Por: Julián Ríos – Colaborador de www.auditool.org
Red Global de Conocimientos en Auditoría y Control Interno
Para que una organización administre efectivamente el riesgo de fraude primero debe contar con un mecanismo para identificarlo usando una metodología formal para la evaluación de riesgos. Dicha metodología puede convertirse en una poderosa y efectiva arma para el combate del fraude. Hemos visto que muchas veces se habla de evaluación e identificación de riesgos, incluso de gestión integral de riesgos, pero ninguna de las anteriores es efectiva en el combate del fraude si no se incorpora un framework y una metodología propios para su identificación y evaluación.
¿QUÉ ES EL RIESGO DE FRAUDE ?
En el artículo que publiqué llamado El Triángulo del Fraude, explico que según Donald Cressey’s, existen tres elementos que llevan a una persona a cometer fraude: Presión, oportunidad y racionalización. La vulnerabilidad que una organización puede tener de individuos que combinen estos tres elementos se llama riesgo de fraude.
FRAUDE INHERENTE Y RESIDUAL
Los riesgos que están presentes antes de alguna acción de administración se llaman fraudes inherentes y aquellos que quedan después de una acción de gestión se llaman fraudes residuales.
FACTORES QUE INFLUYEN EN EL RIESGO DE FRAUDE
Muchos factores son los que influyen en la ocurrencia del fraude, como por ejemplo los siguientes:
- La naturaleza del negocio
- El ambiente en el cual opera
- La efectividad de sus controles internos
- La ética y valores de la organización y empleados
«Si mi jefe es conocido por cometer fraude para ganar licitaciones públicas, yo puedo cometer fraude para cobrar horas extras», es una frase muy común como resultado del fraude corporativo.
¿QUÉ ES LA EVALUACIÓN DEL RIESGO DE FRAUDE ?
Es un proceso continuo que busca proactivamente identificar y mitigar las vulnerabilidades de una organización hacia el fraude interno y externo.
La evaluación del riesgo de fraudes no se ve como una actividad sino como un proceso continuo a través del tiempo
La evaluación del riesgo de fraudes tiene como objetivos responder a las siguientes preguntas:
- ¿Cómo un perpetrador de fraude puede explotar una vulnerabilidad en los controles existentes ?
- ¿Cómo alguien puede evadir los controles existentes ?
- ¿Cómo se podría encubrir un fraude en la organización ?
TÉCNICAS PARA LA EVALUACIÓN DEL RIESGO DE FRAUDE
Existen muchas formas de conducir una evaluación de riesgos de fraude, pero hay estrategias que funcionan mejor que otras, como por ejemplo: Entrevistas, Encuestas y Líneas éticas anónimas. Qué hacer en caso de que la organización esté sufriendo un fraude ?, que ya exista una denuncia a través de la línea ética ?, se debe Conformar un equipo de investigación y conducir una operación encubierta para su identificación y evaluación.
FRAMEWORK PARA LA EVALUACIÓN DE RIESGOS DE FRAUDE
A la metodología de gestión de riesgos debe incorporarse un framework para la evaluación de riesgos de fraude si se tiene como objetivo la identificación y mitigación del mismo. Un buen ejemplo de una metodología sería:
- Identifique un potencial riesgo de fraude inherente
- Evalúe la probabilidad de que se materialice el riesgo de fraude
- Evalúe la importancia y significancia del fraude para la organización
- Identifique cuáles áreas de la organización están mas propensas a la ocurrencia de un fraude y haga un inventario de cómo podrían cometerlo
- Realice un mapa de controles preventivos y reactivos frente al riesgo de fraude
- Identifiqué qué controles operan de forma eficiente y cuales no
- Identifique y evalúe los riesgos residuales que quedaron como resultado de los controles no existentes o ineficientes.
Existen otras metodologías recomendadas como la basada en índices de riesgo de fraude (índice de ambiente, de prevención/detección y coeficiente cultural). La tratada en este artículo puede servir como referencia para organizaciones que apenas están considerando el tema y no tienen aún un nivel de madurez en la gestión de riesgos.
NIVEL DE ACEPTACIÓN DEL RIESGO DE FRAUDE
Debido a que es imposible que una organización elimine por completo el riesgo de fraude, deben existir unos criterios de aceptación aprobados por la gerencia de la organización. Muchas veces este nivel de aceptación e llamado también el grado de tolerancia al fraude. Estos niveles se construyen estimando el costo de la materialización de un fraude y realizando un mapa donde se identifiquen cuales fraudes serían menos significantes o cuyo plan de mitigación sería más costoso que la materialización del mismo.
Referencias
ACFE Fraud Examiners Manual (2015) http://www.acfe.com
Investigador de Fraudes certificado por la ACFE (Asociación de Examinadores del Fraude Certificados), Ciber Investigador experto en Inteligencia y Contrainteligencia certificado por el Instituto McAfee, Profesional en seguridad de la Información certificado por ISC2 (Certified Information Systems Security Professional) y perito Forense Informático (CHFI) con énfasis en la gestión de incidentes (ECIH) y hacking ético (CEH), certficado por EC-Council. Lleva 10+ años dedicado a la gobernanza en el campo de las tecnologías de la información, certificado en COBIT, ITIL, Red Hat y hoy en día se dedica a aplicar todos los conocimientos en seguridad de la información y las TICs para combatir el fraude de manera innovadora, desarrollando nuevos productos y metodologías. Colaborador de Auditool.