que no sea descubierto. Los fraudes pueden ser llevados a cabo por el mismo personal de la organización, personal de confianza los cuales pueden actuar solos o en grupo y a su ves pueden participar terceras personas que tengan relación con la empresa, estos pueden ser los proveedores, acreedores, clientes por mencionar algunos. Es por ello que al efectuar una Auditoría Interna a nuestra empresa debemos estar atentos a cualquier situación de riesgo, por muy mínima que parezca es de gran importancia para la organización. Normas para el Ejercicio Profesional de la Auditoría Interna La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. -9- Las actividades de auditoría interna son ejercidas en ambientes legales y culturales diversos, dentro de organizaciones que varían en propósitos, tamaño y estructura, y por personas de dentro o fuera de la organización. Estas diferencias pueden afectar la práctica de la auditoría interna en cada ambiente. Sin embargo, el cumplimiento de las Normas para el Ejercicio Profesional de la Auditoría Interna, es esencial para el ejercicio de las responsabilidades de los auditores internos. El propósito de las Normas es: 1. Definir principios básicos que representen el ejercicio de la auditoría interna tal como este debería ser. 2. Proveer un marco para ejercer y promover un amplio rango de actividades de auditoría interna de valor añadido. 3. Establecer las bases para medir el desempeño de la auditoría interna. 4. Fomentar la mejora en los procesos y operaciones de la organización. Las Normas están constituidas por las Normas sobre Atributos (las Series 1000), las Normas sobre Desempeño (las Series 2000), y las Normas de Implantación (nnnn.Xn). Las Normas sobre Atributos tratan las características de las organizaciones y los individuos que desarrollan actividades de auditoría interna. Las Normas sobre Desempeño describen la naturaleza de las actividades de auditoría interna y proveen criterios de calidad contra los cuales puede medirse la práctica de estos servicios. Las Normas sobre Atributos y sobre Desempeño se aplican a los servicios de auditoría interna en general. Las Normas de Implantación aplican las Normas sobre Atributos y sobre Desempeño a tipos específicos de trabajos (por ejemplo, una auditoría de cumplimiento, una investigación de fraude, o un proyecto de autoevaluación de control). Hay un grupo de Normas sobre Atributos y sobre Desempeño. Sin embargo, podrá haber múltiples grupos de Normas de Implantación: un grupo para cada uno de los mayores tipos de actividades de auditoría interna. Inicialmente, las Normas de Implantación están siendo establecidas para actividades de aseguramiento (indicadas por una “A” a continuación del número de Norma, por ejemplo: 1130.A1) y para actividades de consultoría (indicadas por una “C” a continuación del número de Norma, por ejemplo: nnnn.C1). Las Normas forman parte del Marco para la Práctica Profesional. Este marco fue propuesto por el Equipo de Trabajo Guía y aprobado por el Consejo de Administración del IIA en junio de 1999. Contempla la Definición de Auditoría Interna, el Código de Ética, las Normas, y otras guías relacionadas. Las Normas incorporan la información contenida en el “Libro Rojo”, reconvirtiéndola en el nuevo formato propuesto por el mencionado Equipo de Trabajo Guía y actualizándola de acuerdo a lo recomendado por ese Equipo en su informe A Visión for the Future. Las Normas emplean términos que tienen significados específicos, los cuales están comprendidos en el Glosario. -10- El Consejo de Normas sobre Auditoría Interna realiza consultas extensivas al preparar las Normas. Antes de emitir cualquier documento, el Consejo de Normas expone borradores en el ámbito internacional para comentarios del público. De ser necesario, dicho Consejo recurre también a consulta con aquellos que tengan especial experiencia o intereses en el tema. El desarrollo de normas es un proceso continuo. El Consejo de Normas favorece los comentarios de los socios del IIA y demás partes interesadas en identificar cuestiones emergentes que requieran nuevas normas o la revisión de las normas actuales. En el ejercicio profesional de Auditoría Interna siempre se debe actuar conforme al código de ética y las Normas que se tienen para realizar el trabajo, por otra parte existen ciertas normas que pueden aplicarse de acuerdo al criterio de cada auditor. Al realizar una Auditoría no debemos olvidar que el trabajo debe apegarse a las Normas de Auditoría establecidas para dicha actividad, ya sean las publicadas por el Instituto Mexicano de Contadores Públicos o las de Instituto Mexicano de Auditores Internos, aunque su contenido es distinto, persiguen el mismo fin el cual es llevar a obtener mejores resultados en la Auditoría. Normas de Auditoría Interna (IMAI).1130 – Impedimentos a la Independencia u Objetividad Si la independencia u objetividad se viese comprometida de hecho o en apariencia, los detalles del impedimento deben darse a conocer a las partes correspondientes. La naturaleza de esta comunicación dependerá del impedimento. 1130.A1 – Los auditores internos deben abstenerse de evaluar operaciones específicas de las cuales hayan sido previamente responsables. Se presume que hay impedimento de objetividad si un auditor provee servicios de aseguramiento para una actividad de la cual el mismo haya tenido responsabilidades en el año inmediato anterior. 1130.A2 – Los trabajos de aseguramiento para funciones por las cuales el director ejecutivo de auditoría tiene responsabilidades deben ser supervisadas por alguien fuera de la actividad de auditoría interna. 1220 – Debido Cuidado Profesional Los auditores internos deben cumplir su trabajo con el cuidado y la pericia que se esperan de un auditor interno razonablemente prudente y competente. El debido cuidado profesional no implica infalibilidad. -11- 1220.A1 - El auditor interno debe ejercer el debido cuidado profesional al considerar: • El alcance necesario para alcanzar los objetivos del trabajo. • La relativa complejidad, materialidad o significatividad de asuntos a los cuales se aplican procedimientos de aseguramiento. • La adecuación y eficacia de los procesos de gestión de riesgos, control y gobierno. • La probabilidad de errores materiales, irregularidades o incumplimientos. • El costo de aseguramiento en relación con los potenciales beneficios. 1220.A2 - El auditor interno debe estar alerta a los riesgos materiales que pudieran afectar los objetivos, las operaciones o los recursos. Sin embargo, los procedimientos de aseguramiento por sí solos, incluso cuando se llevan a cabo con el debido cuidado profesional, no garantizan que todos los riesgos materiales sean identificados. 2110 – Gestión de Riesgos La actividad de auditoría interna debe asistir a la organización mediante la identificación y evaluación de las exposiciones significativas a los riesgos, y la contribución a la mejora de los sistemas de gestión de riesgos y control. 2110.A1 - La actividad de auditoría interna debe supervisar y evaluar la eficacia del sistema de gestión de riesgos de la organización. 2110.A2 – La actividad de auditoría interna debe evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de la organización, con relación a lo siguiente: • Confiabilidad e integridad de la información Financiera y operativa. • Eficacia y eficiencia de las operaciones, • Protección de activos, y • Cumplimiento de leyes, regulaciones y contratos. 2410 – Criterios para la Comunicación Las comunicaciones deben incluir los objetivos y alcance del trabajo así como las conclusiones correspondientes, las recomendaciones, y los planes de acción. 2410.A1 - La comunicación final de resultados debe incluir, si corresponde, la opinión general del auditor interno. 2410.A2 – En las comunicaciones del trabajo se debe reconocer cuando se observa un desempeño satisfactorio. -12- 2410.C1 – Las comunicaciones sobre el progreso y los resultados de los trabajos de consultoría variarán en forma y contenido dependiendo de la naturaleza del trabajo y las necesidades del cliente. 2500 – Supervisión del Progreso El director ejecutivo de auditoría debe establecer y mantener un sistema para supervisar la disposición de los resultados comunicados a la dirección. 2500.A1 - El director ejecutivo de auditoría debe establecer un proceso de seguimiento, para supervisar y asegurar que las acciones de la dirección hayan sido efectivamente implantadas o que la dirección superior ha aceptado el riesgo de no tomar acción. 2500.C1 – La actividad de auditoría interna debe supervisar la disposición de los resultados de los trabajos de consultoría, hasta el grado de alcance acordado con el cliente. 2600 - Aceptación de los Riesgos por la Dirección Cuando el director ejecutivo de auditoría considere que la alta dirección ha aceptado un nivel de riesgo residual que es inaceptable para la organización, debe discutir esta cuestión con la alta dirección. Si la decisión referida al riesgo residual no se resuelve, el director ejecutivo de auditoría y la alta dirección deben informar esta situación al Consejo para su resolución. Normas de Auditoría Generalmente Aceptadas (IMCP). Ahora mencionaremos algunas de las Normas de Auditoría establecidas por el Instituto Mexicano de Contadores Públicos para el tratamiento de fraudes detectados en la práctica profesional de una auditoría interna. Estas normas pueden aplicarse conjuntamente con las normas establecidas por el IMAI. 3030 Importancia relativa y riesgo de Auditoría 3040 Planeación y supervisión del trabajo de Auditoría 3070 Consideraciones sobre fraude que deben hacerse en una Auditoría de estados financieros. 3080 Declaraciones de la administración 3130 Efecto en la Auditoría por incumplimiento de una entidad con leyes y reglamentos. 4100 Opinión sobre el control interno contable 6060 Muestreo estadístico en Auditoría 6080 Ayuda para prevenir, disuadir y detectar el fraude. -13- 1.2 Independencia del Departamento de Auditoría Interna En la actualidad en México son muy pocas las empresas u organizaciones que se dan a la tarea de incluir un Departamento de Auditoría Interna dentro de su estructura organizacional, el departamento de AI, es de gran importancia dentro de cualquier organización, no importando el giro comercial al que esta se dedique, puesto que las empresas están expuestas a sufrir grandes daños a través de pequeños riesgos que se originan dentro de la misma ya sea por errores, incumplimiento de políticas, malversación de información, abuso de poder y/o confianza por parte del personal, etc. En la actualidad las empresas tienden a ser dañadas por el mismo personal que labora en ella, y puede llevarse a cabo por una o un grupo de personas, y de ahí se puede generar un gran riesgo en la empresa si no es detectado a tiempo dicho daño. El riesgo que corre una empresa al ser atacada en su control interno es desde una simple falsificación de información hasta un gran desfalco financiero, el cual puede ser por : vaciado de las cuentas bancarias, aplicación de recursos de la empresa en gastos no propios de la misma, perdida de facturas, personal ficticio dentro de la nomina, entre otros. Es por eso que se debe de tomar en cuenta la creación de un departamento de Auditoría Interna dentro de la organización, el cual debe estar formado por el personal que cumpla con el perfil de los puestos que en el mismo se encuentran. La Auditoría Interna debe funcionar como una actividad concebida para agregar valor y mejorar las operaciones de una organización, así como contribuir al cumplimiento de sus objetivos y metas; aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y dirección. Los servicios de Auditoría comprenden la evaluación objetiva de las evidencias, efectuada por los auditores internos, para proporcionar una conclusión independiente que permita calificar el cumplimiento de las políticas, reglamentaciones, normas, disposiciones jurídicas u otros requerimientos legales; respecto a un sistema, proceso, subproceso, actividad, tarea u otro asunto de la organización a la cual pertenecen. En toda entidad bien organizada y para poder mantener la vigilancia sobre la cadena de control de dirección, se hace necesario la creación de un programa sistemático de revisión y valoración para comprobar que las responsabilidades delegadas han sido bien encausadas y que las políticas y procedimientos establecidos se han llevado tal como estaba previsto.Además, es de suma importancia que exista una revisión regular por un personal calificado para determinar que el sistema de control interno en general es el adecuado, y mediante pruebas constantes, determinar que han resultado operativamente efectivos. De existir fallas, deficiencias o cambios en las condiciones existentes, -14- debido a lo cual el sistema de control interno resulte inefectivo, debe ser modificado apropiadamente efectuando los cambios necesarios a las nuevas situaciones. Debemos insistir, que con independencia de la supervisión que ejerza el auditor interno sobre el cumplimiento de las responsabilidades delegadas por la dirección a sus ejecutivos, y de la verificación constante sobre el cumplimiento de los sistemas de control interno vigentes, es parte de su responsabilidad la obtención de evidencias suficientes y competentes que le permitan dictaminar, sobre la exactitud de la situación económico- financiera que presenta la entidad y cuyos resultados muestran los estados financieros que periódicamente se emiten. Consideramos que un auditor interno puede convertirse en los ojos y oídos de la dirección de la empresa, teniendo en cuenta, no solo su calificación y ética moral, sino porque se trata de un funcionario que con el tiempo logra obtener un alto dominio de todas y cada una de sus funciones de la entidad donde labora, lo que le permite convertirse en un asesor de o de los ejecutivos de la gestión empresarial. El departamento de Auditoría Interna dentro de la estructura organizacional no se debe considerar en un nivel jerárquico inferior al de las gerencias, debido a que no depende de ninguna de ellas, se podría decir que el jefe directo de está área es el Consejo Administrativo y la Dirección General y que el papel que determinan es considerado como staff. Fig. 1.2.1 El Departamento de Auditoría Interna en la estructura organizacional. Fig. 1.2.1 En este organigrama general se puede observar el nivel jerárquico del departamento de Auditoría Interna cuando forma parte de la empresa y cuando se requiere de una asesoría externa (outsourcing). -15- 1.3 Identificación de las áreas de riesgo e indicadores de fraude Los miembros del departamento de Auditoría interna deben discutir la susceptibilidad de los estados financieros de la entidad a contener errores e irregularidades importantes. Se deberá de sostener una discusión sobre evaluación de riesgos y planeación y documentamos los temas discutidos, conjuntamente con la fecha y los participantes de la discusión. Se realizará esta discusión durante la Planeación, después que se haya completado los procedimientos de evaluación de riesgos, obtenido nuestro entendimiento de la entidad y efectuado una determinación preliminar de los riesgos identificados. Posteriormente se deberá considerar, como mínimo, los siguientes temas: • La importancia del escepticismo profesional y las responsabilidades de los miembros del equipo de trabajo (que incluyen mantener una mentalidad objetiva, el nivel adecuado de escepticismo profesional y realizar el trabajo con el principio ético de debido cuidado) • El entendimiento de la entidad resultante de nuestros procedimientos de evaluación de riesgos. • La susceptibilidad de los estados financieros de la entidad a contener errores e irregularidades importantes, ya sea debido a fraude (Programa de Auditoría para Temas Específicos - Fraude) o error • Los riesgos identificados con respecto a los estados financieros (y, para las cuentas y revelaciones significativas, con respecto a las aseveraciones • Los asuntos que se han de comunicar a los miembros del equipo (incluyendo tanto la localidad de origen como las participantes) que no participe en la discusión. El objetivo de esta discusión es que los miembros del equipo de trabajo obtengan un mejor entendimiento del potencial de que ocurran errores e irregularidades importantes en los estados financieros que resulten de fraude o de error en las áreas específicas que se les han asignado y para entender cómo los resultados de los procedimientos de auditoría efectuados por ellos pueden afectar otros aspectos de la auditoría, incluyendo las decisiones sobre la naturaleza, la oportunidad y el alcance de los procedimientos adicionales de auditoría. La discusión provee una oportunidad para que los miembros del equipo de trabajo con más experiencia, incluyendo al socio encargado, compartan sus ideas basados en su conocimiento de la entidad y que los miembros del equipo intercambien información sobre los riesgos del negocio a que está sujeta la entidad y sobre cómo y dónde los estados financieros podrían ser susceptibles a contener errores e irregularidades importantes. -16- Se hace un énfasis especial en la susceptibilidad de los estados financieros de la entidad a contener errores e irregularidades importantes debido a fraude. La discusión también aborda la aplicación de la estructura aplicable de emisión de informes financieros a los hechos y circunstancias de la entidad. El gerente usa la discusión sobre evaluación de riesgos y planeación para dirigir el trabajo de auditoría e informa a los miembros del equipo de trabajo sobre sus responsabilidades, la naturaleza del negocio de la entidad, los problemas relacionados con riesgos, los problemas que pueden surgir y el enfoque esperado en el desempeño del trabajo. Se exhorta a los miembros del equipo de trabajo a que les planteen preguntas a los miembros del equipo con más experiencia. Se usa juicio profesional para determinar qué miembros del equipo de trabajo, incluyendo a los especialistas que intervendrán, si corresponde, se incluyen en la discusión, cómo y cuándo se sostiene y el alcance de la discusión. Normalmente los miembros clave del equipo de trabajo participan en la discusión; sin embargo, no es necesario que todos los miembros del equipo tengan un conocimiento completo de todos los aspectos de la Auditoría. El alcance de la discusión está influenciado por las funciones, la experiencia y las necesidades de información de los miembros del equipo de trabajo. Otro factor que se ha de considerar al planear las discusiones es si se debe incluir a los especialistas asignados al equipo de trabajo. Por ejemplo, es posible que determinemos incluir a un profesional del equipo de trabajo que posea habilidades especializadas de tecnología de información (TI) o de otro tipo y, por lo tanto, incluimos a ese individuo en la discusión. Planeamos y efectuamos la auditoría con una actitud de escepticismo profesional. La discusión entre los miembros del equipo de trabajo enfatiza la necesidad de mantener el escepticismo profesional durante todo el trabajo, de estar alerta a información u otras condiciones que indiquen que pueda haber ocurrido un error e irregularidad importante debido a fraude o a error y de ser rigurosos en el seguimiento de esas indicaciones. Dependiendo de las circunstancias de la auditoría, puede que haya otras discusiones para poder facilitar el intercambio permanente de información entre los miembros del equipo de trabajo sobre la susceptibilidad de los estados financieros de la entidad a contener errores e irregularidades importantes. El propósito es que los miembros del equipo de trabajo comuniquen y compartan la información obtenida durante toda la auditoría que pueda afectar la evaluación de los riesgos de que ocurran errores e irregularidades importantes debido a fraude o a error o los procedimientos de auditoría efectuados para abordar esos riesgos. -17- Dependiendo del tamaño y la complejidad del trabajo, así como de otras circunstancias que pueden ser relevantes a juicio del socio encargado, la discusión inicial opcional y la discusión requerida sobre evaluación de riesgos y planeación pueden combinarse o dividirse en varias reuniones.Es importante que todos los asuntos indicados se discutan entre los miembros del equipo de trabajo en algún momento durante la Planeación. Documentación de la discusión sobre evaluación de riesgos y planeación Debemos documentar la discusión entre los miembros del equipo de trabajo sobre la susceptibilidad de los estados financieros de la entidad a contener errores e irregularidades importantes debido a fraude o a error y las decisiones significativas alcanzadas. Documentamos lo siguiente: • La fecha de la reunión • Los participantes y • Los temas discutidos. Los riesgos con respecto a los estados financieros y con respecto a las aseveraciones que se identifiquen. El formato y el alcance de la documentación de los resultados de nuestra evaluación de riesgos están influenciados por la naturaleza, el tamaño y la complejidad de la entidad y su control interno y la disponibilidad de información de la entidad. Normalmente, mientras más compleja sea la entidad y más extensos sean los procedimientos de auditoría efectuados, más extensa será nuestra documentación. Consideraciones específicas relacionadas con fraude que han de abordarse durante la discusión sobre evaluación de riesgos y planeación Los miembros del equipo de trabajo deben discutir la susceptibilidad de los estados financieros de la entidad a contener errores e irregularidades importantes debido a fraude. El gerente encargado usa su juicio profesional, previa experiencia con la entidad, si corresponde, y su conocimiento de los acontecimientos actuales para determinar qué otros miembros del equipo de auditoría se incluyen en la discusión sobre la susceptibilidad de los estados financieros de la entidad a contener errores e irregularidades importantes debido a fraude. La discusión provee una oportunidad para que los miembros del equipo de trabajo con más experiencia compartan sus ideas sobre cómo y dónde los estados financieros pueden ser susceptibles a contener errores e irregularidades importantes debido a fraude. -18- El gerente encargado considera qué asuntos han de comunicarse a los miembros del equipo de trabajo que no participen de la discusión. Se informa a los miembros del equipo de trabajo de todas las decisiones tomadas en la discusión que sean relevantes a su participación en la auditoría. Por ejemplo, es posible que algún miembro del equipo de trabajo que participe en la auditoría de un componente de la entidad no necesite saber qué decisiones se tomaron con respecto a otros componente de la entidad. La discusión sobre la susceptibilidad de los estados financieros de la entidad a contener errores e irregularidades importantes debido a fraude puede incluir: • Un intercambio de ideas entre los miembros del equipo de trabajo sobre cómo y dónde ellos consideran que los estados financieros de la entidad pueden ser susceptibles a contener errores e irregularidades importantes debido a fraude, cómo la gerencia podría cometer y ocultar la emisión de informes financieros fraudulentos y cómo podrían malversarse los activos de la entidad. • Una consideración de las circunstancias que podrían ser indicativas de administración de las ganancias y las prácticas que podría usar la gerencia para administrar las ganancias que podrían dar lugar a la emisión de informes financieros fraudulentos. • Una consideración de los factores conocidos externos e internos que afectan a la entidad que pueden crear un incentivo o una presión para que la gerencia u otros cometan fraude, proveer la oportunidad para que se cometa fraude e indicar una cultura o un ambiente que le permita a la gerencia o a otros a racionalizar el hecho de cometer fraude (el "triángulo de fraude"). • Una consideración de la participación de la gerencia en la supervisión de los empleados que tienen acceso al efectivo o a otros activos que sean susceptibles a malversación. • Una consideración de los cambios poco usuales o sin explicación en el comportamiento o estilo de vida de la gerencia o los empleados de que el equipo de trabajo se haya percatado. • Un énfasis en la importancia de mantener la mentalidad adecuada durante toda la auditoría sobre el potencial de que ocurran errores e irregularidades importantes debido a fraude, incluyendo una actitud de escepticismo profesional y una mente inquisitiva, dejando a un lado las percepciones anteriores que hayan podido tener los miembros del equipo de trabajo de que la gerencia y los encargados de la dirección de la entidad sean honestos y tengan integridad. -19- • Una consideración de los tipos de circunstancias que, de encontrarse, podrían indicar la posibilidad de fraude. • Una consideración de cómo se incorporará un elemento de imprevisibilidad en la naturaleza, la oportunidad y el alcance de los procedimientos de auditoría que se han de efectuar. • Una consideración de los procedimientos de auditoría que podrían seleccionarse para responder a la susceptibilidad de que los estados financieros de la entidad contengan errores e irregularidades importantes debido a fraude y si ciertos tipos de procedimientos de auditoría son más eficaces que otros. • Una consideración de los alegatos de fraude de que nos hayamos percatado. • Una consideración del riesgo de que la gerencia evada los controles. • Una consideración de los asuntos relacionados con fraude que se hayan identificado en la auditoría anterior, incluyendo casos ocurridos de emisión de informes financieros fraudulentos o de malversación de activos o riesgos identificados de fraude con respecto a los estados financieros o con respecto a las aseveraciones. Discutimos la susceptibilidad de los estados financieros de la entidad a contener errores e irregularidades importantes debido a fraude como parte de nuestra discusión sobre evaluación de riesgos y planeación. La discusión nos permite: • Considerar una respuesta adecuada a la susceptibilidad de los estados financieros de la entidad a contener errores e irregularidades importantes debido a fraude • Determinar qué miembros del equipo de trabajo efectuarán ciertos procedimientos de auditoría • Determinar cómo se compartirán los resultados de los procedimientos de auditoría entre los miembros del equipo de trabajo y • Determinar cómo manejar los alegatos de fraude de que nos percatemos. La discusión sobre la susceptibilidad de los estados financieros de la entidad a contener errores e irregularidades debido a fraude ocurre con una mente inquisitiva dejando a un lado las percepciones que puedan tener los miembros del equipo de trabajo de que la gerencia y los encargados de la dirección de la entidad sean honestos y tengan integridad. Después de la discusión inicial durante la planeación de la auditoría, y además a intervalos a través de toda la auditoría, los miembros del equipo de trabajo continúan comunicando y compartiendo la información obtenida -20- que pueda afectar la evaluación de los riesgos de que ocurran errores e irregularidades importantes debido a fraude o los procedimientos de auditoría efectuados para abordar dichos riesgos. En la sección correspondiente del capítulo de Temas Específicos del KAM se incluyen las políticas, los requisitos y orientación adicionales sobre fraude. En los trabajos de diferentes localidades, la localidad de origen puede incluir a las localidades participantes en la discusión de su equipo de trabajo para identificar los riesgos de fraude de diversas maneras: • La localidad de origen pueden incluir representantes de los equipos de las localidades participantes (como mínimo, el socio encargado) en la discusión del equipo de trabajo de la localidad de origen sobre los riesgos de fraude (la discusión puede hacerse por medio de una conferencia telefónica). Normalmente, las localidades participantes participanen la discusión sólo con respecto a los temas relevantes; sin embargo, los resultados de la evaluación completa del riesgo de fraude se comunican en una fase posterior. • La localidad de origen puede efectuar la evaluación de toda la entidad mediante una reunión de los miembros del equipo de trabajo de la localidad de origen, y comunicar los resultados (los riesgos de fraude del grupo preliminar) a las localidades participantes para que los incluyan en su proceso local de evaluación de riesgo de fraude. La localidad de origen puede concertar conferencias telefónicas individuales con las localidades participantes para discutir los resultados del proceso local de evaluación del riesgo de fraude, con la posibilidad de agregar al grupo los riesgos de fraude identificados. • Como parte de otras comunicaciones sostenidas durante la Planeación por la localidad de origen con las localidades participantes, puede incluirse una discusión de equipo sobre el riesgo de fraude como un punto de la agenda, siempre que se dedique el tiempo y la atención adecuados al tema. La oficina de origen puede proveerle una agenda a las oficinas participantes para asistirlas a sostener reuniones del equipo de trabajo en su localidad y comunicarle los asuntos identificados como resultado de la discusión a la oficina de origen (es decir, los factores potenciales de riesgo de fraude que afectan al componente de la entidad auditado por la oficina participante). Resumen de riesgos identificados Riesgo de auditoría Cuando efectuamos una auditoría obtenemos y evaluamos la evidencia de auditoría para obtener una certeza razonable sobre si los estados financieros presentan una imagen verdadera y razonable (o se presentan de manera razonable, en todos los aspectos importantes) de acuerdo con la estructura aplicable de emisión de informes financieros. El concepto de la certeza razonable reconoce que existe un riesgo de que la opinión de auditoría sea -21- inadecuada. El riesgo de auditoría es el riesgo de que expresemos una opinión de auditoría inadecuada cuando los estados financieros contengan errores e irregularidades importantes. Debemos planear y efectuar la auditoría con una actitud de escepticismo profesional que reconozca que pueden existir circunstancias que ocasionen que los estados financieros contengan errores e irregularidades importantes. Una actitud de escepticismo profesional significa que efectuamos una evaluación crítica, con una mente inquisitiva, de la validez de la evidencia de auditoría obtenida y estamos alerta a la evidencia de auditoría que contradice o plantea una duda sobre la confiabilidad de los documentos o las representaciones de la gerencia. Al planear y efectuar la auditoría, no suponemos que la gerencia es deshonesta ni tampoco suponemos que existe una honestidad incuestionable. Por lo tanto, las representaciones de la gerencia no substituyen el hecho de obtener evidencia suficiente y adecuada de auditoría para poder llegar a conclusiones razonables en las que basar nuestra opinión de auditoría. Debemos identificar y evaluar los riesgos de que ocurran errores e irregularidades importantes con respecto a los estados financieros y con respecto a las aseveraciones para las clases de transacciones, los saldos de cuenta y las revelaciones. Con este propósito: • Identificamos los riesgos durante todo el proceso de obtener un entendimiento de la entidad y de su ambiente, incluyendo los controles relevantes que corresponden a los riesgos, y considerando las clases de transacciones, los saldos de cuenta y las revelaciones en los estados financieros • Relacionamos los riesgos identificados con lo que puede fallar con respecto a las aseveraciones • Consideramos si los riesgos son de tal magnitud que podrían resultar en que ocurran errores e irregularidades en los estados financieros • Consideramos la probabilidad de que los riesgos podrían resultar en que ocurran errores e irregularidades en los estados financieros y • Definimos los objetivos de auditoría con respecto a los riesgos. Usamos la información recopilada mediante el desempeño de procedimientos de evaluación de riesgos, incluyendo la evidencia de auditoría obtenida al evaluar el diseño de los controles y determinar si éstos se han implantado, como evidencia de auditoría para respaldar la evaluación de riesgos. -22- Usamos la evaluación de riesgos para determinar la naturaleza, la oportunidad y el alcance de los procedimientos adicionales de auditoría que se han de efectuar. Determinamos si los riesgos identificados de que ocurran errores e irregularidades importantes corresponden a ciertas clases de transacciones, saldos de cuentas y revelaciones y las aseveraciones correspondientes o si corresponden de manera más predominante a los estados financieros tomados en conjunto y potencialmente afectan a muchas aseveraciones. Estos últimos riesgos (es decir, los riesgos con respecto a los estados financieros) pueden derivarse específicamente de un control circundante débil. 1.4 Uso de herramientas de gestión Los puntos a considerar en la elaboración de los programas de trabajo de auditorías enfocadas a la prevención y detección del fraude, se incluyen n en los siguientes cuadros, que están basados en la metodología COSO. Elementos de la Metodología COSO: - Ambiente de Control. - Evaluación de riesgos. - Actividades de control. - Información y comunicación. - Monitoreo Elemento Criterios Mejores Prácticas En cumplimiento Estándar Inferior Ambiente de control Administración Contable La Administración debe implementar los programas y controles antifraudes y las acciones pertinentes considerando los controles internos sobre los reportes financieros. Administración: 1) Demostrar que los controles internos incluyendo los de fraude son importantes. 2) Implementar programas y controles antifraudes incluyendo Códigos de Ética y Conducta La Administración toma las acciones suficientes con respecto a la prevención, detección, investigación remediación y monitoreo de fraude y controles de fraude. La Administración falla en la supervisión de programas y controles antifraudes. La remediación incluyendo acciones disciplinarias, es consistente. -23- 3) Tomar acciones apropiadas, consistentes de remediación en instancias de violaciones. Elemento Criterios Mejores Prácticas En cumplimiento Estándar Inferior Supervisión de la Alta Dirección y el Comité de Auditoría La Alta Dirección y Comité de Auditoría supervisan: 1) Implantación de programas y controles antifraude. 2) Evaluación del riesgo de fraude. 3) Establecimiento de actividades de control sobre riesgos de fraude identificados en la evaluación. 4) Investigación de los supuestos fraudes y los resultados 5) Medidas adoptadas La Alta Dirección y Comité de Auditoría debe: 1) Guiar una supervisión del programa antifraude. 2) Buscar los puntos de vista de Auditoría Interna, los auditores independientes y otros que tengan que consideren el tema de fraude. El estatuto se dirige expresamente a la supervisión de fraude como una función esencial del Comité de Auditoría. Alta Dirección y Comité de Auditoría proveen supervisión. Comité de Auditoría falla al proveer supervisión y no considera lo suficiente los riesgos de fraude -24- Elemento Criterios Mejores Prácticas En cumplimiento Estándar Inferior Código de Ética y Conducta Estándares escritos que son razonablemente diseñados para eliminar malas prácticas y promover conductas honestas y éticas. La efectividad operativa puede ser evidenciada mediante un plan de comunicación,un proceso de confirmación anual, capacitación; involucramiento y supervisión por parte de la Administración y el Comité de Auditoría. Códigos de conducta efectivos y documentados que deben ser efectivamente comunicados a todos los empleados. El código debe dirigirse a: 1) Conflictos de interés 2) Grupos relacionados con las transacciones. 3) Exactitud de los registros contables. 4) Actos ilegales. 5) Cumplimiento con las leyes y regulaciones. etc. Códigos de conducta efectivos y documentados con deficiencias menores. Aplica a todos los individuos en los roles que involucren los reportes financieros y contables. El código omite temas específicos en las Reglas finales de SEC, o no opera efectivamente. Difusión deficiente. Elemento Criterios Mejores Prácticas En cumplimiento Estándar Inferior Buzón de Denuncias Protocolo de recepción, retención y tratamiento de quejas. Atención, seguimiento y documentación de denuncias o quejas anónimas y confidenciales de empleados o terceras partes involucradas. La línea de denuncias está documentada y es probada efectivamente con los empleados y terceros involucrados, estimulando su uso, las respuestas apropiadas y a tiempo. El programa opera de manera independiente de la Administración y bajo la supervisión del Comité de Auditoría. La línea aparenta un buen diseño y efectividad, pero potencialmente es percibida con poco nivel de uso. La línea o el programa de denuncias omite elementos (de diseño u operativos) en las reglas de SEC. -25- Elemento Criterios Mejores Prácticas En cumplimiento Estándar Inferior Procedimientos para la Contratación y promoción Investigaciones del personal en todas las posiciones de confianza de la organización, conservando la información en los expedientes. Para personal de nuevo ingreso en posiciones de confianza, se debe conducir una investigación con alcance de la procedencia del personal incluyendo entrevistas con referencias independientes. Investigaciones similares deberán ser conducidas para terceros involucrados en posiciones estratégicas, como vendedores, socios, consultores, etc., todos los resultados deberán ser documentados e incluir educación, historial de empleos y record criminal. Desarrolla investigaciones de procedencia de registros públicos acerca del personal a ser contratado o promovido a posiciones de confianza. Falla en el desempeño de las investigaciones sustantivas de procedencia para los individuos considerados a ser empleados en posiciones de confianza. Elemento Criterios Mejores Prácticas En cumplimiento Estándar Inferior Procesos de Investigación Procedimientos estandarizados para el rastreo, respuesta, investigación y evaluación a los alegatos de fraude que potencialmente incluyan una investigación 10A por un consejero independiente. Planes y procesos documentados para el rastreo y respuesta a los alegatos de mala conducta que permitan una investigación de la Administración de manera independiente. El Comité de Auditoría y los auditores externos asesoran sobre todas las deficiencias significativas en controles internos y de cualquier fraude En ausencia de procedimientos documentados, la compañía demuestra que los procesos existen para el rastreo y respuesta de los alegatos, sin resistirse a la falta de un plan escrito. Procesos inadecuados para responder a los alegatos por sospecha de fraude. -26- que involucre a la Administración u otros empleados quienes tengan un rol significativo en los controles internos. Elemento Criterios Mejores Prácticas En cumplimiento Estándar Inferior Remediación Procesos documentados en la evaluación y mejora de controles internos relevantes, tomando acciones apropiadas en contra de transgresores y comunicando los resultados internamente al mismo tiempo que a las partes externas necesarias. Mejora los controles internos relevantes tomando acciones apropiadas en contra de transgresores y comunicando los resultados internamente al mismo tiempo que a las partes externas necesarias. Evidenciando y documentado la participación del Comité de Auditoría. Toma acciones disciplinarias apropiadas y considera la necesidad de acciones preventivas adicionales de recurrencia. Falla en tomar acciones de remediación consistentes concernientes a la identificación de deficiencias significativas, debilidades materiales, fraude real o sospechas de fraude Evaluación del Riesgo Proceso para la evaluación del riesgo De manera sistemática, en lugar de al azar, se debe considerar la clasificación de los esquemas de fraude y los controles existentes; una supervisión activa por parte del Comité de Auditoría. Procesos de evaluación de riesgo de fraude documentados que deben incluir entrevistas al personal, en los diferentes niveles de la organización y la respuesta a los eventos significativos, por ejemplo las adquisiciones, entrada de nuevos productos y supervisión activa por parte del Comité de Auditoría. Evaluando los riesgos de fraude desde una base sistemática y con la revisión del Comité de Auditoría. Falla en la evaluación de riesgo de fraude, de manera sistemática, procesos al azar o informales para una evaluación de riesgo de fraude, evidencia inadecuada de una revisión y falta de participación del Comité de Auditoría. -27- Elemento Criterios Mejores Prácticas En cumplimiento Estándar Inferior Consideración de Fraude Reportes financieros fraudulentos, malversación de bienes, gastos o facturas no autorizadas o inapropiadas deberán ser demostrados. Evalúa la exposición desde cada una de las categorías de los riesgos de fraude considerados. Se dirige a todos los riesgos de fraude que puedan tener mas que una probabilidad de reportar un impacto material sobre los estados financieros Ausencia de evidencia documental de la evaluación de riesgo de la Administración y de la participación y revisión por parte del Comité de Auditoría. Probabilidad e importancia del fraude Cada riesgo de fraude deberá calificarse como posible, razonablemente posible o remotamente posible, consideración el significado de fraude, como inconsecuente, mas que inconsecuente o el material deberá ser demostrado. Evalúa comprensivamente la probabilidad e importancia de cada uno de los riesgos de fraude identificados Se evalúa sustancialmente la probabilidad e importancia de cada riesgo de fraude; la Administración provee explicaciones suficientes donde los procedimientos de las evaluaciones de riesgo no consideran que existen mas que remotas probabilidades de ocurrencia. El proceso de la evaluación del riesgo de la Administración no identifica el nivel de probabilidad o el nivel significativo considerado. La Administración falla al proveer una explicación donde la evaluación del riesgo no considera riesgos con mas probabilidad de ocurrencia y un mayor impacto. -28- Elemento Criterios Mejores Prácticas En cumplimiento Estándar Inferior Consideración de los niveles de organización Los fraudes en todas las Unidades de Negocio y niveles de cuentas significativos deberán ser demostrados. Evaluar el riesgo de fraude en todos los niveles de la organización. Evaluar el riesgo de fraude en todos los niveles, cuentas y ubicaciones de la organización. Fallaen la consideración de Unidades de Negocios significativas o procesos significativos en la evaluación del riesgo de fraude. Clasificación de los controles y la anulación por parte de la Administración Controles internos diseñados efectivamente considerados en la evaluación de riesgo por no observancia de la Administración. El Comité de Auditoría considera específicamente la vulnerabilidad de controles existentes y el riesgo de anulación por parte de la Administración Los procesos de la evaluación del riesgo de fraude se dirigen a la clasificación de controles existentes y una potencial anulación por parte de la Administración. Falla para la adecuada consideración de: 1) Clasificación de controles 2) Anulación de la Administración Actividades de Control Enlace con la evaluación del riesgo de fraude Actividades de control efectivas deben ser diseñadas e implementadas para mitigar los riesgos de fraude identificados. La Administración enlaza las actividades de control para todos los riesgos de fraude identificados. Supervisión activa del Comité de Auditoría para asegurar la efectividad de operación y de diseño de los controles. La Administración puede enlazar actividades de control para identificar los riesgos al fraude y evaluar el cumplimiento en la efectividad operativa y de diseño. Falla al enlazar las actividades de control de los riesgos al fraude identificados, actividades de control deficientes, tanto en el diseño como en la operación -29- Elemento Criterios Mejores Prácticas En cumplimiento Estándar Inferior Información y Comunicación Capacitación Capacitación suficiente y apropiada, que provea a los empleados los programas y controles antifraude. Proveer capacitación relevante, comprensiva y frecuente a todos los empleados. Mantener registros documentados de la capacitación y personal capacitado. Proveer capacitación adecuada a los empleados relacionada con temas de fraude Falla en proveer adecuada o efectiva capacitación concerniente al Código de Ética y otras áreas de fraude Conocimiento de la Administración Demostrar capacidad para reunir y compartir información concerniente al riesgo de fraude identificado, debilidades y fortalezas en las actividades de control antifraude y los esfuerzos de remediación. Comunicación de políticas antifraudes y procedimientos a lo largo y ancho de la organización. Los empleados comprenden los aspectos relevantes del programa antifraude y entienden que comportamiento es aceptable o cual no lo es. Un fuerte conocimiento concerniente a los riesgos de fraude y sus actividades de control, alegatos de fraude o esfuerzos de remediación. Comparte algo pero no toda la información relacionada con los fraudes. Falla en reunir o compartir la información concerniente al riesgo de fraude, actividades de control, y la remediación de mal comportamiento no identificado. -30- Elemento Criterios Mejores Prácticas En cumplimiento Estándar Inferior Información de sistemas y tecnología Elementos dirigidos a la evaluación tecnológica de riesgos, seguridad efectiva de TI y controles. Adecuación en la detección de fraude, herramientas de monitoreo y habilidad de investigar el mal uso de las computadoras. Los sistemas de información y tecnología se dirigen a: 1) La consideración de fraude tecnológicamente activada en la evaluación de riesgo de la Administración. 2) Controles de seguridad de TI 3) Modificación inapropiada a los programas de computación. 4) Anulación del sistema. 5) Segregación de actividades. 6) Adecuación a la detección del fraude y las herramientas de monitoreo. 7) Habilidad para investigar el mal uso de las computadoras. Los sistemas y tecnología se dirigen a algunos pero no a todos los elementos. Falla en: 1) Considerar tecnología de la información como parte de la evaluación del riesgo al fraude. 2) Mantener la seguridad y los controles de evaluación. 3) Emplear tecnología de la información para prevenir y detectar fraude. 4) Tener la habilidad de investigar un mal uso en las computadoras. -31- Elemento Criterios Mejores Prácticas En cumplimiento Estándar Inferior Monitoreo Monitoreo de la Administración La Administración debe tener un proceso de evaluación de la calidad de los programas y controles antifraude, durante los monitoreos de las actividades en curso, así como las evaluaciones independientes. Controles de monitoreo antifraude, programas y políticas actualizadas. La Administración considera la posibilidad de fraude en las operaciones diarias, utiliza los resultados de la evaluación de fraude y los sistemas de TI para monitoreo de fraude. En ausencia de procesos escritos, la Administración puede demostrar que monitorea las evidencias de fraude como parte de las operaciones diarias. La Administración falla al incluir posibilidades de fraude en el monitoreo de las operaciones del día a día. Elemento Criterios Mejores Prácticas En cumplimiento Estándar Inferior Evaluación de Auditoría Interna La función de la Auditoría Interna dentro de una organización conduce evaluaciones de fraude con un plan documentado, alcance, enfoque y resultados con el conocimiento y experiencia necesaria. Auditoría Interna activamente considera el riesgo de fraude en el desarrollo de un ciclo de auditoría, adicionalmente aplica procedimientos de fraude en auditorías rutinarias y proyectos especiales. Auditoría Interna incluye en su plantilla auditores experimentados en fraude. En ausencia de un procedimiento escrito, la compañía puede demostrar que: 1) Auditoría Interna considera fraude en el desarrollo y ejecución de un ciclo de auditoría interna. 2) El ärea incluye auditores internos capacitados y experimentados en auditorías de fraude. Falla en: 1) Considerar fraude en la planeación del ciclo de auditoría interna. 2) Conduce procedimientos de auditoría interna. 3) Incluye auditorías rutinarias de fraude en el alcance de las funciones del ciclo anual de auditora interna. -32- 1.5 Elaboración de programas de trabajo enfocados al fraude Programa de Auditoría para Temas Específicos— Fraude Empresa Período terminado Referencia de PT Preparado por Fecha Propósito El propósito del Programa de Auditoría para Temas Específicos-Fraude (el “Programa de Auditoría”) es proveerles a los equipos de trabajo un enfoque detallado para su consideración del riesgo de que ocurran errores e irregularidades importantes debido a fraude (también se hace referencia a éste como el “riesgo de fraude” en el programa) en cada fase del proceso de auditoría y para abordar los requisitos relevantes de documentación. El programa alinea las diversas consideraciones de riesgo de fraude con los Papeles de Trabajo Globales correspondientes para la documentación. Aplicabilidad Se requiere llenar este papel de trabajo en todas las auditorías. Se permite la traducción de este papel de trabajo, así como las adiciones de procedimientos de auditoría y orientación adicionales para cumplir con las leyes, regulaciones y normas profesionales locales. Contenido El programa incluye procedimientos para: Anexos que respaldan el programa Evaluar los riesgos de fraude Desarrollary ejecutar la respuesta de auditoría a los riesgos de fraude Evaluar los resultados de auditoría, incluso obtener las representaciones de la gerencia en Anexo 1, Ejemplos de factores predominantes de riesgo de fraude en los estados financieros Anexo 2, Ejemplos de factores específicos de riesgo de fraude en los estados financieros Anexo 3, Ejemplos de circunstancias que indican la -33- El programa incluye procedimientos para: Anexos que respaldan el programa relación con el fraude Comunicarle los asuntos de fraude a la gerencia y a aquellos encargados de la dirección de la organización* posibilidad de fraude Anexo 4, Consideraciones para someter a prueba los asientos de diario y otros ajustes Anexo 5, Respuesta a los riesgos específicos de fraude en los estados financieros Anexo 6, Resumen de indagación Anexo 7, Comunicaciones de deficiencias en el control interno relacionadas con el fraude Conceptos en que se basa este programa de auditoría Este programa de auditoría se basa en las disposiciones de la Norma Internacional sobre Auditoría 240, La Responsabilidad del Auditor de Considerar el Fraude en una Auditoría de Estados Financieros (“NIA 240”), y el Pronunciamiento sobre Normas de Auditorías de EE.UU., Consideración del Fraude en una Auditoría de Estados Financieros (“SAS 99”). Responsabilidad de los auditores relacionada con el fraude Tenemos la responsabilidad de efectuar la auditoría para obtener una certeza razonable de que los estados financieros tomados en su conjunto no contienen errores e irregularidades importantes, ya sea debido a fraude o a error. Debido a las características del fraude, nuestra actitud de escepticismo profesional es particularmente importante cuando consideramos el riesgo de que ocurran errores e irregularidades importantes debido a fraude. El escepticismo profesional es una actitud que incluye una mente inquisitiva y una evaluación crítica de la evidencia de auditoría. Mantenemos una actitud de escepticismo profesional a través de toda la auditoría, consideramos el potencial para que la gerencia evada los controles y reconocemos que los procedimientos de auditoría que son eficaces para detectar los errores pueden no resultar adecuados en el contexto de un riesgo identificado de que ocurran errores e irregularidades importantes debido a fraude. También reconocemos la posibilidad de que pueda existir un error e irregularidad importante debido a fraude, independientemente de nuestra experiencia previa con la entidad sobre la honestidad e integridad de la gerencia y de aquellos encargados de su dirección. -34- Este programa de auditoría se ha diseñado para asistir a los auditores a cumplir con esta responsabilidad, en la medida que se relaciona con el fraude, en una auditoría de estados financieros efectuada de acuerdo con las normas profesionales relevantes. Auditoría integrada Para una auditoría integrada (una auditoría del control interno para la emisión de informes financieros y una auditoría de los estados financieros), identificamos y evaluamos todos los controles que tienen el propósito específico de abordar los riesgos de fraude que al menos tienen una probabilidad razonable de tener un efecto importante en los estados financieros de la entidad. Todas las deficiencias se documentan en el Resumen de Deficiencias del Control Interno– Integradas. Responsabilidades de aquellos encargados de la dirección de la organización y de la gerencia relacionadas con el fraude La responsabilidad principal con respecto a la prevención y detección del fraude radica en aquellos encargados de la dirección de la organización y en la gerencia de la entidad. Es importante que ellos enfaticen enérgicamente la prevención del fraude, que puede reducir las oportunidades de que ocurra el fraude, y la disuasión del fraude, que podría persuadir a ciertos individuos a no cometer fraude debido a la posibilidad de detección y castigo. Esto requiere crear y mantener una cultura de honestidad y comportamiento ético y establecer los controles adecuados para prevenir, disuadir y detectar el fraude. Cuando la gerencia y aquellos encargados de la dirección de la organización cumplen esas responsabilidades, las oportunidades de cometer fraude pueden reducirse significativamente. Condiciones que existen cuando ocurre el fraude Cuando se identifican los riesgos de fraude, es importante recordar que normalmente existen tres condiciones cuando ocurre el fraude. Incentivo o presión para cometer fraude. � Oportunidad percibida para cometer fraude (por ejemplo, la ausencia de controles o la existencia de controles ineficaces o la capacidad de la gerencia para evadir los controles proveen una oportunidad para que se cometa fraude). � Capacidad de racionalizar el hecho de cometer un acto fraudulento. Ciertos individuos poseen la actitud, el carácter o un conjunto de valores éticos que les permiten cometer un acto deshonesto, deliberada e intencionalmente. Sin embargo, es posible que individuos que se consideren honestos cometan fraude en un ambiente que les imponga suficiente presión. Mientras mayor sea el incentivo o la presión, más fácil será para que el individuo pueda racionalizar la admisibilidad de cometer fraude. -35- Tipos de errores e irregularidades El término ‘fraude’ se refiere a un acto intencional por parte de uno o más individuos, incluyendo a la gerencia, aquellos encargados de la dirección de la organización, empleados o terceros, que implica el uso de deshonestidad para obtener una ventaja injusta o ilegal. Al auditor le interesa el fraude que ocasiona un error e irregularidad importante en los estados financieros. Dos tipos de errores e irregularidades intencionales son relevantes para el auditor: errores e irregularidades resultantes de la emisión de informes financieros fraudulentos y errores e irregularidades resultantes de la malversación de activos. � Emisión de informes financieros fraudulentos Los errores e irregularidades que surgen de la emisión de informes financieros fraudulentos son errores e irregularidades intencionales que incluyen omisiones de montos o revelaciones en los estados financieros diseñadas para engañar a los usuarios de los estados financieros. La emisión de informes financieros fraudulentos puede lograrse mediante lo siguiente: – La manipulación, falsificación o modificación de los registros contables o de los documentos de respaldo que se usan para la preparación de los estados financieros – La representación errónea u omisión intencional en los estados financieros de eventos, transacciones u otra información significativa – La aplicación errónea intencional de los principios de contabilidad relacionados con los montos, la clasificación, la forma de presentación o la revelación. La emisión de informes financieros fraudulentos normalmente incluye la evasión por parte de la gerencia de controles que de lo contrario puede parecer que funcionan eficazmente. La gerencia puede cometer fraude con la evasión de control mediante técnicas tales como: – El registro de asientos ficticios de diario, especialmente cerca del final de un período contable para manipular los resultados de las operaciones o lograr otros objetivos. – Parcializar intencionalmente las presunciones y juicios que se usen para estimar los saldos de cuentas – Omitir, adelantar o retrasar el reconocimiento en los estados financieros de eventos y transacciones que hayan ocurrido durante el período sobre el que se emiten informes. – Ocultar, o no revelar, hechos que pudieran afectar los montos registrados en los estados financieros. – Participar en transacciones complejas, estructuradas para presentar erróneamente la situación financiera o el desempeño financiero de la entidad y – Modificar los registrosy los términos relacionados con transacciones significativas y poco usuales. -36- La emisión de informes financieros fraudulentos no tiene que resultar de un plan o una conspiración sumamente elaborados. Puede resultar de los esfuerzos de la gerencia para administrar las ganancias con el fin de influenciar las percepciones de los usuarios de los estados financieros con respecto al desempeño y la rentabilidad de la entidad. Dicha administración de las ganancias puede comenzar con acciones insignificantes o una modificación inadecuada de las presunciones y cambios en los juicios de la gerencia. Las presiones e incentivos pueden llevar al aumento de dichas acciones al punto que resulten en emisión de informes financieros fraudulentos. Puede darse el caso que los representantes de la gerencia racionalicen lo adecuado de un error e irregularidad importante como una interpretación dinámica y no injustificable de regulaciones contables complejas o como un error e irregularidad temporal en los estados financieros, incluyendo los estados financieros interinos, que se espera corregir más adelante cuando mejoren los resultados de las operaciones. � Malversación de activos Los errores e irregularidades que surgen de la malversación de activos (a la que a veces se hace referencia como robo o desfalco) implican el robo de los activos de una entidad en el que el efecto del robo ocasiona que los estados financieros no se presenten, en todos los aspectos importantes, de conformidad con la estructura correspondiente de emisión de informes financieros (p.ej., los PCGA). La malversación de activos puede lograrse de varias maneras que incluyen las siguientes: – Malversación de entradas. – Robo de activos físicos o propiedad intelectual. – Ocasionar que una entidad pague por mercancía o servicios que no se hayan recibido o – Usar los activos de la entidad como personales. La malversación de activos puede estar acompañada de registros o documentos falsos o engañosos, posiblemente creados mediante evasión de controles con el fin de ocultar el hecho de que faltan activos o que éstos se han pignorado sin la debida autorización. Tipos de riesgo de fraude Existen dos tipos de riesgos de fraude que este Programa de Auditoría aborda: Riesgos de fraude predominantes en los estados financieros Los riesgos que son predominantes en los estados financieros tomados en su conjunto y que pueden resultar en un error e irregularidad importante debido a fraude como, por ejemplo, riesgos que resultan de eventos y condiciones de ‘visión completa’ o de falta de vigilancia. -37- Ejemplos La estabilidad financiera o la rentabilidad peligran debido a un grado alto de competencia o saturación del mercado, conjuntamente con disminución de márgenes (amenaza para la estabilidad financiera o la rentabilidad). Existe una presión excesiva para que la gerencia satisfaga las expectativas irrealistas o dinámicas de rentabilidad expresadas por los analistas de inversiones, los inversionistas, los acreedores significativos y otros entes externos. Una parte significativa de la compensación de la gerencia (por ejemplo, sus bonos, opciones para compra de acciones) dependen del logro de metas excesivamente dinámicas para el precio de las acciones, los resultados de las operaciones, la situación financiera o el flujo de efectivo. Véase el Anexo 1 donde se presentan más ejemplos de riesgos de fraude predominantes en los estados financieros. Riesgos de fraude específicos en los estados financieros Los riesgos que están específicamente relacionados con el saldo de una cuenta, una clase de transacciones o una aseveración específica de los estados financieros que pueda resultar en un error e irregularidad importante debido a fraude. Ejemplo – el reconocimiento fraudulento de ingresos que afecta la existencia de los ingresos. Tipos de respuestas de auditoría El auditor responde al riesgo de que ocurran errores e irregularidades importantes debido a fraude de las siguientes maneras: Una respuesta general que influencie cómo se efectúa la auditoría. Una respuesta a los riesgos identificados con respecto a las aseveraciones involucrando la naturaleza, la oportunidad y el alcance de los procedimientos de auditoría, incluyendo el reconocimiento fraudulento de ingresos. Una respuesta que incluya el desempeño de ciertos procedimientos de auditoría para abordar los riesgos que surjan de la evasión de los controles por parte de la gerencia, dadas las formas impredecibles en que dicha evasión podría ocurrir. -38- Procedimientos Ref. De PT Aprobado y fecha I. EVALUACIÓN DE RIESGOS DE FRAUDE Los siguientes procedimientos se efectúan durante el análisis estratégico 1. Planear los procedimientos de Evaluación de Riesgo de Fraude. Este esfuerzo de planeación normalmente se considera durante la reunión inicial. 2. Recopilar información para identificar los riesgos de fraude, incluyendo los resultados del siguiente trabajo efectuado en otras partes: Proceso de aceptación y continuación de clientes/trabajos Procedimientos analíticos desempeñados al planear la auditoría que identifiquen relaciones poco usuales o inesperadas (incluyendo procedimientos analíticos relacionados específicamente con los ingresos) Entes relacionados (Programa de Auditoría Estándar para Temas Específicos o Programa de Auditoría para Temas Específicos– para Entes Relacionados). En adición, si corresponde: Revisiones de estados financieros interinos Resultados de procedimientos efectuados relacionados con la auditoría del control interno para la emisión de informes financieros. 3. Evaluar si la información que hemos obtenido durante el proceso de entendimiento de la entidad y su ambiente, incluyendo su control interno, indica la existencia de algún factor de riesgo de fraude, incluyendo los que se enumeran en el Anexo 1. 3.1 Específicamente, identificar y documentar, si fuese relevante, las presiones y los incentivos para la emisión de informes financieros fraudulentos que surgen de: Los requisitos de reembolso de deudas o de convenios; revisar las comunicaciones relevantes con los proveedores de deudas significativas. -39- El ambiente regulador en que la entidad opera; revisar las comunicaciones relevantes con los organismos reguladores. El proceso de presupuestos y proyecciones de la entidad. Las expectativas expresadas por terceros sobre el desempeño financiero de la entidad; discutir las expectativas con el ejecutivo principal., el ejecutivo principal de finanzas o director de finanzas y aquellos encargados de la dirección de la organización. Los términos de compensación para la gerencia principal y los empleados clave de la función de emisión de informes financieros. Considerar 1) cualquier vínculo con el desempeño financiero y el precio de las acciones de la entidad y 2) las tenencias de acciones y la actividad en torno a las opciones para la compra de acciones. Además, considerar si se deben incluir los términos de compensación para la gerencia clave de ventas y del segmento de negocios / subsidiaria. 3.2 Investigar y documentar, si fuese relevante, los motivos de: Rotación de la gerencia principal, los empleados clave en las funciones de emisión de informes financieros y de auditoría interna. Además, considerar la rotación de la gerencia clave de ventas y del segmento de negocios / subsidiaria. Un desempeño financiero que no guarde proporción con la industria o con ciertas compañías de la industria. 3.3 Sólo con respecto a entidades cotizadas en bolsa ** – Procedimientos adicionales para identificar las presiones e incentivos para la emisión de informes financieros fraudulentos.
Compartir