miércoles, 8 de enero de 2014

El Riesgo de Fraude y la Auditoría Interna

Jesús Aisa Díez
Recientemente he tenido la oportunidad de leer un magnifico informe sobre la situación del fraude a nivel mundial, elaborado por la Association of Certified Fraud Examiners, en el que se describen las características actuales del riesgo de fraude, así como la evolución que está teniendo a lo largo de estos últimos años, pudiendo observar, como primera conclusión, que el fraude es un fenómeno universal, pues afecta a todo tipo de actividades y/o empresas, bien sean públicas o privadas, e independiente de la actividad económica desarrollada, e incluso también ajeno al ciclo económico que atraviesen los entornos en las que las organizaciones  se desenvuelven. Puesto que, como ya he tenido oportunidad de comentar en alguna otra ocasión: El fraude es un riesgo que resulta inevitable; solo tiene como espacio y límite el ingenio humano, lo cual requiere que los auditores y los responsables de control estén siempre  actualizados de los métodos que se emplean para detectarlo y prevenirlo. Solo se volverá manejable si se logran entender los elementos que lo generan.

En este sentido, y de acuerdo con lo reflejado en los estudios realizados al respecto, podemos  señalar que el perfil que define el estereotipo del gran defraudador al que debemos enfrentarnos, se corresponde con: Varón, entre 36 y 45 años de edad, relacionado con el área financiera, con cargo gerencial o superior, con más de diez años en la compañía, y que trabaja normalmente coludido con otros colegas.

Adicionalmente, y respecto a la frecuencia de ocurrencia de los fraudes ocupacionales, es decir aquellos que son cometidos por los empleados de la organización, la información derivada de las encuestas refleja los siguientes datos:
En tanto que si nos centrásemos en los protagonistas de los fraudes, la conclusión sería que estadísticamente un 10% de los fraudes son realizados por los Ejecutivos del máximo nivel, que ocasionan  un perjuicio del 75% del impacto total, mientras que otro 30 % se debe adscribir a los Gerentes y Jefes, provocando un 20 % de los daños ocasionados, y el 60% restante de los fraudes lo realizarían empleados de nivel medio y bajo, pero provocando solo un 5 % de las pérdidas materiales.

Pues bien, pues si ya tenemos claro quiénes son los colectivos que aportan un mayor riesgo de fraude, creo que podríamos empezar a diseñar los programas anti-fraudes que sean precisos para combatir eficazmente estas amenazas, pero centrándonos fundamentalmente en la fase preventiva, que es donde debemos esperar una mayor eficiencia de los controles que implementemos. Lo cual no debe interpretarse como que nos olvidemos de la fase de “detección”, es decir la correspondiente a la identificación de los responsables de las acciones fraudulentas, pero entendiendo que la prioridad estaría en que el fraude no se produzca (controles preventivos), no en la fase de la investigación (controles correctivos).

Hemos hecho esta diferenciación, no solo por la mayor eficiencia esperada de los controles de tipo preventivos, sino también, porque es en esta forma de combatir y apoyar la lucha contra el fraude, donde la auditoría interna tiene su campo de actuación específico. Como ahora veremos.

En la lucha contra el fraude existen tres grandes grupos: los auditores externos, los auditores internos y los auditores forenses. Tiendo estos colectivos unos ámbitos de actuación diferentes. En concreto:
Los auditores externos focalizan su actuación en los Reportes Financieros, y  su actuación viene determinada, cuando nos estamos refiriendo a los fraudes que estos puedan contener, en  la Statement on Auditing Stanandards  Nº 99, cuya responsabilidad quedaría circunscrita al siguiente resumen:
 
·         Descripción de las características del fraude que pudiera observarse.
·         Importancia de aplicar el escepticismo profesional como criterio de actuación.
·         Debatir dentro del equipo de auditores intervinientes sobre los riesgos de incorrecciones materiales debidas al fraude que puedan apreciarse.
·         Obtención de la información requerida para identificar los riesgos de incorrecciones materiales debidas al fraude.
·         Evaluación de los riesgos identificados después de tomar en consideración una evaluación de los programas y controles de la entidad.
·         Respuesta a los resultados de esa evaluación.
 
Como observamos, actuaciones todas ellas  incluidas en un entorno detectivo.

Mientras que al auditor forense  le correspondería investigar los supuestos de delito financiero de los cuales haya sido formal y legalmente apoderado por la dirección de la sociedad o por terceras personas que actúan en defensa de sus propios intereses en el ámbito de la organización. Siendo el responsable de:
 
·         Planificar la investigación.
·         Ejecutar la investigación.
·         Evaluar la evidencia recolectada.
·         Presentar y sustentar su informe.

Es decir, nuevamente nos movemos en un entorno detectivo posterior al acontecimiento de los hechos fraudulentos, en esta ocasión con la finalidad de centrarse en las actividades y técnicas que reconocen si el fraude se ha producido, se está produciendo, y quién lo realizó.

Estas dos actuaciones a posteriori son totalmente necesarias, pero no alcanzan la utilidad que debemos esperar de aquellas que le corresponden a las auditorías internas, ya que, de acuerdo con los expertos, la prevención, no solo en este riesgo, sino con carácter general, representa normalmente el 80% de la solución. En este sentido, en el documento Gestión del Riesgo de Fraude Empresarial. Una Guía Práctica, elaborado por la citada Association of Certified Fraud Examiners (ACFE), el American Institute of Certified Public Accountants (AICPA) y el IIA, se defiende la necesidad de que las empresas actúen en defensa del riesgo de fraude de acuerdo a los siguientes 5 principios:

Principio 1: Como parte de la estructura de gobierno corporativo de las organizaciones, estas deberían implementar un programa de gestión del riesgo de fraude, incluyendo una política (o políticas) por escrito para transmitir las expectativas de la junta directiva y la alta dirección respecto de la gestión del riesgo de fraude. 

Principio 2: La exposición al riesgo de fraude debería ser evaluada periódicamente por la organización para identificar posibles esquemas y eventos específicos que la organización necesite mitigar. 

Principio 3: Las técnicas de prevención para evitar potenciales eventos clave de riesgo de fraude deberían estar establecidas, cuando sea posible, para mitigar posibles impactos en la organización.

Principio  4: Las técnicas de detección deberían estar establecidas para descubrir   eventos de   fraude   cuando   las   medidas preventivas fallen o los riesgos no mitigados se materialicen.

Principio  5: Un  proceso    de    reporte    debería    estar implementado para solicitar y recabar datos sobre potenciales fraudes y un enfoque coordinado de investigaciones y acciones correctivas debería ser utilizado para ayudar a asegurar que el potencial fraude es afrontado de manera apropiada y oportuna.

En cuyo programa las Unidades de Auditoría Interna, en línea  con la misión de evaluación que le corresponde de los procesos de riesgos, controles y gobierno, deben asumir las siguientes actuaciones:
 
·         Identificar los indicadores de fraude que permitan detectarlos y disuadirlos. Entendiendo por disuasión del fraude a aquellas acciones tomadas para evitar la realización del fraude y para limitar sus impactos si es que el fraude se produce. El principal mecanismo para la disuasión del fraude es el control.
·         Ayudar en la disuasión del fraude mediante el examen y la evaluación de la adecuación y la efectividad del sistema de control interno, considerando el grado de exposición o riesgo potenciales en los diferentes segmentos de las operaciones de la organización
·         Cuando el auditor interno sospeche de la existencia de irregularidades, debe informarlas a las autoridades responsables de la organización.
·         El auditor interno puede recomendar cualquier investigación que considere necesaria en esas circunstancias.

Como vemos todo ello de acuerdo con lo recogido por la Norma 1210. A1, que recordemos señala que: “Los auditores internos deben tener conocimientos suficientes para evaluar el riesgo de fraude y la forma en que se gestiona por parte de la organización, pero no es de esperar que tengan conocimientos  similares a los de aquellas personas  cuya responsabilidad principal es la detección e investigación del fraude”.

Siendo así, en las estructuras de las Unidades de Auditoría Interna debería existir un grupo  especializado en la evaluación del riesgo de fraude, al igual que sucede con los riesgos informáticos, que serían los encargados de evaluar los procesos de gestión y control del riesgo de fraude, que no deberíamos denominar “Auditores forenses”, ya que estos tienen un campo de actuación dirigido a la detección de las responsables de los fraudes. Sugerimos denominarles “inspectores”, que como sabemos es un término que proviene del vocablo latín, inspectio, que significa, según el Diccionario de la Lengua española: Cargo y cuidado de velar por algo. 

Pero no nos compliquemos con aspectos semánticos, lo que está claro es que los auditores internos deben preocuparse de que los “usos” de las organizaciones, es decir que sus procesos sean eficientes, pero también que no existan “abusos” que perjudiquen sus intereses y dificulten la consecución de sus objetivos. En el primer objetivo, los “usos”, actúan los profesionales que denominaríamos auditores, mientras que en los “abusos”, los tipificados como inspectores. Habiendo eludido así el término auditor forense que puede ser equívoco, y sobre todo no adecuado para ser realizado por las Unidades de Auditoría Interna.

En cualquier caso, lo importante es que seamos conscientes que la prevención es la mejor forma de combatir los fraudes, y que en esa fase del programa de lucha contra el fraude, las Unidades de Auditoría deben actuar decididamente, empleando diversas técnicas, como por ejemplo las denominadas “banderas rojas “ que como corresponde a KRI (indicadores de riesgos clave), permitirán observar situaciones que nos alerten de la posible existencia de factores de riesgo de fraude. Aspecto al que próximamente le dedicaremos algunos comentarios.

Con el deseo de que estas opiniones puedan ser útiles, aprovecho para desear un feliz año 2014 a todos aquellos que me hayan correspondido con su lectura.

Artículo Publicado en el Blog: Auditoría Interna del Siglo XXI
http://auditoriainternasiglo21.blogspot.com.es/

Jesús Aisa Díez Ex-Subdirector General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.
                                                                                                                                  
¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

No hay comentarios:

Publicar un comentario