Inscripciones: https://acfe-cr.com/?page_id=131

Inscripciones: https://acfe-cr.com/?page_id=131

Alcanzando Reconocimiento Global en Gestión de Riesgos

© Por Dr. Haluk F. Gursel, CFE, CGFM, CPA, CGRCP

Las empresas a nivel mundial están reconociendo que la profesión antifraude es un componente importante para la medición y prevención del riesgo. El análisis que figura a continuación muestra cómo los sistemas de control basados en la gestión de riesgos están acelerando el desarrollo de agentes especializados en la lucha contra el fraude. Es evidente que el aumento del apetito público por la transparencia y una mayor rendición de cuentas también ha estimulado una rápida evolución de la disciplina contra el fraude. Jorge, el nuevo director ejecutivo de una empresa de mediano tamaño, no estaba muy seguro de que necesitara dos examinadores de fraude en su planilla. ¿Acaso el departamento de auditoría interna no ha protegido suficientemente bien a la empresa contra los riesgos en el pasado? Pero luego sus auditores descubrieron irregularidades en el departamento de proveeduría y entonces los examinadores de fraude fueron convocados. Finalmente descubrieron que David, el gerente de compras, había estado construyendo un grupo de vendedores leales durante años, solicitándoles sobornos. Jorge se convenció. Contrató dos examinadores más para que colaboraran con la auditoría interna a fin de detectar y disuadir el fraude. Como resultado, dos examinadores de fraude llevaron a cabo con éxito una investigación de un caso interno de sobornos. ₁
El caso es ficticio, pero ejemplifica a muchas empresas en todo el mundo que están reconociendo que la emergente profesión antifraude es integral para medir y evitar el riesgo. Una vez que la administración tiene su «epifanía antifraude», puede diseñar sus estrategias. Aquí describiremos los roles cambiantes y las funciones de los profesionales de la lucha contra el fraude y cómo pueden trabajar en conjunto con los departamentos de auditoría interna y la administración.

Principales dinámicas en el campo

A principios del siglo XX, se encomendó a los profesionales de auditoría la labor relacionada con las actividades de lucha contra el fraude (sensibilización, prevención, detección y análisis). Los auditores, con sus vastos conocimientos contables, ocuparon puestos en el ámbito relacionado a casos de sospecha o intento de fraude organizacional. El riesgo de fraude (las condiciones que pueden permitir que se produzca el fraude) se mitigó mediante el uso de los conocimientos del auditor.

El siglo XXI ha traído dos cambios importantes. En primer lugar, los estafadores se están volviendo más sofisticados y, por lo tanto, más difíciles de vencer. En segundo lugar, está surgiendo una nueva generación de profesionales especializados en el ámbito de la investigación del fraude. Muchos se están dando cuenta de que el conocimiento puro de la contabilidad no es suficiente para abordar a fondo los problemas relacionados con el fraude. Los sistemas recientes de control de gestión basada en riesgos están acelerando el desarrollo de agentes especializados de lucha contra el fraude. En esta entrega y en la siguiente, revisaremos el ciclo de gestión de riesgos, el riesgo de fraude y las funciones de los profesionales de la lucha contra el fraude y explicaremos por qué tienen tanta demanda.

Ciclo de gestión de riesgos

Una organización lleva a cabo un ciclo de gestión de riesgos 1 (se muestra en la figura 1) mediante:

1. Identificación de las áreas de riesgo;
2. Comprensión y evaluación de la escala de riesgo;
3. Desarrollo de una estrategia de gestión de riesgos;
4. Implementación de la estrategia y asignación de responsabilidades;
5. Implementación y monitoreo de la aplicación de los controles; y
6. Establecimiento de un grupo de gestión de riesgos y objetivos

Gestión de riesgos empresariales

La mejor manera de examinar el ciclo de gestión de riesgos es utilizando el marco de gestión de riesgos empresariales (GRE) del 2004 elaborado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO – por sus siglas en inglés). Según su documento principal, “Enterprise Risk Management – Integrated Framework” (COSO II) Marco integrado de Gestión de Riesgos, es:

• Un proceso, en marcha y que fluye, a través de una entidad;
• Efectuado por personas de todos los niveles de una organización;
• Aplicado en el establecimiento de la estrategia;
• Aplicado en toda la empresa, en todos los niveles y unidades, e incluye la adopción de una visión de cartera de riesgo (consideración o riesgos interrelacionados a nivel de la organización);
• Diseñado para identificar los posibles acontecimientos que, de producirse, afectarán a la entidad y gestionar el riesgo dentro de su apetito de riesgo (la cantidad de riesgo que una organización está dispuesta a tolerar de acuerdo con los objetivos deseados);
• Ofrece garantías razonables a la dirección y al consejo de administración de una entidad;
• Orientado a la consecución de los objetivos en una o varias categorías separadas pero superpuestas.

La Gestión del Riesgo Empresarial incluye:

Alineación del apetito y la estrategia de riesgo: La gerencia establece el apetito de riesgo de la empresa evaluando alternativas estratégicas, estableciendo objetivos relacionados y desarrollando mecanismos para gestionar los riesgos.

Mejorando las decisiones en respuesta al riesgo: La gestión del riesgo empresarial proporciona la rigurosidad para identificar y seleccionar de entre las alternativas en respuesta al riesgo: prevención, reducción, distribución y aceptación del riesgo.

Reducir sorpresas operacionales y pérdidas: Las entidades obtienen mayor capacidad para identificar posibles eventos, establecer respuestas y reducir las sorpresas y los costos o pérdidas asociados.

Identificación y administración de riesgos múltiples y entre empresas: Cada empresa se enfrenta a una miríada de riesgos que afectan a diferentes partes de la organización, y la gestión del riesgo empresarial facilita una respuesta eficaz a los efectos interrelacionados y respuestas integradas a esos riesgos.

Aprovechando oportunidades: Al considerar una amplia gama de posibles acontecimientos, la administración está en condiciones de identificar y aprovechar de manera proactiva las oportunidades.

Mejorando el despliegue de capital: La obtención de información sólida sobre los riesgos permite a la administración evaluar eficazmente las necesidades generales de capital y mejorar la asignación de capital. Este marco de gestión de riesgos a nivel de toda la empresa tiene se centra en lograr los objetivos de la entidad, que se enuncian en cuatro categorías:

1. Estrategia: Objetivos de alto nivel, alineados con y apoyando su misión;
2. Operaciones: Utilización eficaz y eficiente de sus recursos;
3. Informes: Fiabilidad de los reportes; y
4. Cumplimiento: Cumplimiento de las leyes y regulaciones según aplique.

Por último, la gestión del riesgo empresarial consta de ocho componentes interrelacionados. Estas medidas se derivan de la forma en que la administración gerencia una empresa y se integran en el proceso de gestión:

1. Entorno interno: Esto abarca el tono de una organización y sienta las bases para que los empleadores y empleados de una entidad consideren y aborden el riesgo, incluyendo la filosofía de gestión del riesgo y el apetito por el riesgo, la integridad y los valores éticos, y el entorno en el que operan.
2. Establecimiento de objetivos: Los objetivos deben existir antes de que la administración pueda determinar los posibles acontecimientos que puedan afectar a su consecución. La gestión del riesgo institucional garantiza que la administración tenga un proceso establecido para definir objetivos que apoyen y se ajusten a la misión de la entidad. Estos objetivos también deben ser coherentes con el apetito de riesgo de la empresa.
3. Identificación del evento: Deben determinarse los acontecimientos internos y externos que afecten a la consecución de los objetivos de una entidad. Hay que distinguir los riesgos y las oportunidades. Las oportunidades se volverán a canalizar hacia la estrategia de la administración o los procesos de fijación de objetivos.
4. Evaluación del riesgo: La probabilidad y el impacto se utilizan como bases para analizar el riesgo y determinar cómo debe gestionarse y evaluarse inherente y residualmente.
5. Respuesta al riesgo: La administración selecciona las respuestas de riesgo -evitar, aceptar, reducir o compartir el riesgo- al desarrollar un conjunto de acciones para alinear los riesgos con las tolerancias de riesgo y el apetito de riesgo de la entidad.
6. Actividades de control: Se establecen y aplican políticas y procedimientos para ayudar a garantizar la eficacia de las respuestas a los riesgos.
7. Información y comunicación: La información pertinente se identifica, se captura y se comunica en una forma y un plazo que permiten a las personas cumplir con sus responsabilidades. La comunicación efectiva fluye hacia abajo, entre y hacia arriba en el organigrama de la entidad.
8. Supervisión: Se supervisa la totalidad de la Gestión de Riesgos Empresariales y se realizan las modificaciones necesarias. La supervisión se realiza mediante actividades de gestión en curso, evaluaciones separadas o ambas cosas.

Responsabilidad por el riesgo de fraude

En cuanto a la declaración de su posición sobre el fraude, el Instituto de Auditores Internos del Reino Unido e Irlanda, acepta ampliamente el modelo de gestión del riesgo COSO.₂ En su versión dinámica del marco del GRE, el Instituto afirma que cada organización debe:

• Establecer el tono desde arriba mediante una política que deje claro que no se tolerará el fraude, que se procesará a los defraudadores y que la organización se compromete a prevenir y detectar el fraude;
• Tener una estrategia de gestión de riesgos que incluya medidas de mitigación del riesgo de fraude, destinadas a detectar el fraude y disuadir a los estafadores;
• Tener un plan de respuesta al fraude que indique exactamente las medidas que deben adoptarse si se denuncia o detecta un fraude;
• Tener un programa continuo de concientización sobre el fraude y actualizaciones y capacitaciones periódicas para el personal nuevo y existente.

Así pues, el fraude es un riesgo como cualquier otro al que se enfrenta una entidad y la reacción de la entidad ante un fraude se amolda por la respuesta al riesgo de esa entidad.

La responsabilidad principal de la prevención, detección e investigación del fraude recae en la dirección, que también tiene la responsabilidad de gestionar el riesgo de fraude. Muchas entidades tienen ahora funciones propias de «seguridad» que, además de otras tareas, gestionan las investigaciones de fraude y otras tareas relacionadas con el fraude, como los programas de sensibilización o prevención.

El departamento de auditoría interna debe ayudar a gestionar la función de riesgo de fraude y trabajar con examinadores de fraude. Una vez que la profesión de la lucha contra el fraude alcance su altitud crucero, las tareas relacionadas con el fraude, en el caso del auditor interno probablemente cambiarán del examen del fraude a la evaluación de los procesos de lucha contra el fraude.

Oficial de Riesgo

En un mundo empresarial perfecto, un oficial de riesgo u otro profesional de lucha contra el fraude ayudaría a la administración a gestionar, controlar, informar y tomar medidas sobre el riesgo de fraude mediante:

• Establecer programas para aumentar la conciencia sobre el fraude;
• Elaborar procesos para prevenir y detectar el fraude;
• Aplicar controles adecuados para prevenir el fraude;
• Liderar investigaciones sobre fraude;
• Supervisar las investigaciones realizadas por especialistas en representación suya;
• Tratar eficazmente las cuestiones planteadas por el personal (incluso adoptar las medidas apropiadas para hacer frente a las actividades fraudulentas denunciadas o sospechosas);
• Involucrar a la policía cuando sea necesario.

Auditoría e investigación de fraude

En el marco de la gestión del riesgo empresarial COSO, los auditores internos no son responsables de detectar casos de fraude e investigación, sino que deben proporcionar garantías independientes sobre la eficacia de los procesos establecidos por la administración para gestionar el riesgo de fraude. Las actividades adicionales que lleven a cabo los auditores internos deben realizarse en el contexto de esta función primordial y no ser perjudiciales para ella. Los auditores internos deberán:

• Investigar las causas del fraude;
• Examinar los controles de prevención del fraude y los procesos de detección establecidos por la administración;
• Formular recomendaciones para mejorar esos procesos
• Asesorar al comité de auditoría sobre qué asesoramiento jurídico debería solicitarse, si procede, para que se lleve a cabo una investigación penal;
• Incorporar conocimientos y competencias especiales para ayudar en las investigaciones sobre fraude o en las investigaciones de dirección, cuando proceda, y a petición de la administración;
• Mantener el enlace con el equipo de investigación;
• Responder a los informantes;
• Considerar el riesgo de fraude en cada auditoría;
• Tener conocimientos suficientes para identificar los indicadores de fraude;
• Facilitar el aprendizaje corporativo ₃

En la figura 2 se muestran las diferencias observadas entre la función de auditoría tradicional y el examen del fraude en las aplicaciones actuales.

El papel del auditor interno no se reduce; más bien, se cambia para evaluar los controles. Por lo tanto, la función del examinador del fraude es realizar todas las tareas relacionadas con el fraude, salvo evaluar el conjunto de sistemas y las actividades realizadas. Sin embargo, en esta función en evolución, como se indica en las Normas para la Práctica Profesional de la Auditoría Interna, emitidas por el del Instituto de Auditores Internos, “el auditor interno debe tener conocimientos suficientes para identificar los indicadores de fraude, pero no se espera que tenga la experiencia de una persona cuya responsabilidad principal sea detectar e investigar el fraude”. Los auditores internos evalúan el riesgo de fraude y los controles internos e informan sobre sus conclusiones. Deben trabajar juntamente con los profesionales de la lucha contra el fraude de una entidad para el seguimiento de los riesgos de fraude identificados. Como se indica en el informe de 2002 sobre programas y controles antifraude de gestión (publicado conjuntamente por ACFE, AICPA, IIA, etc.), los auditores internos deben determinar si:

• El entorno organizativo fomenta la conciencia de control;
• Se establecen metas y objetivos organizacionales realistas;
• Existen políticas escritas (como un código de conducta) que describen las actividades prohibidas y las medidas necesarias cuando se descubren violaciones;
  
  

Asunto	Auditoría	Investigación de Fraude
Tiempo	Recurrente	No recurrente
Alcance	General	Específico
Objetivo	Opinión	Fijación de la culpa
Relación	No-Confrontativa	Confrontativa
Metodología	Técnicas de Auditoría	Técnicas de investigación de Fraude
Presunción	Profesional	Evidencia

• Se establecen y mantienen políticas de autorización adecuadas para las transacciones;
• Se elaboran políticas, prácticas, procedimientos, informes y otros mecanismos para supervisar las actividades y salvaguardar los activos, en particular en las áreas de alto riesgo;
• Los canales de comunicación proporcionan a la administración información adecuada y fiable;
• Es necesario formular recomendaciones para establecer o mejorar controles eficaces en función de los costos a fin de prevenir el fraude.

Gestión de los programas y controles de lucha contra el fraude

Podrían explicarse nuevas formas de analizar el riesgo de fraude con la ayuda de la figura 3, que se muestra a continuación. ₄

Con fines ilustrativos, una evaluación exhaustiva del riesgo de fraude podría contener la evaluación de la organización, su personal, los controles de funcionamiento y presentación de informes, los activos físicos y la seguridad informática, y técnicas especiales como las sesiones de intercambio de ideas descritas en la SAS 99.

El papel del Profesional anti-Fraude

La gerencia a menudo pide a los profesionales de la lucha contra el fraude que realicen análisis cualitativos de los riesgos. A continuación, se presentan cinco componentes estándar: ₅

1. Identificación de los activos a proteger: En la evaluación interna del riesgo de fraude, los activos que se deben identificar son ítems como moneda, cheques, crédito, inventario, equipo, etc. Prioricen cada activo en función de su importancia para la entidad. Dependiendo del tipo de negocio, la lista de activos y la calificación de la criticidad de un activo variarán. Por ejemplo, la moneda es un activo fundamental para un mercado de alimentos, pero puede que no figure en la lista de activos críticos de una empresa manufacturera.
2. Identificación de las amenazas a los activos: Las amenazas a los activos financieros de una organización son los planes de fraude o los actos perpetrados para robar o abusar de esos activos. Los planes de fraude interno más comunes son el robo de efectivo, el hurto en efectivo, la apropiación indebida de inventario y equipo, la manipulación de cheques, compras y facturación, nóminas, gastos, conflictos de intereses, corrupción y fraude en los estados financieros.
3. Determinación de la probabilidad de ocurrencia: La experiencia ha demostrado que determinar la probabilidad de que se produzca un evento de pérdida es más un arte que una ciencia. El profesional encargado de la lucha contra el fraude debe evaluar la probabilidad de fraude en la entidad sobre la base del entorno de control interno, los recursos para hacer frente al fraude, el apoyo de gestión a las actividades de prevención del fraude y las normas éticas de la organización. También debe reunir todas las pruebas empíricas disponibles de fraude organizativo, como informes previos de incidentes de fraude, pérdidas no explicadas, conclusiones de auditoría anteriores y quejas de clientes o proveedores. Además, el profesional debe reunir información de otras organizaciones de similar tamaño y sector sobre las pérdidas derivadas del fraude interno, así como información de investigación de encuestas sobre el fraude.
4. Determinación del impacto de la pérdida: El profesional de lucha contra el fraude utilizará la misma información reunida para identificar la probabilidad de que se produzca. También se necesitará información como la situación financiera de la organización, el valor de los activos, la importancia de los activos para la organización y los ingresos generados por los activos. Determinar si la pérdida tendrá un efecto importante en el estado financiero de la organización.
5. Prevención del fraude: Las medidas preventivas son diferentes de los controles. Tienen la intención de prevenir el fraude antes de que ocurra. Las medidas de control tienen por objeto no sólo prevenir, sino también detectar y disuadir el fraude si se produce. Tanto las medidas preventivas como las de control son importantes para reducir las oportunidades de fraude y aumentar la importante «percepción de detección» entre los empleados. La evaluación de las medidas preventivas y de control requiere un examen exhaustivo de las políticas y los procedimientos contables; políticas y procedimientos relacionados con el fraude; entrevistas con la dirección y los empleados; ensayo del cumplimiento de los controles; observación de las actividades de control; examen de los informes de auditoría anteriores; y revisión de informes anteriores sobre incidentes de fraude, reducción de precios y escasez inexplicable. Una vez finalizada la evaluación de los controles y la prevención actual del fraude, deben realizarse pruebas de vulnerabilidad. A continuación, los profesionales de la lucha contra el fraude pueden elaborar las recomendaciones apropiadas para la administración a fin de contrarrestar los riesgos relacionados con el fraude. Existen cuatro enfoques estándar para hacer frente a los riesgos, que pueden combinarse:
   1. Evitar el riesgo mediante la eliminación de un activo;
   2. Transferir el riesgo mediante la compra de algún tipo de seguro o bono de fidelidad;
   3. Mitigar el riesgo mediante la aplicación de las contramedidas adecuadas, como la prevención y los controles financieros; y
   4. Asumir el riesgo si se determina que la probabilidad de que se produzca y el impacto de la pérdida son bajos. ₆

Conocimientos básicos de un profesional anti-fraude

El funcionario encargado de las cuestiones relativas al fraude debe tener un buen conjunto de competencias básicas, tales como conocimientos de auditoría y contabilidad, conocimientos de comunicación, competencia en materia de informática forense, y el conocimiento continuo de nuevas ideas emergentes en la disciplina del examen del fraude.

Conocimientos de auditoría y contabilidad: La mayoría de los casos de fraude empresarial incluyen aspectos contables y manipulación o falsificación de documentación contable. Un profesional encargado de la lucha contra el fraude debería poseer excelentes conocimientos de auditoría y una comprensión cabal de los sistemas contables, los controles internos y los Principios de contabilidad generalmente aceptados, pero también debería consultar con los auditores y contadores para subsanar las deficiencias de conocimientos y aptitudes. Parece, por lo tanto, que quienes están acreditados como CPA, CIA o designaciones similares están en buenas condiciones para llevar la bandera antifraude si desarrollan habilidades adicionales.

Habilidades de comunicación: La capacidad de tratar con eficacia a las personas es primordial para un profesional de la lucha contra el fraude. Obviamente, un excelente entrevistador necesita hablar y escuchar bien para obtener información. Y el examinador del fraude debería ser capaz de traducir un caso complejo a lenguaje simple para el informe escrito. El famoso detective del siglo XIX, Allen Pinkerton, dijo que un profesional debe poseer las calificaciones de prudencia, secreto, inventiva, persistencia, coraje personal y, sobre todo, honestidad. ₇

Competencia informática forense: Dado que la mayoría de los sistemas y registros contables están digitalizados, las habilidades de informática forense son un componente esencial de la caja de herramientas del profesional de lucha contra el fraude. En la mayoría de los exámenes de fraude se utilizan habitualmente técnicas electrónicas de análisis de datos y de extracción de datos. El conocimiento de programas como ACL, IDEA, MS Access o EXCEL es ahora necesario para una revisión eficiente.

Profesión indispensable

El fraude es un fenómeno social y constituye un riesgo empresarial. Este análisis ha demostrado que la administración debe hacer frente a este riesgo de fraude con la ayuda de profesionales y auditores capacitados en la lucha contra el fraude que evaluarán los controles y estructuras anti-fraude existentes en la entidad e introducirán los procedimientos necesarios.

A medida que los países llegan a aceptar la profesión antifraude, podrían, como muchos otros profesionales de la auditoría, codificar regulaciones en muchos niveles, incluidos los requisitos mínimos de empleo. En consecuencia, los profesionales de la lucha contra el fraude serán un órgano con competencias únicas y constituirán una profesión completamente nueva. Es evidente que el siglo XXI está presenciando el surgimiento de una nueva disciplina antifraude, con la administración jugando un papel decisivo. Es hora de darle a esta profesión el reconocimiento que merece.

Notas:

1. Adaptado de «Managing the Risk of Fraud – A Guide for Managers». Public Enquiry Unit, HM Treasury, London. 1997.

2. Instituto de Auditores Internos Reino Unido e Irlanda. «Fraud Position Statement». Abril de 2003.

3. «Fraud Position Statement «. El Reino Unido e Irlanda AII. Abril de 2003.

4. Pollard, Bill. «Proactive Fraud Risk Reviews.» Documento presentado en la 15ª Conferencia Anual de Fraude de ACFE, Las Vegas, Nev. Julio de 2004.

5. Toda la información de «SAS 99: Consideration of Fraud in a Financial Statement Audit» (Concretamente, información de una exposición que figura en el documento de la SAS 99, «Management Antifraud Programs and Controls: Guidance to Help prevent, Deter and Detect Fraud.»).

6. Cook, CFE, CPP, Larry E. «Risky business: Conducting the internal fraud risk assessment. «. Revista Fraude. Marzo/abril de 2005.

7. Pinkerton, Allan. Citado en la introducción del «Fraud Examiners Manual.» Association Certified Fraud Examiners. Edición de 2005.

Acerca del autor:

Dr. Haluk F. Gursel, CFE, CGFM, CPA, CGRCP, ha sido especialista en lucha contra el fraude desde 1967, es presidente emérito y miembro del Comité Asesor de Educación Superior de ACFE Capítulo de Suiza. Es profesor adjunto en la Universidad Webster en Ginebra, Suiza; y es autor o colaborador de numerosos libros y artículos.

Gursel fue asesor en la redacción del «Marco de Las Naciones Unidas para la prevención del fraude y la lucha contra la corrupción”, y ayudó a actualizar el departamento de Supervisión de la Organización Panamericana de la Salud. Actualmente, es Jefe Oficial de Cumplimiento del Programa de las Naciones Unidas sobre el SIDA donde ha lanzado con éxito su iniciativa de mejora en la rendición de cuentas. En 2009, obtuvo la designación de Profesional Certificado en Manejo de Riesgo y Cumplimiento – “Certified Governance, Risk, Compliance Professional (CGRCP)” del GRC Group.

En 2014, por su amplio servicio en la detección y disuasión del fraude, ACFE le ha otorgado el Premio al Logro Distinguido (“Distinguished Achievement Award”)

Traducido por: David Bolaños Salas, CFE
Revisión de traducción: Manuel Marin Cubero, MBA, CFE, CRMA, CIA

Para inscripciones: https://acfe-cr.com/?page_id=131

Para inscripciones: https://acfe-cr.com/?page_id=131

Para inscripciones: https://acfe-cr.com/?page_id=131