RED GLOBAL DE CONOCIMIENTOS EN AUDITORÍA Y CONTROL INTERNO
Por: Albert Salvador Lafuente – Colaborador de www.auditool.org
Formamos parte de una sociedad en que el 80% de las empresas de todos los sectores reconoce haber sido víctima de algún tipo de fraude y que, a pesar de esto, más de la mitad no implanta un sistema de gestión integral contra el fraude interno.
Una sociedad que arrastra 8 años de crisis económica, en que las empresas han focalizado los recursos humanos hacia las áreas que los ejecutivos consideran más relevantes para la supervivencia empresarial, provocando una reducción de recursos internos en la lucha contra los delitos económicos. Así mismo, la reducción de costes de las empresas pasa en la mayoría de casos por una reducción generalizada de los recursos humanos, que puede acarrear una concentración de funciones en una misma persona, o bien recortes salariales. Y por último, las presiones para la consecución de los objetivos son cada vez mayores.Todo esto hace que los 3 elementos principales del fraude (Incentivo, Oportunidad y Racionalización), se vean incrementados y por lo tanto, la probabilidad de un fraude interne se incremente.
Para combatir el fraude interno, se necesita un adecuado sistema de administración de riesgos, que debe partir de una estructura sólida de gobierno corporativo. Sin duda un programa efectivo de administración de fraude requiere que toda la organización participe en la gestión del riesgo de fraude (modelo de 3 líneas de defensa), siendo esencial el apoyo e implicación de la alta dirección.
Un programa de gestión integral del fraude interno, debe contar con todos los elemento posibles a nuestro alcance, tanto preventivos como detectivos.
El elemento diferenciador en la gestión del fraude interno es disponer de un sistema integral que aglutine alertas y controles (cuadro de mandos), así como la dotación necesaria de recursos humanos con un elevado grado de “expertis”.
Por lo tanto, el cuadro de mandos pasaría a ser el motor de la Gestión del Fraude Interno, y del que podríamos destacar 5 fases:
1ª fase: Creación de Alertas y Controles. Cada alerta de fraude consta con numerosos registros que indican un potencial riesgo de fraude. Se generan periódicamente de manera automática a partir de la monitorización u otras fuentes de información existentes. Una alerta se puede diseñar a partir de algo muy concreto, o bien de manera compleja, mediante el encadenamiento de ciertos comportamientos. Los controles, serian aquellos que generan y reportan otros departamentos (no Auditoria Interna) de la organización, es decir las 2ª y 3ª LdD (Línea de Defensa). Auditoria Interna debe revisar que los controles sean eficientes y se realizan de manera metodológica, así como proponer la creación de nuevos controles.
Para diseñar una alerta, hay que ser creativo y ponerse en la piel del defraudador, buscando comportamientos u operatorias potenciales de fraude interno que sean de generación automática, medibles y asignables a una persona y/o centro.
Algunos tipos de análisis que permiten detectar indicios de fraude:
- Frecuencia: Análisis del número de transacciones realizadas por cada uno de los usuarios que realizan tareas similares.
- Patrones Numéricos: Cuantías de las transacciones, identificando cifras o tendencias poco frecuentes en una operativa normal de la organización.
- Materialidad: Cantidades acumuladas manejadas en las transacciones, tanto para transacciones concretas como para acumulados por cuentas contables o usuarios.
- Horario: Fecha y hora de ejecución de las transacciones, identificando aquellas efectuadas en momentos inusuales respecto a la operativa del negocio.
- Descripción: Descripciones introducidas para las transacciones, identificando transacciones con descripciones inusuales.
2º fase: Creación del Cuadro de Mandos. Se agruparan las Alertas y Controles en bloques o temáticas (máximo 4 o 5 bloques), ponderándolos en función de su probabilidad y gravedad. Cada Alerta y Control tendrá asignado un empleado y/o centro responsable y una puntuación propia (p.e. por “deciles”). Las puntuaciones han de ser homogéneas entre alertas y controles. (p.e. puntuación máxima de 10 y mínima de 0)
3º fase: Generador de información. A través del cuadro de mandos se pueden realizar consultas; por empleado o por centros, mostrando puntuaciones, gráficos de evoluciones y datos estadísticos. Así mismo, nos proporciona los ránquings y los informes necesarios para realizar las revisiones,
4ª fase: Revisión. A partir de los ránquings e informes, se realizan las revisiones que previamente estarán definidas en el correspondiente manual de procedimientos, A nivel general podemos dividir las revisiones entre aquellas individuales, alertas que se definan como de “alta probabilidad de fraude”, y globales, en función del resultado de la suma de todas las alertas y controles. Una buena práctica es una revisión no basada solo en las puntas o “tops”, sino también una parte aleatoria sobre indicadores intermedios o bajos.
5ª fase: Análisis. A pesar de los avances tecnológicos, no existe una herramienta que detecte los empleados que cometen un fraude. Esto implica la necesidad de una revisión manual. En el análisis manual de cualquier alerta potencial de fraude interno, debemos establecer si aplicamos un protocolo de Prevención o bien de Detección:
En el protocolo de prevención, se debe solicitar justificación por parte del empleado o centro de la operatoria detectada. Dependiendo de las justificaciones, la revisión pasará a formar parte de una medida preventiva, o bien si estas nos indican que puede haber un indicio de Fraude Interno, activaremos el protocolo de detección, abriendo una investigación.
El protocolo de Detección, se aplicara si fruto de la revisión consideramos que existen indicios de Fraude Interno, abriendo la correspondiente investigación. Una investigación puede concluir con una “falsa alarma”, y por tanto habremos realizado una labor preventiva, o bien con informe forensic y su presentación al comité de disciplina.
Sea cual sea el resultado de la revisión, se deberá documentar todas la pruebas, evidencias, comunicados e informes que realicemos, con especial atención a aquellas que vayan ligadas a una investigación que finalice en un informe forensic.
Una correcta gestión integral del fraude interno nos permitirá prevenir, detectar y dar respuesta a los fraudes y conductas impropias en la empresa, instaurando un ambiente de control dentro de la organización. El principal objetivo debe focalizarse en la prevención y en la detección precoz de los fraudes, siendo un componente básico para la lucha contra el fraude la cultura y valores empresariales.
Artículo publicado en la revista revista Seguritecnia del mes de juio (www.seguritecnia.es)
Es Licenciado en CC Económicas y Empresariales y Auditor Interno Certificado por el IIA (The Institute of Internal Auditors), especialista en Fraude Interno, Forensic y Prevención de Blanqueo de Capitales. Tras más de 17 años de experiencia profesional como jefe de equipo de auditoría interna en entidades financieras líderes en España, colabora con diversas publicaciones digitales (Auditool, Nahun Frett, Captio, Nexo Gestión..), destacando su blog profesional de Fraude Interno, creado con el objetivo de compartir conocimientos e inquietudes relacionados con el fraude interno, tanto con profesionales de la auditoría interna como con cualquier empresario o directivo que no disponga de un departamento de auditoría interna en su organización.
Barcelona, España