Jesús Aisa Díez
Recientemente
he tenido la oportunidad de leer un magnifico informe sobre la situación del
fraude a nivel mundial, elaborado por la Association of Certified Fraud
Examiners, en el que se describen las características actuales del riesgo
de fraude, así como la evolución que está teniendo a lo largo de estos últimos
años, pudiendo observar, como primera conclusión, que el fraude es un fenómeno
universal, pues afecta a todo tipo de actividades y/o empresas, bien sean
públicas o privadas, e independiente de la actividad económica desarrollada, e
incluso también ajeno al ciclo económico que atraviesen los entornos en las que
las organizaciones se desenvuelven.
Puesto que, como ya he tenido oportunidad de comentar en alguna otra ocasión:
El fraude es un riesgo que resulta inevitable; solo tiene como espacio y
límite el ingenio humano, lo cual requiere que los auditores y los responsables
de control estén siempre actualizados de los métodos que se emplean
para detectarlo y prevenirlo. Solo se volverá manejable si se logran entender
los elementos que lo generan.
En
este sentido, y de acuerdo con lo reflejado en los estudios realizados al
respecto, podemos señalar que el perfil
que define el estereotipo del gran defraudador al que debemos enfrentarnos, se
corresponde con: Varón, entre 36 y 45 años de edad, relacionado con el área
financiera, con cargo gerencial o superior, con más de diez años en la
compañía, y que trabaja normalmente coludido con otros colegas.
Adicionalmente,
y respecto a la frecuencia de ocurrencia de los fraudes ocupacionales, es decir
aquellos que son cometidos por los empleados de la organización, la información
derivada de las encuestas refleja los siguientes datos:
En
tanto que si nos centrásemos en los protagonistas de los fraudes, la conclusión
sería que estadísticamente un 10% de los fraudes son realizados por los
Ejecutivos del máximo nivel, que ocasionan
un perjuicio del 75% del impacto total, mientras que otro 30 % se debe
adscribir a los Gerentes y Jefes, provocando un 20 % de los daños ocasionados,
y el 60% restante de los fraudes lo realizarían empleados de nivel medio y bajo,
pero provocando solo un 5 % de las pérdidas materiales.
Pues
bien, pues si ya tenemos claro quiénes son los colectivos que aportan un mayor
riesgo de fraude, creo que podríamos empezar a diseñar los programas
anti-fraudes que sean precisos para combatir eficazmente estas amenazas, pero
centrándonos fundamentalmente en la fase preventiva, que es donde debemos
esperar una mayor eficiencia de los controles que implementemos. Lo cual no debe
interpretarse como que nos olvidemos de la fase de “detección”, es decir la
correspondiente a la identificación de los responsables de las acciones
fraudulentas, pero entendiendo que la prioridad estaría en que el fraude no se
produzca (controles preventivos), no en la fase de la investigación (controles
correctivos).
Hemos
hecho esta diferenciación, no solo por la mayor eficiencia esperada de los
controles de tipo preventivos, sino también, porque es en esta forma de
combatir y apoyar la lucha contra el fraude, donde la auditoría interna tiene
su campo de actuación específico. Como ahora veremos.
En la
lucha contra el fraude existen tres grandes grupos: los auditores externos, los
auditores internos y los auditores forenses. Tiendo estos colectivos unos
ámbitos de actuación diferentes. En concreto:
Los
auditores externos focalizan su actuación en los Reportes Financieros, y su actuación viene determinada, cuando nos
estamos refiriendo a los fraudes que estos puedan contener, en la Statement on Auditing Stanandards Nº 99, cuya responsabilidad quedaría
circunscrita al siguiente resumen:
·
Descripción de las características del fraude
que pudiera observarse.
·
Importancia de aplicar el escepticismo
profesional como criterio de actuación.
·
Debatir dentro del equipo de auditores
intervinientes sobre los riesgos de incorrecciones materiales debidas al fraude
que puedan apreciarse.
·
Obtención de la información requerida para
identificar los riesgos de incorrecciones materiales debidas al fraude.
·
Evaluación de los riesgos identificados después
de tomar en consideración una evaluación de los programas y controles de la
entidad.
·
Respuesta a los resultados de esa evaluación.
Como
observamos, actuaciones todas ellas
incluidas en un entorno detectivo.
Mientras
que al auditor forense le correspondería
investigar los supuestos de delito financiero de los cuales haya sido formal
y legalmente apoderado por la dirección de la sociedad o por terceras
personas que actúan en defensa de sus propios intereses en el ámbito de la
organización. Siendo el responsable de:
·
Planificar la investigación.
·
Ejecutar la investigación.
·
Evaluar la evidencia recolectada.
·
Presentar y sustentar su informe.
Es
decir, nuevamente nos movemos en un entorno detectivo posterior al
acontecimiento de los hechos fraudulentos, en esta ocasión con la finalidad de
centrarse en las actividades y técnicas que reconocen si el fraude se ha
producido, se está produciendo, y quién lo realizó.
Estas
dos actuaciones a posteriori son totalmente necesarias, pero no alcanzan la
utilidad que debemos esperar de aquellas que le corresponden a las auditorías
internas, ya que, de acuerdo con los expertos, la prevención, no solo en este
riesgo, sino con carácter general, representa normalmente el 80% de la
solución. En este sentido, en el documento Gestión del Riesgo de Fraude
Empresarial. Una Guía Práctica, elaborado por la citada Association of
Certified Fraud Examiners (ACFE), el American Institute of Certified
Public Accountants (AICPA) y el IIA, se defiende la necesidad de que las
empresas actúen en defensa del riesgo de fraude de acuerdo a los siguientes 5
principios:
Principio
1: Como
parte de la estructura de gobierno corporativo de las organizaciones, estas
deberían implementar un programa de gestión del riesgo de fraude, incluyendo
una política (o políticas) por escrito para transmitir las expectativas de la
junta directiva y la alta dirección respecto de la gestión del riesgo de
fraude.
Principio
2: La
exposición al riesgo de fraude debería ser evaluada periódicamente por la
organización para identificar posibles esquemas y eventos específicos que la
organización necesite mitigar.
Principio
3: Las
técnicas de prevención para evitar potenciales eventos clave de riesgo de
fraude deberían estar establecidas, cuando sea posible, para mitigar posibles
impactos en la organización.
Principio 4: Las técnicas de detección deberían estar
establecidas para descubrir eventos
de fraude cuando
las medidas preventivas fallen o
los riesgos no mitigados se materialicen.
Principio 5: Un
proceso de reporte
debería estar implementado para
solicitar y recabar datos sobre potenciales fraudes y un enfoque coordinado de
investigaciones y acciones correctivas debería ser utilizado para ayudar a asegurar
que el potencial fraude es afrontado de manera apropiada y oportuna.
En
cuyo programa las Unidades de Auditoría Interna, en línea con la misión de evaluación que le
corresponde de los procesos de riesgos, controles y gobierno, deben asumir las
siguientes actuaciones:
·
Identificar los indicadores de fraude que
permitan detectarlos y disuadirlos. Entendiendo por disuasión del fraude a
aquellas acciones tomadas para evitar la realización del fraude y para limitar
sus impactos si es que el fraude se produce. El principal mecanismo para la
disuasión del fraude es el control.
·
Ayudar en la disuasión del fraude mediante el
examen y la evaluación de la adecuación y la efectividad del sistema de control
interno, considerando el grado de exposición o riesgo potenciales en los
diferentes segmentos de las operaciones de la organización
·
Cuando el auditor interno sospeche de la
existencia de irregularidades, debe informarlas a las autoridades responsables
de la organización.
·
El auditor interno puede recomendar cualquier
investigación que considere necesaria en esas circunstancias.
Como
vemos todo ello de acuerdo con lo recogido por la Norma 1210. A1, que
recordemos señala que: “Los auditores internos deben tener conocimientos
suficientes para evaluar el riesgo de fraude y la forma en que se gestiona por
parte de la organización, pero no es de esperar que tengan conocimientos similares a los de aquellas personas cuya responsabilidad principal es la
detección e investigación del fraude”.
Siendo
así, en las estructuras de las Unidades de Auditoría Interna debería existir un
grupo especializado en la evaluación del
riesgo de fraude, al igual que sucede con los riesgos informáticos, que serían
los encargados de evaluar los procesos de gestión y control del riesgo de
fraude, que no deberíamos denominar “Auditores forenses”, ya que estos tienen
un campo de actuación dirigido a la detección de las responsables de los
fraudes. Sugerimos denominarles “inspectores”, que como sabemos es un
término que proviene del vocablo latín, inspectio, que significa, según
el Diccionario de la Lengua española: Cargo y cuidado de velar por
algo.
Pero
no nos compliquemos con aspectos semánticos, lo que está claro es que los
auditores internos deben preocuparse de que los “usos” de las organizaciones,
es decir que sus procesos sean eficientes, pero también que no existan “abusos”
que perjudiquen sus intereses y dificulten la consecución de sus objetivos. En
el primer objetivo, los “usos”, actúan los profesionales que denominaríamos
auditores, mientras que en los “abusos”, los tipificados como inspectores.
Habiendo eludido así el término auditor forense que puede ser equívoco, y sobre
todo no adecuado para ser realizado por las Unidades de Auditoría Interna.
En
cualquier caso, lo importante es que seamos conscientes que la prevención es la
mejor forma de combatir los fraudes, y que en esa fase del programa de lucha
contra el fraude, las Unidades de Auditoría deben actuar decididamente,
empleando diversas técnicas, como por ejemplo las denominadas “banderas rojas “
que como corresponde a KRI (indicadores de riesgos clave), permitirán observar
situaciones que nos alerten de la posible existencia de factores de riesgo de
fraude. Aspecto al que próximamente le dedicaremos algunos comentarios.
Con el
deseo de que estas opiniones puedan ser útiles, aprovecho para desear un feliz
año 2014 a todos aquellos que me hayan correspondido con su lectura.
Artículo Publicado en el Blog:
Auditoría Interna del Siglo XXI
http://auditoriainternasiglo21.blogspot.com.es/
Jesús Aisa Díez Ex-Subdirector
General Corporativo de Auditoría Interna de Telefónica SA. Director Proyectos
de Evaluaciones de Calidad del IAI España. Director Técnico de FSH Consulting.
¿Te ha
gustado el post? ¡Compártelo con otro auditor interno!
No hay comentarios:
Publicar un comentario