Auditoría Interna y el Modelo 3C

Articulo escrito por: Dº Juan Ignacio Ruiz Zorrilla – CIA, CFE, CRMA, CCSA, COSO Certified.
Consejero de Audiolis. Colaborador de Auditool

Madrid – España: 30 de Julio de 2018.

El Modelo 3C, identifica las 3 fases de lucha contra la Corrupción y el Fraude en las
Organizaciones y Auditoria Interna tiene un papel importante en dicho Modelo.

La mayor parte de los fraudes empiezan siendo de menor valor y van creciendo en la medida en
que permanezcan sin detectarse. A medida que el fraude continúa creciendo, es de esperar que un
compañero de trabajo, los controles, la dirección o un auditor interno o externo lo detecte.

Teniendo como referente la ACFE (Association of Certified Fraud Examiners) se entiende por
Fraude “cualquier acción u omisión intencional diseñada para engañar a otros, con el resultado
de que la víctima sufre una pérdida y/o que el perpetrador logra una ganancia”.
La Corrupción hace referencia al esquema de fraude por el cual “un empleado abusa de su
influencia en una transacción de negocios de manera tal que viola su deber para con el empleador,
con el fin de obtener un beneficio directo o indirecto (por ejemplo, los esquemas que involucran
el soborno o conflictos de intereses)”.

El Modelo 3C, hace referencias a las 3 fases necesarias que tienen que estar implantadas en las
Organizaciones, para lograr luchar de forma eficaz y eficiente contra la Corrupción y el Fraude.
Las 3 fases son:

 Cultura.- Aunque existen muchas definiciones sobre cultura, una de las más ilustrativas es “como
se comportan la personas, cuando nadie las ve”. Es la programación / educación que cada uno
tenemos y que dirige nuestra forma de actuar.
 Control.- Como una primera aproximación al Control utilizaremos el concepto utilizado en el
Glosario de las Normas Internacionales para la Práctica de Auditoria Interna que lo califica como:
“Cualquier medida que tome la dirección, el Consejo y otras partes, para gestionar los riesgos y
aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La dirección planifica,
organiza y dirige la realización de las acciones suficientes para proporcionar una seguridad
razonable de que se alcanzarán los objetivos y metas”.
 Corrección.- Es la tercera fase del Modelo y como referencia nos podría valer la definición del
Diccionario de la Lengua Española “Modificación que se hace en una cosa o a una persona para
corregir sus faltas, errores, defectos o imperfecciones”. Aunque el concepto se ampliará y aplicará
a conceptos concretos cuando desglosemos este concepto de Corrección.

A lo largo del articulo desglosaremos cada una de las tres fases y también como Auditoria Interna
puede colaborar en un mejor funcionamiento del Modelo 3C.
 1.- CULTURA.-

Sobre la primera C del Modelo, que hace referencia a la Cultura, como elemento fundamental en
la prevención del fraude y la corrupción, se incluye un comportamiento ético. Si las personas son
Éticas, sobrarán todas las medidas posteriores, pues aunque exista la posibilidad de cometer actos
incorrectos, las personas no los realizarán en base a los principios éticos que rigen su
comportamiento. Existen muchas definiciones sobre Cultura Organizacional, entre ellas se
encuentran:

 “el conjunto de valores, creencias, símbolos y rituales compartidos por los miembros de una
organizaciónespecifica y que describen la forma en que se hacen las cosas.” (Claver, Llapes and
Gascó)

 “la programación colectiva de la mente que aporta un conjunto de valores comunes y distingue a
unas personas de una organización de las de otra.” (Geert Hofstede)

Aunque una de las más fácil de entender es “como se comportan la personas, cuando nadie las
ve”; que hace referencia a la programación / educación que cada uno tenemos y que dirige nuestra
forma de actuar.

a.- Las piezas de la Cultura en una Organización.-

Las diferentes piezas que componen la Cultura en una Organización, son:

Entrando brevemente en cada uno de estas piezas, de la Cultura en las Organizaciones, tenemos:

Misión: Término que hace referencia a la razón de ser de la Organización, su esencia misma, el
motivo de para qué existe en el mundo. Ejemplo, la Misión de Google: Organizar la información
mundial para que resulte universalmente accesible y útil.

Visión: Este escrito tiene que definir en pocas líneas la situación futura que desea alcanzar la
organización. Ejemplo, la Visión de Google: Ser el más prestigioso motor de búsqueda y el más
importante del mundo, además de ser un servicio gratuito fácil de utilizar que presente resultados
relevantes en una fracción de segundo.

Comportamiento / Valores: Actitudes que definen la forma de trabajar, resumen tanto los
actuales comportamientos y valores . Los valores son factores de la cultura empresarial que
consideramos irrompibles, los cumplen todos los miembros de la organización en todos sus
ámbitos. Ejemplo, Valores de Google: Rapidez, Precisión, Facilidad de uso, Atención al cliente
corporativo, Innovación.

Principios de Actuación / Código Ético: Los Principios de Actuación agrupan un conjunto de

directrices o pautas que deben guiar y orientar a los empleados de la Organización en su trabajo
diario, tanto en la toma de decisiones y en su proceder, como en la forma en la que interactúan con
clientes, proveedores, accionistas, empleados y la sociedad en general. El Código Ético es parte
de los Principios de Actuación. Ejemplo de Principios de Actuación: Honestidad y Confianza;
Respeto por la ley; Integridad; Derechos Humanos.

El Sistema de Gobierno: Es el pilar de todas las piezas de la cultura. Es el proceso por el que las
decisiones son tomadas e implementadas en la Organización. Dentro del Sistema de Gobierno se
encuentra el Gobierno Corporativo que es el “sistema a través del cual, las corporaciones
empresariales son dirigidas y controladas”, proporcionando la estructura a través de la cual se
fijan los objetivos, y los medios para lograr que estos objetivos se cumplan y de supervisar su
funcionamiento.
 En general una fuerte cultura ética es fundamental para un buen gobierno. Una cultura ética se crea
a través de un programa de ética robustas que establece las expectativas de comportamientos
aceptables en la realización de negocios dentro de la organización y con las partes externas. Entre
sus componentes incluimos: supervisión del Consejo / Directorio, fuerte tono en la alta dirección,
la implicación de la alta dirección, organización con amplio compromiso, un código personalizado
de conducta, seguimiento oportuno y la investigación de los incidentes reportados, la acción
disciplinaria consistente para los delincuentes, las de formación ética, comunicaciones, los
sistemas de monitoreo continuo, y un sistema de notificación de incidentes en el anonimato.

 Auditoria Interna y la Cultura.-

El problema de auditar la Cultura organizacional, es la incapacidad de medir fácilmente los

aspectos intangibles. Por esta razón, el camino para auditar la Cultura de la organización debe
descansar sobre los aspectos operativos de los elementos que lo componen, como los valores, el
análisis del comportamiento, así como evitar las influencias sociales.

Los métodos de evaluación incluyen:

 Una amplia revisión de las políticas y procesos relacionados con la ética.

 Las auditorías de las funciones relacionadas con la ética, tales como la función de cumplimiento.
 Encuestas a los empleados de la entidad.
 Encuestas a los empleados de proyectos de auditoría.
 De manera informal, incluyendo clima ético en las evaluaciones de auditoría, análisis de riesgos
de la entidad y en la ejecución de proyectos de auditoría.

Los Auditores internos deben mezclar técnicas mas tradicionales de verificación de políticas,
procedimientos y controles, con técnicas de valoración de “actitudes” como son las encuestas
especificas o entrevistas con las personas a evaluar.

2.- CONTROL.-

La segunda C del Modelo hace referencia al Control, que es la barrera que impide realizar los
actos incorrectos y si se realiza alguno, que sea detectado lo antes posible. El Control entendido
como “Cualquier medida que tome la dirección, el Consejo y otros, para mejorar la gestión de
riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La dirección
planifica, organiza y dirige la realización de las acciones suficientes para proporcionar una
seguridad razonable de que se alcanzarán los objetivos y metas.” . La más común terminología
para describir tipos de control, está basada en sus funciones:

 Preventivo: control proactivo, evita que eventos no deseados ocurran. Ejemplo: Intervención
pagos, doble firma, segregación de funciones, etc.
 Detectivo: control reactivo, identifica eventos no deseados que han ocurrido. Ejemplo:
investigación denuncias, accesos no autorizados a información, etc.
 Directivo: control proactivo, fomenta que eventos deseados ocurran. Ejemplo: Normativas,
programas de formación, planes de incentivos, etc.
 Compensatorio: Mitigan la ausencia del control esperado. Por ejemplo una supervisión puede
compensar la ausencia de segregación de funciones en una organización pequeña con pocos
recursos.

Pero hablando de Control, no podemos dejar de hacer referencia a COSO (Committee Of

Sponsoring Organization of the Treadway Commission) y a su Marco Integrado, que ha servido
de base para que las organizaciones a nivel mundial desarrollen su propio enfoque de control.
COSO fue la Organización que homogeneizó a nivel internacionalizar el concepto de Control
Interno, entendido como “un proceso llevado a cabo por el consejo de administración, la dirección
y el resto de personal de una organización, diseñado con el objeto de proporcionar un grado
de aseguramiento razonable para la consecución de los objetivos relativos a las operaciones, a
la información y al cumplimiento.”

Las tres categorías de objetivos que permiten a las organizaciones centrarse en diferentes aspectos
del Control Interno, son:

 Objetivos operacionales — Hacen referencia a la eficacia y eficiencia de las operaciones de la

organización, incluyendo objetivos operativos y financieros, y la protección de sus activos frente
a posibles pérdidas.
 Objetivos de información — Hacen referencia a la información financiera y no financiera interna
y externa, y pueden abarcar aspectos de fiabilidad, oportunidad, transparencia u otros conceptos
establecidos por los reguladores, organismos de normalización o por las políticas de la propia
organización.
 Objetivos de cumplimiento — Hacen referencia al cumplimiento de las leyes y regulaciones
aplicables a la organización.

Para apoyar a las organizaciones en su esfuerzo por lograr los mencionados objetivos, el Marco
Integrado de COSO, enumera cinco componentes y 17 principios:
 No se puede olvidar que la debilidad en el Control Interno es el factor que más contribuye a
facilitar el Fraude ( Fuente ACFE).

2.1 Auditoria interna y el Control.-

La actividad de Auditoria Interna, según se indica en las Normas Internacionales para la Práctica
Profesional de la Auditoria Interna (N:2130), debe evaluar la adecuación y eficacia de los controles
en respuesta a los riesgos del gobierno, operaciones y sistemas de información de la organización,
respecto de lo siguiente:

 Logro de los objetivos estratégicos de la organización;

 Fiabilidad e integridad de la información financiera y operativa;
 Eficacia y eficiencia de las operaciones y programas;
 Protección de activos; y
 Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos.

Adicionalmente los auditores internos deben incorporar los conocimientos de los controles que
han obtenido de los trabajos de consultoría en su evaluación de los procesos de control de la
organización.

Auditoria Interna y supervisión de Controles, están muy unidos y forma parte fundamental del
trabajo de los Auditores Internos en las Organizaciones.

3.- CORRECCIÓN.-

La tercera C del Modelo hace referencia a la Corrección y es que, si se han traspasado la barreras
de la Cultura y los Controles, es necesario realizar las Correcciones necesarias para que no se
vuelvan a producir los actos incorrectos.
 El establecimiento de un proceso de “Mejora Continua” es fundamental para corregir faltas,
errores, defectos o imperfecciones y de esta forma conseguir los objetivos marcados. En el caso
que las deficiencias observadas tenga relación con personas, los sistema de prevención de delitos
deben contener “medidas disciplinarias” que permitan sancionar malas actuaciones. Sirven de
muy poco las acciones preventivas y detectivas, si una vez identificada la persona que ha realizado
el Fraude no se adoptan contra ella las sanciones ejemplarizantes oportunas.

Gráfico: Sistema prevención de delitos.

Las organizaciones deben mejorar continuamente la idoneidad, adecuación, y eficacia del sistema
de gestión antifraude y para ello se debe establecer un procedimiento de actuación de “Mejora
Continua”.

Cuando ocurre una incidencia, la organización debe:

 reaccionar inmediatamente ante la incidencia, y según sea aplicable:

1) tomar acciones para controlarla y corregirla;

2) hacer frente a las consecuencias;

 evaluar la necesidad de acciones para eliminar las causas de la incidencia, con el fin de que no
vuelva a ocurrir ni ocurra en otra parte, mediante:

1) la revisión y análisis de la incidencia;

2) la determinación de las causas raíz, y;

3) la determinación de si existen incidencias similares, o que potencialmente podrían ocurrir;

 implementar cualquier acción necesaria para mitigar la incidencia al nivel de tolerancia de la
organización;
 revisar la eficacia de cualquier acción correctiva tomada;
 si fuera necesario, hacer cambios al sistema de gestión antifraude.

Las acciones correctivas deben ser apropiadas a los efectos de las incidencias encontradas.

La organización debe conservar información documentada adecuada, como evidencia de las

incidencias ocurridas y las acciones realizadas para su corrección.

3.1 Auditoria interna y Corrección.-

Auditoria Interna, puede ser un aliado de la organización, en la identificación, revisión y análisis

de las de incidencias, así como en la identificación de las causas raíz que las provocan. Otro
aspectos importante de la actividad de la Auditoria Interna es seguimiento para vigilar y asegurar
que las acciones de la dirección hayan sido implantadas eficazmente o que la alta dirección haya
aceptado el riesgo de no tomar medidas.

Normalmente se espera que el alcance de la auditoria interna incluya supervisión, gestión de

riesgos y control interno, y que ayude a la organización a mantener un sistema de control interno
efectivo, evaluando su eficacia y su eficiencia, y potenciando la mejora continua.

IMPORTANTE: Entre el 10 y el 14 de septiembre de 2018 estaré en Colombia impartiendo el

curso, Evaluaciones de Calidad de Auditoría Interna. Mayor información, desde el siguiente
link: https://auditool.org/seminarios

Juan Ignacio Ruiz Zorrilla – CIA, CFE, CRMA, CCSA, COSO Certified.

Licenciado en Ciencias Económicas y Empresariales por la Universidad de Alcalá de Henares con

Postgrado de Dirección General en el IESE. Poseedor de certificaciones profesionales
internacionalmente reconocidas como: CIA- CFE, con amplia experiencia en los negocios en Europa
y Latinoamérica. Ponente habitual en foros internacionales, es actualmente profesor de la Universidad
Antonio Nebrija y del Instituto de Auditores Internos de España. Actualmente es Consejero en Audiolis
y el responsable de las relaciones con el Sector Publico en la Confederación Europea de Institutos
de Auditores Internos- ECIIA, organización que agrupa a 37 países Europeos. Colaborador de
Auditool.

Madrid – España