Por: Alejandro H. Morales T. Contador Público de la Universidad de Medellín. Especialista en Análisis de Riesgos Administrativos y de Fraude.
Habiendo descrito los escenarios en los cuales se realizan las auditorías de riesgo de fraude (Parte 1), procederemos en las siguientes entregas a describir de manera gráfica los tres pasos de una auditoría de esta naturaleza.
Para la realización de este trabajo, se deben definir, de antemano, los niveles objetivo del mismo, lo que garantiza su consistencia. Estos niveles son:
– POLÍTICAS CORPORATIVAS
– INFRAESTRUCTURA
– RECURSO HUMANO
I. Recolección de Información
Esta etapa consiste en el proceso de obtener información acerca de las relaciones entre los diferentes procesos, la descripción de las actividades claves y la entrevista con cada una de las personas dueñas de procesos sensibles de la entidad.
Nivel de Políticas Corporativas: al examinar este nivel, los encargados de la ejecución del trabajo deben pedirle a los entrevistados un concepto equilibrado acerca de los siguientes temas:
¿La misión de la compañía incluye expresamente el compromiso con la integridad y la responsabilidad social empresarial?
¿La política relacionada con gastos es lo suficientemente detallada, para que incluya, por ejemplo, cuánto pueden los ejecutivos gastar en atención a clientes?
¿El Código de Ética prohíbe de manera expresa cualquier tipo de actividad que pueda llevar al fraude, como por ejemplo recibir regalos de proveedores?
¿La política sobre confidencialidad de la información es general y vaga, o contiene instrucciones precisas acerca de los modos de recibir, transmitir y almacenar información?
¿Se tiene establecida una tabla de retención documental?
¿Existe coherencia en todas las políticas de la organización, de tal manera que se pueda decir que ninguna se contradice con otra?
Nivel de Infraestructura: las siguientes preguntas resultan pertinentes cuando se recolecta información en infraestructura:
¿Qué tan estricto es el control de inventarios?
¿Hay algún control sobre el destino de los bienes vendidos con descuento a los empleados?
¿Se auditan de manera cercana las relaciones de gastos?
¿Se tiene un protocolo para permitir el acceso a información sensible por parte de los empleados?
¿Existe un encargado del manejo de situaciones en las cuales se viole la confidencialidad de la información?
¿Las políticas de manejo de información de los principales proveedores y clientes están alineadas con las de la empresa?
¿En los contratos se incluyen las políticas de confidencialidad?
¿Con qué frecuencia se verifica la seguridad del sistema de Información, mediante pruebas de intrusión o similares?
¿Qué tipo de vigilancia se ejerce sobre los computadores de los empleados, incluyendo los procedimientos de borrado de discos duros en desuso?
¿Qué tipo de supervisión se ejerce sobre los correos electrónicos entrantes y salientes?
¿Cómo son guardados y protegidos los códigos, fuente, programas y aplicativos de la empresa?
¿Todo el material de desecho es destruido, antes de permitir su salida de la empresa?
¿Cómo se protegen los programas, ideas o productos en desarrollo?
¿De qué manera son almacenados, custodiados y accesados los registros contables y financieros dela empresa?
Nivel Humano:
¿Cómo se controla el acceso de empleados y visitantes a los predios de la empresa?
¿Se limita la circulación de visitantes en los predios de la empresa?
¿Se permite a los empleados sacar información fuera de los predios?
¿Qué tan confiables son los procesos de verificación de referencias y antecedentes de los candidatos a ocupar cargos sensibles?
¿Qué tan protagónico es el papel del área de Recursos Humanos en la empresa? ¿Es vista como el punto de entrada y salida de empleados? O ¿se posiciona como un aliado de los empleados y la administración durante la permanencia de los primeros en la empresa?
¿Es el área de Recursos Humanos el canal para que los empleados manifiesten sus sospechas o denuncien actos deshonestos?
¿Se realizan evaluaciones anuales de desempeño de los empleados, que incluyan la revisión del denominado “contrato Psicológico”?
¿Qué tan a menudo y por qué medios se mantiene a los empleados al tanto de las políticas de la compañía?
¿Tienen claro los empleados el tipo de información que puede ser incluida en los correos personales?
¿Está estrictamente bloqueada la posibilidad de insertar programas o aplicaciones en los equipos de los empleados, sin autorización?
¿Se ha instruido a los empleados acerca de las mejores medidas para evitar virus, malware y otros programas maliciosos?
¿Tienen claro los empleados el tipo de discusiones acerca de la empresa que pueden ser sostenidas en las redes sociales?
¿Se tiene un sistema confiable para proteger la información personal de los empleados, contenida en sus hojas de vida?
¿Cómo se recompensa la lealtad de los empleados hacia la empresa?
¿Se ha evaluado el nivel moral presente en la organización?
¿Se han identificado focos de tensión particularmente evidentes entre diferentes áreas de la empresa?
¿Los jefes de área saben cómo proceder ante situaciones externas que afecten el desempeño de sus empleados, como problemas legales, divorcios, deudas elevadas, etc.?
¿Se sienten los empleados identificados con la empresa, sus postulados y sus políticas?
¿Sienten los empleados que la empresa es leal con ellos?
Debe tenerse en cuenta que los fraudes nunca ocurren por accidente, o como consecuencia de actos de la naturaleza. A diferencia de los incendios, las inundaciones y los daños internos en las maquinarias de una empresa, que pueden suceder simplemente por azar o por deficiencias en el mantenimiento, los fraudes siempre son el resultado de la acción deliberada de personas, de seres humanos.
Por ello, la lealtad tiene que ser vista siempre como una carretera de doble vía. El presidente de una empresa no puede exigir comportamientos íntegros y éticos por parte de su equipo de trabajo, a menos que estos empleados perciban que la empresa es leal para con ellos. No se consigue la lealtad ni se mejora el ambiente ético por la vía de escribir, imprimir y enmarcar en todas las paredes de la empresa los postulados de Misión, Visión y Valores de la Organización. Si bien este es un buen comienzo, es solo el inicio del proceso mediante el cual la administración se puede asegurar que todos los miembros de la empresa comparten y practican los mismos principios de integridad y comportamiento que se predican en los postulados de Misión y Visión.
Se han identificado grupos de personas de ciertos rangos de edad, quienes han demostrado ser especialmente difíciles de fidelizar, ya que se preocupan más por su agenda personal que por contribuir a los logros generales de la empresa para la cual trabajan. La llamada generación y/o generación del milenio, ha producido buena parte de los más notorios escándalos financieros ocurridos en los últimos años en el mundo.
Una manera de trabajar de forma proactiva con este valioso recurso, puede ser el de definir con ellos metas de crecimiento profesional de mediano plazo, que involucren esfuerzo y dedicación de su parte, pero también reconocimiento profesional por sus logros.
En la siguiente entrega nos referiremos a la mejor manera de elaborar un mapa de riesgos de la estructura de incentivos de la organización; así como la elaboración de planes de manejo de los mismos mediante estrategias articuladas de gestión.