Auditoría Interna y el Modelo 3C
Articulo escrito por: Dº Juan Ignacio Ruiz Zorrilla – CIA, CFE, CRMA, CCSA, COSO Certified.
Consejero de Audiolis. Colaborador de Auditool
Madrid – España: 30 de Julio de 2018.
El Modelo 3C, identifica las 3 fases de lucha contra la Corrupción y el Fraude en las Organizaciones y Auditoria Interna tiene un papel importante en dicho Modelo.
La mayor parte de los fraudes empiezan siendo de menor valor y van creciendo en la medida en que permanezcan sin detectarse. A medida que el fraude continúa creciendo, es de esperar que un compañero de trabajo, los controles, la dirección o un auditor interno o externo lo detecte.
Teniendo como referente la ACFE (Association of Certified Fraud Examiners) se entiende por Fraude “cualquier acción u omisión intencional diseñada para engañar a otros, con el resultado de que la víctima sufre una pérdida y/o que el perpetrador logra una ganancia”. La Corrupción hace referencia al esquema de fraude por el cual “un empleado abusa de su influencia en una transacción de negocios de manera tal que viola su deber para con el empleador, con el fin de obtener un beneficio directo o indirecto (por ejemplo, los esquemas que involucran el soborno o conflictos de intereses)”.
El Modelo 3C, hace referencias a las 3 fases necesarias que tienen que estar implantadas en las Organizaciones, para lograr luchar de forma eficaz y eficiente contra la Corrupción y el Fraude. Las 3 fases son:
- Cultura.- Aunque existen muchas definiciones sobre cultura, una de las más ilustrativas es “como se comportan la personas, cuando nadie las ve”. Es la programación / educación que cada uno tenemos y que dirige nuestra forma de actuar.
- Control.- Como una primera aproximación al Control utilizaremos el concepto utilizado en el Glosario de las Normas Internacionales para la Práctica de Auditoria Interna que lo califica como: “Cualquier medida que tome la dirección, el Consejo y otras partes, para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La dirección planifica, organiza y dirige la realización de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarán los objetivos y metas”.
- Corrección.- Es la tercera fase del Modelo y como referencia nos podría valer la definición del Diccionario de la Lengua Española “Modificación que se hace en una cosa o a una persona para corregir sus faltas, errores, defectos o imperfecciones”. Aunque el concepto se ampliará y aplicará a conceptos concretos cuando desglosemos este concepto de Corrección.
A lo largo del articulo desglosaremos cada una de las tres fases y también como Auditoria Interna puede colaborar en un mejor funcionamiento del Modelo 3C.
1.- CULTURA.-
Sobre la primera C del Modelo, que hace referencia a la Cultura, como elemento fundamental en la prevención del fraude y la corrupción, se incluye un comportamiento ético. Si las personas son Éticas, sobrarán todas las medidas posteriores, pues aunque exista la posibilidad de cometer actos incorrectos, las personas no los realizarán en base a los principios éticos que rigen su comportamiento. Existen muchas definiciones sobre Cultura Organizacional, entre ellas se encuentran:
- “el conjunto de valores, creencias, símbolos y rituales compartidos por los miembros de una organizaciónespecifica y que describen la forma en que se hacen las cosas.” (Claver, Llapes and Gascó)
- “la programación colectiva de la mente que aporta un conjunto de valores comunes y distingue a unas personas de una organización de las de otra.” (Geert Hofstede)
Aunque una de las más fácil de entender es “como se comportan la personas, cuando nadie las ve”; que hace referencia a la programación / educación que cada uno tenemos y que dirige nuestra forma de actuar.
a.- Las piezas de la Cultura en una Organización.-
Las diferentes piezas que componen la Cultura en una Organización, son:
Entrando brevemente en cada uno de estas piezas, de la Cultura en las Organizaciones, tenemos:
Misión: Término que hace referencia a la razón de ser de la Organización, su esencia misma, el motivo de para qué existe en el mundo. Ejemplo, la Misión de Google: Organizar la información mundial para que resulte universalmente accesible y útil.
Visión: Este escrito tiene que definir en pocas líneas la situación futura que desea alcanzar la organización. Ejemplo, la Visión de Google: Ser el más prestigioso motor de búsqueda y el más importante del mundo, además de ser un servicio gratuito fácil de utilizar que presente resultados relevantes en una fracción de segundo.
Comportamiento / Valores: Actitudes que definen la forma de trabajar, resumen tanto los actuales comportamientos y valores . Los valores son factores de la cultura empresarial que consideramos irrompibles, los cumplen todos los miembros de la organización en todos sus ámbitos. Ejemplo, Valores de Google: Rapidez, Precisión, Facilidad de uso, Atención al cliente corporativo, Innovación.
Principios de Actuación / Código Ético: Los Principios de Actuación agrupan un conjunto de directrices o pautas que deben guiar y orientar a los empleados de la Organización en su trabajo diario, tanto en la toma de decisiones y en su proceder, como en la forma en la que interactúan con clientes, proveedores, accionistas, empleados y la sociedad en general. El Código Ético es parte de los Principios de Actuación. Ejemplo de Principios de Actuación: Honestidad y Confianza; Respeto por la ley; Integridad; Derechos Humanos.
El Sistema de Gobierno: Es el pilar de todas las piezas de la cultura. Es el proceso por el que las decisiones son tomadas e implementadas en la Organización. Dentro del Sistema de Gobierno se encuentra el Gobierno Corporativoque es el “sistema a través del cual, las corporaciones empresariales son dirigidas y controladas”, proporcionando la estructura a través de la cual se fijan los objetivos, y los medios para lograr que estos objetivos se cumplan y de supervisar su funcionamiento.
En general una fuerte cultura ética es fundamental para un buen gobierno. Una cultura ética se crea a través de un programa de ética robustas que establece las expectativas de comportamientos aceptables en la realización de negocios dentro de la organización y con las partes externas. Entre sus componentes incluimos: supervisión del Consejo / Directorio, fuerte tono en la alta dirección, la implicación de la alta dirección, organización con amplio compromiso, un código personalizado de conducta, seguimiento oportuno y la investigación de los incidentes reportados, la acción disciplinaria consistente para los delincuentes, las de formación ética, comunicaciones, los sistemas de monitoreo continuo, y un sistema de notificación de incidentes en el anonimato.
- Auditoria Interna y la Cultura.-
El problema de auditar la Cultura organizacional, es la incapacidad de medir fácilmente los aspectos intangibles. Por esta razón, el camino para auditar la Cultura de la organización debe descansar sobre los aspectos operativos de los elementos que lo componen, como los valores, el análisis del comportamiento, así como evitar las influencias sociales.
Los métodos de evaluación incluyen:
- Una amplia revisión de las políticas y procesos relacionados con la ética.
- Las auditorías de las funciones relacionadas con la ética, tales como la función de cumplimiento.
- Encuestas a los empleados de la entidad.
- Encuestas a los empleados de proyectos de auditoría.
- De manera informal, incluyendo clima ético en las evaluaciones de auditoría, análisis de riesgos de la entidad y en la ejecución de proyectos de auditoría.
Los Auditores internos deben mezclar técnicas mas tradicionales de verificación de políticas, procedimientos y controles, con técnicas de valoración de “actitudes” como son las encuestas especificas o entrevistas con las personas a evaluar.
2.- CONTROL.-
La segunda C del Modelo hace referencia al Control, que es la barrera que impide realizar los actos incorrectos y si se realiza alguno, que sea detectado lo antes posible. El Control entendido como “Cualquier medida que tome la dirección, el Consejo y otros, para mejorar la gestión de riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La dirección planifica, organiza y dirige la realización de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarán los objetivos y metas.” . La más común terminología para describir tipos de control, está basada en sus funciones:
- Preventivo: control proactivo, evita que eventos no deseados ocurran. Ejemplo: Intervención pagos, doble firma, segregación de funciones, etc.
- Detectivo: control reactivo, identifica eventos no deseados que han ocurrido. Ejemplo: investigación denuncias, accesos no autorizados a información, etc.
- Directivo: control proactivo, fomenta que eventos deseados ocurran. Ejemplo: Normativas, programas de formación, planes de incentivos, etc.
- Compensatorio: Mitigan la ausencia del control esperado. Por ejemplo una supervisión puede compensar la ausencia de segregación de funciones en una organización pequeña con pocos recursos.
Pero hablando de Control, no podemos dejar de hacer referencia a COSO (Committee Of Sponsoring Organization of the Treadway Commission) y a su Marco Integrado, que ha servido de base para que las organizaciones a nivel mundial desarrollen su propio enfoque de control. COSO fue la Organización que homogeneizó a nivel internacionalizar el concepto de Control Interno, entendido como “un proceso llevado a cabo por el consejo de administración, la dirección y el resto de personal de una organización, diseñado con el objeto de proporcionar un grado de aseguramiento razonable para la consecución de los objetivos relativos a las operaciones, a la información y al cumplimiento.”
Las tres categorías de objetivos que permiten a las organizaciones centrarse en diferentes aspectos del Control Interno, son:
- Objetivos operacionales — Hacen referencia a la eficacia y eficiencia de las operaciones de la organización, incluyendo objetivos operativos y financieros, y la protección de sus activos frente a posibles pérdidas.
- Objetivos de información — Hacen referencia a la información financiera y no financiera interna y externa, y pueden abarcar aspectos de fiabilidad, oportunidad, transparencia u otros conceptos establecidos por los reguladores, organismos de normalización o por las políticas de la propia organización.
- Objetivos de cumplimiento — Hacen referencia al cumplimiento de las leyes y regulaciones aplicables a la organización.
Para apoyar a las organizaciones en su esfuerzo por lograr los mencionados objetivos, el Marco Integrado de COSO, enumera cinco componentes y 17 principios:
No se puede olvidar que la debilidad en el Control Interno es el factor que más contribuye a facilitar el Fraude ( Fuente ACFE).
2.1 Auditoria interna y el Control.-
La actividad de Auditoria Interna, según se indica en las Normas Internacionales para la Práctica Profesional de la Auditoria Interna (N:2130), debe evaluar la adecuación y eficacia de los controles en respuesta a los riesgos del gobierno, operaciones y sistemas de información de la organización, respecto de lo siguiente:
- Logro de los objetivos estratégicos de la organización;
- Fiabilidad e integridad de la información financiera y operativa;
- Eficacia y eficiencia de las operaciones y programas;
- Protección de activos; y
- Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos.
Adicionalmente los auditores internos deben incorporar los conocimientos de los controles que han obtenido de los trabajos de consultoría en su evaluación de los procesos de control de la organización.
Auditoria Interna y supervisión de Controles, están muy unidos y forma parte fundamental del trabajo de los Auditores Internos en las Organizaciones.
3.- CORRECCIÓN.-
La tercera C del Modelo hace referencia a la Corrección y es que, si se han traspasado la barreras de la Cultura y los Controles, es necesario realizar las Correcciones necesarias para que no se vuelvan a producir los actos incorrectos.
El establecimiento de un proceso de “Mejora Continua” es fundamental para corregir faltas, errores, defectos o imperfecciones y de esta forma conseguir los objetivos marcados. En el caso que las deficiencias observadas tenga relación con personas, los sistema de prevención de delitos deben contener “medidas disciplinarias” que permitan sancionar malas actuaciones. Sirven de muy poco las acciones preventivas y detectivas, si una vez identificada la persona que ha realizado el Fraude no se adoptan contra ella las sanciones ejemplarizantes oportunas.
Gráfico: Sistema prevención de delitos.
Las organizaciones deben mejorar continuamente la idoneidad, adecuación, y eficacia del sistema de gestión antifraude y para ello se debe establecer un procedimiento de actuación de “Mejora Continua”.
Cuando ocurre una incidencia, la organización debe:
- reaccionar inmediatamente ante la incidencia, y según sea aplicable:
1) tomar acciones para controlarla y corregirla;
2) hacer frente a las consecuencias;
- evaluar la necesidad de acciones para eliminar las causas de la incidencia, con el fin de que no vuelva a ocurrir ni ocurra en otra parte, mediante:
1) la revisión y análisis de la incidencia;
2) la determinación de las causas raíz, y;
3) la determinación de si existen incidencias similares, o que potencialmente podrían ocurrir;
- implementar cualquier acción necesaria para mitigar la incidencia al nivel de tolerancia de la organización;
- revisar la eficacia de cualquier acción correctiva tomada;
- si fuera necesario, hacer cambios al sistema de gestión antifraude.
Las acciones correctivas deben ser apropiadas a los efectos de las incidencias encontradas.
La organización debe conservar información documentada adecuada, como evidencia de las incidencias ocurridas y las acciones realizadas para su corrección.
3.1 Auditoria interna y Corrección.-
Auditoria Interna, puede ser un aliado de la organización, en la identificación, revisión y análisis de las de incidencias, así como en la identificación de las causas raíz que las provocan. Otro aspectos importante de la actividad de la Auditoria Interna es seguimiento para vigilar y asegurar que las acciones de la dirección hayan sido implantadas eficazmente o que la alta dirección haya aceptado el riesgo de no tomar medidas.
Normalmente se espera que el alcance de la auditoria interna incluya supervisión, gestión de riesgos y control interno, y que ayude a la organización a mantener un sistema de control interno efectivo, evaluando su eficacia y su eficiencia, y potenciando la mejora continua.
IMPORTANTE: Entre el 10 y el 14 de septiembre de 2018 estaré en Colombia impartiendo el curso, Evaluaciones de Calidad de Auditoría Interna. Mayor información, desde el siguiente link: https://auditool.org/seminarios
Juan Ignacio Ruiz Zorrilla – CIA, CFE, CRMA, CCSA, COSO Certified.
Licenciado en Ciencias Económicas y Empresariales por la Universidad de Alcalá de Henares con Postgrado de Dirección General en el IESE. Poseedor de certificaciones profesionales internacionalmente reconocidas como: CIA- CFE, con amplia experiencia en los negocios en Europa y Latinoamérica. Ponente habitual en foros internacionales, es actualmente profesor de la Universidad Antonio Nebrija y del Instituto de Auditores Internos de España. Actualmente es Consejero en Audiolis y el responsable de las relaciones con el Sector Publico en la Confederación Europea de Institutos de Auditores Internos- ECIIA, organización que agrupa a 37 países Europeos. Colaborador de Auditool.
Madrid – España
Muy interesante!
Califica: