Programas & Controles Antifraude

Tabla de contenidos
Introduccin Vista de conjunto Programas y Controles Antifraude -La estructura de COSO

Introduccin
En el actual entorno de los negocios, con requerimientos legislativos y regulatorios incrementados, hay una necesidad grande de que las organizaciones entiendan y aborden los riesgos de fraude. La probabilidad de la ocurrencia del fraude puede ser reducida mediante la implementacin de programas y controles antifraude efectivos, que puedan oportunamente identificar el fraude y minimizar el dao resultante. La prevencin y deteccin del fraude tambin tiene buen sentido de negocios y puede ofrecerle ahorros de costos para la organizacin. Este documento ofrece ejemplos y consideraciones dirigidos a la administracin y a los auditores con relacin al riesgo de fraude y los programas y controles antifraude, y est escrito en el contexto del Control Interno Estructura Conceptual Integrada del Committee of Sponsoring Organizations (COSO) de la Treadway Commission1.

Seccin 1: Preguntas a considerar Seccin 2: Ejemplo de plan de implementacin Realizacin de valoraciones del riesgo de fraude Seccin 3: Muestra del proceso Seccin 4: Lista muestra de esquemas de fraude Seccin 5: Pasos y consideraciones Apndice: Estndar de Auditora No. 5 de la US-PCAOB
Este documento tiene la intencin de ofrecer informacin y consideraciones generales sobre un tema o temas particulares y no constituye un tratamiento exhaustivo de tal(es) tema(s). Este documento ofrece referencias generales a varias fuentes, incluyendo la Ley Sarbanes-Oxley de 2002, la U.S. Securities and Exchange Commission, la Public Company Accounting Oversight Board, el American Institute of Certified Public Accountants, y el Committee of Sponsoring Organizations of the Treadway Commission. Es responsabilidad de las juntas de directores, de los comits de auditora y de las compaas leer e interpretar las fuentes, o la informacin recibida de ellas, para determinar, personalizar y ajustar las respuestas con base en los hechos, circunstancias y requerimientos de su compaa. Por medio de este documento Deloitte & Touche LLP (Deloitte & Touche) no est prestando asesoras o servicios profesionales de contabilidad, finanzas, inversin, legales, tributarios o de otro tipo. Este documento no es sustituto de tales asesoras o servicios profesionales, ni debe ser usado como base para cualquier decisin o accin que pueda afectar su negocio. La informacin contenida en este documento probablemente cambiar en aspectos materiales; Deloitte & Touche no est en obligacin de actualizar tal informacin. Antes de tomar cualquier decisin o realizar cualquier accin que pueda afectar sus intereses profesionales, usted debe consultar a un asesor profesional calificado. Deloitte & Touche no es responsable por cualquier prdida tenida por cualquier persona que confe en este documento.

Vista de conjunto
El fraude siempre ha constituido un riesgo de negocio para las organizaciones. Los escndalos de alto perfil relacionados con la informacin financiera han renovado el centro de atencin puesto en el fraude, resultando en legislacin comprensiva y elaboracin de reglas por parte de la Securities and Exchange Commission (SEC) relacionadas con el gobierno corporativo y los controles internos. La Seccin 404 de la Ley Sarbanes de 2002, Valoracin, realizada por la administracin, respecto de los controles internos, requiere que la administracin de la compaa registre un reporte anual en relacin con el control interno sobre la informacin financiera. La resultante Regla Final de la SEC: Reportes de la administracin respecto del control interno sobre la informacin financiera y certificacin de la revelacin en los reportes peridicos de la ley de valores, ofrece orientacin sobre las responsabilidades de la administracin relacionadas con el fraude:

Internal Control Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission, copyright 1992, 1994. El resumen ejecutivo y la informacin para ordenar el documento completo est disponible en: http://www.coso.org/publications/executive-summary_integrated_framework.htm.

La valoracin del control interno sobre la informacin financiera de la compaa se tiene que basar en procedimientos que sean suficientes tanto para evaluar su diseo como para probar la efectividad de su operacin. Los controles que estn sujetos a tal valoracin incluyen controles relacionados con la prevencin, identificacin y deteccin del fraude2. Adicionalmente, el Estndar de Auditora No. 2 de la Public Company Accounting Oversight Board (PCAOB) increment las responsabilidades de los auditores ms all de las requeridas por la Statement on Auditing La prevencin Standards, Consideration of y deteccin del Fraud in a Financial Statement fraude tiene Audit (SAS 99) (Declaracin buen sentido sobre los estndares de auditora, de negocios Consideracin del fraude y puede ofreen la auditora de estados cerle ahorros de financieros). Si bien el SAS 99 costos para la ofrece orientacin detallada organizacin sobre la valoracin del riesgo de fraude, solamente requiere que el auditor obtenga un entendimiento de los programas y controles antifraude de la administracin. Segn el Estndar de Auditora No. 2 de la PCAOB, los auditores deben evaluar los programas y controles antifraude como parte de la auditora del control interno sobre la informacin financiera. El Estndar de Auditora No. 2 de la PCAOB seala: El auditor debe evaluar todos los controles que de manera especfica tienen la intencin de tratar los riesgos de fraude que tengan al menos una probabilidad razonablemente posible de tener un efecto material en los estados financieros de la compaa. Esos controles pueden ser parte de cualquiera de los cinco componentes del control interno sobre la informacin financiera Los controles relacionados con la prevencin y deteccin del fraude a menudo tienen un efecto generalizado sobre el riesgo de fraude. Tales controles incluyen, pero no estn limitados a: Controles que restringen el uso indebido de los activos de la compaa, uso que pudiera resultar en una declaracin equivocada material de los estados financieros; Procedimientos de valoracin del riesgo de la compaa; Determinaciones del cdigo de tica/conducta,

especialmente las relacionadas con conflictos de inters, transacciones con partes relacionadas, actos ilegales, y monitoreo del cdigo por parte de la administracin y del comit de auditora o la junta; Lo adecuado de la actividad de auditora interna, y si la funcin de auditora interna le reporta directamente al comit de auditora, as como la extensin de la participacin del comit de auditora con la auditora interna; y Lo adecuado de los procedimientos de la compaa para manejar los reclamos y para aceptar la presentacin confidencial de las preocupaciones sobre asuntos cuestionables de contabilidad o auditora. Cuando disea el control interno sobre la informacin financiera de la compaa, parte de la responsabilidad de la administracin es disear e implementar programas y controles para prevenir, disuadir y detectar el fraude. La administracin, junto con quienes tienen responsabilidad por la supervisin del proceso de informacin financiera (tal como el comit de auditora), debe establecer el tono adecuado; crear y mantener una cultura de honestidad y estndares ticos altos; y establecer controles apropiados para prevenir, disuadir y detectar el fraude3. Dada la importancia de los programas y controles antifraude de la administracin, las deficiencias en esta rea ordinariamente constituyen al menos una deficiencia importante en el control interno sobre la informacin financiera. El pargrafo 139 del Estndar de Auditora No. 2 de la PCAOB seala: La interaccin de las consideraciones cualitativas que afectan al control interno sobre la informacin financiera con las consideraciones cuantitativas, ordinariamente resulta en deficiencias en las siguientes reas que son al menos deficiencias importantes en el control interno sobre la informacin financiera: Controles sobre la seleccin y aplicacin de las polticas de contabilidad que estn en conformidad con los principios de contabilidad generalmente aceptados; Programas y controles antifraude; Controles sobre las transacciones no-rutinarias y no-sistemticas; y

Final Rule: Managements Report on Internal Control Over Financial Reporting and Certification Disclosure in Exchange Act Periodic Reports, U.S. Securities and Exchange Commission, 2003, Section (II)(B)(3)(d). Copia electrnica puede verse en: http://www.sec.gov/rules/final/33-8238.htm.
2

Release No. 2004-001: Auditing Standard No. 2, An Audit of Internal Control Over Financial Reporting Performed in Conjunction with an Audit of Financial Statements, Public Company Accounting Oversight Board, 2002, pargrafos 24 y 25. Puede obtenerse copia electrnica en: http://www. pcaobus.org/rules/Release-10040308-1.pdf.
3

Controles sobre el proceso de informacin financiera de final del perodo, incluyendo los controles sobre los procedimientos usados para ingresar los totales de las transacciones en el libro mayor; iniciar, autorizar, registrar y procesar los asientos del libro diario en el libro mayor; y el registro de los ajustes recurrentes y no-recurrentes en los estados financieros. El Estndar de Auditora No. 2 de la PCAOB observa que los controles anti-fraude pueden ser parte de cualquiera de los cinco componentes del control interno sobre la informacin financiera y refieren a la estructura conceptual de COSO. Los programas y controles antifraude no son complementarios de COSO (i.e., no representan una capa adicional a la estructura), sino que estn inmersos en los cinco componentes de la estructura existente.

negocios consigo mismo (incluyendo sobornos) violaciones de leyes y regulaciones (incluyendo las que exponen a la compaa o a sus agentes a acciones regulatorias o criminales, e.g., fraudes con valores, firma de confirmaciones falsas de auditora) Programas & Controles Antifraude. La orientacin sobre los programas y controles antifraude de la administracin se encuentra en el SAS 99 y en la muestra anexa, Management Antifraud Programs and Controls (Programas y controles antifraude de la administracin), que describe las actividades de control que la administracin debe considerar para abordar los riesgos de fraude. El pargrafo 20 del SAS 99 observa: El auditor debe indagar a la administracin respecto de programas y controles que la entidad haya establecido para mitigar riesgos de fraude especficos que la entidad haya identificado, o que de otra manera ayuden a prevenir, disuadir y detectar el fraude, as como la manera como la administracin monitorea esos programas y controles.

Resumen de los trminos clave

Fraude. El entendimiento del fraude es esencial en orden a que la administracin y los auditores puedan llevar a cabo sus respectivas responsabilidades. El fraude es definido en los pargrafos 5 y 6 del SAS 99 como, el acto intencional que resulta en una declaracin equivocada material contenida en los estados financieros sometidos a auditora. Dos tipos de declaraciones equivocadas son relevantes para la consideracin que el auditor hace respecto del fraude declaraciones equivocadas que surgen de la informacin financiera fraudulenta y declaraciones equivocadas que surgen del uso indebido de activos. Reconociendo que el fraude puede tomar muchas formas4, y que el concepto de materialidad es de naturaleza tanto cuantitativa como cualitativa, se recomienda que cuando disee e implemente los programas y controles antifraude la administracin considere los tipos adicionales de fraude (incluyendo los que no estn referenciados directamente en el SAS 99 o en el Estndar de Auditora No. 2 de la PCAOB). Los ejemplos de los tipos de fraude que la administracin debe considerar incluyen: informacin financiera fraudulenta declaraciones equivocadas que surgen del uso indebido de los activos gastos inapropiados o no-autorizados (incluyendo sobornos y otros esquemas indecorosos de pago)

Programas y controles antifraude La estructura de COSO

Los siguientes son los cinco componentes derivados de Control Interno Estructura Conceptual Integrada de COSO que la administracin puede considerar con relacin a sus responsabilidades por los programas y controles antifraude: 1. Realizar valoraciones del riesgo de fraude 2. Crear un ambiente de control 3. Disear e implementar actividades de control antifraude 4. Compartir informacin y comunicacin 5. Monitoreo de actividades

Realizar valoraciones del riesgo de fraude

El primer paso al abordar el fraude es la valoracin del riesgo de fraude. Las valoraciones del riesgo de fraude estn diseadas para identificar y evaluar los factores de riesgo de fraude que permitiran que ocurra el fraude dentro de la organizacin. Cada organizacin tiene riesgos de fraude inherentes que surgen de las condiciones

El Blacks Law Dictionary (Sixt Edition, 1990) define fraude como, La perversin intencional de la verdad con el propsito de inducir a otro a que participe con alguna cosa valiosa que le pertenece o que renuncie al derecho legal. La representacin falsa de una materia de hecho, ya sea mediante palabras o mediante conducta, por medio de alegatos falsos o que conduzcan a error, o por el ocultar algo que ha debido ser revelado, que engaa y tiene la intencin de engaar a otro de manera que acte a partir de su dao jurdico Un trmino genrico, que abarca todos los medios multifacticos que la ingenuidad humana pueda concebir, a los que acude un individuo para obtener ventaja sobre otro por medio de sugerencias falsas o mediante la eliminacin de la verdad, e incluye sorpresa, truco, astucia, simulacin y cualquier otra forma no razonable mediante la cual otro sea engaado.
4

externas relativas para la industria de la entidad, las operaciones, localizaciones geogrficas, tamao, estructura organizacional y condiciones econmicas generales. Por ejemplo, el SAS 99, pargrafo 41 observa que las declaraciones equivocadas materiales debidas a informacin financiera fraudulenta a menudo resultan de las sobre-declaraciones de ingresos ordinarios y que por consiguiente, el auditor ordinariamente debe suponer que hay un riesgo de declaracin equivocada material debida a fraude en relacin con el reconocimiento de ingresos ordinarios. La mayora de las compaas ya han abordado en algn nivel los riesgos de robo. Las valoraciones del riesgo de fraude son ms que el proceso de identificar los riesgos de robo y tambin deben abordar otros fraudes, incluyendo la informacin financiera fraudulenta y otros usos indebidos de activos. La valoracin del riesgo de fraude implica un foco expandido en la consideracin de dnde pueden existir factores de riesgo de fraude dentro de la organizacin y los esquemas de fraude potenciales que podran ser cometidos. La administracin tiene la responsabilidad primaria por realizar las valoraciones del riesgo de fraude. El comit de auditora debe tener un rol activo en la supervisin del proceso, entender los riesgos de fraude identificados, y evaluar la implementacin que la administracin hace respecto de las medidas anti-fraude. La evaluacin y supervisin que realiza el comit de auditora no solamente aseguran que la administracin cumple plenamente su responsabilidad, sino que tambin sirve para disuadir que la misma administracin se vincule a actividades fraudulentas. El comit de auditora, junto con la administracin, tambin debe considerar el riesgo potencial de que la administracin eluda los controles o tenga otra influencia inadecuada sobre el proceso de informacin financiera. El pargrafo 8 del SAS 99 observa que, La administracin tiene una capacidad nica para cometer fraude dado que frecuentemente est en posicin para manipular directa o indirectamente los registros de contabilidad y presentar informacin financiera fraudulenta. La informacin financiera fraudulenta a menudo implica que la administracin eluda los controles que de otra manera puedan parecer que estn operando de manera efectiva. Se debe prestar especial consideracin al riesgo de elusin de los controles por parte de la administracin tales como (1) registro de asientos ficticios y otros ajustes en el libro diario, particularmente los registrados cerca del final del perodo contable; (2) supuestos y juicios intencionalmente sesgados usados para estimar saldos de cuentas; y (3)
4

ejecutar transacciones importantes que estn por fuera del curso normal del negocio de la entidad y que carezcan de sustancia econmica. La valoracin del riesgo de fraude debe ser realizada sin considerar la existencia o efectividad de los controles internos, y debe ser actualizada peridicamente para incluir los cambios en las operaciones y las revisiones a los riesgos de fraude identificadas durante el monitoreo de las actividades de los programas antifraude. En la Seccin 2, Ejemplo de plan de implementacin Realizacin de valoraciones del riesgo de fraude, se ofrece un ejemplo del plan de implementacin para la realizacin de las valoraciones del riesgo de fraude.

Crear un ambiente de control

Se debe dar nfasis al ambiente de control de la entidad dado que influye en el tono de toda la organizacin. Es el fundamento para todos los otros componentes del control interno y ofrece disciplina y estructura. Los factores del ambiente de control incluyen la integridad, los valores ticos y la competencia de la administracin y de los empleados de la entidad y tiene un efecto penetrante en la manera como se estructuran y ejecutan las actividades del negocio. El ambiente de control le permite a la entidad desarrollar una estructura tica que debe abordar: problemas de informacin financiera fraudulenta, uso indebido de los activos, corrupcin y otros relacionados con el fraude. El ambiente de control debe establecer el adecuado tono desde lo alto, el cual incluye una cultura y ambiente de trabajo que promueva la comunicacin abierta, la consulta y el comportamiento tico. El ambiente de control debe estar generalizado a travs de la organizacin, tanto en acciones como mediante palabras. Debe: crear y mantener una cultura de honestidad, estndares ticos altos, y comportamiento ofrecer disciplina para las violaciones del cdigo de conducta/tica establecer un tono apropiado para la actitud de la entidad frente al fraude y la prevencin del fraude promover controles para prevenir, disuadir y detectar el fraude. El ambiente de control establece y promueve la actitud colectiva hacia el logro del control interno efectivo y la generacin de estados financieros confiables. Son crticos el adecuado diseo y la efectividad del ambiente de control. Para mitigar los riesgos de fraude no es suficiente tener controles por s mismos. Por ejemplo, si los empleados no han sido disciplinados por las violaciones del

cdigo de conducta/tica de la compaa, es probable que el cdigo sea inefectivo. Todos los empleados tienen un rol en el ambiente de control. La administracin, la junta de directores y el comit de auditora tienen la responsabilidad primaria por la creacin del tono desde lo alto de la organizacin. El comit de auditora debe tener un rol activo en la supervisin de los esfuerzos de la administracin para disear e implementar controles internos, incluyendo programas y controles antifraude, y debe desafiar a la administracin para asegurar que los riesgos de fraude sean identificados y que se implementen y monitoreen actividades de control que sean apropiadas. Los elementos del ambiente de control se discuten en la Seccin 5, Pasos y consideraciones e incluyen: tono desde lo alto supervisin por parte del comit de auditora y la junta de directores participacin de la auditora interna cdigo de tica/conducta lnea tica directa y programa de denuncias annimas entrenamiento respuestas a las deficiencias de control y a las denuncias de fraude

Algunas de esas actividades de control pueden ser de naturaleza automatizada e incluir sistemas de tecnologa de la informacin (TI). Cuando las actividades de control ya no estn presentes, la administracin debe disear e implementar controles adicionales para abordar de manera especfica los riesgos de fraude identificados. Se debe prestar consideracin especial al riesgo de que la administracin eluda los controles. Algunos programas y controles que tratan con la capacidad que tiene la administracin para eludir los controles incluyen: (1) supervisin activa por parte del comit de auditora; (2) programas de denuncias annimas y sistemas para recibir e investigar los reclamos annimos; y (3) revisar los asientos al libro diario y los otros ajustes, en bsqueda de posibles declaraciones equivocadas materiales debidas a fraude.

Compartir informacin y comunicacin

La comunicacin efectiva es un elemento importante de todas las fases de la implementacin de los programas y controles antifraude. La filosofa de la compaa sobre la prevencin del fraude y los programas y controles antifraude deben ser comunicados claramente a travs de la organizacin de manera que los empleados sean conscientes de las actividades antifraude, tengan un entendimiento claro de lo que se espera de ellos, y conozcan que la organizacin toma en serio el riesgo de fraude. Esas comunicaciones deben emanar de todos los niveles de la organizacin y deben incluir comunicaciones con partes externas cuando sea apropiado (incluyendo clientes, proveedores, y agentes). El cdigo de conducta o tica de la compaa a menudo es la primera lnea de comunicacin relacionada con su filosofa sobre la prevencin del fraude. Sin embargo, se deben usar otros mtodos de comunicacin para crear conciencia respecto de los programas y controles antifraude. La informacin sobre los programas antifraude puede ser comunicada mediante manuales para empleados (ya sean impresos o en lnea), boletines de noticias de la compaa, sitios internet de la compaa, entrenamiento, y mediante presentaciones o discusiones dirigidas por la administracin. Los programas y controles antifraude de la administracin tambin deben ser documentados para ofrecer respaldo razonable respecto de sus valoraciones del diseo y la efectividad de la operacin de los controles. Los procedimientos implementados para facilitar los procesos de comunicacin e informacin deben ser ellos mismos controlados para prevenir acceso o cambios noautorizados.

Diseo e implementacin de actividades de control antifraude

Luego que se realicen las valoraciones del riesgo de fraude y se identifiquen los riesgos de fraude, la administracin debe abordar cada riesgo de fraude identificado, hacindolo mediante la determinacin de las actividades de control que existen y mitigan los riesgos. Las actividades de control son polticas y procedimientos diseados para tratar los riesgos y ayudan a asegurar el logro de los objetivos de la entidad. Las actividades de control ocurren a travs de la organizacin, en todos los niveles y controles. Las actividades de control antifraude pueden ser preventivas y/o detectivas. Los controles preventivos estn diseados para mitigar riesgos de fraude especficos y pueden disuadir que ocurra el fraude, mientras que las actividades de control estn diseadas para identificar el fraude si ocurre. Los controles detectivos tambin pueden ser usados para el monitoreo de las actividades con el fin de valorar la efectividad de los controles antifraude y pueden ofrecer evidencia adicional respecto de la efectividad de los programas y controles antifraude.

Monitoreo de actividades
La administracin y las otras partes apropiadas en la compaa deben monitorear la calidad y la efectividad de los programas y controles antifraude. El monitoreo de las
5

actividades y las valoraciones constan de procedimientos que incluyen evaluaciones independientes de los controles antifraude que pueden ser realizadas por la auditora interna o por otros grupos, tales como los propietarios de los procesos de negocio, as como otras actividades de monitoreo continuo que se construyen en las actividades normales de la operacin recurrente, tal como las conciliaciones oportunas. Los procedimientos de monitoreo continuo se construyen en las actividades normales de la operacin recurrente y a menudo pueden ser ms efectivos que las evaluaciones separadas dado que ocurren en tiempo real. Ejemplos de las actividades de monitoreo continuo incluyen: conciliaciones de los reportes de operacin y financieros comunicaciones regulares con partes internas y externas revisiones regulares y recomendaciones de los auditores internos

de sus otros agentes y mediante el tener y promocionar un sistema de presentacin de reportes en el que los empleados y los otros agentes podran reportar la conducta criminal de otros dentro de la organizacin sin temor a represalias5. Los programas antifraude plenamente efectivos son dinmicos, la informacin que se obtiene a travs del proceso de monitoreo se incorpora de nuevo al proceso de valoracin y comienza de nuevo todo el proceso. Este documento est dividido en las siguientes secciones: Seccin 1: Preguntas a considerar. Una lista de preguntas a considerar con relacin a los programas y controles antifraude, en el contexto de la estructura de COSO. Ejemplo de plan de implementacin Realizacin de valoraciones del riesgo de fraude. Ilustra los pasos clave al realizar la valoracin del riesgo de fraude Muestra del proceso. Dos ejemplos de la evaluacin de los riesgos de fraude y de los programas y controles vinculados a esos riesgos. (A) Reconocimiento inapropiado/temprano de ingresos ordinarios (B) Elusin de los controles por parte de la administracin. Asientos o ajustes inapropiados en el libro diario Seccin 4: Lista muestra de esquemas de fraude. Una lista de esquemas de fraude para ayudar a identificar los riesgos de fraude, escenarios y esquemas posibles, cuando se realizan o evalan las valoraciones del riesgo de fraude. Programas & Controles Antifraude Pasos y consideraciones. Una discusin detallada de las consideraciones de los programas y controles antifraude.

Seccin 2:

Seccin 3: sesiones de planeacin y entrenamiento para solicitar retroalimentacin respecto de si los controles son efectivos. Las evaluaciones independientes de los controles varan en alcance y frecuencia, y comnmente son realizadas por la auditora interna. Las evaluaciones separadas pueden implicar la implementacin de actividades detectivas. Por ejemplo, auditora interna puede disear pruebas para mirar de manera especfica los casos de reconocimiento temprano de los ingresos ordinarios para asegurar que los controles existentes para el reconocimiento de los ingresos ordinarios estn operando de manera efectiva. Los controles detectivos son esenciales para los programas antifraude dado que ofrecen una seal adicional de la efectividad de las actividades de control preventivas y pueden identificar los factores adicionales de riesgo de fraude que deben ser incluidos en la valoracin del riesgo de fraude que realiza la administracin. Algunas actividades de monitoreo pueden ser de naturaleza automatizada y, por lo tanto, pueden implicar sistemas de TI. Las organizaciones deben dar: Pasos razonables para lograr el cumplimiento con sus estndares, e.g., mediante la utilizacin de sistemas de monitoreo y auditora diseados de manera razonable para detectar la conducta criminal de sus empleados y

Seccin 5:

United States Sentencing Commission, Guidelines Manual, 8A1.2, comment 3(K), disponible en http://www.ussc.gov/2002guid/&a1_2.htm. En 1991, la United States Sentencing Commission introdujo siete criterios para los programas efectivos para prevenir y detectar violaciones de la ley (incluyendo fraude). Las enmiendas a las Sentencing Guidelines fueron presentadas al Congreso el 20 de Abril del 2004. El texto oficial de esas enmiendas est disponible en la pgina web de la Comisin en www.ussc.gov y http://www.ussc.gov/2004quid/2004conq.pdf.
5

Seccin 1 Preguntas a considerar

La siguiente es una lista de algunas de las preguntas para que la administracin las considere cuando disee y evale programas y controles antifraude, relacionadas con cada uno de los componentes de COSO. La administracin debe considerar y evaluar los hechos y las circunstancias de su organizacin (e.g., industria de la entidad, operaciones, localizaciones geogrficas, tamao, estructura organizacional, y condiciones econmicas generales) y personalizar de acuerdo con ello sus programas y controles antifraude. Cada componente de COSO debe incluir documentacin suficiente para respaldar los programas y los controles, as como las valoraciones y conclusiones que lleve a cabo la administracin en relacin con el diseo y la efectividad de la operacin de los programas y controles6. Las siguientes preguntas y temas estn adoptados a partir de diversas fuentes, incluyendo la Ley Sarbanes-Oxley de 2002, las Reglas Finales de la SEC sobre Sarbanes-Oxley, el SAS 99, el Estndar de Auditora No. 2 de la PCAOB, y COSO.

Valoracin del riesgo de fraude

1. La compaa tiene procesos formales y programados regularmente para realizar las valoraciones del riesgo de fraude? 2. Es apropiado el personal que participa en las valoraciones del riesgo de fraude? 3. Las valoraciones del riesgo de fraude son realizadas en todos los niveles apropiados de la organizacin (tales como nivel de entidad, localizaciones o unidades de negocio importantes, saldos de cuentas importantes o niveles de procesos principales? 4. La valoracin del riesgo de fraude incluye la consideracin de factores internos y externos (incluyendo presiones o incentivos, racionalizaciones o actitudes, y oportunidades)? 5. La valoracin del riesgo de fraude incluye la identificacin y evaluacin de los acontecimientos y denuncias pasadas de fraude dentro de la entidad e industria? Incluye las evaluaciones de las tendencias o relaciones financieras inusuales identificadas a partir de procedimientos o tcnicas analticos? 6. La valoracin del riesgo de fraude considera el riesgo de que la administracin eluda los controles? 7. La administracin considera el tipo, la probabilidad, la significancia y la generalizacin de los riesgos de fraude identificados? 8. Las valoraciones del riesgo de fraude son actualizadas peridicamente para incluir las consideraciones de los cambios en las operaciones, sistemas de informacin nuevos, adquisiciones, cambios en roles y responsabilidades de trabajo, empleados en posiciones nuevas, resultados de las auto-evaluaciones de los controles, monitoreo de las actividades, hallazgos de auditora interna, tendencias de la industria nuevas o en evolucin, y revisiones de los riesgos de fraude identificados dentro de la organizacin? 9. La administracin valora el diseo y la efectividad de la operacin de las valoraciones del riesgo de fraude? 10. La administracin documenta adecuadamente sus valoraciones y conclusiones en relacin con el diseo y la efectividad de la operacin de las valoraciones del riesgo de fraude? 11. La valoracin del riesgo de fraude est diseada y opera efectivamente?

Ambiente de control
1. La compaa mantiene un apropiado tono desde lo alto? La administracin valor el tono de la organizacin para determinar si la cultura fomenta el comportamiento tico, la consulta y la comunicacin abierta? (Esta valoracin puede ser realizada mediante encuestas culturales annimas, indagaciones y entrevistas, o por revisin realizada por la auditora interna.) El comit de auditora y la junta de directores realizan supervisin eficiente de los programas y controles antifraude de la administracin? La funcin de auditora interna tiene suficiente participacin en los programas y controles antifraude,

2. 3.

SEC, Final Rule: Managements Reports on Internal Control, Section (II)(B)(3)(d).

incluyendo el monitoreo de la efectividad de los programas y controles antifraude, dados el tamao y la complejidad de la organizacin? La funcin de auditora interna reporta directamente al comit de auditora? 4. La compaa tiene un cdigo de tica/conducta publicado (con determinaciones relacionadas con conflictos de inters, transacciones con partes relacionadas, actos ilegales y fraude) disponible para todo el personal y la administracin requiere que los empleados confirmen que lo aceptan y estn de acuerdo en seguirlo? La frecuencia de las excepciones deteriora la efectividad del cdigo? El cdigo cumple con las reglas y regulaciones aplicables? 5. La compaa tiene una lnea tica / de denuncias annimas con procedimientos adecuados para manejar las denuncias annimas (recibidas de dentro y fuera de la compaa) y para aceptar la presentacin confidencial de preocupaciones respecto de asuntos cuestionables de contabilidad, control interno contable o auditora? La informacin y las denuncias annimas son investigadas y resueltas oportunamente? 6. La compaa tiene estndares formales de contratacin y promocin, incluyendo verificaciones de los antecedentes de los empleados que tengan influencia en la informacin financiera o que participen en la preparacin de los estados financieros? 7. La compaa tiene entrenamiento formal y efectivo para los empleados y para los recin contratados, sobre problemas de fraude, tica y cdigo de tica/conducta? 8. La compaa responde de manera oportuna y apropiada a las deficiencias de control importantes, a las acusaciones o preocupaciones por fraude, y a las violaciones del cdigo de tica/conducta? 9. La administracin valora el diseo y la efectividad de la operacin del ambiente de control? 10. La administracin documenta de manera adecuada sus valoraciones y conclusiones relacionadas con el diseo y la efectividad de la operacin del ambiente de control? 11. El ambiente de control est diseado y opera de manera efectiva?

Actividades de control antifraude

1. 2. 3. 4. 5. 6. 7. 8. La compaa mapea o vincula adecuadamente los riesgos de fraude identificados con las actividades de control diseadas para mitigar los riesgos de fraude? La administracin disea e implementa controles preventivos y detectivos (los controles preventivos estn diseados para detener la ocurrencia del fraude y los controles detectivos estn diseados para identificar el fraude si ocurre)? La compaa tiene controles que restringen el uso indebido de los activos que podra resultar en una declaracin equivocada material de los estados financieros? La compaa tiene controles que traten el riesgo de que la administracin eluda los controles (incluyendo controles sobre asientos y ajustes al libro diario, estimados, y transacciones inusuales o no-rutinarias)? La compaa considera los controles de la seguridad (incluyendo controles de la TI y el acceso limitado a los sistemas de contabilidad), y considera lo adecuado de las actividades de deteccin y monitoreo del fraude que utilizan los sistemas de informacin? La administracin valora el diseo y la efectividad de la operacin de las actividades de control antifraude? La administracin documenta adecuadamente sus valoraciones y conclusiones relacionadas con el diseo y la efectividad de la operacin de las actividades de control antifraude? Las actividades de control antifraude estn diseadas y operan efectivamente?

Informacin & Comunicacin

1. 2. La informacin sobre la tica y el compromiso de la administracin para con los programas y controles antifraude es comunicada efectivamente a todos los empleados a travs de la organizacin? La administracin tiene procedimientos para difundir y obtener informacin relacionada con los programas y controles antifraude, los riesgos de fraude, las acusaciones de fraude, y las preocupaciones respecto de contabilidad inapropiada, para y desde todos los niveles de la organizacin y las partes externas (cuando sea apropiado)? La administracin valora el diseo y la efectividad de la operacin de la informacin y comunicacin? La administracin documenta adecuadamente sus valoraciones y conclusiones en relacin con el diseo y la efectividad de la operacin de la informacin y comunicacin?

3. 4.

Monitoreo de las actividades

1. 2. 3. 4. 5. 6. 7. Auditora interna y otros participan activamente en el monitoreo y la valoracin de los programas y controles antifraude? La actividad de auditora interna es adecuada para el tamao y las operaciones de la organizacin? Los hallazgos y las debilidades identificadas durante el monitoreo de las actividades son incorporadas en la valoracin del riesgo de fraude, el diseo del ambiente de control y las actividades de control antifraude? El comit de auditora supervisa el monitoreo de las actividades? La administracin valora el diseo y la efectividad de la operacin de las actividades de monitoreo? La administracin documenta adecuadamente sus valoraciones y conclusiones relacionadas con el diseo y la efectividad de la operacin del monitoreo de las actividades? El monitoreo y la valoracin de las actividades estn diseados y operan efectivamente?

Seccin 2 Ejemplo de plan de implementacin Realizacin de valoraciones del riesgo de fraude

No hay un mtodo estndar con el cual la administracin pueda implementar su valoracin del riesgo de fraude. Sin embargo, la valoracin del riesgo de fraude es un paso crtico para tratar los riesgos de fraude dentro de la organizacin y como tal debe ser un rea de foco importante para la administracin. El siguiente ejemplo de plan de implementacin resume ciertos elementos del proceso de valoracin del riesgo de fraude que se describen en COSO y en el SAS 99.

medios, algunos de los cuales pueden ya ser utilizados por la administracin en su consideracin de los controles internos. Por ejemplo, si la administracin ha elegido valorar el ambiente de control mediante una encuesta annima, los resultados tambin se pueden usar para evaluar la existencia de factores de riesgo de fraude. El proceso debe considerar los otros factores de riesgo de fraude, incluyendo fraudes pasados y acusaciones de fraude en la organizacin, fraudes en la industria, tendencias o relaciones financieras inusuales identificadas a partir de procedimientos analticos, y el rol potencial que los controles dbiles de TI podran jugar en facilitar que ocurra la actividad fraudulenta El proceso debe considerar los factores de riesgo de fraude a nivel de entidad y a nivel de procesos importantes.

Paso dos: identifique los posibles esquemas y escenarios de fraude

Este proceso debe incluir a todo el personal apropiado, incluyendo administracin, auditora interna, administracin de TI, propietarios de procesos importantes, as como la supervisin por parte del comit de auditora. Este paso incluye una lluvia de ideas de los posibles esquemas y escenarios de fraude que podran resultar de los factores de riesgo de fraude identificados. Por ejemplo, si la compaa enfrenta presiones internas y/o externas importantes para lograr metas de ingresos ordinarios, la lluvia de ideas debe incluir la identificacin y la consideracin de los escenarios y de los esquemas de fraude que podran ser cometidos para manipular los ingresos ordinarios Se debe prestar consideracin especial al riesgo de eludir los controles por parte de la administracin tal como (1) registro de asientos o ajustes ficticios en el libro diario, particularmente los registrados cerca del final del perodo contable, (2) supuestos y juicios intencionalmente sesgados usados para estimar saldos de cuentas, y (3) ejecutar transacciones importantes que estn fuera del curso normal de los negocios de la entidad y que carecen de sustancia econmica. Tambin se debe prestar consideracin a los fraudes pasados y a las acusaciones de fraude dentro de la organizacin y la industria

Paso uno: evale los factores de riesgo de fraude

Los factores de riesgo de fraude son esos eventos o condiciones que sealan incentivos/presiones para cometer fraude, oportunidades para llevar a cabo el fraude, o actitudes/racionalizaciones para justificar una accin fraudulenta (en el Apndice del SAS 99 se encuentran ejemplos de factores de riesgos de fraude). Los factores de riesgo de fraude no necesariamente sealan la existencia de fraude; sin embargo, a menudo estn presentes en las circunstancias cuando existe fraude. Personal proveniente de diversos niveles de la organizacin debe participar en este proceso, incluyendo administracin, auditora interna, propietarios de los procesos de negocio, administracin de la TI, y el comit de auditora. El comit de auditora debe tener un rol activo en la supervisin de los esfuerzos de la administracin para identificar y considerar los factores de riesgo de fraude y puede retar a la administracin para que verifique que sean abordados los riesgos de fraude. Esta etapa debe incluir la evaluacin de los factores de fraude que estn presentes en la organizacin. Esto puede ser realizado a travs de diversos
10

La identificacin de los posibles esquemas de fraude debe ser realizada sin consideracin de la existencia o efectividad de los controles internos.

Paso tres: priorice los riesgos de fraude identificados

Este paso implica la evaluacin de los posibles esquemas de fraude e incluye la consideracin de lo siguiente: Tipo. El tipo de riesgo (i.e., uso indebido de activos, informacin financiera fraudulenta, etc.) Probabilidad. La probabilidad del riesgo (i.e., la probabilidad de que resultar en una declaracin equivocada material contenida en los estados financieros). Importancia. La importancia del riesgo (i.e., si es de una magnitud que podra resultar en una posible declaracin equivocada material de los estados financieros). Generalizacin. La generalizacin del riesgo (i.e., si el riesgo potencial es generalizado para los estados financieros tomados en su conjunto o estn relacionados de manera especfica con una aseveracin, cuenta o clase de transacciones particular). Se debe dar nfasis a los riesgos que son considerados probables, significantes y/o generalizados.

Paso cuatro: evale si los controles de mitigacin existen o son efectivos

La administracin debe determinar si hay controles en funcionamiento para mitigar de manera suficiente los riesgos de fraude identificados o si se debe dar nfasis adicional a los controles existentes. Cuando los controles no estn presentes, la administracin debe considerar la necesidad de disear e implementar controles antifraude adicionales para abordar de manera especfica los riesgos de fraude identificados. La administracin debe mapear o vincular los riesgos de fraude identificados con los controles internos existentes (incluyendo ambiente de control, actividades de control antifraude, y monitoreo de actividades), y documentar las actividades de control antifraude que mitigan y estn relacionadas con los riesgos de fraude.

11

Seccin 3 Muestra del proceso

Abajo se presentan dos ejemplos del proceso de los programas y controles antifraude para dos riesgos de fraude comunes. La informacin se divide en dos partes el proceso de valoracin del riesgo de fraude, y los programas y controles diseados para abordar los riesgos de fraude identificados durante la valoracin del riesgo de fraude. Los programas y controles que se listan abajo no tienen la intencin de representar todas las posibles actividades de los programas y controles que pueden abordar el riesgo de fraude identificado, sino que se muestran como ejemplos de actividades que pueden abordar el riesgo de fraude identificado. La administracin debe determinar cmo documentar de mejor manera su valoracin del riesgo de fraude y los programas y controles en funcionamiento para abordar los riesgos, con base en los hechos y circunstancias de la compaa.

Reconocimiento inapropiado/temprano de ingresos ordinarios

Valoracin del riesgo de fraude Realizada por la administracin, auditora interna, administracin de TI, propietarios de procesos importantes, y supervisada por el comit de auditora Considera factores internos y del ambiente externo (incluyendo presiones o incentivos, racionalizacin y oportunidad) Riesgos de fraude identificados en los niveles y localizaciones relevantes dentro de la organizacin Ingresos ordinarios Reconocimiento inapropiado/temprano de los ingresos ordinarios Existencia de trminos o condiciones de venta no-revelados Trminos otorgados al cliente que son: Revelados en la orden de compra pero no en el sistema de entrada de rdenes Revelados nicamente en los documentos de negociacin Suministrados en cartas anexas, correos electrnicos u oralmente Gerente de ventas Representante de ventas Personal de finanzas y ventas (contralor de divisin, ejecutivo de entrada de rdenes, administrador del crdito, etc.) Administrador del inventario Consejero general Administracin (CEO, CFO, etc.) Cliente Cualquier combinacin de los anteriores uno, algunos, o todos La importancia del riesgo (i.e., si es de una magnitud que podra conducir a resultar en una posible declaracin equivocada material de los estados financieros) (Alta) La probabilidad del riesgo (i.e., la probabilidad de que resultar en una declaracin equivocada material contenida en los estados financieros) (Alta) La generalizacin del riesgo (i.e., si el riesgo potencial es generalizado para los estados financieros tomados en su conjunto o est especficamente relacionado con una aseveracin, cuenta, o clase de transacciones particular) (El riesgo est relacionado con los ingresos y con las cuentas por cobrar) Entrenamiento/polticas/adherencia regulares respecto de la tica Cdigo de tica/conducta publicado, con determinaciones relacionadas con el fraude y el comportamiento tico

Cuenta o ciclo importante Riesgo de fraude Causa del fraude Elementos del fraude (Qu pude ser similar a ello) VALORACIN DEL RIESGO DE FRAUDE
12

Puede implicar a Importancia (Alta, media, baja)

Probabilidad (Alta, media, baja)

Generalizacin

Actividades del ambiente de control

 Actividades de control

VALORACIN DEL RIESGO DE FRAUDE Informacin y comunicacin

Monitoreo de actividades

Estndares formales de contratacin y promocin Tono desde lo alto, incluyendo actitudes apropiadas hacia los controles y el cumplimiento corporativo Receptividad a los procesos y hallazgos de la auditora interna Entrenamiento en las prcticas de venta Revisin regular de todos los contratos de venta, con un foco en los trminos y condiciones inusuales, y una comparacin con las prcticas actuales Existencia de confirmacin/verificacin del personal de ventas respecto de la completitud y exactitud de los registros sobre los trminos o condiciones de las ventas Revisin regular de las cuentas por cobrar vencidas con un nfasis en las atrasadas Segregacin de funciones (funciones de ventas y entrada de crditos/ rdenes) Controles de aplicacin para prohibir el procesamiento adicional sin las aprobaciones necesarias Sistema de autorizacin y aprobacin de transaccin para ventas y castigos de cuentas Cuando sea apropiado, estandarizacin de los trminos y condiciones de las ventas Un sistema para la administracin efectiva del conocimiento para obtener y comunicar la informacin apropiada que corresponda a los riesgos de fraude en los ingresos ordinarios y a los programas y controles antifraude relacionados con los ingresos ordinarios Auditora interna confirma directamente con los clientes las cantidades de las ventas, as como elementos tales como la fecha de pago, los detalles de cualesquiera devoluciones, trminos y condiciones noregistradas y cualesquiera acuerdos externos no contenidos en el acuerdo original escrito Revisin regular de las ventas diarias pendientes y comparacin con comparacin con las que son normales de la compaa o los promedios de la industria. Revisin regular de las ventas importantes a final de trimestre o a final de ao por fijacin de precios, facturacin, entregas, devoluciones, cambios, o clusulas de aceptacin, que no sean usuales.

Elusin de los controles, por parte de la administracin Asientos o ajustes inapropiados en el libro diario
VALORACIN DEL RIESGO DE FRAUDE Valoracin del riesgo de fraude Realizada por la administracin, auditora interna, administracin de TI, propietarios de procesos importantes, y supervisada por el comit de auditora Considera factores internos y del ambiente externo (incluyendo presiones o incentivos, racionalizacin y oportunidad) Riesgos de fraude identificados en los niveles y localizaciones relevantes dentro de la organizacin Cierre y reporte financiero Eludir los controles para asientos o ajustes en el libro diario, resultante en estados financieros declarados equivocadamente La administracin dirige o participa en entradas o ajustes en el libro diario para manipular los resultados de la operacin Los asientos y/o ajustes en el libro diario son registrados para de manera inapropiada:
13

Cuenta o ciclo importante Riesgo de fraude Causa del fraude Elementos del fraude (Qu pude ser similar a ello)

Puede implicar a Importancia (Alta, media, baja)

Probabilidad (Alta, media, baja)

Generalizacin

VALORACIN DEL RIESGO DE FRAUDE

Actividades del ambiente de control

Actividades de control

Informacin y comunicacin

Monitoreo de actividades

Incrementar ingresos ordinarios o resultados Disminuir costos de ventas o gastos Manipular saldos de cuentas para cumplir acuerdos de deuda, lograr metas financieras o presupuestos, reducir u ocultar pasivos, declarar equivocadamente activos, etc. CEO CFO Consejero general Gerentes general / de divisin Contralores corporativo / de divisin Cualquier combinacin de los anteriores uno, algunos, o todos La importancia del riesgo (i.e., si es de una magnitud que podra resultar en una posible declaracin equivocada material de los estados financieros) (Alta) La probabilidad del riesgo (i.e., la probabilidad de que resultar en una declaracin equivocada material contenida en los estados financieros) (Alta7) La generalizacin del riesgo (i.e., si el riesgo potencial est generalizado para los estados financieros tomados en su conjunto o est relacionado especficamente con una aseveracin, cuenta, o clase de transacciones particular). (Generalizado a travs de los estados financieros.) Supervisin activa por parte del comit de auditora Entrenamiento/polticas/adherencia regulares respecto de la tica Cdigos de tica/conducta publicados, con determinaciones relacionadas con el fraude Estndares formales de contratacin y promocin (con verificaciones de los antecedentes de quienes tienen influencia importante en la informacin financiera) Tono desde lo alto, incluyendo actitudes hacia los controles y el cumplimiento corporativo Segregacin de funciones y aprobaciones requeridas los asientos y los ajustes en el libro diario requieren dos firmas incluyendo las aprobaciones apropiadas antes de colocarlas Controles de aplicacin para prohibir el procesamiento adicional sin las aprobaciones necesarias Documentacin de respaldo requerida para todos los asientos en el libro diario no-sistemticas/manuales Controles generales de computacin que limiten al acceso al sistema del libro mayor y el registro de los nombres de los individuos que inician y/o aprueban los asientos en el libro diario no-sistemticos/manuales Un sistema para la administracin efectiva del conocimiento para obtener y comunicar la informacin apropiada que pertenezca al riesgo de que la administracin eluda los controles, as como los programas y controles antifraude Identificar y evaluar el carcter apropiado de los asientos en el libro diario inusuales y no-rutinarias (considerar utilizar tcnicas asistidas por computador para identificar los asientos inusuales o no-rutinarios) Revisin regular de los reclamos por tica / annimos con las denuncias o preocupaciones respecto del comportamiento tico inapropiado de la administracin o la informacin financiera inapropiada Revisin regular de los resultados financieros incluyendo analticas y ratios financieras con comparacin con las que son normales de la compaa o los promedios de la industria.

El pargrafo 41 del SAS 99 seala, An si el auditor no identifica riesgos especficos de declaracin equivocada material debida a fraude, hay la posibilidad de que la administracin pudiera eludir los controles, y de acuerdo con ello, el auditor debe tratar ese riesgo aparte de cualesquiera conclusiones relacionadas con la existencia de riesgos ms especficamente identificables. El riesgo de que la administracin eluda los controles incrementa la probabilidad de fraude y la probabilidad de que resultar en una declaracin equivocada material contenida en los estados financieros.
7

14

Seccin 4 Lista muestra de esquemas de fraude

La siguiente lista de posibles esquemas de fraude puede ser utilizada por la administracin y por los auditores como ayuda en la identificacin de riesgos, escenarios y esquemas de fraude posibles, cuando se realizan o evalan las evaluaciones del riesgo de fraude de la administracin. La lista de esquemas de fraude no tiene la intencin de ser una lista completa de todos los posibles esquemas de fraude para todas las industrias. Facture y retenga Una transaccin de facture y retenga ocurre cuando los productos han sido cargados como una venta pero la entrega y la transferencia de la propiedad no ha ocurrido para la fecha en que se registra la venta. La transaccin puede incluir una venta o una orden de compra legtima; sin embargo, en el momento en que se registra la venta el cliente no est listo, dispuesto, o capaz para aceptar la entrega del producto. Los vendedores pueden tener los bienes en sus instalaciones o pueden enviarlos a diferentes localizaciones, incluyendo almacenes de terceros. Alteracin de la documentacin de envo Mediante la creacin de documentacin de envo falsa, la compaa puede registrar con falsedad transacciones y reconocer de manera inapropiada ingresos ordinarios. Mediante la alteracin de la documentacin de envo (comnmente cambiando las fechas y/o los trminos de envo), la compaa puede incrementar los ingresos ordinarios en un perodo contable especfico independiente de que los hechos y circunstancias de la transaccin y los ingresos ordinarios resultantes deban haber sido registrados en el siguiente perodo de contabilidad. Acuerdos para Vender-a-travs-del producto Estos acuerdos de venta incluyen trminos contingentes que se basan en el desempeo futuro del comprador de los bienes (comnmente distribuidores o revendedores) e impactan el reconocimiento de los ingresos ordinarios por parte del vendedor. Esos trminos contingentes pueden o no estar incluidos en los acuerdos de venta y pueden ser suministrados en los acuerdos con una parte. Los acuerdos para vender-a-travs-de son similares a las ventas contingentes y pueden incluir el envo de bienes a una parte que acuerda vendrselos a terceros. La venta no se considera que ocurra (y por consiguiente los ingresos ordinarios no se deben registrar) hasta que los bienes se vendan al tercero (el cliente o usuario final) sin trminos de venta contingentes adicionales. Pago por adelantado Algunas transacciones de venta requieren que los clientes paguen por adelantado los servicios que les sern prestados durante un perodo de tiempo. Las compaas pueden intentar reconocer, antes que se presten los servicios, toda la cantidad del contrato o la cantidad de los pagos recibidos (y antes que se ganen los ingresos ordinarios). En algunos casos, el esquema puede incluir la falsificacin o modificacin de registros de contabilidad (e.g., rdenes de compra, facturas y contratos de venta).
15

Esquemas de informacin financiera fraudulenta

Reconocimiento inapropiado de los ingresos ordinarios
Acuerdos con una parte - Los trminos y condiciones de las ventas pueden ser modificados, revocados o enmendados de otra manera por fuera del proceso de ventas o de los canales de presentacin de reportes reconocidos y pueden impactar el reconocimiento de los ingresos ordinarios. Las modificaciones comunes pueden incluir el otorgar derechos de devolucin, trminos de pago extendidos, devoluciones o cambios. Los vendedores pueden conceder esos trminos y condiciones hacindolo en cartas ocultas, correos electrnicos o acuerdos verbales, en orden a reconocer los ingresos ordinarios antes que se ejecute la venta. En el curso ordinario del negocio, los acuerdos de venta pueden y a menudo son enmendados, y no hay equivocacin al darle a los compradores el derecho a devolucin o cambio, en la extensin en que los ingresos ordinarios se reconozcan en el perodo contable apropiado, establecidas las reservas apropiadas. Transacciones de ida y vuelta Registro de las transacciones que ocurren entre dos o ms compaas para las cuales no hay propsito de negocio o beneficio econmico para las compaas que participan. Esas transacciones a menudo se realizan con el propsito de inflar los ingresos ordinarios o la creacin de apariencia de crecimiento fuerte en las ventas. Las transacciones pueden incluir ventas entre compaas por la misma cantidad dentro de un breve perodo de tiempo, o pueden incluir un prstamo a o la inversin en un cliente de manera que el cliente tenga la capacidad para comprar los bienes. El efectivo puede cambiar de manos, pero el solo pago no legitima la transaccin o justifica el reconocimiento de los ingresos ordinarios si no hay un propsito de negocio subyacente o beneficio para las transacciones.

Perodos de contabilidad que permanecen abiertos Los registros de contabilidad que de manera inapropiada permanecen abiertos luego del final del perodo de contabilidad pueden permitir que las compaas registren en el actual perodo de contabilidad transacciones adicionales que ocurren despus del final del perodo de contabilidad. Este esquema comnmente implica registrar en el perodo actual las ventas y/o los ingresos de efectivo que ocurren despus del final del perodo de presentacin de reportes. Los esquemas algunas veces incluyen la falsificacin o modificacin de la documentacin de contabilidad (fechas en los documentos de envo, rdenes de compra, extractos bancarios, conciliaciones de efectivo, diario de ingresos de efectivo, etc.) en un intento por cubrir el rastro del fraude. Falla en registrar las provisiones o bonificaciones por ventas Algunas transacciones de venta requieren que las compaas registren provisiones o reducciones de las cantidades brutas de las ventas (e.g., contabilizar devoluciones futuras en ventas). Mediante el fallar en registrar las provisiones o reducciones, las compaas pueden sobre declarar de manera inapropiada los ingresos ordinarios. El esquema puede incluir la falsificacin o modificacin de los registros de contabilidad en un intento por ocultar los trminos o condiciones que pueden requerir la reduccin en las ventas (e.g., rdenes de compra, facturas y contratos de venta).

de correo, nmeros de fax, nmeros telefnicos, etc., falsos) de manera que las confirmaciones sean desviadas a los conspiradores que participan en el esquema. Cuentas por cobrar refrescadas Con el fin de ocultar el aumento de los saldos de las cuentas por cobrar (incluyendo saldos incobrables conocidos o sospechados) mientras se evita incrementar la provisin de deudas malas, la compaa puede refrescar el vencimiento de las cuentas por cobrar y representar de manera inapropiada los saldos de las cuentas por cobrar como que sean de naturaleza corriente en lugar de mostrar la verdadera edad de las cuentas por cobrar. Esto puede ocurrir con transacciones de intercambio con clientes, en las que los clientes pueden recibir crditos para sus cuentas y provisiones para volver a comprar bienes mientras que hay poca, si la hay, transferencia fsica de mercanca. Algunos esquemas pueden sencillamente modificar o editar las fechas de las facturas en el sistema de cuentas por cobrar, lo cual resulta en un reinicio del proceso de vencimientos para las cuentas por cobrar modificadas. Los esquemas pueden incluir la falsificacin o la modificacin inapropiada de la documentacin contable (facturas, rdenes de compra, rdenes de cambio, reportes de envos, etc.) para cubrir el esquema de fraude. Manipulaciones promocionales de las provisiones Las provisiones (bonificaciones) promocionales pueden darse como descuentos, incentivos u otros crditos a compradores/clientes como un incentivo por la compra de productos. Las provisiones (bonificaciones) pueden tomar la forma de descuentos por volumen, reembolsos por manejo especial, reembolsos por co-publicidad, honorarios por espacios preferentes, etc. A menudo las provisiones (bonificaciones) promocionales se basan en eventos futuros (tales como volmenes de compra durante un perodo de tiempo especificado, costos futuros de publicidad, etc.) y a menudo requieren estimados considerables que pueden ser manipulados o sesgados. Algunos esquemas implican el reconocimiento temprano de los ingresos por pagos recaudados por adelantado o la falla en causar las devoluciones o los crditos que probablemente sean ganados por el comprador. Otros esquemas de fraude implican informacin financiera fraudulenta y la clasificacin equivocada de los crditos en el estado de resultados. Ajustes a los estimados Los estimados son comunes durante el proceso contable y pueden ser manipulados para impactar ingresos ordinarios, gastos, valuaciones de activos y/o pasivos. La administracin a menudo se encuentra en una posicin que puede influir o sesgar los estimados. Los esquemas comunes de fraude implican la reduccin de las causaciones o de las reservas en orden a incrementar las ganancias del perodo actual, y pueden implicar la creacin temprana de reservas por excesos o reservas cookie-jar* cuando la compaa estuvo en una

Esquemas de inventarios
Inflar el valor del inventario Las valuaciones del inventario pueden ser manipuladas de diversas formas, incluyendo: movimiento de inventario entre las localizaciones para inflar ficticiamente las cantidades del inventario, posponer y sub-reportar los castigos y las reservas por obsolescencia, manipulacin de las unidades de valuacin aplicadas a los inventarios en cartera, y capitalizacin inapropiada del inventario. Inventario fuera del lugar o ficticio Las compaas pueden crear inventario mediante la falsificacin de asientos en el libro diario, reportes de recepcin y envo, rdenes de compra, o ciclo de cuentas. Las compaas pueden participar en esos esquemas para disminuir el costo de las ventas como un porcentaje de las ventas o para mantener saldos de inventario por acuerdos de deuda u otras razones.

Otros esquemas de informacin financiera

Confirmaciones de auditora fraudulentas Las confirmaciones de auditora fraudulentas pueden impactar todos los tipos de cuentas o transacciones que sean confirmados con terceros (ventas, efectivo, cuentas por cobrar, deuda, pasivos, etc.). Los esquemas pueden incluir colusin con terceros que reciban las confirmaciones de auditora o pueden implicar que la compaa le suministre a los auditores informacin de contacto falsa (direcciones
16

posicin financiera para crear un amortiguador contra prdidas futuras. Entidades y pasivos por-fuera-del-balance Para ocultar pasivos, algunos esquemas incluyen el uso de vehculos por-fuera-del-balance o entidades de propsito especial. Los vehculos por-fuera-del-balance pueden ser permitidos segn los PCGA; sin embargo, algunos esquemas estn diseados para utilizar esas entidades o transacciones para ocultar deuda y declarar pasivos de manera equivocada en el balance general y tambin pueden tener impacto en el estado de resultados. Valuaciones inapropiadas de activos A menudo hay una relacin directa entre sobre-declaracin de activos e inflacin de las ganancias. Muchos esquemas de fraude incluyen ocultar o ubicar de manera equivocada los dbitos en el balance general, los cuales de otra manera se deben registrar en el estado de resultados. Esos dbitos a menudo son registrados inapropiadamente como activos o como reduccin de pasivos existentes. La sobrevaluacin de activos a menudo se considera una manera relativamente simple para manipular de manera directa las ganancias reportadas. Ofertas de inversin falsas Diseadas para sobredeclarar activos y ganancias, los esquemas pueden de manera deliberada sobre-declarar las inversiones existentes o crear inversiones ficticias. Las inversiones tambin se pueden intencionalmente clasificar de manera equivocada, resultando ello en el reconocimiento inapropiado de ganancias o en la falla en reconocer prdidas. Otros esquemas se disean para ocultar o diferir prdidas a partir de las ventas o los retiros permanentes derivados de deterioros. Capitalizacin inapropiada de gastos Los desembolsos de capital son costos que benefician a la compaa durante ms de un perodo contable, y de acuerdo con ello, los desembolsos deben ser amortizados durante la vida del activo. Las compaas pueden capitalizar de manera inapropiada ciertos desembolsos en orden a evitar reconocer toda la cantidad del gasto en el perodo actual. Los gastos pueden ser capitalizados en varias cuentas de activos, y pueden incluir costos de desarrollo de software, costos de investigacin y desarrollo, costos de inicializacin, costos por intereses, costos de publicidad, costos de inventario y mano de obra, etc. Agregar al efectivo cheques en circulacin Las conciliaciones del efectivo pueden ser manipuladas en

orden a inflar los saldos finales de efectivo. Algunos esquemas se logran mediante la conciliacin de un elemento o el ajuste de la conciliacin, o pueden incluir la seleccin y eliminacin de cheques especficos de los registros de los cheques en circulacin. Asientos de consolidacin no-justificados Algunos esquemas ocurren durante el proceso de cierre y consolidacin financiera e implican ajustes de consolidacin no-justificados o ficticios. A menudo hay documentacin contable o explicaciones limitadas para los asientos y actividades de consolidacin. Manipulaciones al interior de la compaa Similar a los otros esquemas de contabilidad que implican consolidaciones, las manipulaciones al interior de la compaa pueden tener documentacin o explicaciones limitadas para las entradas y actividades al interior de la compaa. Los esquemas pueden darse para sobre/ sub-declarar saldos o pueden implicar la creacin de transacciones ficticias. Partes relacionadas que crean transacciones Las transacciones con partes relacionadas se realizan con entidades que son controladas o influenciadas por la compaa. Los esquemas pueden incluir la revelacin inapropiada o inadecuada de las transacciones o esquemas ms elaborados para crear transacciones ficticias entre las entidades, a menudo con la intencin de incrementar los ingresos ordinarios o los activos reportados. Fraudes en la revelacin Las revelaciones fraudulentas pueden incluir suministrar informacin falsa o la falla en revelar informacin requerida. Los esquemas pueden incluir la falla de la compaa en revelar ciertas transacciones con partes relacionadas, deterioros de activos materiales, pasivos no-registrados o prcticas de contabilidad que violen los PCGA.

Uso indebido de los activos

Retencin de efectivo Los esquemas de retencin a menudo incluyen el ciclo de ventas, cuando los empleados usan el efectivo pero no registran la venta o toda la cantidad del efectivo recaudado. Un esquema tpico de retencin puede implicar a un almacn de venta al por menor donde el empleado recauda efectivo del cliente, se guarda el dinero, y evita registrar la transaccin en el punto del sistema de ventas. Otros esquemas de retencin no estn limitados a transacciones en efectivo y pueden incluir el desvo de cheques de los clientes.

* Contabilidad Cookie jar o reservas cookie jar es una prctica contable en una empresa que utiliza las generosas reservas de los aos buenos

contra las prdidas que pudiera sufrir en aos malos. Un ejemplo de una reserva cookie es el pasivo que se crea cuando una empresa registra un gasto que no est directamente vinculado a un determinado perodo contable - el gasto puede caer en un perodo u otro. Las empresas pueden registrar este tipo de gastos discrecionales cuando los beneficios son altos porque pueden darse el lujo de tener la respuesta positiva a los ingresos. Cuando los beneficios son bajos, la empresa reduce el pasivo (la reserva) en lugar de registrar un gasto en la ao malo. El resultado habitual de la contabilidad cookie jar es una suavizacin de los ingresos netos durante el transcurso de varios aos (Cfr: Wilkipedia). Debe recordarse que esta es una prctica contable prohibida por la mayora de estructuras de informacin financiera (N del t).

17

Desembolsos fraudulentos Los esquemas pueden incluir esquemas de facturacin, fraude en el aprovisionamiento, robo de cheques de la compaa, esquemas de nmina y empleados fantasma, y esquemas de desembolso de gastos. El esquema comn de aprovisionamiento es establecer vendedores o proveedores falsos en el sistema de cuentas por pagar o aprobar pagos por servicios que son recibidos por el empleado o defraudador. Los esquemas de nmina pueden incluir falsificacin de horas trabajadas, creacin de empleados ficticios, falla en retirar empleados que han robado a la compaa y el desvo de pagos hacia empleados o defraudadores.

Otros esquemas de fraude

Cohecho, corrupcin & sobornos La corrupcin y el cohecho tienen una variedad de formas dentro de la organizacin y pueden incluir elementos tales como que los vendedores le paguen gratificaciones a los compradores para asegurar ventas, los compradores le paguen primas a los vendedores a causa de las relaciones personales con el vendedor, pagos a las compaas de fachada por servicios que no son prestados, trminos de pago que se estructuran para evitar las firmas de aprobacin adecuadas, o que el mismo vendedor pueda aparecer en el sistema de cuentas por pagar en una cantidad de formas como mtodo para duplicar los pagos. Los esquemas tambin pueden incluir proveedores de servicio preferidos que estn dispuestos a pagarles sobornos a los individuos por los negocios de la compaa. La Foreign Corrupt Practices Act (FCPA) fue promulgada para reducir la amenaza de cohecho y corrupcin en los pases extranjeros. Lavado de dinero Lavado de dinero es el proceso de ocultar la fuente de dinero obtenido ilegalmente. Este proceso es de importancia crtica para quien lo comete, dado que le permite al criminal disfrutar las utilidades sin revelar su fuente. Las actividades pueden implicar desviar las fuentes, cambiar la forma, o mover los fondos hacia un lugar donde sea menos probable que llame la atencin. Las utilidades provenientes del lavado de dinero pueden provenir del uso de efectivo, negociaciones internas, cohecho, esquemas de fraude por computador, ventas ilegales de armas, contrabando y actividades del crimen organizado.

18

Seccin 5 Programas & Controles Antifraude Pasos y consideraciones

Esta seccin discute los pasos y consideraciones a cargo de la administracin en relacin con el riesgo de fraude y los programas y controles antifraude. Al preparar esta seccin, se han referenciado las siguientes fuentes: SEC, Final Rule: Managements Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports PCAOB Auditing Standard No. 2, An Audit of Internal Control Over Financial Reporting Performed In Conjunction With an Audit of Financial Statements SAS 99, Consideration of Fraud in a Financial Statement Audit SAS 99 Exhibit, Management Antifraud Programs and Controls Committee of Sponsoring Organizations of the Treadway Commission, Internal Control Integrated Framework United States Sentencing Commission, Guidelines Manual Los cinco componentes de la estructura de COSO estn interrelacionados y el proceso de implementacin y actualizacin de los programas y controles antifraude es de naturaleza interactiva. Los programas antifraude verdaderamente efectivos son dinmicos y en ellos la informacin obtenida mediante el proceso de monitoreo se incorpora de nuevo en la valoracin del riesgo y comienza de nuevo todo el proceso. Cada uno de los cinco componentes de COSO se discute en el contexto de: alcance y objetivos participantes y responsabilidades elementos y diseo valoraciones realizadas por la administracin ejemplos de documentacin comn La evaluacin de las deficiencias de los programas y controles antifraude hace parte de la valoracin general que respecto del control interno hace la administracin. La administracin debe valorar el diseo y la efectividad de la operacin de los programas y controles antifraude y suministrar suficiente documentacin de sus programas, valoraciones y conclusiones, incluyendo la identificacin de cualesquiera deficiencias. Tal y como ocurre con las otras deficiencias del control interno, la administracin y el auditor deben evaluar la importancia de esas deficiencias.
19

Programas & Controles Antifraude Pasos y consideraciones

Realizar valoraciones del riesgo de fraude Crear un ambiente de control

Monitoreo de actividades

Compartir informacin & comunicacin

Disear e implementar actividades de control antifraude

1. Realizar valoraciones del riesgo de fraude

Alcance & Objetivos
Las valoraciones del riesgo de fraude deben ser realizadas en todos los niveles apropiados de la organizacin, incluyendo: el nivel de entidad y debe considerar los factores internos y externos, as como las presiones sobre la organizacin el nivel de saldo de cuenta importante tratar los riesgos a este nivel ayuda a focalizar las valoraciones del riesgo de fraude en las cuentas que podran estar declaradas equivocadamente en forma material localizaciones o unidades de negocio importantes, dado que los riesgos de fraude comnmente difieren de localizacin a localizacin debido a diferentes operaciones, estructuras organizacionales, cultura, etc. La valoracin del riesgo de fraude debe considerar el fraude por colusin, as como el riesgo de que la administracin eluda los controles. Existe fraude por colusin cuando ms de un individuo de dentro y fuera de la entidad se comprometen en una conspiracin para eludir o anular las actividades de control interno. A menudo el fraude por colusin no puede ser identificado mediante las tcnicas tradicionales de prueba. Tambin se debe prestar atencin al riesgo de que la administracin eluda los controles, dado que tpicamente la administracin tiene la capacidad de cometer fraude porque frecuentemente est en posicin para de manera directa o indirecta manipular los registros contables8. El que la administracin eluda los controles puede ocurrir de maneras impredecibles.

directores (cuando no existe comit de auditora) debe evaluar la identificacin que de los riesgos de fraude hace la administracin, y debe tener un rol activo en la supervisin del proceso de valoracin del riesgo de fraude. La administracin de la TI debe participar, dado que algunos esquemas de fraude son facilitados por el desactivar o eludir los controles del sistema de informacin. Adicionalmente, auditora interna debe tener un rol activo en el desarrollo, el monitoreo y la evaluacin continua de las valoraciones del riesgo de fraude.

Elementos y diseo
La valoracin formal del riesgo de fraude debe ser realizada, documentada y actualizada peridicamente. Las actualizaciones deben incluir consideraciones de los cambios en las operaciones, sistemas de informacin nuevos, adquisiciones, cambios en los roles y responsabilidades de trabajo, empleados en posiciones nuevas, resultados de las auto-evaluaciones de los controles, monitoreo de las actividades, hallazgos de auditora interna, tendencias de la industria nuevas o en evolucin, y revisiones de los riesgos de fraude identificados dentro de la organizacin o industria. La administracin debe identificar los eventos o condiciones que sealen incentivos/presiones para cometer fraude, oportunidades para llevar a cabo el fraude, o actitudes/racionalizaciones para justificar una accin fraudulenta. A tales eventos o condiciones se les refiere como factores de riesgo de fraude. Los factores de riesgo de fraude no necesariamente sealan la existencia de fraude; sin embargo, a menudo estn presentes en las circunstancias cuando existe fraude y pueden ayudar a identificar los riesgos de fraude potenciales. Incentivos/presiones Las presiones pueden ser reales o percibidas. La presin usualmente es creada por circunstancias en las cuales quien comete el fraude es ya sea sujeto o percibe que es sujeto de ella (e.g., presiones financieras personales tales como que la(el) esposa(o) pierde el trabajo, o presiones del mercado para lograr objetivos o metas financieras). Tambin pueden haber incentivos que incrementen la probabilidad de fraude (e.g., bonos de la administracin estructurados con base en el logro de objetivos financieros). Actitudes/racionalizacin Racionalizacin es el proceso mediante el cual la persona que comete un fraude legitima o justifica el crimen. A menudo incluye una actitud o un sentimiento de derecho y/o la creencia de que la compaa puede permitir

Participantes & Responsabilidades

La administracin tiene la responsabilidad primaria por la realizacin de las valoraciones del riesgo de fraude. Histricamente, la mayora de los fraudes materiales a menudo han sido dirigidos en parte por la administracin y detectados por los empleados y por quienes son responsables por el gobierno corporativo en otros niveles de la organizacin. Por consiguiente, es crtico que los empleados que estn por fuera de la administracin participen en la valoracin del riesgo de fraude. Es importante que la valoracin del riesgo de fraude incluya a los propietarios de los procesos de negocio o a quienes tengan conocimiento, control o influencia importante sobre las actividades dentro de un proceso o ciclo de negocios importante. El comit de auditora o la junta de

SAS 99, pargrafo 8.

20

ello. Por ejemplo, quien comete el fraude puede racionalizar un robo diciendo la compaa gana millones, perdera solamente unos pocos miles y yo realmente necesito el dinero o haciendo cuentas nadie pierde. Oportunidades Las oportunidades para cometer fraude se pueden manifestar ellas mismas de diversas maneras. Si los controles internos a la informacin financiera o a la salvaguardia de activos son inadecuados, puede ser relativamente fcil para quien comete el fraude registrar transacciones fraudulentas o activos ficticios. Algunos empleados (a menudo dentro de la administracin) pueden estar en posicin para eludir los controles, lo cual puede crear oportunidades para cometer fraude. Hay otra consideracin para las oportunidades, la cual a menudo se pasa por alto la baja percepcin de la deteccin o de las consecuencias sin sentido para el comportamiento inapropiado dentro de la organizacin pueden permitir mayores oportunidades para que ocurra fraude que si hay el elemento que disuade con alta probabilidad de deteccin y consecuencias severas. Adems, la colusin puede permitirle a quienes cometen fraude eludir los controles existentes, haciendo que tales controles sean inefectivos. Los controles internos tradicionalmente ms preventivos no son efectivos para tratar el fraude por colusin. El fraude por colusin generalmente es encontrado mediante controles detectivos unidos a un entendimiento del negocio y del entorno de la operacin. El Apndice al SAS 99 ofrece ejemplo de factores de riesgo de fraude que la administracin puede considerar como parte de la valoracin del riesgo de fraude. La administracin tambin debe considerar factores de riesgo de fraude adicionales tales como los fraudes conocidos dentro de la industria y la organizacin, as como las denuncias o sospechas anteriores respecto del fraude. La consideracin de los factores de riesgo de fraude es crtica, dado que los factores de riesgo conducen a riesgos de fraude que necesitan ser considerados cuando se implementan las actividades y los programas de control. La administracin debe evaluar los factores de riesgo de fraude, hacer lluvias de ideas sobre los esquemas y escenarios de fraude que podran resultar de los factores de riesgo de fraude, y evaluar los esquemas y escenarios de fraude para identificar los que se deben considerar riesgos de fraude. El pargrafo 40 del SAS 99 seala: la identificacin del riesgo de declaracin equivocada material debida a fraude implica la aplicacin de juicio profesional e incluye la consideracin de los atributos del riesgo, incluyendo: el tipo de riesgo que puede existir, esto es, si

implica informacin financiera fraudulenta o uso indebido de activos la importancia del riesgo, esto es, si es de una magnitud que podra conducir a que resulte en una posible declaracin equivocada material de los estados financieros la probabilidad del riesgo, esto es, la probabilidad de que resultar en una declaracin equivocada material contenida en los estados financieros la generalizacin del riesgo, esto es, si el riesgo potencial es generalizado para los estados financieros tomados en su conjunto o est relacionado de manera especfica con una aseveracin, cuenta, o clase de transaccin particular. Si bien la intencin del proceso no es identificar los riesgos que no sean importantes (i.e., robo inmaterial de suministros de oficina), se debe observar que el comportamiento inapropiado puede ser indicador de problemas ms amplios en el ambiente de control. Tambin, la Seccin 302 de la Ley Sarbanes-Oxley requiere la revelacin de cualquier fraude sea o no material, que implique a la administracin o a otros empleados que tengan un rol importante en los controles internos del emisor. La valoracin del riesgo de fraude debe ser realizada sin considerar la existencia o la efectividad de los controles internos. Los riesgos de fraude deben ser identificados, documentados y evaluados antes que la administracin determine si las actividades de control existentes mitigan de manera suficiente el riesgo de fraude identificado. Ms tarde, durante el diseo e implementacin de las actividades de control antifraude, los riesgos de fraude identificados deben ser mapeados o vinculados con las actividades de control antifraude para asegurar que todos los riesgos de fraude identificados estn suficientemente mitigados.

Valoraciones realizadas por la administracin

La administracin debe evaluar el diseo y la efectividad de la operacin del proceso de valoracin del riesgo de fraude y documentar sus conclusiones. Ejemplos de situaciones o circunstancias que pueden sealar que las valoraciones del riesgo de fraude no estn operando efectivamente incluyen: la participacin del comit de auditora y de la auditora interna es insuficiente los fraudes que han ocurrido sealan que el proceso de valoracin del riesgo de fraude no es efectivo
21

los auditores externos identificaron riesgos de fraude que la organizacin no haba identificado anteriormente

Ejemplos de documentacin comn

El propsito de la documentacin es ofrecer evidencia de la existencia del programa y del proceso de la administracin para identificar los riesgos de fraude. La documentacin debe ser suficiente para que los auditores entiendan cmo la administracin implement el programa y sus conclusiones en relacin con el diseo y la efectividad de la operacin de la valoracin del riesgo de fraude. La documentacin relacionada con las valoraciones del riesgo de fraude puede incluir lo siguiente: actualizaciones peridicas, incluyendo la consideracin de fraudes pasados, riesgos de fraude, y la participacin de los empleados apropiados supervisin y revisin del proceso de valoracin del riesgo de fraude realizadas por la administracin y por el comit de auditora participacin de la auditora interna, incluyendo la prueba de la efectividad del proceso de valoracin del riesgo y de los controles internos evaluacin realizada por la administracin respecto de los factores de riesgo de fraude para determinar cules factores de riesgo estn identificados como riesgos de fraude valoraciones y conclusiones de la administracin, relacionadas con el diseo y la efectividad de la operacin de la valoracin del riesgo de fraude.

son primariamente responsables por la creacin del ambiente de control. El comit de auditora y la junta de directores deben ser independientes de la administracin y participar activamente en la creacin, comunicacin y supervisin del ambiente de control. La funcin de auditora interna tambin tiene un rol importante en el ambiente de control y debe tener una lnea directa de presentacin de reportes independientes dirigidos al comit de auditora. Los empleados tambin participan en el ambiente de control dado que deben acoger y apoyar los programas y los controles, as como reportar las sospechas de fraude y ofrecer luces sobre el tono de la organizacin durante las valoraciones culturales.

Elementos & Diseo

Tono desde lo alto
El ambiente de control debe incluir un apropiado tono desde lo alto que incluya una cultura y un ambiente de trabajo que promueva la comunicacin abierta, consulta, y el comportamiento tico. La administracin debe considerar dar pasos razonables para evaluar la cultura de la organizacin para asegurar que existe un apropiado tono desde lo alto. Las valoraciones pueden incluir indagaciones a la administracin, auditora interna, o incluir encuestas annimas u otros medios para obtener luces respecto del tono de la organizacin. Un apropiado tono desde lo alto fomenta el comportamiento tico as como el desarrollo de y el cumplimiento con las actividades antifraude, tales como los controles que restringen la informacin financiera fraudulenta y el uso indebido de los activos de la compaa que podran resultar en una declaracin equivocada material de los estados financieros. La administracin debe disear controles para salvaguardar los activos, disuadir los desfalcos y el uso indebido de los activos, y restringir otros usos inapropiados de los activos de la compaa (tales como pagos de efectivo no-autorizados, uso inapropiado de activos o servicios de la compaa, uso equivocado o robo de intangibles incluyendo propiedad intelectual). Pueden existir situaciones en que el desfalco por parte de un empleado, an cuando sea pequeo, puede ser considerado una bandera roja o indicador de problemas ms amplios incluyendo la cultura de racionalizacin. Dada la importancia del tono desde lo alto y la influencia que la administracin tiene en las organizaciones, la Seccin 302 de la Ley Sarbanes-Oxley del 2002 requiere que los ejecutivos que firman le revelen a los auditores del emisor y al comit de auditora de la junta de directores cualquier fraude, sea o no material, que implique a la administracin o a otros empleados que tengan un rol importante en los controles internos del emisor.

2. Crear un ambiente de control

Alcance & Objetivos
El ambiente de control debe estar generalizado a travs de la organizacin, tanto en acciones como mediante palabras, y debe permear todos los niveles de la organizacin. El ambiente de control debe crear y mantener una cultura de honestidad; establecer estndares ticos altos; promover comportamiento tico; ofrecer disciplina por las violaciones del cdigo de tica/ conducta; establecer un tono apropiado para las actitudes de la entidad hacia el fraude y la prevencin del fraude; y promover controles para prevenir, disuadir y detectar el fraude.

Participantes & Responsabilidades

La administracin, junto con quienes tienen responsabilidad por la supervisin del proceso de informacin financiera (tal como el comit de auditora),
22

Supervisin por parte del comit de auditora y la junta de directores

El comit de auditora tiene la responsabilidad de: monitorear el proceso de informacin financiera supervisar el sistema de control interno y los programas y controles antifraude supervisar las funciones de auditora interna y contadura pblica independiente reportarle a la junta de directores los hallazgos. El comit de auditora debe entender su rol de asegurar que la organizacin tenga programas y controles antifraude para ayudar a prevenir, detectar y disuadir el fraude. Debe tener un rol activo en la supervisin de los esfuerzos de la administracin para disear e implementar controles internos, incluyendo los programas y controles antifraude, y debe retar a la administracin para que enfatice que los riesgos de fraude sean identificados durante las valoraciones del riesgo y que estn diseadas y monitoreadas las actividades de control apropiadas para mitigar los riesgos de fraude. El comit de auditora debe asegurar que la organizacin haya implementado un programa efectivo de tica y cumplimiento, y que sea probado peridicamente. Dado que la ocurrencia del fraude importante frecuentemente puede ser atribuida a que la administracin (y otros) eluda los controles internos, el comit de auditora juega un rol importante para asegurar que los controles internos abordan las reas de riesgo apropiadas y estn funcionando tal y como fueron diseados. Dada la importancia que tiene el rol de supervisin por parte del comit de auditora en relacin con los programas y controles antifraude, el Estndar de Auditora No. 2 de la PCAOB observa que la supervisin inefectiva por parte del comit de auditora puede ser un indicador fuerte de que existe una debilidad material en el control interno sobre la informacin financiera9.

evaluar los riesgos de fraude y los controles, as como para recomendar acciones para mitigar los riesgos y mejorar el control. Las auditoras internas pueden servir tanto para detectar como para disuadir el fraude, hacindolo mediante el examen y la evaluacin de lo adecuado y de la efectividad del sistema de control interno. Los auditores internos pueden realizar auditoras proactivas en bsqueda de corrupcin, uso indebido de activos y fraude en los estados financieros. Los auditores internos deben tener una lnea directa de presentacin de reportes independientes al comit de auditora para permitirles expresar cualesquiera preocupaciones respecto del compromiso de la administracin para con controles internos apropiados y para reportar las sospechas o denuncias de fraude que implica a la administracin principal10. El Estndar de Auditora No. 2 de la PCAOB observa que una funcin de auditora interna inefectiva debe ser considerada al menos como una deficiencia importante en el control interno sobre la informacin financiera11.

Cdigo de tica/conducta
El cdigo de tica/conducta debe tener determinaciones relacionadas con conflictos de inters, transacciones con partes relacionadas, actos ilegales, as como el monitoreo del cdigo por parte de la administracin y el comit de auditora o la junta. La Seccin 406 de la Ley Sarbanes-Oxley del 2002 y la Regla Final de la SEC, Disclosure Required by Sections 406 and 407 of the Sarbanes-Oxley Act of 200212 , requiere que la entidad registrada revele si ha adoptado un cdigo de tica y si no, explique por qu. Las reglas de NYSE y NASDAQ tambin requieren la adopcin y la revelacin pblica del cdigo de conducta y tica de negocios. La regla final de la SEC define el trmino cdigo de tica como: Estndares escritos que estn razonablemente diseados para disuadir las infracciones y promover la: Conducta honesta y tica, incluyendo el manejo tico de los conflictos de inters actuales o aparentes entre las relaciones personales y profesionales; Revelacin plena, razonable, exacta, oportuna y

Participacin de la auditora interna

Una funcin de auditora interna efectiva puede ser extremadamente til en el diseo, implementacin y supervisin de los programas y controles antifraude. Los auditores internos tienen la oportunidad de identificar y

PCAOB, Auditing Standard No. 2, paragraph 140. Muestra al SAS 99, Management Antifraud Programs and Controls seccin Auditores Internos.

10 11 12

PCAOB, Auditing Standard No. 2, paragraph 140. Final Rule: Disclosure Required by Sections 406 and 407 of the Sarbanes-Oxley Act of 2002, section (II)(B)(2)(c), Final Definition of Code of Ethics. Pueden obtenerse copias electrnicas en http://www.sec.gov/rules/final/33-8177.htm.

23

comprensible, en los reportes y documentos que la entidad registrada archive con, o presente a, la Comisin y en las otras comunicaciones pblicas hechas por la entidad registrada; Cumplimiento con las leyes, reglas y regulaciones gubernamentales que sean aplicables; La presentacin rpida de reportes internos a la persona o personas apropiadas identificadas en el cdigo, respecto de las violaciones del cdigo; y Accountability por la adherencia al cdigo. El cdigo de tica/conducta debe aplicar a todos los individuos que participen en y/o tengan influencia sobre los estados financieros y a cualquiera que prepare los estados financieros, incluyendo a quienes tengan responsabilidades directas de participacin o supervisin (e.g., miembros de la junta de directores, consejo general, y directores ejecutivos). La junta de directores y el comit de auditora tienen responsabilidades de supervisin del cdigo de tica/conducta, las cuales pueden ser documentadas en las actas de las reuniones de la junta de directores junto con su revisin y aceptacin del cdigo de tica/conducta. Las compaas deben considerar desarrollar un cdigo de tica/conducta para todos los empleados, con confirmaciones peridicas de que los empleados entienden el cdigo y estn de acuerdo en seguirlo. Tambin debe haber entrenamiento sobre el cdigo de tica/conducta y comunicacin apropiada dirigida a todos los empleados respecto de dnde pueden encontrarlo y a quin llamar si hay preguntas o preocupaciones respecto de las polticas.

de la organizacin (i.e., vendedores, clientes, y agentes) para reportar, sin miedo de amenaza o sancin, el comportamiento fraudulento. Debe haber entrenamiento para asegurar que todos los empleados conocen cmo y cundo usar la lnea directa. Las compaas deben valorar el carcter adecuado de los procedimientos para manejar los reclamos y para aceptar la presentacin confidencial de las denuncias annimas relacionadas con las preocupaciones respecto de asuntos de contabilidad y auditora que sean cuestionables. Adems de establecer la lnea directa, las compaas deben tener un programa y unos procedimientos, formales, para el seguimiento apropiado de las denuncias reportadas. Los mismos procedimientos para permitir el proceso de denuncias annimas deben ser controlados para prevenir el acceso o los cambios no-autorizados.

Estndares de contratacin y promocin

Las organizaciones deben dar pasos para asegurar que existen estndares apropiados para la contratacin y la promocin del personal. Para los individuos con influencia en la informacin financiera o que participan en la preparacin de los estados financieros (incluyendo junta de directores, comit de auditora, consejo general, CFO y contralores), esos estndares deben incluir la investigacin de los antecedentes de la educacin anterior, experiencia de trabajo, evidencia de integridad, y bsqueda de evidencia de actividad penal. Todos los pasos dados deben ser documentados y revisados por personal apropiado. La administracin debe considerar las investigaciones de los antecedentes de los empleados existentes si no fueron realizadas cuando el empleado fue contratado inicialmente o promovido, o si los empleados estuvieron en posiciones clave a travs de adquisiciones o fusiones. A individuos especficos de la administracin se les debe asignar la responsabilidad general para supervisar el cumplimiento con los estndares y procedimientos antifraude. La organizacin debe usar el debido cuidado para no delegar la autoridad sustancial discrecional a individuos que la organizacin sabe, o debe conocer mediante el ejercicio de la diligencia debida, que tienen la propensin a participar en actividades ilegales13.

Lnea directas de tica y programa de denuncias annimas

La Seccin 301 de la Ley Sarbanes-Oxley de 2002, Estndares relacionados con los comits de auditora de las compaas registradas, requiere que el comit de auditora de cada emisor establezca procedimientos para: la recepcin, retencin y tratamiento de los reclamos recibidos por el emisor en relacin con asuntos de contabilidad, controles internos contables o auditora, y la presentacin confidencial, annima, por parte de los empleados del emisor, de las preocupaciones relacionadas con asuntos de contabilidad o auditora que sean cuestionables Las lneas directas deben ser accesibles para todos los empleados. La administracin tambin puede considerar tenerlas disponibles para individuos de fuera
13

Entrenamiento
La administracin debe ofrecerle entrenamiento a los recin contratados y entrenamiento peridico a todos los empleados, para reforzar los valores ticos de la compaa y el ambiente de control antifraude con un foco en la tica, el fraude y el cdigo de tica/conducta de la compaa. La administracin tambin debe considerar realizar entrenamiento personalizado con base en los riesgos de

United States Organizational Sentencing Commission, Guidelines Manual, 8A1.2, comment, 3(k).

24

fraude identificados de la organizacin. Por ejemplo, si la organizacin ha identificado riesgos de fraude relacionados con el reconocimiento inapropiado o temprano de los ingresos ordinarios, se puede suministrar entrenamiento al personal apropiado que participa en el ciclo de ventas para abordar los riesgos de fraude identificados. El entrenamiento tambin puede incluir y reforzar otros asuntos del cdigo de tica/conducta de la organizacin, incluyendo el cumplimiento con leyes y regulaciones, el uso de lneas directas para denuncias annimas, y los estndares de contratacin.

Valoraciones realizadas por la administracin

Deben ser realizadas valoraciones culturales en los diversos niveles y localizaciones de la organizacin, con el fin de determinar la efectividad de la operacin de los programas y controles implementados. La administracin puede considerar usar encuestas o entrevistas culturales annimas para valorar los puntos de vista de los empleados en relacin con el ambiente de control. La administracin debe valorar el diseo y la efectividad de la operacin del ambiente de control y documentar su valoracin y sus conclusiones. Ejemplos de situaciones o circunstancias que pueden sealar deficiencias dentro del ambiente de control incluyen: pocas o ninguna llamada a las lneas directas de tica / denuncias annimas violaciones no documentadas del cdigo de tica/ conducta los empleados no estn recibiendo entrenamiento en tica y fraude los empleados con influencia importante en la informacin financiera son contratados y promovidos sin investigaciones de los antecedentes la administracin no aborda y corrige las deficiencias de control importantes dentro de un razonable perodo de tiempo las denuncias o preocupaciones relacionadas con el fraude no son investigadas oportunamente las encuestas culturales sealan preocupaciones respecto de la integridad de la administracin y el tono desde lo alto de la organizacin

Respuestas para controlar las deficiencias & denuncias de fraude

La administracin y los comits de auditora deben tener respuestas oportunas y apropiadas para las deficiencias de control, las denuncias o las preocupaciones de fraude, que sean importantes, y para las violaciones del cdigo de conducta. La administracin y los comits de auditora deben tener procesos para responder a las denuncias de fraude, y las investigaciones se deben iniciar oportunamente. En ciertas circunstancias, tales como las denuncias que involucran a la administracin principal, se deben realizar investigaciones completamente independientes usando especialistas externos. Se deben tomar acciones prontas y apropiadas contra quienes participan en actividades fraudulentas y cualquier fraude, sea o no material, que implique a la administracin, debe serle comunicado al comit de auditora y a los auditores externos14. La administracin y el comit de auditora deben asegurar que las deficiencias de control importantes son corregidas oportunamente. El Estndar de Auditora No. 2 de la PCAOB observa que las deficiencias importantes que le han sido comunicadas a la administracin y al comit de auditora y permanecen sin corregir luego de un perodo de tiempo razonable, deben ser consideradas al menos como deficiencias importantes y son un indicador fuerte de que existe una debilidad material en el control interno sobre la informacin financiera15. Adicionalmente, la administracin debe asegurar que oportunamente se toman las acciones disciplinarias apropiadas para cuando se encuentren violaciones del cdigo de tica/conducta. La accin disciplinaria apropiada y oportuna puede demostrar y ofrecer evidencia respecto del compromiso de la administracin para con los valores ticos y reforzar la intolerancia de la administracin respecto del comportamiento fraudulento y otro que no sea apropiado.

Ejemplos de documentacin comn

El propsito de la documentacin es ofrecer evidencia de la existencia de los elementos del ambiente de control. La documentacin puede incluir la evaluacin o valoracin del tono de la organizacin y de otros documentos creados en la ejecucin de los elementos del ambiente de control. La documentacin debe ser suficiente para que los auditores entiendan cmo la administracin ha implementado el programa y sus conclusiones en relacin con el diseo y la efectividad de la operacin del ambiente de control. La documentacin relacionada con el ambiente de control puede incluir lo siguiente:

14 15

Sarbanes-Oxley Act of 2002, Section 302(a)(5)(B). PCAOB, Auditing Standard No. 2, paragraph 140.

25

las valoraciones, realizadas por la administracin, respecto de la cultura y el tono de la organizacin, deben ser documentadas y revisadas por el comit de auditora controles correspondientes al uso indebido de los activos de la compaa y a la informacin financiera fraudulenta que pudieran resultar en una declaracin equivocada material de los estados financieros participacin del comit de auditora y de la auditora interna en los programas y controles antifraude el cdigo de tica debe ser publicado y estar disponible para todos los empleados en manuales de empleados, manuales de polticas, lneas directas, o en alguna otra documentacin o localizacin formal certificacin o confirmacin de los empleados, respecto de que cumplen con las leyes y regulaciones y que entienden y aceptan el cdigo de tica/conducta publicado la recepcin y el manejo de los reclamos y las preocupaciones relacionadas con los asuntos de contabilidad o auditora que sean cuestionables, incluyendo las investigaciones de la administracin y las respuestas a las denuncias y preocupaciones estndares formales de contratacin y promocin que incluyan evidencia de las investigaciones de antecedentes realizadas y revisadas el entrenamiento peridico debe ser dado a todos los empleados y debe incluir una discusin sobre tica, fraude, leyes y regulaciones a todos los empleados se les debe dar entrenamiento en fraude y tica evidencia de que la administracin y el comit de auditora respondieron apropiada y oportunamente a las deficiencias de control importantes, a las denuncias o preocupaciones relacionadas con el fraude, y a las violaciones del cdigo de tica/ conducta acciones disciplinarias y apropiadas, con comunicacin de las violaciones de los cdigos de conducta/tica y las respuestas de la organizacin a tales violaciones valoraciones, realizadas por la administracin, respecto del diseo y la efectividad de la operacin del ambiente de control

3. Diseo e implementacin de actividades de control antifraude

Alcance & Objetivos
Las actividades de control antifraude son las acciones tomadas por la administracin para mitigar riesgos de fraude especficos y para prevenir, detectar y disuadir el fraude. Las actividades de control deben ser diseadas para prevenir la ocurrencia del fraude y detectar si ocurre, as como para mitigar el riesgo de que la administracin eluda los controles y los otros esquemas para anular las actividades de control.

Participantes & Responsabilidades

La administracin, junto con quienes tienen la responsabilidad para supervisar el proceso de informacin financiera (tal como el comit de auditora), deben establecer controles apropiados para prevenir, disuadir y detectar el fraude. Los empleados, los propietarios de los procesos de negocio, o quienes son responsables por cuentas o procesos importantes, deben participar en el diseo e implementacin de las actividades de control antifraude. El comit de auditora debe revisar y aprobar lo adecuado de las actividades de control antifraude, y asegurar que los controles estn diseados para abordar el riesgo de que la administracin eluda los controles o ejerza influencia inapropiada sobre el proceso de informacin financiera. La administracin de la TI puede ofrecer luces respecto de los sistemas de informacin y los procesos de la TI y puede ayudar en el diseo de los controles de TI. La auditora interna debe ayudar en el desarrollo de los controles antifraude con base en su entendimiento de las operaciones y de los hallazgos de auditora interna.

Valoraciones realizadas por la administracin

La valoracin de las actividades de control antifraude hace parte de la valoracin ms amplia de todas las actividades de control. La administracin debe valorar el diseo y la efectividad de la operacin de las actividades de control antifraude y documentar sus conclusiones. Ejemplos de situaciones o circunstancias que puedan sealar que las actividades de control no estn operando efectivamente incluyen: carencia de controles antifraude detectivos falla en vincular los riesgos de fraude identificados con las actividades de control de mitigacin existe documentacin insuficiente para respaldar las actividades de valoracin que realiza la administracin

26

Elementos & Diseo

Para asegurar que todos los riesgos de fraude identificados han sido adecuadamente mitigados, la administracin debe mapear o vincular las actividades de control con los riesgos de fraude identificados durante la valoracin del riesgo. Se debe dar consideracin a los factores ambientales de fraude, incluyendo: presiones o incentivos, racionalizacin y oportunidad. No siempre es posible crear controles para tratar las presiones, incentivos y racionalizacin de los empleados; sin embargo, la administracin puede crear controles internos fuertes que reduzcan de manera importante las oportunidades de fraude dentro de la organizacin. La eliminacin de las oportunidades de fraude y el incremento de la percepcin de deteccin dentro de las organizaciones puede agregar valor importante en trminos de prevenir y disuadir el fraude. Las actividades de control deben incluir controles generales de computacin que limiten el acceso a los sistemas de informacin y aseguren el procesamiento exacto. Adems, los controles de aplicacin del ciclo de negocios pueden ayudar a automatizar la deteccin y prevencin del fraude. Algunos de los controles relevantes incluyen validacin de los datos procesados por la aplicacin, construccin de pruebas de razonabilidad para detectar cuentas, precios o volmenes inusuales, alarmas automatizadas de excepciones para ayudar a llamar la atencin de la administracin respecto de las desviaciones, segregacin de las funciones de los controles implementados en las aplicaciones, verificaciones incorporadas en las aplicaciones para prevenir el procesamiento inusual de transacciones, y otras verificaciones cruzadas para asegurar que todas las transacciones se incluyeron en el proceso.

mapeadas con los riesgos de fraude identificados durante la valoracin del riesgo de fraude

4. Compartir informacin & comunicacin

Alcance y objetivos
La administracin debe comunicar su compromiso para con el comportamiento tico, as como la existencia de programas antifraude. Todos los empleados deben tener un entendimiento claro de lo que se espera de ellos en relacin con el comportamiento tico y deben entender cul comportamiento es aceptable y cul no es aceptable. La comunicacin recibida de la administracin debe incluir contenido que sea apropiado y la informacin suministrada debe ser oportuna, actualizada, exacta y accesible.

Participantes & responsabilidades

La administracin tiene la responsabilidad primaria para asegurar la comunicacin efectiva de los programas antifraude a travs de la organizacin. El comit de auditora debe participar activamente en la supervisin y revisin de la informacin y comunicacin relacionada con los programas antifraude. Otros departamentos o funciones dentro de la organizacin pueden ser involucrados en el compartir la informacin, incluyendo recursos humanos y quienes son responsables por el entrenamiento de los empleados. Los jefes y los administradores de los departamentos tambin deben participar en la comunicacin a sus respectivos departamentos de las actitudes antifraude y ticas. La auditora interna, los empleados y las partes externas deben tener la responsabilidad de reportar el comportamiento inapropiado y tener acceso a mecanismos tales como lneas directas donde se puedan reportar los problemas fraudulentos y otras irregularidades.

Ejemplos de documentacin comn

El propsito de la documentacin es ofrecer evidencia de la existencia del programa y de los procesos de la administracin para implementar actividades de control antifraude preventivas y detectivas. La documentacin debe ser suficiente para que los auditores entiendan cmo la administracin implement el programa y sus conclusiones relacionadas con el diseo y la efectividad de la operacin de las actividades de control antifraude. La documentacin relacionada con las actividades de control antifraude puede incluir lo siguiente: polticas y procedimientos relacionados con las actividades de control para identificar quines realizan las actividades, la frecuencia de los procedimientos, y la evidencia subyacente para las actividades las actividades de control antifraude estn

Valoraciones que realiza la administracin

La administracin debe valorar el diseo y la efectividad de la operacin de la comunicacin e informacin relacionadas con los programas y controles antifraude, y documentar su valoracin y conclusiones. Ejemplos de situaciones o circunstancias que pueden sealar que las actividades de comunicacin e informacin no estn operando efectivamente incluyen: el comit de auditora falla en recibir y revisar las valoraciones del riesgo de fraude los empleados no tiene acceso al cdigo de tica/ conducta el fraude que implica a la administracin no le es
27

comunicado al comit de auditora y a los auditores externos las valoraciones que realiza la administracin respecto de los programas y controles antifraude no estn suficientemente documentadas

5. Monitoreo de actividades
Alcance & objetivos
El monitoreo de las actividades y de las valoraciones debe constar de procedimientos que incluyan evaluaciones independientes de los controles antifraude que puedan ser realizados por auditora interna u otros grupos, as como las actividades de monitoreo continuo que estn inmersas en las actividades de operacin recurrentes tales como las conciliaciones.

Elementos & diseo

Cada organizacin tiene que capturar informacin financiera y no-financiera pertinente relacionada con eventos y actividades tanto externos como internos. La administracin debe disear un sistema para la administracin efectiva del conocimiento con el fin de obtener y comunicar la informacin apropiada relacionada con los riesgos de fraude y los programas y controles antifraude. La informacin suministrada debe ser oportuna, actualizada, exacta y accesible.

Participantes & Responsabilidades

La administracin, junto con quienes tienen responsabilidad por la supervisin del proceso de informacin financiera (tal como el comit de auditora) deben participar activamente en el monitoreo de las actividades. El monitoreo de las actividades puede comenzar primero con auto-evaluaciones de las personas responsables por las cuentas, procesos u operaciones importantes, e incluir empleados fuera de la administracin. Los resultados deben estar sujetos a revisin y valoracin por parte de la administracin, la auditora interna y el comit de auditora. La funcin de auditora interna debe tener responsabilidades continuas para evaluar la efectividad de los controles antifraude y para comunicarle a la administracin y al comit de auditora las deficiencias y debilidades de control. El comit de auditora debe participar en la supervisin de las actividades de monitoreo y la administracin de la TI debe participar en el monitoreo de las actividades relacionadas con TI.

Ejemplos de documentacin comn

El propsito de la documentacin es suministrar evidencia de la existencia del programa y de los procesos de la administracin relacionados con la comunicacin de informacin relacionada con sus programas y controles antifraude. La comunicacin y la informacin deben ser procesadas y estar disponibles para cada uno de los cinco componentes de la estructura de COSO relacionados con los programas y controles antifraude. Debe existir evidencia de la valoracin que realiza la administracin respecto del diseo y la efectividad de la operacin de la comunicacin y la informacin, y la documentacin debe ser suficiente para que los auditores externos evalen la comunicacin efectiva de los programas y controles antifraude. La documentacin relacionada con la informacin y comunicacin de los programas y controles antifraude puede incluir lo siguiente: comunicacin del cdigo de tica/conducta sitios web corporativos que suministren informacin sobre tica y sobre los programas y controles antifraude materiales de entrenamiento sobre tica y fraude boletines corporativos que se refieran a programas sobre tica y antifraude discursos o mensajes del CEO relacionados con tica

Elementos & diseo

Las evaluaciones de los controles antifraude deben ser realizadas por la administracin y por la auditora interna con el fin de mirar las ocurrencias de fraude dentro de la organizacin y para determinar si los controles antifraude son efectivos. Los hallazgos y las debilidades del monitoreo de las actividades deben ser incorporados en las valoraciones del riesgo de fraude. El comit de auditora debe revisar las valoraciones que realiza la auditora interna respecto de la efectividad de los controles antifraude y debe determinar si el monitoreo de las actividades es suficiente para mitigar los riesgos de fraude identificados. El comit de auditora debe evaluar el carcter adecuado de la actividad de la auditora interna y asegurar que la funcin de auditora interna le reporta directamente al comit de auditora. Las actas del comit de auditora deben documentar los hallazgos y la presentacin funcional de reportes de auditora interna. La funcin de auditora interna es crtica para el xito general del monitoreo de las actividades.

28

Valoraciones que realiza la administracin

La administracin debe valorar el diseo y la efectividad de la operacin del monitoreo de las actividades y documentar su valoracin y sus conclusiones. Ejemplos de situaciones o circunstancias que pueden sealar que el monitoreo de las actividades no est operando efectivamente incluyen: participacin insuficiente del auditor interno o del comit de auditora la funcin de auditora interna es inefectiva falla en retroalimentar, con los hallazgos del monitoreo, la valoracin del riesgo de fraude y el diseo de las actividades de control antifraude

Ejemplos de documentacin comn

El propsito de la documentacin es ofrecer evidencia de la existencia del programa y de los procesos que realiza la administracin en relacin con el monitoreo de las actividades. La documentacin debe ser suficiente para que los auditores entiendan cmo la administracin implement el programa y sus conclusiones en relacin con el diseo y la efectividad de la operacin del monitoreo de las actividades. La documentacin relacionada con el monitoreo de los programas y controles antifraude puede incluir lo siguiente: evaluaciones realizadas por la administracin y por la auditora interna para monitorear y valorar la efectividad de los programas y controles antifraude las deficiencias y debilidades del control interno deben ser identificadas, documentadas y comunicadas hacia el nivel superior apropiado dentro de la organizacin controles internos actualizados o modificados como resultado del monitoreo de los controles antifraude la revisin que el comit de auditora hace respecto de los procesos (tanto evaluaciones como el monitoreo continuo de las actividades) y la aprobacin de lo adecuado de tales controles valoraciones que realiza la administracin respecto del diseo y efectividad de la operacin de las actividades de monitoreo

29

Apndice

Estndar de auditora AS-5 de la US-PCAOB: Auditora del control interno a la informacin financiera, integrada con la auditora de estados financieros
En julio del 2007 la US-PCAOB public el Auditing Standard No. 5, An audit of internal control over financial reporting that is integrated with an audit of financial statements and related independence rule and conforming amendments (Estndar de Auditora No. 5, Auditora del control interno a la informacin financiera, integrada con la auditoria de estados financieros, y regla de independencia relacionada y ajustes por las enmiendas)*. El AS-5 reemplaz al AS-2 e hizo precisiones importantes en relacin con el enfoque de auditora del control interno: basado-en-riesgos, desde arriba-hacia-abajo, centrado en los controles a nivel-de-entidad. Con relacin a los programas y controles anti-fraude, antes que eliminarlos, fortaleci su importancia y requerimientos, ampliando stos en buena medida. Refirindose al fraude, resalta que ste no solo tiene que ser prevenido y detectado, sino que tiene que existir un proceso claro de administracin del riesgo de fraude (identificacin, valoracin y respuesta). Los siguientes son extractos tomados del AS-5 relacionados con el fraude. (El resaltado que se hace al trmino fraude no corresponde al original). relacionada con los controles que se deben considerar controles al fraude, fallaban en enfatizar de manera apropiada esos controles o en proveer a los auditores con suficiente orientacin sobre cmo probar los controles al fraude. En respuesta, la junta ha hecho algunos cambios en el estndar final. Primero, la discusin del riesgo de fraude y los controles anti-fraude ha sido trasladada ms cerca del comienzo del estndar para enfatizar a los auditores la importancia relativa de esos asuntos al valorar el riesgo mediante el enfoque de arriba-hacia-abajo16. La incorporacin de la valoracin que hace el auditor sobre el riesgo de fraude requerida en la auditora de estados financieros en el proceso de planeacin del auditor para la auditora del control interno debe promover la calidad de la auditora as como mejor integracin. Si bien el control interno no puede proveer seguridad absoluta de que el fraude ser prevenido o detectado, esos controles deben ayudar a reducir los casos de fraude, y, por consiguiente, una atencin dirigida a los controles al fraude en la auditora del control interno debe enriquecer la proteccin de los inversionistas. Segundo, el fraude de la administracin tambin ha sido identificado en el estndar final como un rea de riesgo ms alto; de acuerdo con ello, el auditor debe focalizar ms su atencin en esta rea17. Finalmente, el estndar, tal y como es adoptado, provee orientacin adicional sobre los tipos de controles que tienen que cubrir el riesgo de fraude18.

Parte introductoria: reas de nfasis del AS-5

C. nfasis en los controles al fraude El estndar propuesto sobre auditora del control interno discuti los controles al fraude y los procedimientos del auditor relacionados con esos controles entre los conceptos de prueba, los cuales se incluyeron hacia el final del estndar. Los comentaristas sugirieron que la ubicacin de la discusin, o la carencia de especificidad
* El texto completo del A-5 puede obtenerlo, as: En ingls, en: http://www.pcaobus.org En espaol, en: http://www.deloitte.com.co/mercadeo/rauditoria/AS5.pdf 16 Ver pargrafos 14 y 15 17 Ver pargrafo 11 18 Ver pargrafo 14

H. Uso del trabajo de otros en una auditora integrada En lnea con el enfoque general basado-en-riesgos para la auditora del control interno a la informacin financiera, la extensin en la cual el auditor puede usar el trabajo de otros depende, en parte, del riesgo asociado con el control que se est probando. En la

30

medida en que el riesgo decrece, lo hace la necesidad que tiene el auditor de ejecutar el trabajo por s mismo. El impacto que el trabajo de otros tiene en el trabajo del auditor tambin depende de la relacin entre el riesgo y la competencia y objetividad de quienes ejecutan el trabajo. En la medida en que el riesgo disminuye, tambin disminuye el nivel necesario de competencia y objetividad19. De la misma manera, en las reas de ms alto riesgo (por ejemplo, controles que cubren los riesgos de fraude especficos), el uso del trabajo de otros estara limitado, si pudiera llegar a usarse.

para que la administracin falsifique o administre de manera inapropiada los resultados financieros. 15. Si durante la auditora del control interno a la informacin financiera el auditor identifica deficiencias en los controles diseados para prevenir o detectar fraude, el auditor debe tener en cuenta, durante la auditora de estados financieros, esas deficiencias cuando desarrolla su respuesta a los riesgos de declaracin equivocada material, tal y como es provisto en AU sec. 316.44 y.45. 29. Para identificar las cuentas y revelaciones importantes y sus aseveraciones relevantes, el auditor debe evaluar los factores de riesgo, cualitativos y cuantitativos, relacionados con los elementos de lnea de los estados financieros y las revelaciones. Los factores de riesgo relevantes para la identificacin de las cuentas y revelaciones importantes as como sus aseveraciones relevantes incluyen Tamao y composicin de la cuenta; Susceptibilidad a declaracin equivocada debida a errores o fraude; Volumen de actividad, complejidad, y homogeneidad de las transacciones individuales procesadas mediante la cuenta o reflejadas en la revelacin; Naturaleza de la cuenta o revelacin; Complejidades de la contabilidad y de la presentacin de reportes asociadas con la cuenta o revelacin; Exposicin a prdidas en la cuenta;

Texto del AS-5

(La numeracin de los pargrafos corresponde al original)

Administrar el riesgo de fraude

14. Cuando planea y ejecuta la auditora del control interno a la informacin financiera, el auditor debe tener en cuenta los resultados de su valoracin del riesgo de fraude20. Como parte de la identificacin y prueba de los controles a nivel-de-entidad, tal y como se discute al comienzo del pargrafo 22, y de la seleccin de los otros controles a probar, tal y como se discute al comienzo del pargrafo 39, el auditor debe evaluar si los controles de la compaa administran de manera suficiente los riesgos identificados de declaracin equivocada material debida a fraude as como los controles que tienen la intencin de administrar el riesgo de que la administracin eluda esos controles. Los controles que pueden administrar esos riesgos incluyen a. Controles sobre transacciones importantes, inusuales, particularmente aquellas que resultan en entradas al libro diario tardas o inusuales; b. Controles sobre entradas y ajustes al libro diario hechas en el proceso de final del perodo de presentacin de informes financieros; c. Controles sobre transacciones con partes relacionadas; d. Controles relacionados con estimados importantes realizados por la administracin; y e. Controles que atenan incentivos y presiones

Posibilidad de pasivos contingentes importantes que surgen de las actividades reflejadas en la cuenta o revelacin; Existencia, en la cuenta, de transacciones con partes relacionadas; y Cambios, a partir del perodo anterior, en las caractersticas de la cuenta o revelacin.

19 20

Ver pargrafo 18. Ver pargrafos .19 a .42 de AU sec. 316, Consideration of Fraud in a Financial Statement Audit [Consideracin del fraude en una auditora de estados financieros], referentes a la identificacin de los riesgos que pueden resultar en declaracin equivocada material debido a fraude.

31

Entendimiento de las fuentes probables de declaracin equivocada

34. Para entender adicionalmente las fuentes probables de declaraciones equivocadas potenciales, y como parte de la seleccin de los controles a probar, el auditor debe lograr los siguientes objetivos Entender el flujo de las transacciones relacionadas con las aseveraciones relevantes, incluyendo cmo se inician, autorizan, procesan, y registran esas transacciones; Verificar que el auditor ha identificado los puntos, dentro de los procesos de la compaa, en los cuales podra surgir una declaracin equivocada incluyendo una declaracin equivocada debida a fraude que, individualmente o en combinacin con otras declaraciones equivocadas, sera material; Identificar los controles que la administracin ha implementado para administrar esas declaraciones equivocadas potenciales; e Identificar los controles que la administracin ha implementado sobre la prevencin o deteccin oportuna de la adquisicin, el uso, o la disposicin, no-autorizados, de los activos de la compaa, que podran derivar en una declaracin equivocada material de los estados financieros.

Evaluacin de las deficiencias identificadas

65. Se afectan los factores de riesgo si hay una posibilidad razonable de que una deficiencia, o una combinacin de deficiencias, derivar en una declaracin equivocada de un saldo de cuenta o de una revelacin. Los factores incluyen, pero no estn limitados a, lo siguiente: nsacciones; La naturaleza de las cuentas de los estados financieros, las revelaciones, y las aseveraciones implicadas; La susceptibilidad frente a prdida o fraude, de los activos o pasivos relacionados; La subjetividad, complejidad, o extensin de los juicios requeridos para determinar la cantidad implicada; La interaccin o relacin del control con otros controles, incluyendo si son interdependientes o redundantes; La interaccin de las deficiencias; y Las posibles consecuencias futuras de la deficiencia. Nota: La evaluacin de si una deficiencia de control presenta una posibilidad razonable de declaracin equivocada puede ser realizada sin cuantificar la probabilidad de ocurrencia como un porcentaje o rango especfico. Nota: Las mltiples deficiencias de control que afectan al mismo saldo de cuenta del estado financiero o a la misma revelacin incrementan la probabilidad de declaracin equivocada y pueden, en combinacin, constituir una debilidad material, an si tales deficiencias individualmente pueden ser menos severas. Por consiguiente, el auditor debe determinar si las deficiencias de control individuales que afectan la misma cuenta o revelacin importante, aseveracin relevante, o componente del control interno colectivamente derivan en una debilidad material.

Prueba de la efectividad del diseo

42. El auditor debe probar la efectividad del diseo de los controles determinando si los controles de la compaa, si son operados como fue prescrito por personas que poseen la autoridad y competencias necesarias para ejecutar efectivamente el control, satisfacen los objetivos de control de la compaa y efectivamente pueden prevenir o detectar los errores o el fraude que derivara en declaraciones equivocadas materiales contenidas en los estados financieros. Nota: Una compaa ms pequea, menos compleja, puede lograr sus objetivos de control de manera diferente de como lo hace una organizacin ms grande, ms compleja. Por ejemplo, una compaa ms pequea, menos compleja, puede tener pocos empleados en la funcin de contabilidad, limitando las oportunidades para la segregacin de funciones y conduciendo a que la compaa implemente controles alternativos para lograr sus objetivos de control. En tales circunstancias, el auditor debe evaluar si esos controles alternativos son efectivos.
32

Indicadores de debilidades materiales

69. Los indicadores de debilidades materiales en el control interno a la informacin financiera incluyen juicios requeridos para determinar la cantidad implicada; Identificacin del fraude, sea o no material, por

parte de la administracin principal21; Re-emisin de estados financieros previamente emitidos, para reflejar la correccin de una declaracin equivocada material22; Identificacin, por el auditor, de una declaracin equivocada material de los estados financieros en el perodo actual en circunstancias que sealan que la declaracin equivocada no habra sido detectada por el control interno a la informacin financiera de la compaa; y Supervisin inefectiva por parte del comit de auditora de la compaa, respecto del proceso de presentacin de reportes externos y del control interno a la informacin financiera de la compaa.

d. Sealando la conclusin de la administracin, como la expres en su valoracin, respecto de la efectividad del control interno a la informacin financiera de la compaa, con base en el criterio de control y para la fecha especificada; e. Sealando que la administracin ha revelado al auditor todas las deficiencias en el diseo u operacin del control interno a la informacin financiera que se identificaron como parte de la evaluacin que realiza la administracin, incluyendo la revelacin por separado, al auditor, de todas esas tales deficiencias que considera son deficiencias importantes o debilidades materiales en el control interno a la informacin financiera; f. Describiendo cualquier fraude resultante en una declaracin equivocada material para los estados financieros de la compaa y cualquier otro fraude que no resulte en una declaracin material para los estados financieros de la compaa pero que implica a la administracin principal o a la administracin o a otros empleados que tienen un rol importante en el control interno a la informacin financiera de la compaa; g. Sealando si las deficiencias de control identificadas y comunicadas al comit de auditora durante los compromisos anteriores en conformidad con los pargrafos 77 y 79 han sido resueltos, e identificando especficamente cualesquiera que no; y h. Sealando si hubo, posterior a la fecha sobre la que se est reportando, cualesquiera cambios en el control interno a la informacin financiera u otros factores que pueden significativamente afectar al control interno a la informacin financiera, incluyendo cualesquiera acciones correctivas tomadas por la administracin en relacin con las deficiencias importantes y las debilidades materiales.

Obtencin de manifestaciones escritas

75. En una auditora del control interno a la informacin financiera, el auditor debe obtener, de la administracin, manifestaciones escritas a. Reconociendo la responsabilidad de la administracin por el establecimiento y mantenimiento de efectivo control interno a la informacin financiera; b. Sealando que la administracin ha ejecutado una evaluacin y hecho una valoracin de la efectividad del control interno a la informacin financiera de la compaa y especificando el criterio de control; c. Sealando que la administracin no us los procedimientos que los auditores ejecutaron durante las auditoras del control interno a la informacin financiera o de los estados financieros como parte de la base para la valoracin que realiza la administracin respecto de la efectividad del control interno a la informacin financiera;

Para el propsito de este indicador, el trmino administracin principal incluye al ejecutivo principal y a los funcionarios financieros que firman las certificaciones de la compaa tal y como es requerido bajo la Seccin 302 de la Ley, lo mismo que a cualesquiera otros miembros de la administracin principal que juegan un rol importante en el proceso de presentacin de informes financieros de la compaa. 22 Ver Financial Accounting Standards Board Statement No. 154, Accounting Changes and Error Corrections, relacionada con la correccin de una declaracin equivocada.
21

33

Documento original: Antifraud Programs & Controls. Deloitte Development LLC, 2004. NB: Este documento original fue preparado con base en el AS-2 de la US-PCAOB. El AS-2 fue reemplazado, en julio del 2007 por el AS-5. La presente traduccin incluye un apndice con extractos tomados del AS-5 relacionados con el fraude y la administracin del riesgo de fraude. La traduccin y el apndice fueron realizadas por Samuel A. Mantilla, asesor de investigacin contable de Deloitte & Touche Ltda., Colombia, con la revisin tcnica de Csar Cheng, Socio Director General de Deloitte & Touche Ltda., Colombia. Nuestras oficinas: Bogot Carrera 7 No. 74-09 Tel 57 (1) 5 461810 Fax 57 (1) 2178088 Carrera 12 No. 95-81 P.5 Tel: 57 (1) 6367902 Fax: 57 (1) 2561556 Medelln Calle 16 sur No. 43 A - 49 P. 9 P. 10 57 (4) 3138899 Fax 57 (4) 3139343 Barranquilla Calle 76 No. 54-11 Of. 1101 Tel: 57 (5) 3608306 Fax: 57 (5) 3608309 Cali Centroempresa Calle 64N No. 5B-146 Sector C. Piso 3 Tel: 57 (2) 5247027 Fax: 57 (2) 5244836 - 5244957 Acerca de Deloitte
Deloitte se refiere a una o ms de las firmas de Deloitte Touche Tohmatsu, una asociacin suiza, sus firmas miembros, y sus respectivas subsidiarias y afiliadas. Deloitte Touche Tohmatsu es una organizacin de firmas miembros dedicada a la excelencia en la prestacin de servicios profesionales y asesoramiento, focalizada en el servicio al cliente a travs de una estrategia global ejecutada localmente en aproximadamente 140 pases. Con acceso al valioso capital intelectual de 135.000 personas en todo el mundo, Deloitte presta servicios en cuatro reas profesionales: auditora, impuestos, consultora y asesoramiento financiero. Atiende a ms de la mitad de las compaas ms grandes del mundo, as como tambin a importantes empresas nacionales, instituciones pblicas y compaas exitosas de rpido crecimiento global. Los servicios no son prestados por Deloitte Touche Tohmatsu Verein y, por regulaciones u otras razones, determinadas firmas miembros no ofrecen servicios en todas las reas profesionales. Por su estructura de asociacin suiza, Deloitte Touche Tohmatsu y sus firmas miembros no tienen responsabilidad sobre las acciones u omisiones de las dems. Cada firma miembro es una entidad legal separada e independiente operando bajo los nombres Deloitte, Deloitte & Touche, Deloitte Touche Tohmatsu, o cualquier otro nombre relacionado.

Una Firma miembro de Deloitte Touche Tohmatsu 2008

34