¿Hasta dónde debe llegar auditoría interna en la persecución del fraude?

Un colega auditor interno peruano del sector financiero, realizó hace unos días la siguiente consulta:

En los últimos tiempos los Directores de Auditoría Interna están recibiendo más solicitudes para iniciar investigaciones que en el pasado y los motivos ya no sólo se relacionan con temas típicos de fraude sino también con temas de corrupción, robo de información, denuncias de violación al código de conducta, denuncias de violación del secreto bancario, denuncias de clientes que han sido engañados, denuncias de complots entre un jefe y un empleado en contra de otro y así sucesivamente crece la casuística. En base a esta información el colega realizo las siguientes preguntas:

¿Qué están haciendo las empresas para tener una respuesta efectiva y eficiente a estas demandas de investigaciones?

De acuerdo con la Guía de la Fábrica de Pensamiento del Instituto de Auditores Internos de España: “Gestión de Riesgo de Fraude: Prevención, Detección e Investigación”.

Para lograr reducir la probabilidad de fraude, las organizaciones deben realizar un gran esfuerzo en la gestión de dicho riesgo. A continuación, mostramos cinco principios fundamentales para que una organización gestione proactivamente el riesgo de fraude. Esto es, los cinco elementos de un programa eficaz de prevención, detección e investigación de delitos:

1. Establecer un programa de gestión del riesgo de fraude, como parte de la estructura

de gobierno. También conocido como programa anti-fraude, que incluye una política

escrita y que recoge las expectativas del Consejo de Administración y los altos

directivos en relación con la gestión de riesgo de fraude.

2. Realizar una evaluación periódica de la exposición al riesgo de fraude, con el fin

de identificar potenciales actuaciones y fraudes específicos que la organización necesita mitigar.

3. Implantar técnicas de prevención que eviten, en la medida de lo posible, posibles

fraudes y mitiguen los impactos en la organización (tanto económicos como reputacionales).

4. De forma adicional, implantar técnicas de detección, para descubrir fraudes cuando

las técnicas de prevención hayan fallado o no hayan mitigado el riesgo de comisión

de fraude.

5. Y, por último, implantar un proceso de reporting, para solicitar input sobre potenciales fraudes. La investigación del fraude debe coordinarse con la acción correctiva, para que la gestión sea adecuada.

¿Cuál es el Rol que debe cumplir auditoría interna?

El documento técnico “Gestión de Riesgo de Fraude: Una Guía Práctica”, patrocinado por Instituto de Auditores Internos Global, el Instituto Americano de Contadores Públicos Certificados y la Asociación de Examinadores de Fraudes Certificados, establece que:

La auditoría interna debería proporcionar un aseguramiento objetivo a la junta y a la gerencia en cuanto a si los controles antifraude son suficientes para los riesgos de fraude identificados y asegurar que los controles se encuentran funcionando con eficacia.

Los auditores internos deberían considerar la evaluación realizada por la organización sobre el riesgo de fraude al momento de desarrollar su plan anual de auditoría y revisar periódicamente las capacidades para gestionar fraude cometido por la gerencia. Ellos deberían entrevistar y comunicarse regularmente con quienes conducen las evaluaciones de riesgos de la organización, con el fin de ayudarles a cerciorarse de que todos los riesgos de fraude han sido considerados apropiadamente. Al desarrollar los trabajos de auditoría, los auditores internos deberían destinar tiempo y atención adecuados para evaluar el diseño y operación de los controles internos relacionados con la gestión de riesgo de fraude. Ellos deberían ejercer el escepticismo profesional cuando revisan las actividades de la organización y estar en guardia para reconocer señales de fraude. Los posibles fraudes que se descubran durante el trabajo de auditoría deberían ser tratados de acuerdo con un plan de respuesta bien definido que sea consistente con las normas profesionales y legales. Auditoría interna debería tomar un rol activo de apoyo de la cultura ética de la organización.

¿Cuál es la frontera o cómo definir la frontera que separa los temas que si deben ser investigados por auditoría interna de aquellos cuya investigación deba ser liderada por otras áreas?

Según la Guía para la Práctica del IIA Global: Auditoría Interna y Fraude:

Los roles del auditor interno en relación a la gestión de riesgo de fraude podrían incluir la investigación inicial o exhaustiva de una sospecha de fraude, el análisis de la causa raíz del asunto, la formulación de recomendaciones para un mejor control, el monitoreo de una línea de denuncia (reporting / whistleblower hotline, en inglés), así como dirigiendo sesiones de capacitación en ética. Si tales funciones les han sido asignadas, la auditoría interna tiene la responsabilidad de obtener destrezas y competencias necesarias, incluyendo el conocimiento de esquemas de fraude, técnicas de investigación y leyes pertinentes.

En mi opinión, debería existir un equipo especializado en investigaciones de fraude, el cual opere, de forma independiente a la actividad de auditoría interna.

La misma Guía de Auditoría Interna y Fraude establece que:

Los investigadores de fraude son usualmente responsables por la detección e investigación del fraude, y la recuperación de activos. También desempeñan un rol en la prevención del fraude. La alta dirección y el comité de auditoría precisan a los investigadores para permitir que todas las partes interesadas sepan que la organización está presta para responder rápida y apropiadamente ante los riesgos de fraude. La ubicación de una unidad de investigación de fraude (fraud investigation unit - FUI, en inglés) dentro de una organización puede variar. Los investigadores de fraude con frecuencia trabajan estrechamente con la asesoría legal para iniciar los procesos legales en contra del o los perpetradores.  

¿Te ha gustado la información? ¡Compártela con otro auditor interno!