| |

De la auditoría financiera a la auditoría criminológica: el salto que el control empresarial necesitaba

PorJuan Carlos Gutiérrez

La auditoría criminológica representa la evolución natural del control empresarial: integra análisis conductual, perfilación de riesgo y modelos predictivos que los instrumentos tradicionales (auditoría financiera, auditoría forense) no pueden ofrecer. En España, donde el artículo 31 bis del Código Penal exige acreditar modelos de prevención eficaces, este enfoque multidisciplinar marca la diferencia entre un compliance que cumple y uno que protege de verdad.

El control empresarial tiene un techo que pocas organizaciones han identificado

Cada año, miles de empresas españolas cierran sus cuentas con un informe de auditoría limpio. Sin salvedades. Sin alertas. Y cada año, algunas de esas mismas empresas descubren, meses después, que durante ese período auditado alguien dentro de la organización estaba defraudando de forma sistemática.

No es un fallo del auditor. Es un fallo de alcance. La auditoría financiera fue diseñada para verificar la razonabilidad de los estados contables, no para detectar intenciones ni anticipar conductas. Hace exactamente lo que promete. El problema es que ese perímetro, hoy, ya no es suficiente.

El fraude corporativo moderno no se esconde en los números: se esconde en los comportamientos, en las relaciones de confianza, en los procesos que nadie supervisa porque siempre han funcionado. Y para detectarlo antes de que los números lo reflejen, se necesita una disciplina diferente.

Lo que la auditoría financiera detecta (y lo que no puede)

La auditoría financiera verifica cifras. Comprueba que los registros contables son coherentes, que los procedimientos de cierre se han seguido y que la imagen que ofrecen los estados financieros es fiel a la realidad económica de la empresa. Es una herramienta esencial y legalmente exigida para determinadas organizaciones.

Lo que no puede hacer —por diseño, no por deficiencia— es detectar el comportamiento del responsable de compras que lleva dieciocho meses favoreciendo a un proveedor a cambio de comisiones en efectivo, mientras sus registros contables son impecables. Ni anticipar que el director financiero de una filial está racionalizando internamente una apropiación indebida que aún no ha dejado huella en ningún asiento.

La auditoría forense: más cerca del fraude, pero aún reactiva

La auditoría forense da un paso adelante: se activa cuando ya existe sospecha o evidencia de irregularidad, y su objetivo es recopilar pruebas con valor probatorio. Es una herramienta imprescindible en la fase de investigación, y forma parte del arsenal de cualquier organización seria ante un incidente de fraude.

Pero sigue siendo reactiva. Llega después. El daño —económico, reputacional, procesal— ya se ha producido cuando el forense entra en escena. Como señalamos en el artículo sobre cómo prevenir fraudes internos mediante el rediseño de procesos y espacios de trabajo, el momento más valioso de la prevención siempre es antes, no durante ni después.

Por qué los modelos tradicionales llegan siempre tarde

El patrón es consistente en la literatura y en la práctica: según los datos del informe global de la ACFE, el fraude corporativo se mantiene activo durante una media de doce meses antes de ser detectado. Un año entero de actividad fraudulenta invisible a los instrumentos de control convencionales.

La razón no es negligencia. Es estructura. Los modelos tradicionales de control fueron diseñados en un contexto donde el riesgo principal era el error contable o la irregularidad documental. El fraude interno sofisticado opera en una capa diferente: la capa conductual.

Qué es la auditoría criminológica y en qué se diferencia

La auditoría criminológica es el análisis sistemático de una organización desde la perspectiva de la criminología aplicada. Su objeto no son los estados financieros ni los procedimientos documentados: son los factores de riesgo conductuales, estructurales y ambientales que crean las condiciones para que se produzcan conductas delictivas o gravemente desviadas.

Dicho de forma directa: mientras la auditoría financiera pregunta ¿están bien los números? y la forense pregunta ¿qué pasó y quién lo hizo?, la auditoría criminológica pregunta ¿qué condiciones existen en esta organización que harían posible que algo así ocurriera?

Es la única de las tres que opera en modo preventivo y predictivo.

El objeto de análisis: conducta, oportunidad y entorno

El marco analítico de la auditoría criminológica integra tres dimensiones que los modelos convencionales ignoran o tratan de forma marginal.

La primera es la dimensión conductual: los patrones de comportamiento de las personas en posiciones de riesgo, las señales de cambio, los indicadores de presión o de racionalización que preceden estadísticamente a la comisión de fraudes. La segunda es la dimensión de oportunidad: la estructura de procesos, la segregación de funciones, los accesos a información y recursos, la densidad de supervisión real sobre cada nodo crítico. La tercera es la dimensión ambiental: la cultura organizativa, el clima de confianza o desconfianza, la percepción de justicia interna, los incentivos implícitos que el propio sistema genera.

Esta integración es precisamente lo que desarrollamos en profundidad en Pensar como quien defrauda: el método que los mejores sistemas de compliance ya aplican: la lógica del adversario como herramienta de blindaje.

Cómo funcionan los modelos predictivos multidisciplinares

Un modelo predictivo de riesgo criminológico no es un algoritmo de detección de anomalías contables. Es un sistema de análisis que combina tres capas de información para anticipar la probabilidad de que se produzca una conducta fraudulenta antes de que deje rastro financiero.

Los tres pilares: datos, perfilación y entorno

Datos históricos y comparativos: patrones de gasto, frecuencia de operaciones, concentración de proveedores, variaciones en ratios de control. No para detectar el fraude ya ocurrido, sino para identificar desviaciones estadísticas que, en contextos comparables, han precedido a conductas fraudulentas.

Perfilación conductual de roles críticos: análisis de los perfiles de las personas en posiciones de mayor exposición —no como sospechosos, sino como vectores de riesgo estructural— para detectar combinaciones de presión, acceso y racionalización que elevan la probabilidad de conducta desviada. Los mapas de calor criminológicos aplicados a espacios y procesos empresariales son una de las herramientas de visualización más eficaces para este análisis.

Análisis del entorno organizativo: evaluación de la cultura interna, los incentivos explícitos e implícitos, la percepción de supervisión real y la tolerancia organizativa hacia conductas en zona gris. Un entorno que genera presión sin mecanismos de canalización es, en términos criminológicos, un entorno que fabrica oportunidades.

La base analítica: de Cressey a Cohen y Felson

El modelo predictivo se apoya en dos marcos criminológicos de referencia. El Triángulo del Fraude de Donald Cressey —presión, oportunidad, racionalización— opera como sistema de identificación de condiciones previas. La Teoría de la Actividad Rutinaria de Cohen y Felson añade la dimensión del entorno: el fraude no solo requiere un sujeto motivado y una oportunidad; requiere la ausencia de un guardián capaz que lo disuada o detecte.

Cuando estos marcos se aplican sistemáticamente a los procesos reales de una organización, el resultado no es una lista de sospechosos: es un mapa de condiciones de riesgo que permite intervenir antes de que la conducta se materialice.

Aplicaciones prácticas en el contexto español

Las organizaciones más expuestas no son necesariamente las más grandes. Son las que tienen mayor concentración de decisión en pocas personas, menor densidad de supervisión cruzada y culturas organizativas donde la confianza personal sustituye al control estructural. En España, ese perfil describe a una parte significativa del tejido empresarial: empresas familiares en proceso de profesionalización, pymes en crecimiento acelerado y administraciones locales con recursos limitados para el control interno.

En una empresa de servicios profesionales con auditoría financiera correcta pero sin ningún indicador de alerta conductual, el riesgo real puede estar en el responsable de cuentas que gestiona la relación con cinco clientes estratégicos sin supervisión paralela. Sus números cuadran. Su comportamiento, sometido a análisis criminológico, puede estar enviando señales que ningún auditor financiero tiene herramientas para leer.

Marco legal: qué significa «eficaz» en el artículo 31 bis

El artículo 31 bis del Código Penal español no exige que la empresa tenga un programa de compliance: exige que ese programa sea eficaz para prevenir delitos o reducir de forma significativa su riesgo. La diferencia no es semántica. Es la diferencia entre un documento y un sistema que funciona.

Acreditar esa eficacia ante un tribunal requiere evidencia de que el modelo fue diseñado conociendo los riesgos reales de la organización, implementado con medidas proporcionadas a esos riesgos y sometido a verificación. Una auditoría criminológica documentada aporta exactamente esa evidencia: no solo que el control existe, sino que fue construido con conocimiento del vector real de riesgo.

Para entender cómo el marco procesal penal español está evolucionando y qué implica para las organizaciones desde el punto de vista probatorio, recomendamos la lectura de Criminología estratégica en el nuevo proceso penal: una ventaja decisiva ante la nueva LECrim.

Qué puede hacer su organización

La transición hacia un modelo de control multidisciplinar no exige desmantelar lo que ya funciona. Exige añadir la capa que falta:

  • Solicite una auditoría criminológica inicial para identificar si su modelo de control tiene puntos ciegos estructurales que los instrumentos convencionales no pueden ver.
  • Revise si sus indicadores de riesgo incluyen variables conductuales, no solo financieras o documentales.
  • Identifique los tres roles de su organización con mayor acceso a recursos sin supervisión paralela real.
  • Evalúe si dispone de un sistema operativo de detección de red flags conductuales, no solo de anomalías contables.
  • Incorpore la auditoría criminológica al ciclo anual de control interno como capa complementaria, no como sustituto de lo existente.

Si aún no tiene claro qué puede aportar un criminólogo al control de su organización más allá de lo que ya hacen sus auditores y su compliance officer, esta lectura le dará una respuesta directa.

Mini glosario

Auditoría criminológica: análisis sistemático de una organización desde la perspectiva criminológica para identificar factores de riesgo conductuales, estructurales y ambientales que facilitan conductas delictivas o desviadas.

Auditoría forense: investigación especializada que se activa tras la detección o sospecha de fraude para recopilar evidencias con valor probatorio. Es reactiva, no predictiva.

Modelo predictivo de riesgo: sistema que combina datos históricos, indicadores conductuales y variables contextuales para anticipar la probabilidad de conducta fraudulenta antes de que se materialice.

Red flags: señales objetivas —cambios de comportamiento, anomalías en patrones de acceso, variaciones en relaciones con proveedores— que preceden estadísticamente a la comisión de fraudes internos.

Teoría de la Actividad Rutinaria: marco criminológico de Cohen y Felson (1979) que explica el delito como convergencia de un agresor motivado, un objetivo adecuado y ausencia de un guardián capaz.

Due diligence conductual: evaluación del comportamiento, historial y perfil psicosocial de personas en posiciones clave para anticipar riesgos de conducta desleal o delictiva.

Risk intelligence: capacidad organizativa para detectar, interpretar y responder a señales de riesgo antes de que se materialicen en daño real.

Preguntas frecuentes

¿La auditoría criminológica sustituye a la auditoría financiera? No. Son complementarias. La financiera verifica la integridad de los estados contables; la criminológica analiza los factores de riesgo conductual y estructural que los números no capturan.

¿Es obligatoria en España? No existe obligación legal directa, pero el artículo 31 bis del Código Penal exige acreditar modelos de prevención eficaces. Una auditoría criminológica refuerza significativamente esa acreditación ante cualquier escrutinio judicial.

¿Qué organizaciones se benefician más? Cualquiera con procesos donde una persona concentra decisión sobre recursos sin supervisión efectiva: empresas de servicios, pymes en crecimiento, administraciones públicas y organizaciones con alta rotación en posiciones de confianza.

¿En qué se diferencia de una consultoría de riesgos convencional? La consultoría de riesgos convencional se centra en riesgos operativos, financieros o tecnológicos. La auditoría criminológica añade la dimensión conductual y predictiva: no solo qué puede salir mal, sino quién, cómo y bajo qué condiciones organizativas.

¿Cuánto tiempo lleva? Un diagnóstico inicial estructurado puede completarse en cuatro a ocho semanas. Un modelo predictivo implantado y operativo requiere un proceso más amplio, adaptado a la complejidad de la organización.

¿Qué entregables produce? Un informe de vulnerabilidades conductuales y estructurales, un mapa de riesgo priorizado, un set de indicadores de alerta temprana personalizados y recomendaciones accionables para el programa de compliance existente.

El siguiente nivel del control empresarial ya está disponible

La auditoría financiera fue el instrumento adecuado para un tipo de riesgo que ya no es el único relevante. La auditoría forense llega cuando el daño ya es un hecho. La auditoría criminológica es el instrumento que cierra ese espacio entre ambas: el territorio donde el fraude crece antes de que ningún número lo delate.

Las organizaciones que adoptan modelos predictivos multidisciplinares no solo se protegen mejor. También acreditan, ante clientes, socios y tribunales, que su sistema de control fue diseñado para funcionar en el mundo real.

En Forentia 360 combinamos criminología aplicada, análisis conductual y conocimiento del marco legal español para diseñar ese modelo para su organización, desde el diagnóstico inicial hasta la implantación de indicadores de alerta operativos.

Solicite una consulta inicial sin compromiso y evaluemos juntos qué nivel de control necesita realmente su organización.

Contactar con Forentia 360 →

Lecturas relacionadas

BIBLIOGRAFÍA

Cohen, L. E., & Felson, M. (1979). Social change and crime rate trends: A routine activity approach. American Sociological Review, 44(4), 588–608.

Cressey, D. R. (1953). Other People’s Money: A Study in the Social Psychology of Embezzlement. Free Press.

Association of Certified Fraud Examiners (ACFE). (2024). Report to the Nations: Global Study on Occupational Fraud and Abuse. ACFE. https://www.acfe.com/report-to-the-nations

España. Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Art. 31 bis (redacción conforme a LO 1/2015, de 30 de marzo). BOE núm. 281.

Fiscalía General del Estado. (2016). Circular 1/2016 sobre la responsabilidad penal de las personas jurídicas. FGE.

Instituto de Contabilidad y Auditoría de Cuentas (ICAC). Normas Técnicas de Auditoría. Ministerio de Economía, Comercio y Empresa. https://www.icac.gob.es

ISO 31000:2018. Gestión del riesgo – Directrices. Organización Internacional de Normalización.

Albrecht, W. S., Albrecht, C. O., Albrecht, C. C., & Zimbelman, M. F. (2019). Fraud Examination (6.ª ed.). Cengage Learning.

Compártelo:

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *