En el año 2008 el Instituto de Auditores Internos, el Instituto Americano de Contadores Públicos y la Asociación de Examinadores de Fraude Titulados, todos de origen estadounidense, publicaron en conjunto el documento titulado ‘Gestionando el riesgo empresarial de fraude: una guía práctica’, el cual desarrolla en cinco principios una guía práctica para que los negocios puedan gestionar el riesgo de fraude al interior de sus organizaciones.

 

Algunas precisiones

Antes de exponer los puntos clave del documento es importante precisar la definición de fraude como: “cualquier acto u omisión diseñado para engañar, que resulte en pérdidas para la victima y/o ganancias para el perpetrador”.

El documento indica que la guía puede usarse para evaluar el riesgo de fraude en la organización, como una fuente de mejora o hasta para implementar un programa antifraude a partir de cero. La guía, además,  propone cinco principios para que las organizaciones puedan gestionar de forma efectiva su riesgo de fraude. A continuación, infolaft hace una exposición de dichos principios.

 

Principio 1: gobernanza del riesgo

El documento indica que “como parte de la estructura de gobierno de la organización, es necesario establecer un programa de gestión del riesgo de fraude, incluyendo una política (o políticas) por escrito para transmitir las expectativas de la junta directiva y la alta gerencia en relación con la gestión del riesgo de fraude”.

Para cumplir este principio, el documento especifica quiénes son los responsables y sus responsabilidades dentro de la organización:

 

La junta directiva

Algunas de las funciones de la junta directiva mencionadas en el documento son:

 

  • Entender los riesgos de fraude. Es decir, que en la organización el responsable encargado de velar por el cumplimiento del sistema antifraude debe tener un listado de riesgos de fraude que pueden ocurrir al interior de la compañía y dárselo a conocer a la Junta Directiva.
  • Supervisar la evaluación del riesgo de fraude. Hay que considerar el fraude como parte de la evaluación de riesgos de la organización y de la estrategia. Esto indica que la Junta Directiva debe conocer de manera periódica la evaluación del riesgo de fraude al interior de la organización, el cual debe ser considerado dentro de la estrategia de la compañía.
  • Recibir informes relacionados con el riesgo de fraude. La junta debe establecer medidas para recibir información de calidad y de forma permanente, ya sea de la gerencia, accionistas, proveedores, empleados o auditores externos, acerca de posibles ocurrencias de fraude. Por ejemplo, la Junta puede recibir una estadística de la Línea Ética de la Compañía.

 

Comité de auditoría u otro órgano similar

Con respecto a las funciones del Comité de Auditoría, el documento indica lo siguiente:

 

  • Evaluar y responder apropiadamente ante el riesgo de fraude. Lo anterior indica que el Comité debe tomar las medidas y acciones necesarias en cuanto al riesgo de fraude de acuerdo con las evaluaciones que se realizan. El documento precisa que el Comité debe tener muy presente el riesgo de fraude por parte de la gerencia, pues este se caracteriza por sobrepasar los controles internos de la organización.
  • Adoptar una actitud proactiva ante el riesgo de fraude. Para esto el Comité debe tener un papel muy activo en la supervisión de la evaluación del riesgo y emplear el trabajo realizado por los auditores internos y otro personal con el fin de monitorear los riesgos de fraude.
  • Mantener un vínculo directo con los auditores externos. El comité debe instar a que la organización sea honesta y abierta frente a los auditores externos, y a su vez, estos últimos deben contar con la cooperación y el compromiso del Comité.

 

La gerencia

Con respecto a las funciones de la Gerencia, el documento indica lo siguiente:

 

  • Crear y mantener una cultura antifraude. La gerencia debe crear una cultura organizacional basada en el ejemplo, en comunicaciones escritas y en capacitaciones, en la cual se estipule que la organización tiene cero tolerancia ante cualquier tipo de fraude y que su denuncia por parte de los empleados no tendrá retaliaciones.
  • Implementar controles internos adecuados. La gerencia debe implementar los controles internos para evitar que se materialice el fraude al interior de la organización; adicionalmente, debe documentar las políticas y procedimientos para administrar dicho riesgo, así como la evaluación del mismo.
  • Reportar a la junta. Informar a la junta qué tipo de acciones se han realizado para gestionar el riesgo de fraude y también informar acerca de la efectividad de las mismas. Lo anterior incluye reportar cualquier tipo de fraude cometido.

 

El personal

De acuerdo con el documento, todo el personal de la organización tiene como responsabilidad:

 

  • Saber qué es un fraude y reconocer sus señales de alerta.
  • Reconocer cuál es su función dentro del control interno.
  • Conocer y poner en práctica las políticas y procedimientos relacionados con la administración del riesgo de fraude, como son: las políticas antifraude, el código de conducta y la política de denuncia de irregularidades.
  • Reportar eventos sospechosos o, en dado caso, eventos materializados de fraude.
  • Cooperar con las investigaciones relacionadas con fraude.

 

Auditoría interna

Las funciones de la auditoría interna, según el documento, son:

 

  • Asegurar a la junta directiva y a la gerencia que los controles son apropiados según el apetito de riesgo de la compañía. La auditoría interna debe proporcionar una garantía objetiva a la junta y a la gerencia de que los controles antifraude son suficientes para los riesgos de fraude identificados y garantizar que los controles están funcionando efectivamente.”
  • Considerar la evaluación organizacional del riesgo de fraude y las habilidades de la gerencia para administrar el riesgo de fraude. La auditoría interna se debe comunicar con los encargados de realizar la evaluación del riesgo en la organización para asegurar que todos los riesgos fueron considerados apropiadamente.

 

Principio 2: evaluación del riesgo de fraude

El documento afirma que “la organización debe evaluar periódicamente la exposición al riesgo de fraude para identificar tipologías y eventos potenciales específicos que la organización necesita mitigar”. Para realizar esta labor el documento sugiere preparar un equipo de trabajo que realice un “razonamiento estratégico” para anticipar y predecir el comportamiento del perpetrador del fraude.

 

Neubie

 

La siguiente tabla presenta una propuesta de cómo realizar la evaluación del fraude:

 

 

En cuanto a los componentes de la evaluación del riesgo, el documento especifica lo siguiente: 

 

  • Posibilidad. En este caso la gerencia califica la posibilidad teniendo en cuenta si dicho riesgo de fraude ha ocurrido y está presente en la empresa o en la industria.
  • Significancia. La gerencia debe considerar el impacto en los estados financieros, su impacto económico, el valor de la marca, su reputación, las operaciones de la compañía y las consecuencias legales.
  • Persona y/o departamento. A partir de la evaluación realizada por la organización se debe establecer qué personas o áreas de la organización son más susceptibles de cometer fraudes y por qué medios.  
  • Controles antifraude existentes. Se debe realizar la asociación entre los riesgos identificados y los controles existentes.
  • Evaluar la efectividad de los controles. Medir qué tan efectivos son los controles que afectan el riesgo de fraude.
  • Riesgo residual. Saber cuál es el riesgo de fraude resultante para la organización después de aplicar los controles.
  • Respuesta frente al riesgo de fraude. La guía indica que se debe realizar un análisis costo–beneficio de los riesgos de fraude sobre los cuales la organización quiere implementar procedimientos y controles. 

 

Principio 3: prevención del fraude

Según el documento ‘‘se deben establecer técnicas de prevención para evitar posibles eventos de riesgo clave, cuando sea posible, para mitigar los posibles impactos en la organización’’. La guía también indica que la prevención del fraude no garantiza por sí sola que no se comentan fraudes, pero sí es la primera línea de defensa para disminuir dicho riesgo.

Según indica la guía, una forma de prevenir el fraude es hacer al personal de la compañía consciente del riesgo de fraude y sobre todo de las acciones disciplinarias y legales que puede tomar la organización en contra del individuo.

Los autores indican que los procedimientos de recursos humanos, los límites de autoridad y los procedimientos a nivel de transacción son algunos de los elementos para prevenir el fraude.

 

Procedimientos de recursos humanos

Según el documento, los procedimientos de recursos humanos para prevenir el fraude son:

 

  • Realizar investigación de antecedentes.
  • Entrenamiento en materia antifraude.
  • Evaluar los programas de compensación y fraude para evitar resentimientos e incentivos que lleven a cometer actos fraudulentos.
  • Entrevistar a personas que han salido de la organización y de este modo obtener información acerca de las condiciones que pueden dar pie a cometer fraude o si la integridad de la gerencia es cuestionable.

 

Límites de autoridad

La guía indica que “una desalineación entre la autoridad y la responsabilidad, especialmente en la ausencia de actividades de control y segregación de funciones, puede conducir a fraude.” Este tipo de controles puede ser a nivel de la empresa o de proceso.

 

Procedimientos a nivel de transacción

Con este término el documento se refiere al establecimiento de medidas preventivas con respecto a los terceros de la compañía que pudiesen estar influenciados por empleados de la organización con cierto grado de autoridad y que pudiesen beneficiarse en detrimento de la organización.

 

Principio 4: detección del fraude

De acuerdo con lo expuesto por la guía “se deben establecer técnicas de detección para descubrir eventos de fraude cuando fallen las medidas preventivas o cuando los riesgos no mitigados se materialicen”. Bajo este principio todas las organizaciones son susceptibles de fraude pero que en determinadas ocasiones no es costo-efectivo eliminar todo el riesgo de fraude. El costo hace referencia al diseño, implementación y monitoreo de los controles en contra del fraude.

Dentro los métodos en materia de detección en contra el fraude están:

 

  • Las líneas éticas.
  • Los controles de proceso.
  • Los procedimientos de detección proactiva de fraude.

 

Las líneas éticas

El documento indica que la promoción de una línea ética incrementa  las medidas preventivas que se ven traducidas en una mayor consciencia de los empleados en contra del fraude y promoción del manejo oportuno de todos los problemas.

 

Los controles de proceso

Los controles de proceso, según el documento, abarcan actividades como: reconciliaciones, revisiones independientes, inspecciones físicas, análisis y auditorias. Según la guía, la organización debe identificar los esquemas de fraudes que pueden ser llevados a cabo en la organización para así identificar los controles de proceso necesarios para reducir y controlar los riesgos.

 

Procedimientos de detección proactiva de fraude

Este tipo de tareas, según el documento, corresponden a análisis de datos, técnicas de auditoria continua y el uso de herramientas informáticas para detectar el fraude. De acuerdo con la guía, al aplicar este tipo de procedimientos la entidad estaría en capacidad de:

 

  • Identificar las relaciones ocultas entre personas, organizaciones y eventos.
  • Detectar transacciones sospechosas.
  • Determinar la efectividad de los controles internos.
  • Analizar una gran cantidad de transacciones.

 

Principio 5: investigación del fraude y acciones correctivas

El documento señala que “se debe establecer un proceso de reporte para aportar información sobre fraudes potenciales, y se debe emplear un enfoque coordinado para la investigación y la acción correctiva para ayudar a asegurar que un posible fraude se aborde en forma adecuada y oportuna”.

La guía indica que esta etapa tiene las siguientes etapas:

 

  • Investigación del fraude y protocolos de respuesta.
  • Conducir una investigación.
  • Reporte de resultados.
  • Acciones correctivas.
  • Medición.

 

Investigación del fraude y protocolos de respuesta

Según el documento, esta etapa está compuesta por las siguientes subetapas:

 

  • Recibir la denuncia. Esta puede provenir de las contrapartes, de auditorías externas y hasta por accidente.
  • Evaluar la denuncia. La organización debe evaluar el proceso aprobado por la junta para evaluar la denuncia y examinar si esta involucra una violación potencial de la ley o de las reglas o políticas de la compañía.
  • Protocolos de investigación. Las investigaciones se deben desarrollar según lo establecido por la junta. En este punto se deben considerar los siguientes factores: tiempo, notificar a autoridades, confidencialidad, privilegios legales, cumplimiento, proteger la evidencia, objetividad y metas.

 

Conducir una investigación

La publicación indica que la planeación es esencial para conducir una investigación, en la cual se debe considerar la priorización de tareas y sobre todo las consideraciones legales y restricciones al momento de tratar con empleados y contrapartes para obtener información relevante.   

El documento indica que una investigación debe tener los siguientes pasos:

 

  • Entrevista.
  • Recolección de evidencia.
  • Exámenes forenses informáticos.
  • Análisis de evidencia.

 

Reportar los resultados

Los autores indican que dentro de la organización pueden existir varios órganos encargados de supervisar la investigación, tales como la alta gerencia, directores o el concejo legal. En consecuencia, dependiendo del órgano supervisor, se deben aplicar los protocolos necesarios para reportar y comunicar la información.

 

Acciones correctivas

La publicación menciona que una vez la investigación se ha completado la organización debe determinar qué acciones debe tomar según los hallazgos. En algunas ocasiones es necesario tomar medidas disciplinarias y penales, pero antes de tomar alguna es recomendable consultar con el área legal de la compañía.

Los tipos de acciones correctivas que se pueden tomar son:

 

  • Remitir a la justicia penal.
  • Acción disciplinaria.
  • Reclamación de seguros.
  • Extender la investigación.
  • Reparar sus procesos de negocio.
  • Reparar el sistema de control interno.

 

Medición

Como parte de la gestión que se debe realizar en la parte de investigación, la publicación propone los siguientes indicadores:

 

Nombre indicador

Cálculo

Observación

Tiempo de resolución de problemas

Número promedio de días para resolver un problema

Se puede calcular de forma separada según el tipo de incidentes.

Incidentes repetidos

Número de incidentes ocurridos durante un periodo de tiempo que son similares a incidentes ocurridos anteriormente  

Entre menor número de  incidentes, se demuestra una mejor reparación de los procesos de negocio.

Valor de las pérdidas recuperadas y pérdidas futuras prevenidas

Valor en libros de los activos recuperados más valor presente de los activos o flujos que se hubiesen dejado de percibir debido al fraude*.

Las investigaciones para detectar el fraude son importantes por su efecto disuasivo; por lo tanto, sus beneficios van más allá del valor de los activos recuperados.

Fuente: IIA, Aicpa y Acfe (2009).

*El documento no menciona la forma de calcular este indicador

 

Conclusiones

En términos generales el documento ‘Gestionando el riesgo empresarial de fraude: una guía práctica’ suministra a nivel general y de manera práctica los pasos que deben tomar las organizaciones para minimizar su riesgo de fraude. A nivel general porque suministra los principios que rigen un sistema para prevenir el fraude en la organización y de manera práctica porque lista en detalle los aspectos que se deben considerar para desarrollar dichos principios.

El documento es una lectura obligada para todas las organizaciones que quieran implementar o mejorar su sistema antifraude. Se puede descargar en el siguiente enlace: http://bit.ly/1Ms1xHf