Auditool.org
Red Global de Conocimientos en Auditoría y Control Interno
Como un paso esencial para el diseño de estrategias efectivas de gestión del riesgo de fraude, resulta de suma importancia el realizar una medición del potencial de materialización de esta amenaza en nuestras
organizaciones, así como sus efectos sobre los recursos de las mismas.
El esquema tradicional de estimar la frecuencia y la severidad presentan formidables limitaciones a la hora de medir este riesgo, ya que los modelos tradicionales no alcanzan para hacer una determinación aproximada del mismo. De hecho, en nuestra encuesta bianual de manejo del riesgo de fraude en las empresas, hemos encontrado que en la mayoría de las organizaciones que han resultado víctimas de grandes defraudaciones, este riesgo no había sido clasificado dentro de los primeros 10 en importancia cuando se aplicaban los modelos tradicionales de medición.
En algunas empresas se realizan “encuestas de percepción”, las cuales consisten en preguntarles a los directivos acerca de cuan probable creen que sea la materialización de un fraude en sus áreas de trabajo o en la empresa en general. Esta pregunta, formulada de esta manera, resulta muy difícil de responder con algún grado de certeza.
En la mayoría de las organizaciones que han resultado víctimas de grandes defraudaciones, este riesgo no había sido clasificado dentro de los primeros 10 en importancia cuando se aplicaban los modelos tradicionales de medición.
Nuestra propuesta de medición consiste en tratar de estimar la POSIBILIDAD de ocurrencia de un evento de fraude (no su probabilidad); así como sus CONSECUENCIAS, o severidad.
En primer lugar, a una persona honesta le queda difícil imaginarse cómo puede ser cometido un fraude; no por candidez o inocencia, sino porque parten de que el fraude va a presentarse de manera accidental, como un incendio o un corto circuito; y no conciben que alguien de su equipo de trabajo pueda cometerlo de manera deliberada. Si la misma pregunta se la hace a una persona deshonesta, obviamente no va a revelar como planea cometer o como está cometiendo un fraude, así que en ambos casos las respuestas van a carecer de sustancia que permita evaluar adecuadamente el riesgo.
Tampoco la estadística ayuda. Cientos de años de documentación celosamente guardada por los reaseguradores de Inglaterra y del mundo (Lloyds por ejemplo), junto con la abundancia de datos reales sobre la ocurrencia de siniestros, permiten tener algún grado de confianza en las probabilidades estadísticas de ocurrencia de un evento. De hecho, las tasas de las primas de seguros no son más que una expresión de la probabilidad estadística de materialización de un evento, durante el período de cobertura. Por otro lado, estimar las consecuencias de un fraude es aún más difícil. Si tomamos una bodega de 500 metros cuadrados, con características constructivas definidas, es relativamente sencillo estimar su valor de reconstrucción y por ende su valor asegurable. No ocurre así con el fraude, ya que a diferencia de un incendio, la mayor afectación no es económica, sino en términos de imagen corporativa, reputación, ambiente de trabajo y otras variables que no se pueden medir en dinero.
Dado lo anterior, nuestra propuesta de medición consiste en tratar de estimar la POSIBILIDAD de ocurrencia de un evento de fraude (no su probabilidad); así como sus CONSECUENCIAS, o severidad. Para estimar la posibilidad recurrimos a una escala de 4 niveles que se definirán como Remoto, Posible, Frecuente e Inminente. Para la Severidad, asignamos los mismos 4 niveles, a los que llamaremos en orden ascendente Insignificante, Leve, Grave y Catastrófico. Como lo expresamos arriba, la afectación por un evento de fraude puede incluir uno, varios o todos los cinco recursos de una organización, a saber:
Humano: son las personas que conforman una entidad. Su afectación no puede ser medida en términos monetarios;
Financiero: es todo lo medible en dinero;
Información: un evento puede afectar de varias maneras el acceso a información y documentos;
Imagen Corporativa: la opinión que los terceros tengan de la empresa; y
Medio Ambiente: debe medirse el impacto que un fraude puede tener en el medio ambiente.
Nota: las opciones de niveles siempre deberán ser en números pares, como 4 o 6, ya que si se dejan números impares de opciones, como 3 o 5, se tiene la tendencia a situar el valor en el medio (2 en el caso de 3 niveles; o 3 en el caso de 5), lo que no permite definir si el riesgo analizado está en un nivel bajo o alto en la escala de ponderación.
En consecuencia, deberá construirse una Tabla de Severidad, que permita asignar valores uniformes a cada uno de los escenarios de riesgo que se analicen. Esta tabla no es uniforme para todas las organizaciones, ya que en su elaboración deberán tenerse en cuenta algunos factores y particularidades de cada organización. De hecho, estos valores de afectación o severidad deberán ser revisados y ajustados de manera periódica, a fin de brindarle mayor objetividad a la matriz de riesgo que se tenga como base para la toma de decisiones de gestión.
En nuestra próxima entrega indicaremos en detalle cómo se elabora esta Tabla de Severidad, la cual puede ser tomada como base para el desarrollo de trabajos en cada empresa.
Alejandro Morales.
Colaborador de www.auditool.org
NOTI INFORMATIVO DE ASR LTDA.
Medellín – Colombia
Del Autor: Contador Público de la Universidad de Medellín. Especialista en Análisis de Riesgos administrativos y de fraude, Maxima Group, Londres. Becario del Proyecto Wide World de la Universidad de Harvard. Miembro de la Association of Certified Fraud Examiners (ACFE). Asesor especial de la Presidenta del Congreso de la República, en materia administrativa y financiera, durante el período comprendido entre agosto de 2005 y enero de 2006. Capacitador de Compañías de Seguros y Asesor de empresas del sector público y privado en temas relacionados con el análisis de riesgos operacionales y financieros. Profesor de posgrado y especializaciones en temas de análisis de riesgos, fraude, seguro y reaseguro. Colaborador de www.auditool.org