La preparacin del nuevo informe ser un reto, pero tambin una oportunidad para generar

informacin financiera transparente.

En una economa cada vez ms globalizada se incrementa la diversidad de riesgos a los que las
entidades estn expuestas; desde aquellos asociados al pas o regin donde operan hasta riesgos de la
industria y los especficos de la propia entidad. Asimismo, el incremento en la complejidad de las
operaciones, de los propios requerimientos normativos de valuacin y revelacin de informacin y
del uso del juicio profesional por parte de la administracin de las entidades en la aplicacin de sus
polticas contables, han incrementado las necesidades y expectativas de los inversionistas y otros
usuarios del informe del auditor externo, del cual cada vez se espera que juegue un papel ms
importante como proveedor de confianza y certidumbre que el inversionista y otros usuarios
requieren de la informacin financiera.
"El nuevo informe es mucho ms extenso y tiene un orden distinto. Comienza con la clara
indicacin de que se trata del reporte del auditor independiente.
En enero de 2015, la Federacin Internacional de Contadores Pblicos (IFAC, por sus siglas en
ingls) emiti la Norma Internacional de Auditora (NIA) 700 revisada, la cual requiere cambios al
informe de los auditores externos sobre los estados financieros de entidades auditadas bajo NIA, de
ejercicios terminados el 15 de diciembre de 2016 o en fecha posterior. A su vez, esta norma hace
referencia de cambios en otras NIA que tienen repercusin en el nuevo informe del auditor
independiente, con lo cual se tendrn modificaciones significativas respecto del modelo de informe
utilizado actualmente.
El nuevo informe es mucho ms extenso y tiene un orden distinto. Comienza con el ttulo, de igual
forma que el actual, con la clara indicacin de que se trata del reporte del auditor independiente y del
rgano al que va dirigido.
SECCIONES DEL INFORME
[1] Opinin. Esta es la primera seccin y debe titularse Opinin. Contiene un primer prrafo
(antes llamado prrafo introductorio) donde se hace referencia a los estados financieros que se
auditan, periodos, entidad, etctera, y un segundo prrafo con la opinin del auditor con los mismos
requerimientos de revelacin del informe actual. Por lo cual, la opinin estar ahora al inicio del
informe en lugar de estar al final (NIA 700 revisada). Ejemplo:
INFORME DEL AUDITOR INDEPENDIENTE
Al Consejo de Administracin y Accionistas de Entidad ABC, S. A. B. de C. V. (u otro destinatario
apropiado) Opinin Hemos auditado los estados financieros consolidados de Entidad ABC, S. A. B.
de C. V. y Subsidiarias (la Entidad), los cuales comprenden los estados consolidados de situacin
financiera al 31 de diciembre de 2016 y 2015, y los estados consolidados del resultado integral, de
cambios en el capital contable y de flujos de efectivo, correspondientes a los aos que terminaron en
esas fechas, as como las notas a los estados financieros, incluyendo un resumen de las polticas
contables significativas.
En nuestra opinin, los estados financieros consolidados adjuntos presentan razonablemente, en
todos los aspectos importantes (o reflejan fielmente), la situacin financiera de Entidad ABC, S. A.
B. de C. V. y Subsidiarias al 31 de diciembre de 2016 y 2015, as como sus resultados y sus flujos de
efectivo correspondientes a los aos que terminaron en dichas fechas, de conformidad con las
Normas Internacionales de Informacin Financiera.
En caso de emitirse una opinin modificada, de acuerdo con la nueva NIA 705 revisada, deber
agregarse al ttulo de esta seccin el tipo de opinin que se emite, por ejemplo: Opinin con
salvedades.

[2] Bases de opinin. Esta seccin es similar que la actual, solo que ahora la declaracin del auditor
sobre su independencia y el cumplimiento de sus responsabilidades ticas debe hacer referencia
explcita al Cdigo de tica emitido por el IFAC y de la jurisdiccin en particular; el informe actual
requiere revelar solo de manera general el cumplimiento con las responsabilidades ticas.
[3] Asuntos Relevantes de Auditora (ARA o Key Audit Matters como se definen en la NIA en
ingls).Esta seccin tambin es nueva y constituye el cambio ms importante del nuevo informe
dada su sensibilidad, aplicable de manera directa nicamente a las entidades cuyas acciones o deuda
estn listadas en mercados de valores reconocidos. En esta seccin se requiere que el auditor
describa, basado en su juicio profesional, los asuntos de mayor importancia de la auditora del
periodo actual, que en principio debieran ser los que requieren mayor atencin del Comit de
Auditora (NIA 701 modificada). Para que el auditor determine cules asuntos fueron los de mayor
importancia en su auditora, debe tomar en cuenta lo siguiente:

Las reas de mayor riesgo valorado de incorreccin material, o de riesgos significativos identificados
de conformidad con la NIA 315.
Las reas con juicios significativos del auditor, relativos a rubros de los estados financieros que a su
vez involucran juicios significativos de la administracin, incluyendo estimaciones contables por las
que se haya identificado una alta incertidumbre en su determinacin.
El efecto que tuvieron en la auditora, eventos o transacciones significativos ocurridos durante el
periodo actual. Otros indicadores importantes son los siguientes:

La importancia del asunto desde el punto de vista del usuario de la informacin financiera, en
particular aquellos considerados materiales.
La complejidad de las transacciones o de una transaccin en particular.
La complejidad o subjetividad de alguna poltica contable aplicada.
La naturaleza y materialidad de errores originados por fraude o error relacionados con un
determinado asunto.
El alcance de los procedimientos de auditora, incluyendo el conocimiento especializado o consultas
requeridas.
La dificultad para aplicar los procedimientos de auditora.
La severidad de las deficiencias de control, etctera.
El nmero de ARA debe considerar todos los aspectos antes enunciados y no hay un lmite de esta
por entidad ni por industria; sin embargo, nicamente como referencia, en el Reino Unido cuando en
2014 entr en vigor el nuevo formato del informe del auditor, el promedio de ARA fue de 4.3 por
entidad, oscilando la media entre 2 y 5. Por lo cual debe hacerse un anlisis riguroso caso por caso.
Se recomienda que la redaccin de cada ARA se haga con un lenguaje claro y fcil de entender y
que se revise cuidadosamente por el auditor en amplia comunicacin con el Comit de Auditora y la
administracin de la entidad, ya que el auditor debe estar sensibilizado de todo lo que implica cada
asunto y su contexto; por ejemplo, puede existir informacin confidencial que necesite cuidado
especial.
Debe entenderse que la inclusin de los ARA en el informe del auditor, no sustituye las revelaciones
que debe hacer la administracin en sus estados financieros y mucho menos sustituir una opinin del
auditor modificada (con salvedades, denegada o adversa), y tampoco sustituye la revelacin de una
incertidumbre material de la entidad como negocio en marcha ni implica una opinin separada de
asuntos individuales. En la descripcin del ARA, el auditor debe comunicar en cada caso, la razn
por la cual dicho(s) asunto(s) resultaron tan importantes como para revelarlos en esta seccin, as
como los procedimientos aplicados para abordarlos, el resultado de dichos procedimientos y

cualquier observacin relevante que haya surgido. Cuando se trate de auditoras de grupos, el auditor
debe evaluar la informacin que debe obtener de los auditores de otros componentes cuyos ARA
sean relevantes tambin para el ente consolidado.
[4] Incertidumbre material de la entidad como negocio en marcha. Despus de la seccin de
Asuntos Relevantes de Auditora (ARA o Key Audit Matters, como se definen en ingls), el informe
contina con esta nueva seccin. En ella debe revelarse la incertidumbre identificada y la referencia
a las revelaciones de la administracin en los estados financieros, si estas fueron apropiadas, ya que,
si no lo fueron, no se obtuvo evidencia o se da cualquier otro de los casos que plantea la Norma
Internacional de Auditora, NIA 570 revisada, se debe incluir una modificacin en la opinin o una
revelacin en la seccin de ARA.
La NIA 570 establece las responsabilidades del auditor de concluir si hay una incertidumbre material
relacionada con eventos o condiciones que puedan originar una duda significativa sobre la capacidad
de la entidad para continuar como un negocio en marcha; basadas principalmente en la propia
evaluacin de la administracin de este supuesto y si las bases contables de negocio en marcha
utilizadas por la administracin para la preparacin de sus estados financieros son apropiadas.
Algunos de los cambios relevantes en el informe del auditor independiente son:
Si la administracin no revel apropiadamente el efecto de eventos o condiciones que puedan
originar una duda significativa sobre la capacidad de la entidad para continuar como un negocio en
marcha, aun cuando no repercuta en una incertidumbre material, la opinin del auditor deber
modificarse con una salvedad.
Si se tiene esta situacin, pero s se revel adecuadamente por la entidad, el asunto se debe incluir
como un ARA en la seccin correspondiente. Un ejemplo de revelacin cuando se identifica una
incertidumbre material de la entidad como negocio en marcha y las revelaciones de la administracin
al respecto en sus estados financieros son apropiadas, es:
Llamamos la atencin de la Nota 6 a los estados financieros consolidados, que indica que la entidad
incurri en una prdida neta de $XXX durante el ao terminado el 31 de diciembre de 201X y, que a
esa fecha, los pasivos a corto plazo de la entidad excedieron sus activos circulantes por $XXX.
Como se menciona en dicha Nota, estos eventos o condiciones junto con otros asuntos que se
revelan en la Nota 6, indican la existencia de una incertidumbre material que puede originar una
duda significativa sobre la capacidad de la entidad para continuar como un negocio en marcha.
Nuestra opinin no ha sido modificada por este asunto.
Adems, el auditor deber revelar haber cumplido con su obligacin de informar esta incertidumbre
a los rganos de gobierno corporativo y, dependiendo de las regulaciones del pas o a las que est
sujeta la entidad, deber evaluar comunicarlo al ente regulador o autoridad correspondiente.
Cuando no hay incertidumbre material ni algn evento o condicin que puedan originar una duda
significativa sobre la capacidad de la entidad para continuar como un negocio en marcha, las NIA no
requieren hacer revelaciones en el informe del auditor independiente.
[5] Otra informacin. Una nueva seccin en el informe es la relativa a la Otra informacin, que
se define como aquella informacin financiera o no financiera (aparte de los estados financieros y el
informe del auditor independiente) incluida en un informe anual de la entidad, que puede constituirse
de uno o varios documentos preparados de acuerdo con lo dispuesto en las leyes o regulaciones a las
que est sujeta cada entidad (NIA 720 modificada). En esta seccin, el auditor deberevelar que la
administracin es la responsable de la otra informacin, qu la integra y que no expresa una opinin
sobre la misma. Pero debe revelar su responsabilidad de leerla y evaluar si es materialmente
consistente con los estados financieros o con su conocimiento obtenido durante la auditora, o bien,
si parece estar materialmente distorsionada. En ese caso, revelar haber cumplido su obligacin de
informarlo a los rganos de gobierno corporativo y, de no haberse corregido, describir en el informe
del auditor independiente en qu consisti la distorsin material.

[6] Responsabilidades de la administracin y de los rganos de gobierno. Se debe incluir una

seccin especfica para describir, adems de las responsabilidades de la administracin, las del
gobierno corporativo, si las tuviera, en el proceso de supervisin del proceso de informacin
financiera de la entidad, lo cual es novedoso. Aparte de las revelaciones existentes sobre la
responsabilidad de la administracin sobre la preparacin y presentacin razonable de los estados
financieros conforme al marco normativo contable aplicable, ahora debe mencionarse la evaluacin
que debe efectuar sobre la capacidad de la entidad para continuar como negocio en marcha y de lo
apropiado de las bases contables utilizadas y revelaciones incluidas en los estados financieros (NIA
700 revisada).
[7] Responsabilidades del auditor. Se describen con mucho mayor detalle en el nuevo informe,
incluso, se da la opcin de incluirlas en un apndice por separado o por referencia a un sitio de
internet de alguna autoridad apropiada que las contenga, en los pases donde esto aplique. El
informe debe firmarse y fecharse, pero ahora debe incluirse el nombre del auditor responsable de la
auditora y ya no la firma del despacho de contadores al que pertenece el auditor, en aquellos casos
en que as se efectuaba.
CONCLUSIONES
El nuevo informe del auditor independiente dinamizar el papel del auditor externo como
responsable en la generacin de confianza y certidumbre de la informacin financiera, y dar la
oportunidad a las entidades de hacer evidente su disposicin y apertura a la transparencia.
Para el auditor, la comunicacin de los asuntos relevantes de auditora ser un reto desde su
identificacin y redaccin para transmitir apropiadamente cada asunto en su justa dimensin, as
como una oportunidad de hacer ms evidente la importancia de la auditora a travs de la descripcin
de su trabajo y responsabilidades, a un nivel de detalle jams revelado.
Para el gobierno corporativo y la administracin de las entidades, el principal reto ser tomar un
papel activo, enfocado en obtener resultados contundentes para la resolucin de cada asunto
relevante que satisfaga a los usuarios de la informacin financiera, con una apertura constante a la
transparencia y generacin de informacin de la ms alta calidad.

Esta es la pregunta que todos los das los directivos y administradores de una organizacin se deben
hacer. Cada minuto cuenta y los perpetradores son cada vez ms creativos y habilidosos. Las
reacciones a los recientes escndalos econmicos producidos por el fraude han dejado en el pblico
y en los inversionistas un mal sabor y una dura conclusin en cuanto a los sistemas de prevencin.
Debido a esto, es necesario y prcticamente obligatorio conocer los siguientes aspectos
fundamentales sobre la prevencin del fraude:

Concientizacin y sensibilizacin son imprescindibles. Se debe asegurar que todos los empleados,
sin excepcin, hagan parte del Programa de administracin del riesgo de fraude. La actitud frrea
frente al rechazo de cualquier actividad fraudulenta debe ser el lema en todas las reas de la
Organizacin.
Conocimiento integral de los delitos econmicos. Dado que el fraude es uno de los tantos
comportamientos que generan un crimen, el conocimiento de la normativa penal en cada regin es
fundamental.
Control interno y administracin del riesgo se deben ejercer diariamente a travs del Programa de
prevencin, deteccin e investigacin.
Conocimiento integral de la contraparte (cliente, empleado, proveedor, accionista, etc.) porque
cada tercero representa un riesgo potencial para la Organizacin.

Conocimiento de las modalidades de fraude en todos los aspectos como operacin, tipo de
perpetradores, activos preferidos, banderas rojas, entre otros.
Importante:La ltima semana de octubre estaremos en Colombia, Bogot (24 y 25) y Medelln (27
y 28), con Julin Ros, realizando el Seminario Internacional: Nuevas Tcnicas de Deteccin,
Prevencin e Investigacin de Fraudes en la Era de la Tecnologa. Los invito a prticipar en este
evento que organiza Auditool.
Marta Cadavid
Experto Examinador de Fraude (CFE), Especialista Certificado en Anti lavado de dinero (CAMS) y
Anti lavado de Dinero y Financiamiento al Terrorismo (AMLCA). Profesional en el rea contable
egresada de la Universidad de Antioquia con Especializacin en Gerencia Financiera y Master en
Economa Financiera de la Corporacin Universitaria CEIPA
Amplia experiencia profesional y acadmica en diferentes industrias en el sector real con enfoque en
la consultora de la administracin de riesgos de crmenes contra el patrimonio econmicos tales
como fraude, abuso, narcotrfico, lavado de activos, financiacin al terrorismo, corrupcin y los
dems delitos precedentes de blanqueo de capitales.
Conferencista y conductora de seminarios, desarrolladora de cursos y talleres, y colaboradora en la
produccin de artculos, todos esto enfocado a la prevencin, deteccin, reporte e investigacin de
delitos econmicos. Colaborador de Auditool.
ANTECEDENTES DE LA EMPRESA
Una empresa prestadora de servicios de emergencias mdicas, factura anualmente 200 M dlares en
nmina de personal de 700 empleados.
HALLAZGOS
Se detect, que se efectuaban pagos de sueldos a empleados que se haban separado de la empresa.
La irregularidad, fue detectada por auditora externa, esta rea identific que en el caso de uno de los
empleados que haba renunciado en el cuarto mes del ejercicio, existan liquidaciones de sueldo, por
el ejercicio completo de la misma persona. Posteriormente, al solicitar las cuentas bancarias donde se
efectuaban los depsitos de pagos, se reconocieron cuentas repetidas para distintos empleados, de los
cuales todos se haban separado de la compaa, excepto uno; esto permiti identificar quien
perpetr el fraude y su mtodo de actuacin, el cual consista en ingresar al sistema de altas, bajas y
modificaciones de nmina de personal y as reemplazar los datos de la cuenta bancaria de la persona
que ya no laboraba por la suya, claro est, sin darlo de baja.
La investigacin se extendi a los ltimos 5 aos y, se identificaron un total de 23 casos similares,
todos llevados a cabo por el mismo sujeto, bajo el mismo procedimiento: el reemplazo de los datos
bancarios de los ex trabajadores, recibir el pago del sueldo y mantener el esquema por unos meses,
luego de los cuales daba la baja definitiva del empleado.
Asimismo, esta persona, que trabajaba dentro del sector de Recursos Humanos, tena acceso a las
tarjetas magnticas de asistencia y, en el caso de las personas que salan no las destruan, el sujeto
realizaba el registro de reloj checador de los ex trabajadores para no generar inasistencias que
llamaran la atencin en el circuito de novedades.
IMPACTO

Las prdidas se cuantificaron en 621,000 dlares, las cuales incluyen no solo el sueldo cobrado por
el sujeto, sino tambin las cargas sociales que la empresa continuaba liquidando y pagando a los
organismos de la seguridad social.
CONSECUENCIAS
El trabajador fue despedido inmediatamente y se iniciaron acciones judiciales correspondientes al
cobro de los montos involucrados. Esta experiencia ayudo a la identificacin de las debilidades de
control interno que, permitieron indirectamente la existencia del ilcito y se tomaron las siguientes
acciones:
1. Debilidad 1: Inexistencia de controles de acceso al sistema de altas, bajas y modificaciones de datos
del sistema de gestin de nmina.
Accin a tomar: Asignar a un responsable de altas, bajas y modificaciones de personal con acceso
va password y log de sistema.
2. Debilidad 2: Falta de controles que permitan su deteccin.
Accin a tomar: Controles detectivos a partir de un listado de bajas recientes contra las liquidaciones
posteriores.
3. Debilidad 3: Falta de controles posteriores de asistencia con reporte de liquidaciones.
Accin a tomar: Implementacin de controles de asistencia sorpresivos.
Es tu Departamento de Auditora Interna independiente?
Muchos de ustedes respondern que SI, sin embargo, algunos auditores internos viven atrapados
en el pasado reportando al Departamento de Contralora o Finanzas; y por otra parte, un buen grupo
son forzados por normativas gubernamentales, o por la alta direccin o los dueos del negocio a
desarrollar tareas operativas, lo cual limita de forma sustancial su independencia y objetividad. Por
estas circunstancias que afectan a muchos auditores internos, a continuacin compartimos 15
factores que contribuyen increblemente a fortalecer la independencia de su Departamento de
Auditora Interna:
1. La Junta o el Comit de Auditora revisa y aprueba el nombramiento, despido y compensacin del
Director de Auditora Interna (DAI).
2. La lnea de reporte del DAI ayuda a fomentar independencia, a travs de establecer una dependencia
funcional con la Junta o al Comit de Auditora.
3. La Junta o el Comit de Auditora revisan el plan estratgico del departamento y el plan anual de
auditora.
4. La posicin de la auditora interna dentro de la organizacin establece de forma clara y precisa su
autorizacin para el acceso irrestricto a registros, personal y activos para la realizacin de los
trabajos.
5. El servicio de auditora interna es totalmente libre de responsabilidades ejecutivas y operativas de tal
forma que puede ofrecer un aseguramiento independiente y objetivo.
6. Se identifican los conflictos de intereses, y son adecuadamente gestionados.
7. Las tareas del personal de auditora son rotadas de forma rutinaria.
8. El personal de auditora no tiene responsabilidades operativas, que creen conflictos de inters.
9. El trabajo de consultora que auditora puede realizar est claramente definido.
10. Las reas que hayan recibido servicios de consultora, estn sujetas a revisin de aseguramiento por
personal independiente al que realizo la labor de consultora.

11. Los auditores internos tienen una actitud mental imparcial y neutral, para evitar situaciones de
conflicto de intereses, que perjudicaran su capacidad de cumplir sus obligaciones objetivamente.
12. Los resultados del trabajo de auditora interna son revisados antes de ser emitidos, con el fin de
asegurar razonablemente que el trabajo se haya desempeado objetivamente.
13. El DAI, al menos anualmente, confirma a la Junta o al Comit de Auditora la independencia de la
actividad de auditora interna.
14. El DAI notifica a las partes apropiadas si la independencia u objetividad de la funcin de auditora
interna se han visto afectados en forma real o aparente.
15. Se asignan los recursos apropiados para que la funcin de auditora interna pueda desarrollar su
trabajo de forma efectiva y eficiente.
Despus de haber tomado en cuenta estos factores, favor dejarnos saber tu opinin sobre el
nivel de independencia de tu Departamento a travs de un comentario.
Bien sea que usted se est expandiendo para diversificar productos y servicios, acceder a canales de
distribucin mejorados, aumentar sus ingresos, buscar fuentes estratgicas de talento o todo lo
anterior; convertir su negocio domstico en global puede dar lugar a retos y problemas inesperados.
A continuacin se presentan algunos consejos para ayudar a evitar que su expansin global sea ms
difcil de lo necesario.
El cumplimiento es ms complicado de lo que piensa
Los nuevos mercados prometen ingresos importantes, pero existen muchos factores que tambin
entran en juego y que pueden acarrear un riesgo corporativo sustancial. El riesgo fiscal internacional
puede provenir de varias fuentes, tales como precios de transferencia en operaciones transfronterizas
o la creacin de una sucursal permanente en determinado pas, que d a las autoridades locales el
poder para evaluar la renta o el impuesto al valor aadido. Por otra parte, tambin estn los riesgos
rutinarios del negocio. Por ejemplo, no pagar los impuestos podra resultar en un gravamen sobre la
propiedad en los EE.UU., pero en Japn podra llevar a uno de sus ejecutivos a la crcel.
Asegrese de que tiene acceso a los conocimientos especializados sobre manejo de nmina
internacional, ya sea interna o externamente, para que pueda alejarse de estos peligrosos errores.
Acte como local; conozca las leyes
Las normas y leyes varan de un pas a otro. Cuando usted est llevando a cabo negocios en otro
pas, debe obviamente respetar las normas y regulaciones locales. Sin embargo, la falta de
familiaridad con estas puede ocasionar que no haga las preguntas adecuadas. Conoce usted la
proporcin que debe conservar de personal local frente a personal no local si tiene la intencin de
expatriar trabajadores clave? Puede usted diferenciar los beneficios estatutarios de aquellos
opcionales o generalizados? Est familiarizado con la forma en que se calculan los impuestos en la
regin? Ha registrado a los empleados ante las autoridades competentes para garantizar su derecho
a trabajar en el pas? Tiene conocimiento de los tipos de datos especficos, que segn las exigencias
de las normas locales, puede tener de los empleados que laboran en el pas?
Cada regin tiene sus propias variaciones nicas en las prcticas de empleo que deben comprenderse
y seguirse. Por ejemplo, en Portugal no existe el preaviso, y en Alemania los gerentes no pueden
ponerse en contacto con el personal despus del horario laboral a menos que ocurra una emergencia.
No entender o incumplir las leyes locales en cuanto a normas de recursos humanos, reglamentos y
expectativas culturales puede dar lugar a errores costosos y potencialmente catastrficos. Tmese el
tiempo para aprender las reglas o asciese con alguien que tenga el conocimiento para mantener a su
empresa en el camino correcto.

El crecimiento trae cambios

Las normas y leyes que aplicaban cuando usted entr inicialmente al pas van a cambiar con el
tiempo. Mantener el cumplimiento en los pases a los que se est trasladando puede convertirse en
un trabajo de tiempo completo pues las reglas cambian muy rpidamente a medida que su empresa
crece. El Reino Unido es un gran ejemplo; si una empresa tiene un empleado, los beneficios y
pensiones que el empleador debe proporcionar son mucho menores a las que tiene que pagar una
empresa de 50 o ms empleados.
A medida que su compaa crece, se vuelve vital para usted mantenerse informado sobre los cambios
en los requisitos de cumplimiento. De lo contrario, su organizacin podra resultar responsable de
una serie de daos punitivos que pueden ser agobiantes, en especial para las empresas ms
pequeas simplemente por no saber cules son los requisitos especficos para una empresa de su
tamao.
Adopte una estrategia
La expansin mundial es una inversin que debe estar respaldada por una estrategia slida. Est
pensando en establecer una sucursal permanente en cierto lugar, o simplemente est haciendo
algunos ensayos? Si la demanda y las oportunidades parecen slidas, se justifica un enfoque
permanente. Sin embargo, el proceso puede ser largo, costoso y lleno de riesgos de cumplimiento.
Para establecer su empresa en su nueva regin, usted debe elaborar una estrategia de inversin que
cubra los siguientes factores: la seguridad personal y de las propiedades, los seguros de viaje y de
responsabilidad civil, las polticas de respuesta a las crisis, y el despliegue de lderes exitosos en el
nuevo territorio.
Para ayudar a determinar el mejor enfoque, hgase estas tres preguntas:

Cul es la forma ms fcil de entrar en un pas?

Cules son nuestros objetivos mientras estamos all?
Cul es la forma ms fcil de salir?
En lugar de abrir una oficina directa, muchas empresas estn optando por co-emplear a su personal a
travs de una organizacin global de subcontratacin de empleados para evitar los numerosos
obstculos y costos de establecerse directamente. Cuando se tiene en cuenta, por ejemplo, que, en
promedio, se tarda 102,5 das para iniciar un nuevo negocio en Brasil, se vuelve claro por qu
algunas organizaciones optan por la alternativa de externalizacin para probar un mercado
rpidamente, con una mnima inversin y tomando la delantera en el manejo del riesgo.
Sea proactivo y disee un plan
La construccin de un plan le permitir a usted transformar todos los elementos de su estrategia de
expansin global en una poderosa realidad empresarial. El plan es la columna vertebral de un
negocio prspero, y define los procedimientos y los objetivos de crecimiento. El plan debe abarcar
todos los aspectos del futuro funcionamiento del negocio y debe ser accesible a todos los empleados;
esto permitir sentar las bases de cmo debe administrarse la empresa. Dicho plan debe ser flexible e
integral para satisfacer las necesidades crecientes de las empresas; as como tambin, detallado y
localizado para evitar costosos incumplimientos.
Encuentre al socio adecuado
Es difcil ser experto en todo, especialmente cuando se navega en territorios desconocidos. Debido a
esto, es vital para el xito de su empresa encontrar al socio adecuado que sepa lo que usted no y
pueda llevarlo a lugares donde no ha estado antes. Las empresas que se especializan en nmina

global y en subcontratacin mundial de empleados son grandes recursos para las empresas medianas,
porque conocen las polticas de nmina de cada pas y emplean a expertos locales para asegurar el
cumplimiento continuo de todas las regulaciones.
* Fundador y CEO de SafeGuard World International (SGWI). Bjorn Reynolds es un lder
reconocido de la industria y un estratega en los mercados globales de nmina.
or: Julin Ros. CISSP/CFE. Colaborador de Auditool
CEO & CyberSecurity Scientist, Fraud Examiner, Incident Handler, Ethical Hacker, Forensic
& Cyber-Analytics Investigator
Un reconocido flagelo que se est expandiendo en muchas corporaciones est debilitando la
capacidad de mantener la planeacin, estrategia y desarrollo de nuevos servicios y productos en
secreto. Se trata del acceso ilegtimo a informacin confidencial y el intercambio o la venta no
autorizada de la misma con grupos de inters al interior o exterior de las corporaciones.
La fuga de informacin se puede generar entre departamentos internos de una organizacin
Tradicionalmente se usan sistemas de prevencin de fuga de la informacin (DLP) para detectar
proactivamente ste delito, pero qu pasa en aquellas compaas en donde an no se tiene un nivel
de madurez en la clasificacin de la informacin y se quiere detectar y atrapar a los delincuentes en
menos de una semana ?. La respuesta est en el Big Data. Veamos un caso de la vida real.
POR QU OCURRE ESTE FRAUDE
Segn Donald Cressey's, criminologista Americano, en su definicin del Tringulo del Fraude, las
personas actan de forma fraudulenta por una presin, oportunidad y una racionalizacin justificada.
En este caso la presin del delincuente es una deuda bancaria, la oportunidad es el acceso a la
informacin y la racionalizacin es el dao ausente: l cree que nadie sufrir un dao real por el
hecho de copiar un archivo de un computador.
ABORDEMOS LA INVESTIGACIN
El primer paso es conformar el equipo de investigacin, donde se rena el equipo con la experiencia
y experticia suficiente para resolver el caso. El segundo paso es la planeacin y seguimiento de una
metodologa para la investigacin.
METODOLOGA PARA LA INVESTIGACIN
Una vez se haya abordado la investigacin y conformado el grupo de trabajo, se debe planear la
ejecucin de la misma as:
1. Obtencin del conocimiento general del caso, donde el cliente narra lo percibido por l y cul es su
teora del fraude.
2. Definicin de los objetivos de la investigacin, que sern encontrar y documentar evidencia,
testificar sobre lo hallado y acompaar al cliente en la prevencin del fraude.
3. Seleccin de quin ser informado de los avances, que por lo general debe ser una sola persona de
confianza y no una multitud de personas dentro de la organizacin.
4. Determinacin del alcance, donde se defina la cobertura y lmite de la misma. En este caso de fuga
de informacin se podra involucrar a toda la compaa.
5. Delimitacin de la lnea de tiempo, donde se establezca la duracin de la intervencin en su
infraestructura y el tiempo que se le dedicar a la investigacin.

6. Establecimiento del plan de accin, donde se definan qu herramientas se usarn y qu

metodologas investigativas se abordarn. En este caso seleccionamos el Big Data a travs de una
exploracin digital.
Una vez establecida la metodologa para abordar la investigacin, definimos 4 actividades Macro a
ser realizadas: Anlisis de la informacin recolectada, creacin de una o varias hiptesis de fraude,
comprobacin de cada una de las hiptesis y la consolidacin final del caso.
DESPLEGANDO EL PLAN DE ACCIN
Se siguen estos pasos para desplegar al plan de accin definido en la metodologa de la
investigacin:
1. Se despliega una plataforma de Big Data para recoger los logs que mas adelante generarn los
sistemas operativos.
2. Se despliega software agente que recolecte los logs de movimientos en el filesystem de todos los
computadores definidos en el alcance y se enva la informacin al servidor de Big Data. Este
software debe recoger en tiempo real informacin sobre documentos abiertos, modificados,
copiados, renombrados, creados y eliminados de todos los equipos.
3. Se construyen bsquedas y filtros sobre la informacin de alto volumen y velocidad que se recibe,
con sus respectivas alertas.
Teniendo el equipo de investigacin conformado, con la metodologa definida y el plan de accin
desplegado, procedemos a generar la carnada.
PONIENDO LA CARNADA
Si queremos obtener resultados en el tiempo definido para la investigacin debemos poner una
carnada y propiciar la ocurrencia del fraude en vez de esperar a que suceda en su conducto regular.
La compaa anuncia a todos sus empleados a travs de la Intranet una estrategia comercial
innovadora para uno de sus productos que ha venido construyendo en secreto. La compaa crea
informacin ficticia (archivos) y desarrolla reuniones planeadas siguiendo el proceso que ha venido
haciendo durante las ultimas ocurrencias del fraude.
IDENTIFICANDO SOSPECHOSOS
A travs del anlisis de datos que reside en la plataforma de Big Data, buscaremos las personas en
toda la organizacin que poseen la informacin que fue generada como carnada junto con toda
la trazabilidad de sus movimientos. En esta fase, gracias a que todos los equipos estn entregando
informacin de movimientos en el filesystem, podemos construir una hiptesis de fraude que
contemple a los integrantes y el modus operandi.
Un documento se puede alterar antes de ser intercambiado para tratar de ocultarlo. Todos los
movimientos del filesystem se deben guardar para dar frente a ello.
RECOGIENDO EVIDENCIA Y CONSOLIDANDO EL CASO
Una vez conformado el equipo de investigacin, abordado el caso con la metodologa definida, con
el plan de accin desplegado y con la identificacin de los sospechosos y su modus operandi,
procedemos con la recoleccin de evidencia a travs de un Anlisis forense Digital buscando la
ocurrencia de los fraudes originalmente reportados, otorgndole a nuestro cliente el acompaamiento
necesario en el juicio y en la prevencin a futuro de fraudes similares.

QU SOFTWARE PODEMOS USAR PARA EL PLAN DE ACCIN ?

Cualquier software de Big Data podra cumplir perfectamente los objetivos del plan de accin
planteado, unos de una manera mas sencilla, complicada, costosa o barata. En NF Cybersecurity and
Antifraud Firm recomendamos el uso del software gratuito The Fraud Explorer, que integra la suite
de Big Data ELK (Elasticsearch, Logstash y Kibana) y provee un agente que recoge los logs de
movimientos en el filesystem para su anlisis.

POR QU FUIMOS EFICIENTES EN LA INVESTIGACIN ?

Porque no llevamos a cabo demorados procesos para la deteccin de la fuga de la datos, como la
implementacin de un DLP y su previa clasificacin de informacin. Tampoco hicimos anlisis
forense a todos los equipos de la organizacin. Ahorramos costos en la investigacin haciendo uso
de software gratuito y generando exactamente los datos que queramos obtener a travs de un agente
y analizndolos con una herramienta que permitiera realizar consultas en tiempo real sobre datos no
estructurados.
Referencias
La funcin esencial de Auditora Interna es evaluar el Sistema de Control Interno de una
organizacin. Puesto en otros trminos, Auditora Interna evala cmo estn diseados y de qu
modo funcionan los controles.
Particularmente para verificar cmo se realizan los controles, los Auditores Internos histricamente
nos venimos apoyando en la teora estadstica: extraemos una muestra de casos, los examinamos y,
convencidos que ese lote es representativo del universo, extrapolamos la conclusin observada a la
totalidad de los tems. Sencillo.
El mtodo de muestreo y proyeccin constituye una muy buena aproximacin para inferir lo que se
supone que est pasando en el universo. Pero es precisamente en esa definicin donde radica el
cambio de paradigma: a los stakeholders (directores, accionistas, reguladores de la actividad y
otros interesados) no les alcanza con obtener un conocimiento general o aproximado de la cosa. Por
el contrario, en la actualidad la exigencia de conocer se increment y la demanda requiere
identificar con exactitud quirrgica cuntos casos y cules- han vulnerado cierto control o se han
desviado de su comportamiento esperado. Claramente, tal nivel de precisin es inalcanzable con el
mtodo de revisin tradicional.
En paralelo, las empresas han avanzado hacia la informatizacin de sus operaciones. Casi no quedan
actividades que no sean ejecutadas, aprobadas, controladas y por ende registradas en sistemas
informticos. Esta realidad, adems de representar une mejora operativa para las empresas, conlleva
una ventaja para nuestra profesin: la auditabilidad electrnica de las actividades.

Confluyen entonces dos factores: mayores exigencias de precisin y velocidad a quienes evaluamos
controles y la inmejorable posibilidad que representa la informatizacin de las actividades de una
empresa. Los Auditores Internos podemos acceder a bases de datos y, mediante tcnicas de auditora
basadas en computadora (CAATs por sus siglas en ingls) construir rutinas automticas de
verificacin de controles que examinen la totalidad de los casos.
Esta nueva metodologa de verificacin presenta otra importante ventaja: con el mtodo tradicional
los controles se realizaban de manera espordica (generalmente con periodicidad anual); en
contraposicin, la Auditora Continua posibilita que los Auditores tengamos programas disponibles
para reprocesar los datos ms peridicamente, los intervalos de evaluacin se vern reducidos
drsticamente pasando a ser semestrales, mensuales o diarias, evolucionando de lo discreto hacia
locontinuo.
En cuanto a la eficiencia de la Auditora Interna, tambin existe un impacto: el diseo, anlisis y
programacin de herramientas de Auditora Continua requieren de cierta inversin de tiempo pero,
una vez construido el proceso o script, su ejecucin es de costo muy bajo.
Ventajas y contribucin marginal
La evolucin tecnolgica de las empresas, los crecientes volmenes operados y los cambios cada vez
ms frecuentes en las reglas de negocios refuerzan la necesidad de que los Auditores migremos hacia
estas nuevas metodologas.
Las ventajas directas son obvias: el alcance del control (de revisar una muestra, se avanza a evaluar
el universo), la reduccin del intervalo de anlisis (de discreto pasa a ser continuo) y el costo de
evaluacin muy bajo.
De manera adicional, este nuevo mtodo acerca un objetivo cada vez ms apreciado en las
expectativas de los auditores: agregar valor a la organizacin.
Ello se logra mediante:

Evaluacin permanente de los riesgos y controles

Retroalimentacin oportuna para el planeamiento
Auditora a distancia: estrategia de muestreo inteligente
Toma de conocimiento inmediata de hechos salientes
Contribuir al Clima Interno de la organizacin, irradiando sensacin de control
Mayor visibilidad y excelente posicionamiento de la Auditora Interna
Como toda nueva metodologa, luego de implementarla comienzan a surgir algunos tecnicismos.
Clasificacin de indicadores: algunos se utilizan especficamente para mensurar Riesgos Claves y
otros, en cambio, miden Procesos Claves, algunos son meramente informativos o de pistas, etc.
La interpretacin de los resultados con este esquema tambin difiere: es menester que los Auditores
incorporen conceptos como: umbrales de tolerancia y anlisis de tendencias.
Un ltimo tema a citar es que, a menudo, Auditora Interna genera controles ms eficaces y/o
oportunos que la propia Gerencia de Lnea. Si este es el caso, debe considerarse la transferencia de
algunos monitoreos a los auditados.
Auditores: a la tecnologa o a los botes!

La adopcin de esta nueva metodologa requiere amigarse con la tecnologa: incorporar alguna
herramienta informtica y conocer los modelos de datos de la empresa.
Nos encontramos en un punto en el que la evolucin profesional no es una opcin sino
una obligacin, esa realidad es muy cierta para quienes efectuamos tareas vinculadas al Control.
Indudablemente Auditora Continua es el prximo estndar de Auditora Interna y los profesionales
en esta materia tenemos una excelente oportunidad de aumentar la eficacia, eficiencia, ganar
visibilidad y realmente- agregar valor a nuestras empresas.
Tambin queda claro que quedarn relegados los profesionales que no deseen evolucionar; ellos
podrn continuar con el esquema de Auditora tradicional, teniendo siempre a mano la clsica
respuesta: Revisamos ese proceso, pero en la muestra no cay ningn caso con error.

Muchas organizaciones exitosas atribuyen su excelente desempeo y logros a la cultura de su

organizacin. En un estudio de 2015 conducido por la Universidad de Duke, de 1.900 ejecutivos de
todo el mundo, el 79% afirm que la cultura es uno de los cinco factores principales que aportan
valor a su empresa. Sin embargo, slo el 15% dijo que su propia cultura corporativa se encuentra en
el nivel deseado y el 92% dijo que mejorar su cultura aumentara el valor de la empresa.
Muchos escndalos recientes de alto perfil, tales como los de Toshiba, Volkswagen, la FIFA y la
Universidad de Baylor, han demostrado el efecto adverso de tener la cultura txica. El escndalo de
los reportes de ganancias inflados por $ 1.2 billones de Toshiba [1], que se produjo por ms de siete
aos y sali a la luz el pasado verano fue llamado el evento ms perjudicial para la marca en sus
140 aos de historia por el CEO saliente. El Comit de Investigacin Independiente concluy que
exista una cultura corporativa en Toshiba que haca imposible ir en contra de la voluntad del jefe.
Esto llev a la destitucin del director general, dos ex directores generales y de varios miembros del
Consejo.
Al cabo de unos pocos meses, tras el anuncio del escndalo, el valor de las acciones de Toshiba
haba disminuido un 24% y las ventas cayeron a su punto ms bajo en varios aos. Los reguladores
multaron a la empresa con $62 millones; esta es la multa ms grande jams impuesta en Japn. La
compaa ha reducido 14.000 puestos de trabajo desde el anuncio del escndalo a mediados de 2015.
A principios de este ao, la compaa comenz a buscar lneas adicionales de crdito para pagar las
multas y revisar ciertos segmentos de negocio. En los seis meses siguientes al anuncio, el escndalo
redujo aproximadamente $ 8 billones al valor de mercado de Toshiba.
Un mensaje del presidente actual se encuentra ahora en el sitio web de Toshiba en un esfuerzo por
revitalizar la empresa y recuperar la confianza del pblico. Afirma que Toshiba ha iniciado
amplias reformas de los controles internos y la gestin empresarial, incluyendo el establecimiento de
una Divisin de Auditora Interna. Parece que Toshiba ha reconocido finalmente el valor de
auditora interna puede aportar a su organizacin.
La profesin de auditora interna est evolucionando. Su papel dentro de las organizaciones de todo
el mundo se est expandiendo para abordar los riesgos cambiantes que las empresas enfrentan
actualmente y para ofrecer aseguramiento en las reas que ms preocupan a los miembros del
consejo. Por definicin, la auditora interna est diseada para agregar valor y mejorar las
operaciones de una organizacin. Ayuda a la empresa a cumplir sus objetivos aportando un enfoque
sistemtico y disciplinado para evaluar y mejorar la eficacia de los procesos de gestin de riesgos,
control y gobierno.

Sin embargo, la profesin todava tiene mucho trabajo por hacer para abordar el tema de la cultura
corporativa. De acuerdo con un estudio de 2016 realizado por el Instituto de Auditores Internos, el
58% de los departamentos de auditora interna no auditan la cultura corporativa. Si las lecciones de
Toshiba y otras organizaciones nos han enseado algo, es que la existencia de una cultura
inadecuada puede ser peligrosa para una organizacin y sus empleados.
La existencia de un cdigo de tica, y de una misin y valores definidos simplemente no es
suficiente. La direccin de la compaa tiene que dar el ejemplo y no debe tomar la cultura
corporativa o de gobierno por sentado. Los Comits deben asegurarse de que se despliegue una
cultura apropiada en toda la organizacin.
Debido a la naturaleza de sus actividades y a la visin detallada de las operaciones en toda la
organizacin a la que tiene acceso, el equipo de auditora interna se encuentra en una posicin nica
para evaluar la cultura y el gobierno corporativo. El valor que esta evaluacin puede proporcionar es
invaluable.
* Gestor de servicios de asesora de riesgos en Kaufman Rossin donde se proporciona consultora de
control interno y auditora interna para las empresas en una variedad de industrias.
Propiedad intelectual para las compaas significa hoy en da la sangre que mantiene operativa la
produccin y en muchos casos est directamente relacionada con secretos industriales y hasta
patentes. La propiedad intelectual, segn la definicin de la Organizacin Mundial de la Propiedad
Intelectual (OMPI), se refiere a toda creacin de la mente humana. Los derechos de propiedad
intelectual protegen los intereses de los creadores al ofrecerles prerrogativas en relacin con sus
creaciones.
Empleados de confianza (y no tanta) normalmente tienen acceso a datos privilegiados donde reside
el diseo del producto o servicio que se ha declarado propiedad intelectual. Al marcharse esta clase
de empleado, es casi seguro que se va con toda o cierta parte de estos datos que pueden hacer posible
la replicacin y hasta su uso en la competencia, para beneficio personal o incluso para llenar su
coleccin de carpetas de informacin importante.
Cundo ocurre realmente el fraude ?
El fraude en esta circunstancia se da cuando precisamente el ex-empleado usa la informacin para
obtener algn beneficio. Es imposible borrarle la memoria cerebral a una persona que trabaj toda la
vida y que conoci la patente en detalle, no es un delito irse de la compaa con ello porque
tcnicamente todo reside en su cabeza y no existe un procedimiento de salida de la compaa que
borre segmentos de memoria en un empleado (an). El fraude se comete cuando ste ex-empleado
usa dicha informacin para su beneficio o cuando extrae porciones de ella sin autorizacin.
Cundo aplicar el forense digital ?
Es aqu cuando se pueden usar las tcnicas de anlisis forense digital, en el proceso de salida de la
compaa de esta clase de empleados (los que conocen el detalle de diseo del producto o servicio
declarado propiedad intelectual) para averiguar cules son sus intensiones al dejar la compaa con
respecto al uso de informacin privilegiada.
Informacin privilegiada puede ser para una compaa la lista de clientes con datos detallados de
contactos e historial de productos y servicios, planes de negocio, informacin operacional, datos del
staff, secretos industriales, software y hardware desarrollado en casa.
Cul es la tcnica en particular ?

La tcnica consiste en tomar los equipos de cmputo de la compaa asignados al empleado y llevar
a cabo un anlisis sobre cuentas de correo, dispositivos de almacenamiento removible, mensajera
instantnea, unidades de almacenamiento en la nube, acceso a sitios web, historial de inicios de
sesin en servidores y recursos compartidos, cmaras, entre otros.
Qu consideraciones debo tener en cuenta ?
Las tcnicas de anlisis forense digital normalmente estn bien definidas (cadena de custodia,
adquisicin, procesamiento, anlisis) pero siempre existirn algunas reas grises en el proceso que
pueden impedir la investigacin. Tenga en cuenta lo siguiente para hacer una debida recoleccin de
evidencias digitales:
1. Obtenga la debida autorizacin de la compaa, de parte del equipo legal, de recursos humanos y
de la gerencia, para proceder con su permiso.
2. Revise las polticas de la organizacin, buscando qu puede hacer y qu no puede hacer un
empleado y si estos firmaron en su contrato una autorizacin previa que permita que sus elementos
de uso diario puedan ser revisados e investigados.
3. Entienda las leyes de privacidad, dependiendo de su pas y estado, las leyes de privacidad pueden
impedir que se lleven a cabo investigaciones sobre elementos en los cuales reside informacin
personal de los empleados.
4. Determine los requerimientos de cumplimiento, la investigacin puede violar algun requerimiento
de ley, como por ejemplo, cuando se accede a un recurso que contiene datos de tarjetas de crdito,
sta no podra duplicarse y abandonar las instalacione shacia un laboratorio forense.
Qu debo buscar exactamente ?
El FBI, en Estadios Unidos, entrega una lista de las acciones ms comunes que un empleado hace
para tomar posesin y usar ilegalmente informacin de propiedad intelectual:
1. Tomar datos de la compaa en memorias USB o a travs de cuentas de correo electrnico
personales.
2. Obtener de manera inapropiada informacin confidencial a travs de otras personas en la misma
organizacin por amistad.
3. Estar interesado de manera sospechosa en obtener acceso a informacin privilegiada de la
competencia para beneficio propio.
4. Acceder remotamente a recursos de la compaa mientras se est en vacaciones o en periodos de
tiempo de descanso colectivo.
5. Instalar software y hardware personal en los equipos de cmputo de la compaa.
6. Trabajar en horarios no laborales dentro y por fuera de la compaa.
Importante:La ltima semana de octubre estaremos en Colombia, Bogot (24 y 25) y Medelln (27
y 28), con Marta Cadavid, realizando el Seminario Internacional: Nuevas Tcnicas de Deteccin,
Prevencin e Investigacin de Fraudes en la Era de la Tecnologa. Los invito a prticipar en este
evento que organiza Auditool.
Para establecer la pauta correcta con respecto a los crmenes econmicos, la Junta Directiva debe
estar conformada correctamente y gozar de un excelente gobierno y participacin, lo cual implica
que sus miembros sean reconocidos tanto por su independencia y criterio profesional como tambin
por su formacin tica. Sobre sus hombros estar depositada toda la confianza y a la vez la

responsabilidad de ejercer el control de la Organizacin y controlar el acceso a informacin sensible

que usada errneamente puede destruir la entidad.
Por tanto, cada miembro de la Junta Directiva debe ejercer como mnimo las siguientes acciones
relacionadas con el Programa de administracin del riesgo de fraude:

Entender sobre los temas fundamentales de riesgo de fraude,

Mantener una supervisin constante de la evaluacin del riesgo de fraude asegurndose de que dicho
riesgo ha sido considerado dentro de la evaluacin global de riesgos y los planes estratgicos de
mitigacin de la Organizacin,
Monitorear los reportes de los riesgos de fraude, las polticas y las actividades de control, la cuales
incluyen la obtencin de garantas sobre la efectividad de los controles,
Establecer el mecanismo para asegurar que ellos estn recibiendo la informacin oportuna y exacta
de parte de los administradores, auditores, empleados o cualquier persona relacionad con la
compaa sobre un potencial fraude o la ocurrencia del mismo,
Supervisar los controles internos establecidos por la empresa para contrarrestar el fraude,
Tener la habilidad de conseguir, retener y pagar los expertos que sean necesarios para la elaboracin,
implementacin y mantenimiento del Programa de administracin de riesgo de fraude,
Proveer la evidencia correcta a los auditores externos sobre actividades ilegales asociadas a fraude
cometidos dentro de la Organizacin
TEMAS DEL PROGRAMA DE ADMINISTRACIN DE RIESGO DE FRAUDE
As mismo, es responsabilidad de la Junta Directiva realizar el monitoreo efectivo, regular o
constante del Programa de administracin de riesgo de fraude a travs de un ejecutivo de la
Organizacin que rena las condiciones intelectuales y profesionales idneas para coordinar el
programa y reportar a la Junta Directiva los potenciales riesgos encontrados. La creacin del
Programa de administracin de riesgo de fraude debe incluir polticas, procesos, procedimientos,
actividades, y sistemas de comunicacin y capacitacin que ayuden a evaluar y comunicar dicho
programa. Aunque cada organizacin necesita considerar su tamao y complejidad para determinar
qu tipo de documentos son los ms apropiados para el Programa de administracin de riesgo de
fraude, los siguientes son los temas que deben ser incluidos sin importar el tipo de organizacin de
que se trate:

Roles y responsabilidades,
Compromisos,
Conocimiento del fraude,
Divulgacin de conflictos de inters,
Evaluacin de los riesgos de fraude,
Procedimientos de informe y proteccin a delatores,
Procesos de investigacin,
Acciones correctivas,
Seguridad de la informacin,
Monitoreo continuo
Importante:La ltima semana de octubre estaremos en Colombia, Bogot (24 y 25) y Medelln (27
y 28), con Julin Ros, realizando el Seminario Internacional: Nuevas Tcnicas de Deteccin,
Prevencin e Investigacin de Fraudes en la Era de la Tecnologa. Los invito a prticipar en este
evento que organiza Auditool.

Siempre es interesante ponernos nuestras gafas para verlo todo y observar situaciones en las que la
gestin de riesgos ha fracasado. Al hacer esto, tenemos la oportunidad de identificar las seales de
advertencia que indican fallas comunes. Los siguientes son cinco errores frecuentes de gestin de
riesgos y algunas seales de advertencia de cada uno. Las seales de alarma se dividen en
indicadores organizacionales, de procesos y de comportamiento [1].
1. Mal gobierno y tono de la organizacin
El gobierno es el acto o proceso de ejercer supervisin, direccin y control con autoridad. El trmino
se utiliza a menudo para describir lo que el Comit Directivo y la Direccin Ejecutiva hacen para
supervisar la planificacin y las operaciones de la empresa, y para garantizar la eficacia del
establecimiento de la estrategia y de otros procesos de gestin en la organizacin .
El tono directivo de la Direccin Ejecutiva proporciona una base vital para la transparencia, la
apertura y el compromiso con la mejora continua, que son tan necesarios en la gestin eficaz del
riesgo. Sin embargo, el tono en la parte superior debe ser complementado con un tono efectivo en
los mandos medios. No importa lo que los lderes comuniquen a sus organizaciones, lo que
realmente impulsa el comportamiento de los empleados es lo que ven y escuchan todos los das de
los directivos a quienes les reportan. Si el comportamiento de los mandos intermedios contradice los
mensajes y valores transmitidos desde la Direccin, no pasar mucho tiempo para que los empleados
de nivel inferior lo noten. Debido a que el nfasis de proveniente de las directivas (top-down) en la
gestin eficaz del riesgo es tan fuerte como su eslabn ms dbil, es vital que este nfasis se traduzca
en un tono efectivo en los mandos medios antes de que pueda llegar a toda la organizacin. Por lo
tanto, se necesita un tono organizacional fuerte.
Estos son algunos indicadores de las deficiencias en el gobierno y en el tono de la organizacin:
Indicadores organizacionales:

El mal gobierno de riesgo, y la falta de liderazgo y disciplina ocasionan que en las actividades de
creacin de valor empresarial de las lneas de negocio primordiales se ignoren el riesgo y las alertas
tempranas planteadas por la gestin de riesgo independiente.
La falta de enfoque del Consejo en la supervisin del riesgo ocasiona que los Directores no puedan
abordar las preguntas difciles.
Indicadores de proceso:

El riesgo no es considerado explcitamente por la Gerencia al evaluar las alternativas estratgicas ni

al entrar en nuevos mercados, introducir nuevos productos o realizar una inversin o adquisicin
compleja.
La comunicacin y el intercambio de informacin sobre los riesgos a niveles superiores, inferiores y,
en general, en toda la empresa son ineficaces o inexistentes.
Indicadores de conducta:

Un enfoque limitado al corto plazo un mes o un trimestre causa que la empresa, al tomar
riesgos, hipoteque el futuro en beneficio del presente.
Un CEO dominante ignora las seales de advertencia enviadas por la gestin de riesgos, se resiste a
aceptar las malas noticias o la informacin contraria, que indica que la estrategia de la organizacin
no est funcionando y/o que no involucra oportunamente al Consejo en cuestiones estratgicas y
asuntos normativos.

Hay evidencia de estrategias que no pueden ser implementadas, de presiones extremas de

desempeo, de planes de expansin irreales, de falta de experiencia ejecutiva, de una cultura
combativa y de una competencia interna malsana que incentiva la toma de riesgos excesivos.
2. Toma de riesgos imprudente
La toma de riesgos imprudente es un asesino del valor de la empresa. Quiere decir que la empresa
corre riesgos que el Consejo de Directivo y/o la Direccin Ejecutiva no comprenden ni aprueban.
Una leccin que seguimos aprendiendo una y otra vez consiste en ser disciplinados al tomar riesgos
durante los perodos de crecimiento rpido y mercados favorables. Por ejemplo, todos los programas
de MBA cuentan con estudios de caso de empresas que tienen que volver a aprender una leccin de
larga tradicin:
Si bien es cierto que las personas competentes son un aspecto importante de la gestin de riesgos; el
hecho de que la administracin dependa de ellas sin lmites, que no mantenga controles ni haga
balances de su desempeo y que no cuente con una supervisin independiente, es tan desaconsejable
como el no comprender los riesgos inherentes a sus actividades.
Es interesante observar cmo las empresas, incluso las industrias enteras, continan descubriendo
esta leccin fundamental. En la crisis financiera, a algunas instituciones les fue mejor que a otras y
podemos aprender sobre sus decisiones.
Los indicadores clave de este error incluyen:
Indicadores organizacionales:

El Consejo no lleva a cabo suficiente supervisin del riesgo.

Los lderes de las unidades de operacin y los encargados de los procesos no son los responsables
gestionar los riesgos que sus actividades crean; por tanto, los encargados de los riesgos primarios no
estn realizando el seguimiento y la gestin del riesgo desde su origen.
No hay ninguna funcin de gestin de riesgo independiente que supervise el riesgo.
Auditora interna no se centra en la eficacia de las dos primeras lneas de defensa los responsables
de los riesgos primarios y las funciones de riesgo independientes.
Indicadores de proceso:

O bien se carece de un documento que d cuenta de la propensin al riesgo o no hay rendicin de

cuentas que asegure que los riesgos se asuman de manera prudente dentro de los lmites establecidos
por la propensin al riesgo de la organizacin.
No se aplica un anlisis contrario a los supuestos crticos que subyacen a la estrategia para supervisar
las tendencias y otros indicadores de riesgo y as determinar si uno o ms supuestos crticos se han
vuelto o se estn volviendo invlidos.
Los cargos de confianza (por ejemplo, los asignados a personas cuyas acciones u omisiones pueden
someter a la empresa a eventos significativos de riesgo) no se identifican ni se gestionan; por lo
tanto, sus actividades no pueden ser objeto de supervisin por parte de un ejecutivo bien informado.
Indicadores de conducta:

La estructura de compensacin de incentivos y la cultura de la organizacin conducen a un

comportamiento de riesgo inapropiado; por ejemplo, un plan de compensacin del tipo cara yo

gano, cruz usted pierde puede producir consecuencias no deseadas que la administracin y el
Consejo querran evitar si se les diera la opcin.
La responsabilidad de la gestin del riesgo no est vinculada con el sistema de recompensa; o peor,
el programa de compensacin de incentivos fomenta la toma desenfrenada de riesgos.
Existen grandes estrellas que hacen mucho dinero, pero nadie sabe cmo o por qu tienen xito.
Las personas ms inteligentes en la sala dominan la discusin y dirigen el flujo de pensamiento del
grupo.
Hay conflictos de intereses significativos en reas complejas, voltiles y/o difciles de medir.
3. Incapacidad para implementar una gestin de riesgo (ERM [2] ) efectiva
La mayora de los esfuerzos para implementar la ERM estn mal enfocados, han sido severamente
restringidos por la limitacin de recursos y han sido tan relegados en la organizacin que es difcil
establecer su relevancia. El resultado a corto plazo es una dinmica de arrancar y parar y de
discutir incesantemente para comprender cul es el objetivo. El resultado a largo plazo es que la
gestin de riesgos es rara vez, o nunca, elevada a un nivel estratgico y contina siendo impulsada
por silos[3] funcionales dentro de la organizacin.
Los indicadores comunes de este error incluyen:
Indicadores organizacionales:

Existe una falta de apoyo por parte de la Direccin Ejecutiva y otros sectores clave. La empresa
sufre de falta de empuje debido que se ha delegado la toma de iniciativa a los niveles inferiores de la
organizacin.
La iniciativa de ERM no tiene un alcance global a nivel de la empresa ni adopta un enfoque
estratgico.
La respuesta de ERM tiene en una orientacin de adicin en la cual los diversos silos de gestin de
riesgos se suman porque as cubren en conjunto los riesgos de la empresa.
Indicadores de proceso:

O bien no existe una poltica de gestin de riesgo o la poltica existe, pero no hace hincapi en los
principios de la ERM.
El proceso de ERM no se centra en los pocos riesgos vitales que realmente importan y/o no
posiciona a la organizacin para avanzar a tiempo y aprovechar las oportunidades de mercado y los
riesgos emergentes.
Indicadores de conducta:

Falta claridad en cuanto a la motivacin del negocio y a la justificacin econmica para la ERM; por
ejemplo, al tratar de comprender el problema que se est tratando de resolver con la ERM se genera
un dilogo sin fin sobre el qu y por qu.
Los responsables son incapaces de responder de manera aceptable ante el Consejo Directivo a
preguntas tales como: Cules son los riesgos crticos? Cmo los estamos manejando y cmo
damos cuenta de ello?
Se evidencia parlisis o falta de voluntad de empezar los procesos necesarios para asegurar un
acercamiento efectivo a la gestin de riesgo en toda la empresa.

4. Inexistencia, ineficacia o ineficiencia de la evaluacin del riesgo

Esta falla se produce cuando las actividades de evaluacin de riesgos no identifican de manera
eficiente, eficaz y rpida los riesgos de la empresa. Tambin ocurre cuando la evaluacin del riesgo
consiste tan solo en compartir la lista actualizada de los riesgos con los ejecutivos de la compaa sin
ir ms all.
Algunos indicadores clave de esta falla son los siguientes:
Indicadores organizacionales:

La gran cantidad de silos de gestin de riesgo y la falta de una visin de proceso ocasionan que
muchos riesgos pasen desapercibidos.
Mltiples solicitudes de evaluacin de riesgos abruman el proceso de la entidad y a los responsables
de las funciones debido a la mentalidad de silo de las numerosas solicitudes de los evaluadores de
riesgo.
Indicadores de proceso:

El proceso de evaluacin de riesgos no involucra a las principales partes interesadas y los resultados
no son reportados a la Junta Directiva para obtener su opinin y perspectiva.
Las evaluaciones de riesgo pocas veces generan un entendimiento que altere el punto de vista de la
Direccin, dejan a los responsables de tomar las decisiones con pocas ideas en cuanto a qu hacer a
continuacin para gestionar el riesgo y rara vez afectan las decisiones y los planes de negocio.
El proceso ofrece pocas indicaciones sobre qu hacer frente a eventos extremos, y tiene poco o
ningn impacto en la mejora de la preparacin de las respuestas.
El proceso no dedica suficiente atencin a ayudar a los gerentes a pensar acerca de lo que no saben.
El marco analtico comn utilizado no tiene en cuenta las mltiples visiones de futuro y no aborda
las caractersticas nicas y los lmites temporales de los riesgos que enfrenta la empresa.
El Consejo General limita el proceso de evaluacin de riesgos con preocupaciones sobre la
documentacin del riesgo.
Indicadores de conducta:

La organizacin practica ELM [4], o gestin de lista empresarial, que clasifica los riesgos
peridicamente; pero que contribuye muy poco a informar cmo se gestionan.
Las evaluaciones subjetivas son a menudo influenciadas por la experiencia pasada, fomentan el
pensamiento homogneo del grupo y evitan la generacin de ideas innovadoras.
5. Ausencia de integracin de la gestin de riesgo con el planteamiento de estrategias y la
gestin del rendimiento
Este error se produce cuando el riesgo es tratado como un aditamento de la estrategia, lo que resulta
en objetivos estratgicos poco realistas y en una gestin de riesgos convertida en un apndice de la
gestin del rendimiento. Las consecuencias de esta falla incluyen una estrategia con la cual
organizacin no puede cumplir, un deterioro de la posicin competitiva, una incapacidad para
adaptarse a un entorno de negocios cambiante y una importante prdida de valor de la empresa.
Los posibles indicadores clave de esta falla son los siguientes:

Indicadores organizacionales:

La administracin no ha puesto en prctica un enfoque eficaz para integrar las implicaciones del
riesgo en la planificacin estratgica y en la gestin del rendimiento.
Indicadores de proceso:

Los riesgos inherentes a la estrategia de la organizacin no han sido identificados, localizados ni

mitigados.
No se toma en consideracin el riesgo que conllevan los cambios que afectan al modelo de negocio.
Los principales riesgos inherentes a las operaciones de la empresa, incluyendo la forma en que se
manejan, no son claros para las partes interesadas.
Hay una falta de conectividad de la gestin de riesgos con los procesos centrales de gestin.
La alineacin de las respuestas a los riesgos con la estrategia y la gestin del rendimiento
empresarial es pobre o deficiente.
No existe ningn proceso establecido que permita anticipar escenarios extremos de riesgo que
podran descarrilar la ejecucin de la estrategia. Por ejemplo, ni la velocidad ni la persistencia ni la
disposicin de respuesta asociadas con los riesgos de alto impacto y de baja probabilidad de
ocurrencia son evaluadas para determinar si son necesarios nuevos planes de accin frente al
riesgo.
La estrategia y las respuestas a los riesgos relacionados no se comunican de manera coherente en
toda la empresa.
Indicadores de conducta:

La gestin del riesgo est absorbida en minucias en lugar de centrarse en lo realmente importante:
los riesgos estratgicos vitales.
Hay pruebas de toma de riesgos inaceptables o de actividad innecesaria de aversin al riesgo.
Resumen
Hemos discutido las cinco fallas ms comunes de la gestin de riesgos:

1.
2.
3.
4.
5.

Mal gobierno y tono de la organizacin.

Conducta imprudente de toma de riesgos.
Incapacidad para implementar una gestin de riesgo (ERM ) efectiva.
Inexistencia, ineficacia o ineficiencia de la evaluacin del riesgo.
Ausencia de integracin de la gestin de riesgo con el planteamiento de estrategias y la gestin del
rendimiento.
Las seales de advertencia previstas para cada una de las anteriores fallas proporcionan un
diagnstico de alto nivel para el Consejo y la Direccin que permite controlar la solidez y vitalidad
de la gestin de riesgos en la organizacin.
* Es miembro del equipo de liderazgo Protiviti Solutions. Su enfoque es ayudar a las organizaciones
responder exitosamente ante los mandatos gubernamentales, las demandas de los accionistas y el
entorno empresarial cambiante de una manera rentable y sostenible que reduzca el riesgo a un nivel
aceptable.

[1] Mejora del rendimiento organizativo y de gobierno: Cmo pueden ayudar los marcos
de COSO (Improving Organizational Performance and Governance: How the COSO Frameworks
Can Help), James DeLoach y Jeff Thomson, 2014.
[2] Enterprise Risk Management.
[3] El efecto silo imposibilita que las cuestiones interdepartamentales se resuelvan a niveles medios o
bajos. Los problemas se elevan a los directivos para que estos los resuelvan y luego la informacin
retorna al silo en donde las tares deben de ser ejecutadas. Debido a esto, se genera la necesidad de un
control extra y los costes de coordinacin aumentan. Los silos complican los flujos de informacin y le
restan agilidad a la empresa.

Los colegas y amigos auditores internos que hayan participado por primera vez en una de mis
conferencias, estoy completamente seguro que se habrn sorprendido al notar de forma inmediata
que:
Tengo un timbre de voz diferente al promedio de los conferencistas, adems hablo exageradamente
rpido en la mayor parte de la presentacin, creo que soy capaz de pronunciar ms de trescientas
cincuenta palabras en menos de treinta segundos; y peor an, desarrollo mi disertacin tan alto y
fuerte que en alguna ocasiones es necesario bajar el nivel del micrfono para que los decibeles de mi
voz no afecten la capacidad auditiva de los participantes de la conferencia.
A pesar de mi peculiar estilo de presentacin, he tenido un enorme xito.
Por qu he tenido xito?
Debido a que veo cada conferencia como una magnfica oportunidad para que todos los participantes
puedan transformar la forma de ver la profesin de auditora interna, a travs del desarrollo de una
presentacin innovadora, cargada de reflexiones, ideas y mejores prcticas. Todo esto apoyado en el
uso de tecnologa de punta.
Esta singular situacin personal, me hace pensar que para alcanzar la excelencia en cualquier tarea o
rea profesional, tenemos que desarrollar el valor de ser autnticos, nicos e irrepetibles. Por lo que
te recomiendo que te conviertas en la mejor versin de ti mismo. En realidad muchos de nosotros
tenemos miedo de ser nosotros mismos y renunciamos de manera consciente o inconsciente a
realizar nuestro aporte al proceso creativo, tenga presente que:
Warren Buffet seal en una ocasin: Nunca habr un mejor t que t. Una observacin
brillante de un tipo brillante. Nunca habr un mejor yo que yo. Y nunca habr un mejor t
que t. Puede que otros traten de emular tu forma de pensar, hablar y actuar, pero por mucho
que se esfuercen solo llegarn a ser un segundo mejor t. Porque t eres nico. En este mundo,
hay un solo t entre los miles de millones de seres. Da que pensar, verdad? Hace que te des
cuenta de que eres bastante especial. Bastante no. Muy especial.
Para ser parte del 1%, de la elite de tu profesin u oficio, debes hacer lo que no hace el 99%, tienes
que desarrollar el suficiente coraje para ser audaz, nico e innovador al realizar cada una de las
tareas de tu trabajo diario, recuerda:
Tu tiempo es limitado, de modo que no lo malgastes viviendo la vida de alguien distinto. No
quedes atrapado en el dogma, que es vivir como otros piensan que deberas vivir. No dejes que
los ruidos de las opiniones de los dems acallen tu propia voz interior. Y, lo que es ms
importante, ten el coraje para hacer lo que te dicen tu corazn y tu intuicin. Steve Jobs
Usted naci original, no muera como una copia!
John Mason

Jams tengas miedo de ser t mismo, todo lo que necesitas esta dentro de ti.
Te presente: Lo original vale ms que mil copias.
Terminamos nuestra breve reflexin con una frase de una grande:

La edicin de septiembre de Los Lunes del IAI se ha centrado en la elaboracin del informe de
Audtiora Interna, "producto final" de cada trabajo de anlisis de los auditores internos
Profundizar en los principales riesgos y controles del proceso a auditar, y una correcta redaccin,
fases fundamentales para lograr un buen informe, y medio para proteger el valor de las compaas
Una prueba mal enfocada, un anlisis incompleto, o una redaccin incomprensible en un informe de
auditora interna puede provocar que la organizacin minusvalore los riesgos que se han expuesto o
que, al contrario, se destinen recursos en una va inadecuada y no se detecten los riesgos reales a los
que se enfrenta.
El informe de auditora interna es el resultado del trabajo realizado por el auditor interno, de la
elaboracin de dicho trabajo. El Instituto de Auditores Internos ha puesto el foco en la elaboracin
del informe a travs de la experiencia prctica y ejemplos reales.
Segn el ponente de la edicin de septiembre de Los Lunes del IAI, Eduardo Villalobos, director de
Auditora de Servicios Centrales del Grupo Cooperativo Cajamar (GCC), un mal informe perjudica
enormemente un buen trabajo de auditora interna. A la hora de supervisar un informe de auditora
interna, el responsable puede encontrarse con problemas que aadan esfuerzo y tiempo extra al

trabajo realizado. Una redaccin que no se entiende, una prueba mal enfocada, preguntas que no se
han hecho, o un anlisis incompleto, pueden dejar sin una visin adecuada de un riesgo que se quiere
poner de manifiesto en un informe de auditora interna y, en consecuencia, pueden poner en peligro a
la organizacin.
A travs de la experiencia de GCC, Villalobos destac dos fases a la hora de elaborar el informe de
auditora interna y evitar algunos de los errores ms comunes: la fase de obtencin de conocimiento
y la de redaccin.
Durante la fase de obtencin de conocimiento es indispensable profundizar en los principales riesgos
y controles del proceso que se va a auditar, as como en las pruebas que se van a hacer (su objetivo y
los mtodos de muestreo), y llegar a una opinin de consenso entre todos los profesionales que
intervienen en la elaboracin de la auditora interna.
Respecto a la segunda fase, Villalobos ha sealado que la redaccin eficaz de un informe de
auditora interna es clave para que logre su objetivo. El problema no est nicamente en que est mal
redactado y que no se entienda, sino tambin en la cantidad de tiempo que se invierte en escribirlo y
reescribirlo. Por ello, es imprescindible que se realice un esquema antes de empezar planificando
correctamente los puntos ms relevantes que se van a desarrollar despus-; que se utilicen frases
cortas para formar un texto claro, sencillo y conciso; que las afirmaciones se apoyen en datos y
evidencias del trabajo; y que el resultado sea muy visual, con tablas, grficos y listas.
Segn Villalobos, un informe bien elaborado debera tener un 40% de planificacin, un 30% de
escritura, y otro 30% de revisin.