Professional Documents
Culture Documents
RIESGO DE FRAUDE
PROGRAMA DE ADMINISTRACIÓN DEL RIESGO DE FRAUDE
Introducción al fraude
La acción de combatir el fraude antes de que ocurra es vital para cualquier tipo de
organización. De acuerdo con el viejo refrán y principio financiero que dice “es más
económico prevenir que lamentar”, las empresas hoy en día deben considerar que la
implementación y el mejoramiento de un Programa de prevención de fraude es la medida
más inteligente de inversión financiera. Este curso reúne material y recomendaciones que
ayudarán a quienes tienen bajo su responsabilidad la prevención de los delitos económicos
en la Organización, tales como miembros de juntas directivas, auditores, revisores fiscales,
directivos, abogados, consultores, entre otros.
Este curso recopila las mejores prácticas, recomendaciones, principios y políticas que las
diferentes organizaciones de auditoría y lucha contra los delitos económicos han definido
para el correcto manejo del riesgo de fraude. Igualmente, es una guía sobre el Programa
de administración del riesgo de fraude, que incluye ejemplos y recursos que las
organizaciones pueden usar y adaptar de acuerdo con su necesidad. El desarrollo de cada
programa de prevención es diferente en cada organización, ya que la combinación de los
múltiples factores de riesgo (como tamaño del negocio, circunstancias del mercado,
productos, territorio, canal de distribución, y apetito al riesgo) crean innumerables
posiciones de riesgo. Bienvenido al curso de administración del riesgo de fraude.
Objetivos
• Crear y mantener una actitud férrea frente al fenómeno del fraude en la Organización.
• Generar la cultura antifraude tanto a nivel personal como a nivel empresarial.
• Reconocer los factores de riesgo que causan el fraude dentro de las organizaciones.
• Identificar las situaciones en las cuales los recursos y activos de la Organización se
encuentran en riesgo, en peligro de desaparecer, mal administrados o mal usados por
los empleados o personas ajenas.
www.auditool.org 1
Alcance
El presente curso está diseñado para todas aquellas personas que hacen parte del equipo
de la empresa y que de una u otra forma son responsables de la administración y el éxito
de la Organización. De ahí que Miembros de Juntas Directivas, Gerentes, Directivos, Jefes
de Áreas, Administradores, Contadores, Auditores y Revisores fiscales están cordialmente
invitados a realizar este curso. El ejemplo empieza por la cabeza de la Organización y el
Programa de administración del riesgo de fraude no es la excepción. De hecho, el pilar
fundamental del éxito del programa es el compromiso con el cual el personal de la compañía
asume el reto de evitar y rechazar cualquier comportamiento antiético en la Organización.
Los principios del Buen Gobierno Corporativo demandan que la Junta Directiva o quien
haga sus veces dentro de la Organización asegure en general altos estándares éticos sin
importar el carácter de la empresa, sea pública, privada, sin ánimo de lucro; ni el tipo o
tamaño del negocio o la industria en la cual desarrolla su objeto social. La Junta Directiva
cumple un rol crítico e importante dado que históricamente e infortunadamente los fraudes
de talla mundial en cuanto a pérdidas han sido perpetrados por los miembros del equipo
responsable o Junta Directiva de las compañías, con apoyo en muchos casos de algunos
empleados ubicados en posiciones laborales bastante convenientes.
Fraude
www.auditool.org 2
El tiempo es el mayor enemigo de las investigaciones de fraude. El tiempo promedio para
detectar un fraude de cuello azul es de 18 meses; sin embargo, un fraude de cuello blanco
o cometido por responsables del gobierno de la empresa, ejecutivos o miembros de la Junta
Directiva, solo puede ser detectado en 24 meses o más tiempo.
No siempre los valores o el dinero son objeto de fraude. El mal uso y el abuso de los bienes
y recursos de la Organización también son fraude.
Otro aspecto que ayuda a que el criminal cometa el delito es la vergüenza que siente la
víctima, que generalmente es el propietario, gerente o empresario, al saber que su sistema
de control fue violado por un criminal. Cualquiera de estos factores impide que las
denuncias lleguen a las autoridades pertinentes. Asimismo, un débil sistema judicial influye
para que no se denuncie a un defraudador.
También el fraude es todo intento deshonesto por obtener provecho indebido de otra
persona o situación que no siempre se materializa en delito, como es el caso del abuso o
mal uso de los recursos de la compañía. Por ejemplo, el uso del computador y el sistema
de impresión para uso personal.
El fraude no tiene tamaño, no hay fraudes grandes o fraudes pequeños; fraude es fraude.
Las consecuencias del fraude o el impacto económico son las que determinan la gravedad
de la falta o la violación de la ética o moral.
www.auditool.org 3
Veamos la relación costo-beneficio de las medidas de prevención. Se estima que el fraude
empresarial puede costar el 5% de los ingresos brutos en el sector privado y el 10% en el
sector público. A pesar de que no existe una cifra contundente que revele el verdadero
impacto del fraude, las estadísticas arrojan cifras alarmantes.
Los controles internos implementados pueden ser rebasados por la habilidad, creatividad y
capacidad de los perpetradores. Así como se requieren habilidades, creatividad,
experiencia y conocimiento para ejercer un cargo laboral, en la comisión de un fraude
también se requieren estas mismas destrezas. Por esto, aunque el factor humano es de
gran importancia, los controles y la protección de los recursos debe ser el objetivo primario
y fundamental de un gerente, administrador Junta Directiva.
Fraude ocupacional
El fraude ocupacional es cometido por individuos o por un grupo de individuos que atentan
contra las leyes o normas relacionadas con sus cargos o empleos. Cualquier persona puede
cometer fraude ocupacional; de hecho, las estadísticas revelan que no existe un rango
especial o tipo de profesión que tenga mayor tendencia, por lo cual no es raro conocer que
políticos, líderes sindicales, abogados, contadores, vendedores, o empleados de cualquier
nivel cometen fraude en sus puestos de trabajo constantemente. A este tipo de fraude
también se le conoce como fraude de cuello azul.
Igualmente, los delitos de cuello blanco también constituyen fraude ocupacional, pero es
importante diferenciarlo de otro tipo de conducta criminal dada la posición del perpetrador,
el tiempo de planeación y el impacto de las pérdidas.
www.auditool.org 4
• Fraude ocupacional profesional: delito cometido por alguien que abusa de su
posición como profesional o experto en un tema específico.
• Fraude individual: delito cometido por individuos en cualquier lugar.
Cabe recordar que muchos individuos cometen fraude en favor de las organizaciones para
las cuales trabajan, aunque en muchos casos no hay retribución económica por el delito
cometido. De este modo, hay fraude en casos como la manipulación de los estados
financieros por parte del contador para esconder las causales de liquidación empresarial y
evitar el cierre de la empresa, o que el auditor externo presente un informe acomodado para
evitar sanciones a la entidad.
Se entiende como abuso el uso desmedido o sin autorización de los recursos, activos o
bienes de la empresa por parte de los individuos que tienen alguna relación contractual en
la Organización. Si bien es cierto para la mayoría de los perpetradores el abuso no
constituye fraude por que en ningún caso están tomando o reteniendo los valores o recursos
de la empresa, las pérdidas generadas o el incremento de los gastos afectan
ostensiblemente los estados financieros.
Los casos más frecuentes de abuso se evidencian en el incremento sin justificación del
combustible para los vehículos, de los implementos de aseo y cafetería, de insumos como
papelería, herramientas, repuestos, medicinas, elementos de primeros auxilios, material de
empaque, entre otros. Peter Druker argumentó en sus teorías que lo que no se puede medir
no es posible controlarlo; así que el control del gasto va más allá del análisis del estado de
resultados, debido a que el abuso se esconde fácilmente en el consumo ordinario de los
insumos. Se deben crear indicadores de consumo por persona, y campañas de reciclaje,
de uso adecuado de las impresoras y de sensibilización sobre el uso de los insumos de
aseo, y todo lo que tienda al correcto uso de los recursos.
Son muchas las causas que incrementan el riesgo de fraude, pero las investigaciones
concluyen que son cuatro los factores comunes que se repiten constantemente:
www.auditool.org 5
• Naturaleza del negocio
Los tipos de riesgos que una organización enfrenta están directamente conectados con el
tipo de negocios que desarrolla. El tipo de negocio u operación marca la ruta del Programa
de administración del riesgo, ya que cada entidad tiene un marco de operación y un apetito
al riesgo totalmente diferente. Por ejemplo, los riesgos asociados al fraude en una entidad
médica difieren completamente de la actividad financiera de un banco, de una universidad
o de un almacén de grandes superficies.
Un buen sistema de control interno, con un correcto balance en los controles de prevención
y detección, puede reducir extremadamente las vulnerabilidades de la compañía en cuanto
al fraude. Los controles preventivos son aquellos procesos manuales o automatizados que
evitan anticipadamente que algo inapropiado pase. Los controles de detección pueden ser
también manuales o sistematizados, pero están diseñados para identificar algo malo que
ha ocurrido.
Está claro que ningún sistema de control interno puede eliminar plenamente el riesgo de
fraude, pero un control interno efectivo y bien diseñado puede desalentar el número de los
defraudadores por medio de la reducción de la oportunidad de cometer el delito y el
incremento de la percepción de la detección.
Puede ser raro encontrar o tener una empresa que tenga completamente alineados a sus
empleados y contrapartes con las políticas, los procesos y los procedimientos éticos, dado
que para este tipo de organizaciones está claro que cualquier vacío en los lineamientos
significa el incremento del riesgo de fraude en los procesos.
www.auditool.org 6
De hecho, en algunas organizaciones la manipulación de los estados financieros y los
registros contables se considera como un comportamiento inaceptable que conlleva a la
terminación del contrato laboral y a la denuncia penal; sin embargo, tomar recursos de la
empresa, como los insumos de papelería o aseo, es considerado menos grave, por lo tanto,
las sanciones son más llevaderas para los defraudadores. Ambos casos son fraude y, como
lo hemos analizado, fraude es fraude y no tiene tamaño; lo que se miden son las
consecuencias y las pérdidas. Por lo tanto, a nivel ético la manipulación de estados
financieros y el abuso deben tener la misma connotación, y es responsabilidad de la
empresa ser consistente frente al comportamiento ético de los empleados para reducir la
habilidad de justificar las acciones del potencial perpetrador. Igualmente, una entidad que
demuestra consistencia, congruencia e integridad puede predecir y gestionar fácilmente
comportamientos inaceptables.
Inversión o gasto
El control del fraude es tomado como un gasto innecesario, dado que no genera ingresos.
Sin embargo, recuperar la pérdida que ocasiona un fraude implica la creación de nuevos
ingresos y el pago de más impuestos para mantener el margen de utilidad neta proyectado.
En otros términos, si bien es cierto la prevención del fraude no arroja a primera vista un
ingreso o utilidad, la protección de los recursos y activos de la empresa evita pérdidas que
en muchas ocasiones son irrecuperables. De ahí que la implementación y el mantenimiento
del Programa de prevención de fraude es la inversión más fructífera que cualquier
organización puede hacer. Cabe resaltar que la prevención del riesgo reduce en un 80% la
probabilidad de la comisión de fraude y debe ser la perfecta combinación entre los recursos
humanos y económicos.
Todas las organizaciones son objeto del riesgo de fraude. Incluso el fraude ha exterminado
empresas de gran tamaño, dejando masivas pérdidas para los inversores, significativos
costos legales, encarcelamiento de los miembros más importantes de la Organización y, lo
peor, la erosión y pérdida de la confianza en el mercado. Un acto fraudulento cometido por
una sola persona o un grupo de personas impacta negativamente la reputación, la marca y
la imagen de la empresa. Recordemos que en los demás cursos sobre fraude hemos
insistido que es la Dirección de la Organización la que debe dar el ejemplo, o lo que
denominamos marcar la pauta a seguir, sobre los aspectos fundamentales de la prevención,
detección e investigación del fraude. Por esto, los siguientes puntos deben ser tenidos en
cuenta todos los días en las buenas prácticas de prevención:
www.auditool.org 7
• Admitir que se necesita ayuda para prevenir y combatir el fraude,
• Tener la convicción firme y la conciencia necesaria para no dejarse tentar, es decir,
tener actitud férrea,
• DENUNCIAR. Un defraudador no ataca a una sola compañía, ni lo hace una sola vez.
Esta es la pregunta que todos los días los directivos y administradores de una organización
se deben hacer. Cada minuto cuenta y los perpetradores son cada vez más creativos y
habilidosos. Las reacciones a los recientes escándalos económicos producidos por el
fraude han dejado en el público y en los inversionistas un mal sabor y una dura conclusión
en cuanto a los sistemas de prevención. Debido a esto, es necesario y prácticamente
obligatorio conocer los siguientes aspectos fundamentales sobre la prevención del fraude:
La prevención del fraude se puede hacer con simples pasos o procedimientos que indiquen
al perpetrador que la empresa está tomando medidas de protección, pero ante todo
medidas disciplinarias y legales para denunciar a los perpetradores. Son fundamentales
tanto el incremento de la percepción de detección del fraude como la minimización de las
presiones hacia los empleados.
De acuerdo con los investigadores del comportamiento humano con respecto al fraude, la
percepción del control en los empleados es uno de los más fuertes elementos para reducir
las conductivas delictivas. Esto quiere decir que a mayor percepción del control de fraude,
menor será la probabilidad de que el empleado se enganche en actividades criminales o en
fraude ocupacional.
www.auditool.org 8
Por esto, el Programa de administración de fraude implica en todo su conjunto las medidas
para prevenir y detectar las actividades delincuenciales en la Organización y evitar que
personas no éticas o inescrupulosas entren a la Organización. Por ejemplo, un perpetrador
desde la entrada de la Organización puede percibir el ambiente de control frente al fraude
por medio de los mensajes ubicados en los sitios estratégicos donde cualquier contraparte
los puede leer. También los sistemas de seguridad, acceso y cámaras de vigilancia son
interpretados como fuertes mecanismos de control. Igualmente, al momento de contratar al
nuevo personal, el contrato de trabajo y el reglamento interno de trabajo deben contener
cláusulas específicas sobre las sanciones disciplinarias en los casos de fraude y corrupción.
Sin embargo, un ambiente de control aún en las circunstancias más optimistas y estrictas
no garantiza plenamente la protección de la Organización frente al fraude.
En tanto existan más controles internos que se implementen en la Organización para reducir
la oportunidad o esconder un fraude, mayor será la presión que ejerce la Organización en
los empleados. Por esto, es necesario conocer más sobre la contraparte, en especial los
empleados, dado que ellos permanecen más tiempo dentro de la empresa y tienen mayor
oportunidad de encontrar falencias en los controles internos. Cualquier detalle cuenta,
cualquier cambio conductual es una señal o cualquier expresión puede ser el comienzo de
la comisión de un fraude. Las empresas deben estar atentas y entrenar a los jefes de área
o departamento para entender las señales de alerta y actuar apropiadamente ante la
sospecha de un cambio, así como para asistir a los trabajadores en los momentos difíciles.
La empresa debe tener políticas de puertas abiertas, por medio de las cuales los empleados
y Alta Gerencia puedan comunicarse libremente y sin temor acerca de las medidas
preventivas. Si bien es cierto que el Programa de administración de fraude está construido
con políticas de obligatorio cumplimiento, la entidad debe procurar que exista libertad de
expresión.
www.auditool.org 9
Adicionalmente, la objetividad en el estilo de gerenciamiento o administración de la empresa
es otro factor que promueva la cultura ética, dado que los empleados siempre conocerán
los métodos y mecanismos de evaluación de su labor y el plan de mejoramiento que deben
tomar. De esta manera, congruencia e integridad son aspectos clave para crear un clima
laboral amigable basado en los controles.
Muchas compañías han descubierto que los beneficios de los planes de mejoramiento y
soporte para los empleados alivian las presiones que genera un ambiente de control
antifraude. Por ejemplo, programas de orientación financiera, asistencia médica y social a
las adicciones, fomento de la autoestima y superación personal, entre otros, permiten que
los empleados mejoren su calidad de vida y de alguna manera generen comportamientos
positivos y éticos en su entorno.
Los gerentes consideran que el fraude solo atañe a la auditoría. Ellos típicamente no
entienden que el fraude está escondido y las pérdidas en muchos casos no son detectadas
a tiempo. Así mismo, ellos rechazan la idea de que sus propios trabajadores puedan ser
capaces de robar o abusar de la empresa, aun cuando los estudios sobre fraude
demuestran que una tercera parte de los empleados de cualquier empresa son propensos
a cometer fraude.
Los administradores y gerentes consideran que sacar el tema hacia el público podría
promover la comisión de más fraudes en la empresa por parte de los empleados, dado que
en muchas oportunidades la empresa no cuenta con un sólido ambiente de control y ético.
Por esto, consideran que cualquier amenaza debe ser tratada en privado y con pocos
recursos.
www.auditool.org 10
Contraargumentos para la resistencia al Programa de prevención de fraude
A pesar de que ésta es una dificultad, los profesionales en el tema deben estar preparados
para recibir cantidades de excusas y capacitados para demostrar con argumentos la
contracara del fraude y los demás delitos económicos. Los siguientes son algunos consejos
al respecto: no discuta con su cliente ni con la Gerencia de la compañía acerca de estos
temas; prepare documentación sobre el impacto del fraude en la industria (pérdidas, tiempo
de recuperación, casos reales, y todo lo que le sirva para demostrar profesionalmente su
posición); nunca acuse a alguien de quien usted sospecha, o está seguro, de cometer un
fraude si la Gerencia sufre de ceguera intencional o ignorancia irracional; su posición debe
ser totalmente profesional hacia la protección de los activos y recursos de la empresa
basados en los procedimientos; cualquier emoción que aflore en una reunión sobre fraude
puede socavar la discusión para convencer a la Alta Gerencia sobre la implementación del
Programa de administración de riesgos.
Estos son dos contraargumentos para lidiar con la ignorancia irracional y la incredulidad
frente al fraude.
Fraude y utilidades
El análisis económico sobre las pérdidas de fraude va más allá del valor que eventualmente
se conoce, que ya el fraude como tal es una pérdida que está asociada al estado de
resultados. Por ejemplo, en el caso de pérdida o robo de los inventarios, el descuadre entre
las cantidades físicas y el libro de inventarios debe ser registrado como pérdida o contra la
provisión de inventarios. En el caso de la pérdida de efectivo, dicho valor debe ser llevado
directamente a un gasto denominado como pérdida. Si analizamos el abuso como fraude,
un ejemplo perfecto sería el uso personal del material de oficina como papel e impresora,
lo que de alguna manera incrementa el gasto de papelería. Por lo tanto, el fraude, en
cualquiera de sus manifestaciones, siempre impactará negativamente las utilidades de la
compañía.
www.auditool.org 11
El siguiente ejemplo económico nos permite reflexionar sobre el impacto de las pérdidas
ocasionadas por un fraude. Sabemos por un principio financiero y contable que:
Suponemos para este ejemplo que % Utilidad Neta Estimada = 2%. Después de hacer el
proceso de auditoría se verificó que el valor de la pérdida por fraude fue de
$100.000.000.oo
Ahora, debemos preguntarnos: ¿en cuánto se deben incrementar los ingresos del periodo
para generar el mismo nivel de utilidades netas que igualen el monto de la pérdida por
fraude?
Sin embargo, un fraude siempre tiene costos ocultos que en muchas ocasiones no se logra
a calcular. Por ejemplo, los impuestos que genera un fraude son un costo oculto, dado que
una pérdida por fraude no es deducible como cualquier gasto operativo de la empresa en
la declaración de impuestos; por lo tanto, se deben pagar más impuestos. Así las cosas, en
nuestro ejemplo, suponiendo una tasa de 30% de impuestos, la pérdida sería de 130
millones.
Con este ejemplo observamos claramente por qué el Programa de prevención de fraude es
una inversión que ayuda a evitar como mínimo el 80% de la pérdida si se implementa
correctamente.
www.auditool.org 12
Impacto de la publicidad y reputación
www.auditool.org 13
Pasos para el desarrollo del Programa de administración del riesgo de fraude
Paso 1. Definir los objetivos del Programa de administración del riesgo de fraude
Para determinar los objetivos del Programa de administración del riesgo de fraude, la Alta
Gerencia debe tener presente los siguientes factores:
Por ejemplo, el enfoque de tolerancia cero al fraude indica que la Alta Gerencia o
Administración tomarían cualquier acción en contra del fraude sin importar su naturaleza y
tamaño, lo cual prioriza la prevención sobre el costo involucrado, como también un bajo
apetito al riesgo de fraude.
Ningún programa de administración del riesgo previene el 100% del fraude, lo que significa
que algunos riesgos quedan en el camino o son residuales. En consecuencia, uno de los
componentes más importantes a definir en el Programa de administración del riesgo de
fraude es el apetito al riesgo. Sin un entendimiento y articulación adecuados del nivel de
riesgo que el Gobierno Corporativo de la empresa está dispuesto a aceptar, cualquier
planteamiento de objetivos, e incluso de detección e investigación de los comportamientos
criminales, carecería de peso y sentido.
El apetito al riesgo puede ser expresado y medido cualitativamente como bajo, medio o alto;
cuantitativamente, a través del diseño de una escala numérica. Por ejemplo, la Dirección
de una entidad decide que puede reducir el riesgo residual de fraude y llevarlo al nivel bajo,
lo cual implica un deseo de fuertes controles y el monitoreo de dichos controles sobre
determinadas áreas del negocio donde el fraude es recurrente. Otra empresa puede decidir
que un riesgo calificado cuantitativamente en 3.0 es demasiado alto y, por lo tanto, es
inaceptable cuando el nivel de mayor riesgo es calificado en 5.0.
www.auditool.org 14
En todo caso, sin importar qué estrategia o metodología utilice la empresa para medir el
apetito al riesgo, los resultados deben estar enfocados en el desarrollo el Programa de
administración del riesgo de fraude.
Otro punto de partida esencial para determinar la estrategia de administración del riesgo de
fraude es analizar los casos previos de fraude y explorar cómo el Programa de
administración de fraude ideal hubiera prevenido, detectado y respondido a estos
incidentes. Al examinar estos casos, la Administración debe considerar los factores que
permitieron que tales fraudes ocurrieran. Las siguientes preguntas ayudan a entender qué
pasó con los casos anteriores:
Este tipo de análisis es demasiado útil para guiar la definición de los objetivos del Programa
de administración del riesgo de fraude, como también para determinar las áreas de la
Organización que requieren de mayor atención dado el riesgo.
www.auditool.org 15
Paso 5. Diseñar los componentes del programa
Los componentes específicos del Programa de administración del riesgo de fraude deben
ser diseñados de acuerdo con las características de la Organización, tales como cultura
organizacional, ambiente operacional, jurisdicción, productos y servicios, canales de
distribución y contrapartes, como también el apetito al riesgo. Como lo hemos explicado en
el presente curso, cada entidad tiene su propia personalidad y es el reflejo de las decisiones
adoptadas por los miembros de la Junta Directiva, la Alta Gerencia y la Administración; por
lo tanto, cada diseño es de carácter individual.
Se debe tener cuidado en la implementación de los componentes del programa, ya que aun
con el mejor de los diseños el programa puede ser ineficiente si la implementación tiene
errores. Cualquier control interno responderá adecuadamente frente a la prevención y
detección del fraude si las personas responsables por su aplicación y monitoreo están
cumpliendo efectivamente con sus deberes.
El propósito y las expectativas del Programa de administración del riesgo de fraude deben
ser comunicados oportunamente a todos los empleados en todos los niveles de la
Organización. La Organización debe diseñar la estrategia y la campaña de comunicación
sobre el programa para asegurar la alineación del personal con los objetivos de la
Organización. Tal estrategia debe contener elementos formales e informales que permitan
entregar el mensaje de diversas formas.
www.auditool.org 16
Paso 7. Garantizar el cumplimiento
El Programa de administración del riesgo de fraude debe incluir los mecanismos diseñados
específicamente para monitorear, identificar y sancionar los incumplimientos de las normas.
Tales rupturas incluyen fallas en el diseño u operación de los controles antifraude como
también las ocurrencias de fraude. Una persona o un equipo especifico debe ser designado
como responsable del monitoreo del cumplimento con respecto al Programa y el manejo de
las instancias sospechosas de no conformidad o incumplimiento. Las acciones disciplinarias
formales que sancionan el incumplimiento intencional deben ser publicadas y publicitadas
en toda la Organización, y los empleados deben firmar el compromiso escrito sobre el
cumplimiento y adhesión al Programa de administración del riesgo de fraude.
Es importante tener presente que a pesar de que el programa esté bien diseñado y funcione,
no todos los intentos de fraude se pueden frustrar en la Organización. Los perpetradores
cada vez son más diestros y creativos al momento de cometer un fraude, de modo que la
Organización debe estar preparada para investigar las sospechas de conductas
fraudulentas.
Sabemos que el fraude es cualquier acto u omisión intencional con el propósito de engañar
a terceras personas o víctimas, quienes sufren las pérdidas mientras el perpetrador logra
las ganancias. Algunos aspectos, como la cultura, el origen étnico, la religión, el territorio,
entre otros factores, son de gran importancia al momento de analizar la motivación para la
comisión de un fraude. Los estudios sobre fraude indican que la presión económica ocupa
el primer lugar como motivo para realizar cualquier cosa con tal de solucionar la dificultad
privadamente. Por esto, los defraudadores que están dentro de esta mayoría no ven sus
actos como la comisión de un fraude, sino que califican la acción como la forma de
sobrellevar su situación o sobrevivir a las presiones sociales y económicas.
www.auditool.org 17
Así las cosas, las organizaciones solo pueden proteger sus activos y recursos a través de
la implementación de un sistema de prevención, detección e investigación de fraude
apropiado, o lo que comúnmente llamamos Programa de administración de riesgo de
fraude.
Las accionistas o socios de las corporaciones tienen claras sus expectativas sobre el
comportamiento ético organizacional. Hoy en día somos testigos de cómo los delitos
económicos han crecido, y vemos también cómo los reguladores a nivel global incrementan
las penalidades y multas tanto para los individuos como para las organizaciones que
participaron o permitieron la comisión de delitos que son categorizados como fraude. Un
Gobierno Corporativo efectivo y bien instaurado es la base para la firme administración del
riesgo de fraude en cualquier tipo de entidad; mientras que la falta de políticas claras,
ambigüedades en cuanto a la aceptación del riesgo y vacíos en el conocimiento legal
socavan cualquier programa de administración del riesgo. La Junta Directiva y la
Administración deben marcar la pauta para establecer el estándar de la tolerancia del fraude
La Junta Directiva debe asegurar que sus propias prácticas de Buen Gobierno son la pauta
con la cual administran la Organización por medio de políticas, procesos y procedimientos
claros que fomentan el comportamiento ético a cualquier nivel e incluye a empleados,
clientes, proveedores, medios de comunicación, autoridades, reguladores y demás terceros
que de una u otra forma se relacionan con la empresa. La cultura organizacional es clave
en el desarrollo de los negocios y la Junta Directiva debe garantizar que la ética prevalezca
en cualquier tipo de negociación con terceros, tales como clientes, proveedores y
prestadores de servicios; así como también en la contratación, evaluación, remuneración
y/o promoción de los empleados.
www.auditool.org 18
Una Junta Directiva efectiva siempre está comprometida con la ética en los negocios y lo
refleja claramente en el desarrollo de las políticas, procesos, procedimientos, manuales,
evaluaciones y actividades de la Organización. Algunas organizaciones han desarrollado
una cultura corporativa que abarca fuertes prácticas de gobierno que incluyen los siguientes
aspectos:
Las leyes de la mayoría de los países prohíben los delitos económicos en todas sus
modalidades, como corrupción, fraude, lavado de dinero, entre otros. De hecho,
corporaciones internacionales que tienen impacto global han creado recomendaciones y
estándares que deben ser adoptados en los países por medio de regulación, y en muchos
casos esto implica el cambio de los códigos penales, civiles y comerciales. Sumado a lo
anterior, los gobiernos han incrementado tanto los castigos penales y pecuniarios para los
individuos involucrados en los delitos económicos como las sanciones para las empresas
en que se presenta el crimen.
Debido a que algunos grandes fraudes perpetrados en empresas que cotizan en bolsa de
valores o el mercado de valores causan que caiga dramáticamente el valor de las acciones,
se han generado escándalos de dimensiones poco medibles, y se ha ocasionado un daño
reputacional e inmenso perjuicio a los accionistas. Por lo tanto, para evitar este drama, debe
quedar claro que la Junta Directiva y la Alta Dirección deben responder a las expectativas
del conjunto de accionistas, y de la sociedad en general, que de alguna forma depositan en
la empresa toda su confianza; de lo contrario, los miembros de la Junta Directiva y Alta
Gerencia serán responsables de los delitos cometidos en la Organización.
www.auditool.org 19
Junta Directiva y Fraud Risk Management
Para establecer la pauta correcta con respecto a los crímenes económicos, la Junta
Directiva debe estar conformada correctamente y gozar de un excelente gobierno y
participación, lo cual implica que sus miembros sean reconocidos tanto por su
independencia y criterio profesional como también por su formación ética. Sobre sus
hombros estará depositada toda la confianza y a la vez la responsabilidad de ejercer el
control de la Organización y controlar el acceso a información sensible que usada
erróneamente puede destruir la entidad. Por tanto, cada miembro de la Junta Directiva debe
ejercer como mínimo las siguientes acciones relacionadas con el Programa de
administración del riesgo de fraude:
www.auditool.org 20
Aunque cada organización necesita considerar su tamaño y complejidad para determinar
qué tipo de documentos son los más apropiados para el Programa de administración de
riesgo de fraude, los siguientes son los temas que deben ser incluidos sin importar el tipo
de organización de que se trate:
• Roles y responsabilidades,
• Compromisos,
• Conocimiento del fraude,
• Divulgación de conflictos de interés,
• Evaluación de los riesgos de fraude,
• Procedimientos de informe y protección a delatores,
• Procesos de investigación,
• Acciones correctivas,
• Seguridad de la información,
• Monitoreo continuo.
Comité de auditoría
www.auditool.org 21
Los miembros del Comité de Auditoría deben ser abiertos y honestos con los auditores
externos, porque ellos necesitan contar con el compromiso y la colaboración del Comité, lo
cual incluye un diálogo cordial y abierto con todos los miembros, especialmente con
respecto al conocimiento de cualquier fraude o motivo de sospecha que conduzca a la
ocurrencia de un fraude en la Organización, como también respecto a la supervisión del
sistema de administración del riesgo de fraude, los controles y las medidas de mitigación.
• Marcar la pauta a seguir, o tener tolerancia cero al fraude y actitud férrea frente a
los delitos económicos. Como hemos mencionado en el transcurso del curso, la
cultura organizacional juega un papel preponderante en la prevención, detección y
disuasión del fraude. Los gerentes y administradores necesitan crear y adherirse a
dicha cultura organizacional a través de palabras y acciones con las cuales muestren
claramente que el fraude no se permite en la empresa, que cualquier comportamiento
sospechoso será investigado siempre con rapidez y decisión, y que los delatores no
sufrirán represalias.
• Implementar controles internos adecuados y alineados con la evaluación de riesgos
de la Organización, los cuales deben incluir las políticas y procedimientos definidos y
escritos para evaluar su efectividad. Para llevar a cabo una evaluación razonable es
necesario compilar la información desde varias áreas de la Organización como parte
del programa de administración del riesgo de fraude.
• Reportar a la Junta Directiva las acciones que han sido tomadas para administrar el
riesgo de fraude, así como su efectividad, las acciones correctivas y los riesgos
residuales.
Personal de la empresa
www.auditool.org 22
Todos los empleados de la Organización deben cumplir estas acciones:
• Conocer al menos lo mínimo sobre fraude y ser conscientes de las banderas rojas,
• Entender sus roles dentro del marco de los controles internos de la Organización,
• Conocer las funciones, políticas, procesos y procedimientos de su cargo,
• Conocer el reglamento laboral, el código de conducta y las demás políticas laborales
creadas en la empresa para evitar cualquier delito económico,
• Participar en la creación de un ambiente de control,
• Aceptar las actividades de implementación, control y monitoreo,
• Reportar actividades sospechosas o incidentes que impliquen un fraude,
• Cooperar en las investigaciones.
Auditoría interna
El Instituto de Auditores Internos (IIA) definió esta labor así: “auditoría interna es una
actividad de consultoría independiente y objetiva que añade valor y mejora las
operaciones de las organizaciones. Esto ayuda a que la Organización logre sus
objetivos a través de un enfoque sistemático y disciplinado para evaluar y mejorar la
efectividad de la administración del riesgo, los controles y el Gobierno Corporativo”.
Con relación al fraude, esto significa que la auditoría interna debe proveer garantías a la
Junta Directiva y Alta Gerencia sobre si los controles que han sido implementados son
suficientes para identificar las situaciones de riesgos de fraude, asegurar que dichos
controles están funcionando efectivamente, y que son apropiados y corresponden al apetito
del riesgo de la empresa. La auditoría interna tiene que revisar adecuada y
exhaustivamente aquellos eventos en los cuales los controles fueron anulados o
quebrantados.
Los auditores internos deben invertir tiempo y atención adecuados para evaluar el diseño y
operación de los controles internos relacionados con la administración del riesgo de fraude.
Así mismo, ellos deben ejercer escepticismo profesional cuando están revisando
actividades y estar alerta ante los signos de fraude que aparecen. Algunos fraudes
potenciales son descubiertos durante las fases preliminares de las auditorías, y deben ser
tratados de acuerdo con el plan de detección, profesionalismo y los estándares legales de
cada región. La función de auditoría interna también debe tomar un rol activo en la cultura
ética de la compañía.
www.auditool.org 23
Los miembros de la auditoría interna tienen la responsabilidad de obtener habilidades,
competencias y entrenamiento suficientes acerca de esquemas de fraude, banderas rojas,
técnicas de investigación, leyes, entre otros. Ellos deben recibir una capacitación y
actualización permanente que se adapte a las características de la empresa, como tamaño,
mercado, complejidad de las operaciones y lugar de los negocios. Además, la auditoría
interna debe ser independiente, tener un acceso adecuado al Comité de Auditoría y
adherirse a los estándares profesionales.
La mayoría de las organizaciones tienen formuladas por escrito las políticas, los procesos
y los procedimientos para administrar el riesgo, tales como reglamento interno de trabajo,
código de conducta, códigos de conducta especiales para la Junta Directiva y Alta Gerencia,
procedimientos para gastos de viajes y procesos estándar de investigación. Algunas
empresas también tienen actividades que han sido implementadas para evaluar el riesgo,
asegurar el cumplimiento, identificar e investigar violaciones, medir y reportar el desempeño
de la Organización a terceras partes, y comunicar expectativas. Sin embargo, pocas
compañías han desarrollado un resumen responsable y concienzudo de todos los
documentos y actividades para ayudar a comunicar y evaluar sus procesos, y estos se
deben agregar al Programa de administración de riesgo de fraude aun cuando la
Organización no cuente con algo formal. Para determinar el tipo de documento a anexar al
programa se sugieren las siguientes claves:
• Compromiso,
• Conocimiento del fraude,
• Procesos de afirmación,
• Divulgación de conflictos de interés,
www.auditool.org 24
• Evaluación de los riesgos de fraude,
• Procedimientos de información y protección de los denunciantes,
• Procesos de investigación,
• Acciones correctivas,
• Procesos de evaluación y mejoramiento,
• Monitoreo continuo.
Compromiso
La Junta Directiva y la Alta Gerencia deben comunicar por escrito su compromiso con
respecto a la administración del riesgo de fraude. Uno de los métodos más utilizados para
definir los valores y principios de la Organización es la creación del código de conducta, un
código de ética tanto general como específico para la Alta Gerencia. Otro método es la
utilización de documentos cortos o cartas por medio de los cuales todos los empleados,
vendedores y clientes se comprometan a aceptar y adoptar el ambiente ético y de control;
estos pueden ser revisados y reeditados en cualquier momento. Cada documento de
compromiso debe ser firmado o ratificado por el presidente de la Junta Directiva y debe ser
entregado incluso a los nuevos empleados en el proceso de vinculación a la Organización.
El reglamento interno de trabajo es otro mecanismo de compromiso para crear un ambiente
ético y de control, que incluso en muchos casos se convierte en el mejor método de
disuasión.
www.auditool.org 25
Procesos de afirmación
El proceso de afirmación es el mecanismo por medio del cual la Junta Directiva y la Alta
Gerencia o Administración de la Organización dan a conocer el código de conducta, las
políticas antifraude y demás procesos concernientes a la prevención de los delitos
económicos, a todos los empleados, clientes, proveedores y contratistas. Dichas personas
o empresas deben reconocer, leer y firmar los acuerdos expresados en documentos en los
que conste que conocen los procesos para prevenir las conductas que deriven en cualquier
crimen económico, como también que aceptan y se adhieren al programa de administración
de riesgo y están dispuestos a delatar cualquier conducta sospechosa de fraude o
corrupción. Las empresas que no implementen este proceso de afirmación corren el riesgo
de caer en irregularidades de índole legal costosas y quizás irreparables. Incluso, las
organizaciones deben determinar si existe cualquier problema legal sin resolver antes de
implementar dicho paso.
El proceso de afirmación puede ser manual o electrónico, pero siempre debe tener una
persona responsable que implemente las mejores prácticas para sensibilizar a las
contrapartes sobre dicho proceso, dado que todos aquellos que tengan una relación
contractual con la Organización deben someterse al cumplimiento de las políticas
antifraude. De igual forma, se deben especificar las consecuencias para quienes no se
adhieran al Programa de administración del riesgo de fraude a través del proceso de
afirmación.
Entre las formas para extender el proceso de afirmación se incluyen las siguientes:
• Incorporar a los contratos los términos mediante los cuales los proveedores de bienes
y servicios afirman que están de acuerdo con, y acatan, el código de conducta de la
Organización.
• Exigir un código de conducta específico para la Junta Directiva, la Alta Gerencia y
empleados de alta jerarquía en la Organización.
• Crear acuerdos especiales entre los contratistas, proveedores y la Organización
sobre confidencialidad, uso clasificado de la información y conflictos de intereses.
• Incorporar en el reglamento interno de la empresa un capítulo dedicado a la
administración del riesgo de fraude, sanciones disciplinarias y causales de despido.
• Crear la política de denunciar cualquier tipo de actividad que generó, esté generando
o pueda generar un fraude en la Organización.
• Crear la política de que todos los empleados, incluidos los nuevos, deben cooperar
plenamente con las investigaciones sobre cualquier sospecha o acto de fraude y
corrupción.
www.auditool.org 26
Divulgación de conflictos de interés
Este proceso debe ser implementado por la Junta Directiva y la Alta Gerencia para
determinar los conflictos de intereses existentes o potenciales. Este paso constituye uno de
los avances más importantes en cuando a la administración del riesgo, dado que la colusión
y los conflictos no divulgados causan grandes pérdidas económicas. El Programa de
administración del riesgo de fraude debe incluir los mecanismos para que las contrapartes
divulguen por sí mismos cualquier tipo de conflicto de intereses a la Organización. Se debe
distinguir o tener en cuenta qué pasa cuando el conflicto de intereses es divulgado y qué
pasa cuando el conflicto se oculta.
www.auditool.org 27
La evaluación del riesgo comienza con la identificación y priorización de los riesgos
existentes de fraude del negocio. El proceso evoluciona en la medida en que la
identificación y priorización sustenten la formación y comunicación de alineamientos
organizacionales y la ejecución de las demás acciones alrededor de la administración
efectiva del riesgo de fraude, para dar paso a la identificación de nuevos riesgos que surgen
con el desarrollo de las actividades del negocio.
El Sistema de Control Interno en una organización está diseñado para gestionar los riesgos
inherentes del negocio. Los riesgos del negocio son identificados por medio del protocolo
de evaluación empresarial; asimismo, los controles asociados con cada riesgo analizado,
planificados e implementados. Por ejemplo, el marco COSO, Enterprise Risk Management–
Integrated Framework describe los elementos, principios y conceptos esenciales para todas
las organizaciones, sin importar su tamaño.
Dentro de los objetivos de la evaluación del riesgo de fraude se encuentran los siguientes:
www.auditool.org 28
• Desarrollar técnicas de investigación para determinar el impacto del fraude,
• Evaluar el Sistema de Control Interno,
• Cumplir con las regulaciones y los estándares profesionales.
• Los controles que han sido eliminados debido a los esfuerzos de reestructuración. Es
muy común reducir el tamaño de la Organización y eliminar el control sobre la
separación de las funciones o segregación de deberes, lo cual incrementa
ostensiblemente el riesgo de fraude.
www.auditool.org 29
• Controles que se han erosionado con el tiempo debido a la reingeniería de los
procesos de la empresa. Por ejemplo, se contrata personal temporal a través de
agencias de empleo y no se hace la debida inducción al nuevo personal, con la
convicción de que el contrato es temporal y corto, y los nuevos empleados provienen
de una fuente confiable.
• Nuevas oportunidades de colusión.
• Carencia de controles internos en áreas vulnerables.
• Incumplimiento de los controles, procesos y procedimientos impuestos. Por ejemplo,
los controles que alguien ha comprometido para su propia conveniencia.
• Limitaciones inherentes del control interno que son aprovechadas por los
perpetradores para cometer el fraude y esconderlo. En este caso, se puede usar el
nivel de autoridad para saltar o anular los controles.
Además de lo anterior, es pertinente aclarar que la evaluación del riesgo de fraude debe
incluir los controles actuales para determinar qué tan efectivos son hasta el momento y qué
tan eficientes puede ser en el futuro. Para lograr esto, se debe convencer a la Junta
Directiva sobre la evaluación total del sistema de control, sin importar su diseño ni su tiempo
de implementación.
www.auditool.org 30
• Acceso sin límites a todas las personas de la Organización para obtener la mayor
cantidad de información disponible, más aún de las personas que trabajan en los
cargos operativos y viven el día a día del negocio.
• Confianza en el proceso de evaluación del riesgo de fraude entre los líderes y los
empleados para que todo el personal esté totalmente comprometido con el proceso.
• Habilidad para pensar lo impensable y mente abierta, dado que la habilidad de los
perpetradores puede rebasar los controles y crear nuevas modalidades para cometer
el fraude y esconderlo.
• Plan de mantenimiento de la evaluación del riesgo a través del tiempo con el ánimo
de mejorar los controles o crear nuevos para mitigar el riesgo de fraude.
Teniendo en cuenta que la gente comete fraudes y que, igualmente, las personas son el
mejor activo de una organización para prevenir, detectar y disuadir el fraude, las
organizaciones deberían considerar la promoción de los recursos habilitados o disponibles
para que los individuos puedan reportar las sospechas o cualquier comportamiento que
pueda generar fraude o corrupción. Por ejemplo, los recursos más comunes y de fácil
acceso son las páginas éticas ubicadas en la página o sitio web de la Organización;
asimismo, las líneas éticas en las cuales el delator puede comunicarse telefónicamente son
otro recurso para denunciar actos corruptos o fraudulentos contra la empresa.
Para alentar los reportes oportunos de las sospechas de fraude, la Organización debería
comunicar las protecciones otorgadas a los individuos que hagan las denuncias, lo cual es
conocido dentro del Programa de administración del riesgo de fraude como la protección a
los delatores. De hecho, en ciertos territorios dicha protección debe ser regulada con el fin
de proteger al delator frente cualquier acto de venganza o retaliación.
www.auditool.org 31
Procesos de investigación
Acciones correctivas
Las medidas correctivas son las que aplican las consecuencias y los procesos
sancionatorios para aquellos que cometieron un fraude o actividades que ayudaron a que
el fraude se cometiera. Por lo tanto, dichas medidas son un fuerte elemento disuasivo que
debe ser conocido por todos y cada uno de los empleados, clientes, proveedores y, en
general, las contrapartes que tienen relación con la empresa. El código de conducta, los
acuerdos con contratistas y el reglamento de trabajo deben incluir las consecuencias de la
sospecha y/o comisión del fraude. Estas consecuencias incluyen la terminación de la
relación laboral o contractual y el reporte a las autoridades legales y regulatorias, y en la
mayoría de los casos se articula el derecho civil y penal por medio de una acción legal en
contra de quien cometió el fraude. En cualquiera de los casos, la práctica de denunciar sin
importar el tamaño de las pérdidas económicas es otro de los mecanismos de disuasión,
ya que muchos perpetradores atacan varias veces y en diferentes organizaciones sin tener
sanciones de carácter legal o social que pare su comportamiento criminal.
No se limite al tamaño de las consecuencias del fraude, recuerde que fraude es fraude y
son las consecuencias las que determinan la gravedad del fraude.
www.auditool.org 32
En los casos en que el fraude ocurre a pesar de las políticas instauradas en la Organización,
se debe revisar el proceso e identificar las falencias, debilidades y fallas del control interno
que fueron socavadas para permitir el fraude, lo cual conduce a la rectificación y el
replanteamiento de los procesos. Por esto, la evaluación del riesgo de fraude debe ser
recurrente, para evitar precisamente que los controles deficientes contribuyan a la comisión
de un crimen. Los auditores internos son un recurso importante para esta labor.
El Programa de administración del riesgo de fraude debe incluir cómo y cuándo la Alta
Gerencia de la Organización evaluará la efectividad del programa y monitoreará los
cambios. Como se ha venido explicando durante el curso, este programa es dinámico y
depende de la evolución del negocio y del entorno; por lo cual la evaluación del riesgo y el
mejoramiento del programa deben ser periódicos. Este proceso incluye estudios
estadísticos, análisis de gestión, indicadores financieros, comparaciones con otras
empresas y el sector, proyecciones micro y macroeconómicas, estudios económicos y, en
general, los datos y fuentes que le ayuden a la Administración a detectar nuevos esquemas
de fraude y defraudadores. Los resultados de dicha evaluación deben ser reportados a los
grupos supervisores o a la Junta Directiva para que sean usados en el mejoramiento del
Programa de administración del riesgo de fraude.
Con el objetivo de maximizar la efectividad del proceso de evaluación del riesgo de fraude,
el equipo debe considerar los siguientes puntos para reportar los resultados:
www.auditool.org 33
• Enfoque en lo que realmente importa: para el reporte de los resultados de la
evaluación del riesgo de fraude es clave escoger los temas que tienen mayor impacto
en la Organización en cuanto a pérdidas, personas, cargos o situaciones. Convertir el
informe de resultados en una larga lista de hechos sin clasificar que la Gerencia de la
empresa debe solucionar evitará que el proceso continúe. Priorizar aspectos,
determinar qué es lo realmente importante e impactante ayudará a que la Gerencia
se enfoque en mitigar tales riesgos. Clasifique adecuadamente los hechos y
preséntelos por grupos de modo que todos queden amparados en el informe, por lo
cual se debe tener conocimiento de las actividades que permiten el fraude y las
clasificaciones del fraude.
• Identifique las acciones que son claras y medibles para afrontar los resultados:
el informe debe contener recomendaciones para las acciones que son claras y
medibles y pueden disminuir el riesgo de fraude. Estas se deben presentar de tal
manera que si se siguen las recomendaciones los riesgos disminuirán. Debido a esto,
el reporte no debe contener recomendaciones vagas, poco claras o subjetivas y, por
el contrario, las recomendaciones deben ir atadas a los hechos o factores que
demostraron el incremento del riesgo de fraude. Adicionalmente, las
recomendaciones deben ser aceptadas por la Gerencia, la Administración e incluso
por aquellos que de una u otra forma se afectan con las recomendaciones.
El reporte gráfico es un formato que usa los cuadros de mandos de control o tendencias
que ayuda a los miembros de la Junta Directiva y Alta Gerencia a visualizar los aspectos
de mayor importancia y su estado en la gráfica, los cuales pueden ser reemplazados por
otros temas o problemas en la Organización. Por lo tanto, este cuadro de mando de control
debe ser dinámico y puede ser acompañado con el informe del plan de acción, que no debe
tener más de dos páginas. El uso de software especializado en este tipo de informes le
ayudará a innovar con presentaciones dinámicas y precisas para la entrega del informe final
de resultados.
El resumen ejecutivo es un formato compuesto por una sola página que contiene los
aspectos de mayor importancia de la evaluación del riesgo de fraude. Dicho reporte le
brinda al lector una fotografía sobre los resultados del trabajo, junto con la visión del
direccionamiento de los resultados y las acciones que se tomarán para reducir el riesgo de
fraude. Este formato ayuda al equipo a enfocarse en lo que realmente tiene alto impacto en
la Organización. Recuerde mantener el informe ampliado a la mano para dar respuestas a
preguntas específicas sobre la evaluación del riesgo.
www.auditool.org 34
Evaluación del riesgo de fraude y proceso de auditoría
La evaluación del riesgo de fraude debe jugar un papel importante por medio de informar e
influir en el proceso de auditoría. Igualmente, al ser usada en el programa anual de
auditoría, la evaluación del riesgo de fraude debe orientar la estrategia y sensibilización de
la auditoría para aquellas áreas que sea han identificado como origen de un riesgo de fraude
de moderado a alto. Aunque los auditores siempre deben estar en guardia y preparados
para entender los indicadores de fraude, los resultados de la evaluación del riesgo ayudan
fuertemente a los auditores a diseñar un plan de auditoría efectivo y proactivo, enfocándose
en las áreas conocidas como fuente de alto riesgo de fraude.
Durante el transcurso de este trabajo los auditores deben validar que la Organización está
administrando apropiadamente los riesgos calificados entre moderados y altos por la
evaluación del riesgo de fraude, como se describe a continuación:
Monitoreo continuo
www.auditool.org 35
MÓDULO 3: PRINCIPIOS FUNDAMENTALES EN LA ADMINISTRACIÓN DEL FRAUDE
– P2. EVALUACIÓN PERIÓDICA DEL PROGRAMA
Las organizaciones deben conocer sobre el riesgo de fraude que las afecta directa o
indirectamente para protegerse a sí mismas y a sus accionistas. Una evaluación
estructurada del riesgo de fraude debe ser elaborada de acuerdo con el tamaño, la
complejidad, la industria, el tipo de mercado, y los objetivos. Así mismo, tal evaluación debe
ser realizada periódicamente con el fin de mejorar los controles e identificar nuevos riesgos.
La evaluación puede estar integrada al estudio general de riesgos de toda la Organización
o, si se prefiere, puede hacerse de forma individual, pero en cualquiera de los casos la
evaluación del Programa de gestión del riesgo de fraude debe contemplar como mínimo la
identificación, la probabilidad y la mitigación del riesgo.
Un proceso efectivo de identificación del riesgo incluye la evaluación de los elementos del
triángulo del fraude: incentivos, presiones y oportunidades. La elaboración de indicadores
que involucren los incentivos que pueden recibir los empleados para cometer un fraude
provee valiosa información sobre la probabilidad de que dicho fraude ocurra. Incluso, puede
contemplarse la posibilidad de reemplazar los controles actuales en áreas débiles o donde
no exista segregación de funciones.
www.auditool.org 36
La era de la información ha generado grandes beneficios en las organizaciones, que se
reflejan en la velocidad, funcionalidad y la accesibilidad a la información. No obstante, las
empresas enfrentan hoy una mayor exposición al fraude informático. Por consiguiente,
cualquier evaluación del riesgo de fraude debe considerar el acceso y la anulación de los
sistemas de control, como también las amenazas internas y externas de la integridad de las
bases de datos, los sistemas de seguridad y el robo de información financiera y del negocio.
Las organizaciones deben buscar un enfoque estructurado para abordar los riesgos. El
beneficio del Programa de administración del fraude debe ser mayor al costo que éste
representa, y la Junta Directiva y la Administración de la empresa deben asegurar que la
Organización posee los controles apropiados en cada lugar y reconocen sus deberes y
responsabilidades como supervisores en términos de sostenibilidad empresarial para sus
socios o accionistas. En conclusión, la Gerencia o Administración de la compañía es
responsable por el desarrollo y ejecución de los controles para evitar el riesgo de fraude,
aplicados por personal objetivo y competente.
Las organizaciones pueden identificar y evaluar los riesgos de fraude en relación con una
evaluación general de riesgos de la empresa, o de forma independiente a través de una
guía para la evaluación del riesgo de fraude con la cual las organizaciones pueden adaptar
su propio enfoque para satisfacer sus necesidades individuales, complejidades y metas.
La fundamentación de un programa eficaz de gestión del riesgo de fraude debe ser visto
como un componente que exige un mayor esfuerzo de gestión del riesgo empresarial,
basado en una evaluación del riesgo que identifica dónde se puede producir el fraude y
quiénes podrían ser los responsables. Con este fin, las actividades de control siempre
deben tener en cuenta tanto el esquema de fraude como los individuos dentro y fuera de la
Organización que podrían ser los autores de cada acto que conlleva al fraude. En los casos
de posible colusión, los medios de prevención deberían aumentarse mediante controles de
prevención y detección por medio de estricta separación o segregación de funciones.
www.auditool.org 37
Como hemos tratado, el fraude, por definición, implica mala conducta intencional que está
orientada a evadir la detección y los controles. Por lo tanto, el equipo de evaluación del
riesgo de fraude debe participar en el razonamiento estratégico para anticipar el
comportamiento de un posible fraude y su perpetrador. Igualmente, el razonamiento
estratégico requiere una mentalidad escéptica e implica hacer preguntas tales como las
siguientes:
Teniendo en cuenta las anteriores preguntas, la evaluación del riesgo de fraude incluye
los siguientes elementos:
Una buena evaluación del riesgo requiere el aporte de diversas fuentes y profesionales.
Antes de llevar a cabo una evaluación de riesgos, la Administración debe conformar un
equipo de evaluación de riesgos, que debe incluir individuos de la Organización con
conocimientos, habilidades y perspectivas diferentes. Así mismo, debe incluir una
combinación de recursos internos y externos, tales como estos:
www.auditool.org 38
• Personal de gestión de riesgos para asegurar que el proceso de evaluación del riesgo
de fraude se integra con el Programa de administración de riesgos de toda la
Organización.
• Personal jurídico y de cumplimiento, ya que la evaluación del riesgo de fraude
identificará los riesgos que dan lugar al potencial perpetrador, los problemas civiles,
y la responsabilidad frente a los reguladores y entes de control si el fraude o la mala
conducta se produjeran.
• Personal de auditoría interna que esté familiarizado con los controles internos de la
Organización y funciones de supervisión. Además, los auditores internos serán parte
integral en el desarrollo y ejecución de las respuestas a los riesgos importantes que
no se pueden mitigar prácticamente por los controles preventivos y de detección.
• Consultores externos con experiencia en las normas aplicables, los indicadores clave
de riesgo, la metodología de lucha contra el fraude, las actividades de control y
procedimientos de detección.
• Gestión.
• Altos directivos.
• Líderes de las unidades de negocios.
• Dueños de procesos importantes (por ejemplo, contabilidad, ventas, compras y
operaciones) deben participar en la evaluación, ya que son en última instancia
responsables de la eficacia de los esfuerzos de gestión del riesgo de fraude de la
Organización.
Una vez conformado el equipo de evaluación de riesgos, se debe realizar una lluvia de
ideas para identificar los riesgos de fraude de la Organización. Este método implica la
preparación anticipada por parte de los miembros del comité evaluador y de su líder para
establecer la agenda, facilitar la sesión y la apertura a las ideas sobre los posibles riesgos
y controles. La lluvia de ideas es un método que permite abrir las discusiones de los
incentivos, presiones y oportunidades para cometer fraude; los riesgos de la Administración
cuando se sobrepasan los controles; y los riesgos de fraude relevantes de la Organización.
Otros riesgos, tales como la falta de regulación o el riesgo legal, el riesgo reputacional y el
riesgo operativo, así como el impacto de las TIC o nuevas tecnologías para cometer fraude,
también deben ser considerados en el proceso de identificación de riesgos de fraude de la
Organización.
www.auditool.org 39
Incentivos, presiones y oportunidades
La teoría del triángulo del fraude nos enseña que existen tres elementos interrelacionados
que habilitan a una persona a cometer fraude: los incentivos, las presiones y las
oportunidades. Los incentivos y las presiones conducen al individuo a cometer el fraude, la
oportunidad le abre la puerta al fraude y la racionalización justifica su actuar.
Los motivos para cometer fraude son numerosos, diversos y amplios. Por ejemplo, un alto
ejecutivo puede creer que la estrategia de negocio de la Organización en última instancia
permitirá el éxito, pero los resultados negativos iniciales necesitan ser ocultados para darle
tiempo a la madurez de la estrategia. Otro ejecutivo necesita añadir valor a las acciones de
la empresa para tener derecho a una bonificación o para satisfacer las expectativas de sus
analistas; y otro ejecutivo subestima el concepto de ahorrar con el fin de proveer reservas
para las temporadas de vacas flacas o de bajas ventas, y por medio del abuso defrauda a
la empresa.
Las presiones sobre los individuos para lograr un rendimiento u otros objetivos son otro
factor de importancia, y a menudo son más difíciles de cuantificar. Algunas organizaciones
son transparentes en cuanto el establecimiento de objetivos y métricas específicas sobre
las cuales se medirá el rendimiento operativo o comercial del personal. Otras
organizaciones son más indirectas y sutiles, y se basan en la cultura corporativa para influir
en el comportamiento de los empleados. En muchos casos, los individuos pueden no tener
ningún incentivo monetario gradual para ajustar de manera fraudulenta una transacción
contable o comercial, pero puede haber una fuerte presión, tanto real como percibida, sobre
un empleado para actuar de manera fraudulenta.
www.auditool.org 40
Adicionalmente, las oportunidades para cometer fraude existen en todas las organizaciones
y pueden ser razón suficiente para incurrir en una conducta criminal. Estas oportunidades
son mayores en las zonas con débiles controles internos y sin segregación de funciones.
De modo que es la empresa misma, en la mayoría de los casos, la que genera la
oportunidad para la comisión del fraude. Sin embargo, algunos fraudes, en particular los
cometidos por los miembros de la Administración en algunos casos, pueden ser difíciles de
detectar debido a la que la gestión individual puede eliminar los controles. Por lo tanto, las
oportunidades son la razón para que la Junta Directiva, la Alta Dirección y el Comité de
Auditoría trabajen conjuntamente la gestión del riesgo de fraude.
Como parte del proceso de identificación de los riesgos de fraude, es importante tener en
cuenta la posibilidad de que los miembros de la Administración o cualquier empleado
sobrepasen los controles internos establecidos para prevenir o detectar el fraude. Es
razonable suponer que los individuos que tienen la intención de cometer fraude usarán su
conocimiento sobre los controles internos y aprovecharán sus debilidades o vacíos para
ocultar sus acciones. Por ejemplo, un gerente que tiene la autoridad de aprobar nuevos
proveedores puede crear y aprobar un proveedor ficticio y luego presentar las facturas
reales para el pago, en lugar de presentar directamente facturas falsas para el pago. Por lo
tanto, también es importante tener en cuenta el riesgo de anulación de la gestión de los
controles internos a la hora de evaluar la eficacia de los mismos; es decir, un control
antifraude no es eficaz si se puede reemplazar fácilmente y el mero hecho de tenerlo
implementado no implica que se debe descartar como posible fuente de fraude.
La identificación de riesgos de fraude requiere una comprensión del universo de los riesgos
de fraude y el subconjunto de los riesgos específicos de la Organización. Para lograr esto,
es básico tener presente los pronunciamientos y la información de fuentes externas, tales
como noticias de la industria, quejas y casos penales, civiles y legales; así mismo, los
reportes de organizaciones que han sido reconocidas por la investigación y el aporte de
estos temas, tales como el IIA, AICPA, ACFE, y CICA.
www.auditool.org 41
Existen diversas clasificaciones del fraude pero, en resumidas cuentas, el árbol del fraude
que se encuentra anexo a este curso le ayudará a la identificación individual de los riesgos
de fraude. Sin embargo, los riesgos ocupacionales de fraude se clasifican universalmente
en tres categorías generales: declaraciones fraudulentas en los estados financieros,
malversación de activos, y corrupción. El uso de estas categorías es el punto de partida de
un desglose más detallado para producir una evaluación del riesgo de fraude específico en
cada organización.
El fraude en los estados financieros se reconoce por la alteración de las cuentas contables,
dependiendo del objeto del fraude y el usuario. Para algunos casos, el perpetrador
incrementará las cuentas que de alguna forma afectan positivamente la utilidad de la
Organización para mostrar a los usuarios de la información un resultado óptimo de la
operación. Sin embargo, en algunas situaciones el criminal puede afectar la utilidad
negativamente para solicitar mayores anticipos en los contratos ganados o defraudar a los
socios o accionistas. Independientemente de cuál sea el motivo, no deja de ser malévolo el
engaño. A continuación, se presenta la clasificación del fraude en los estados financieros o
declaraciones fraudulentas:
www.auditool.org 42
En la evaluación del riesgo de fraude en los estados financieros con declaraciones
fraudulentas se deben hacer preguntas que ayuden a clarificar y desenmascarar aquellos
aspectos del fraude que pueden estar escondidos. Por ejemplo:
Malversación de activos
Los activos tangibles, como dinero en efectivo e inventario, o intangibles, como las patentes
comerciales o información confidencial del cliente, son objeto de la apropiación indebida
por parte de los empleados, clientes, proveedores o contratistas. La Organización debe
asegurarse de que los controles están funcionando para proteger dichos activos. Las
consideraciones a realizar en el proceso de evaluación del riesgo de fraude incluyen la
identificación de los activos que están sujetos a la apropiación indebida, los lugares donde
se mantienen tales activos y el personal que tiene control y acceso a los bienes tangibles e
intangibles.
www.auditool.org 43
Los engaños o fraudes más comunes que se incluyen en esta categoría son los siguientes:
• Malversación de Activos
A. Disponible
1. Robo de dinero por documentos
a. Hurto
i. Ventas
1) Ventas ficticias
2) Anulación de facturas
ii. Cuentas por cobrar
1) Alteración del saldo del cliente
2) Pérdida total de la cuenta
3) Alteración de recibos
4) Recibos y pagos sin conciliar
5) Jineteo
iii. Devoluciones
b. Hurto en efectivo
2. Robo de dinero en efectivo
a. Ventas no registradas
b. Abonos no registrados
c. Cambio de efectivo por cheque
3. Desembolsos fraudulentos
a. Facturación
i. Empresas de papel
ii. Vendedores no autorizados
iii. Compras personales
b. Gastos
i. Gastos disfrazados
ii. Gastos inflados
iii. Gastos ficticios
iv. Gastos duplicados
c. Tesorería
i. Falso proveedor
ii. Endoso falsificado
iii. Alteración del beneficiario
iv. Alteración del valor
v. Vendedor o mensajero no autorizado
vi. Elaborador no autorizado
vii. Falso autorizador
d. Desembolsos
i. Registro doble
ii. Falsas transacciones
iii. Dobles transacciones
www.auditool.org 44
B. Inventario
1. Mal uso
a. Consumo
b. Desperdicio
c. Vencimiento
d. Averías
2. Hurto
e. Transferencias y traslados
f. Falsa facturación de ventas
g. Compras ficticias
h. Recepción parcial de productos
i. No registro de promociones y ofertas
j. Falso envíos y domicilios
k. Robo encubierto
La protección contra estos riesgos requiere no solo de los controles de físicos, sino también
de controles periódicos, tales como la toma física de inventario con conciliaciones en el libro
mayor o la debida diligencia de los proveedores y contratistas. De todas formas, un criminal
inteligente puede estar pensando en este tipo de controles y diseñar el fraude para eludirlos
u ocultarse a través de las falencias de los controles actuales. Por lo tanto, quienes realizan
la evaluación de riesgos deben tener esto en cuenta e ir más allá de lo que un perpetrador
puede pensar para determinar la probabilidad de fraude y su impacto en la Organización.
Como puede observarse, la clasificación de malversación de activos es bastante compleja
y amplia; por lo tanto, se recomienda dividirla en diferentes temas o campos de acción,
como inventarios, tesorería, entre otros.
Corrupción
La corrupción se define operacionalmente como el abuso del poder para beneficio privado,
actuación que está regulada y sancionada en muchos países del mundo. Por ejemplo, en
Estados Unidos, la FCPA prohíbe a las entidades de origen americano y a sus filiales en el
extranjero sobornar a funcionarios de gobiernos extranjeros, ya sea directa o
indirectamente, para obtener o retener un negocio. Hay leyes similares contra la corrupción
en otros países, así como las pautas establecidas por la Convención de las Naciones
Unidas contra la Corrupción, suscrita por más de 100 países.
Aquellas organizaciones que tienen operaciones fuera de sus países de origen deben tener
en cuenta otras leyes contra la corrupción para establecer un Programa de gestión del
riesgo de fraude. A nivel global, Transparencia Internacional es la organización
multinacional que lucha contra la corrupción y promueve la transparencia en los negocios y
el gobierno. Cada año, Transparencia Internacional emite el informe denominado Índice de
Percepción de la Corrupción anual, que clasifica a los países de acuerdo con sus niveles
de corrupción.
www.auditool.org 45
El Índice de Percepción de la Corrupción puede ayudar a las organizaciones a priorizar sus
esfuerzos contra la corrupción en las zonas del mundo con mayor riesgo. Sin embargo, no
se puede olvidar que la corrupción también puede ocurrir en el país de origen de una
organización e involucrar a cualquier sector económico y al gobierno. Es decir, la corrupción
es una práctica anticomercial de carácter global con devastadoras consecuencias
económicas, políticas y sociales.
Una forma común de la corrupción es ayudar e instigar a los perpetradores para que
obtengan sus beneficios por encima de cualquier principio colectivo. Las autoridades
policiales de todo el mundo han procesado numerosos casos en los que las organizaciones
no han falsificado sus estados financieros pero estructuraron algunas transacciones o
realizaron gestiones que permiten a otras organizaciones o individuos tergiversar sus
estados financieros de forma fraudulenta. Una evaluación exhaustiva de los riesgos tendrá
en cuenta el riesgo de que alguien participe en este tipo de comportamiento, así como otros
tipos de prácticas que puedan ser aplicables a la Organización. A continuación se encuentra
la clasificación de los tipos de corrupción:
• Corrupción
A. Pública
2. Corrupción administrativa
a. Cohecho o sobornos
b. Colusión
c. Tráfico de influencias
d. Peculado
e. Prevaricato
B. Privada
3. Conflicto de intereses
4. Sobornos
5. Manipulación de licitaciones
6. Favoritismo
7. Regalos y gratificaciones
Nómina
www.auditool.org 46
• Nómina
A. Empleados fantasma
1. Empleados no conocidos
2. Empleados retirados
B. Salarios falsos
1. Incrementos salariales
2. Cuentas bancarias no relacionadas
C. Comisiones
1. Sin soporte o justificación
2. Cargos sin comisiones
D. Seguridad social
1. Falsas afiliaciones
2. Empleados retirados
3. Empleados no conocidos
Los riesgos de TI pueden incluir amenazas a la integridad de los datos, amenazas de los
hackers a la seguridad del sistema, y el robo de información financiera y sensible de la
empresa. Ya sea en forma de piratería, espionaje económico, desfiguración web, sabotaje
de los datos, virus o acceso no autorizado a los datos, los riesgos de fraude pueden afectar
a todos. De hecho, puede ser utilizado por personas con intención de cometer fraude en
cualquiera de las tres áreas de riesgo de fraude en el trabajo definidas por la ACFE.
• Cibercrimen
A. Piratería
1. Reproducción o utilización de propiedad intelectual
2. Distribución de propiedad intelectual
B. Acceso no autorizado
1. Sistemas de información
2. Robo de identidad
3. Robo de información
4. Uso de dispositivo electrónicos
www.auditool.org 47
C. Vandalismo
1. Destrucción de información
2. Saboteo de sistemas de información
3. Interrupción del servicio
4. Suplantación del sistema de información o web
5. Instalación de malware
• Riesgo reputacional
• Riesgo financiero
• Riesgo operacional
El riesgo operativo u operacional está relacionado con la pérdida económica originada por
las fallas en los procesos internos, empleados no aptos en los lugares de trabajo, sistemas
de información inadecuados, tecnología que no soporta las actuales operaciones,
infraestructura inadecuada, o eventos externos que afecta el desarrollo normal del objeto
social de la empresa. La ausencia, carencia o fallas en el control de los procedimientos son
la oportunidad que los delincuentes buscan dentro de las empresas para limpiar el dinero o
cometer un delito, en muchos casos acompañados por la negligencia o complicidad de
terceros relacionados con el negocio para facilitar la acción delincuencial o la transacción
ilegal.
www.auditool.org 48
• Riesgo de mercado
• Riesgo de contagio
El riesgo de contagio es la posibilidad que tiene el negocio de sufrir pérdidas por un evento
directo o indirecto relacionado con sus contrapartes, que puede ser un cliente, un
proveedor, un accionista o personas vinculadas con la empresa con capacidad dominante
que ejercen control e influencia. Dicha acción o experiencia puede ocurrir dentro del mismo
sector económico afectando económicamente a la empresa, aún si esta no es parte de la
actividad delincuencial. Esto significa que los delincuentes tienen identificado que cierto
sector económico no posee los controles necesarios para evitar el blanqueo de capitales o
fraude, y entonces usan las empresas que están dentro de este sector.
www.auditool.org 49
La evaluación de la probabilidad de un riesgo de fraude se establece por medio de los casos
de fraude que se presentaron en el pasado en la Organización, la prevalencia del riesgo de
fraude en la industria de la Organización, y otros factores, incluyendo el número de
transacciones individuales, la complejidad de los riesgos, y el número de personas
involucradas en la revisión o aprobación de los procesos. Las organizaciones pueden
categorizar la probabilidad de posibles fraudes como se considere razonable, pero las tres
categorías que son generalmente adecuadas son estas: remota, razonablemente posible y
probable.
Como parte del proceso de evaluación de riesgos, la Organización debe evaluar los
incentivos y las presiones sobre los individuos y las áreas de trabajo o departamentos, y
utilizar esta información en el proceso de evaluación de cuáles son los individuos o
departamentos más propensos a tener incentivos para cometer un fraude, y de ser así, a
través de qué medios. Esta información se puede resumir en la tabla de evaluación del
riesgo de fraude y puede ayudar a las organizaciones a diseñar respuestas para los riesgos
correspondientes o encontrados.
La tolerancia al riesgo varía de una organización a otra. Para empresas de mayor tamaño,
la Junta Directiva debe ajustar el nivel de tolerancia al riesgo de la Organización, teniendo
en cuenta sus responsabilidades hacia los accionistas, los proveedores de capital, y las
partes interesadas; por lo tanto, tales empresas tendrán un programa de respuesta frente
al fraude mucho más robusto; mientras que algunas organizaciones de menor tamaño solo
abordarán los riesgos de fraude que podrían tener un impacto material en los estados
financieros.
www.auditool.org 50
Muchas organizaciones implementarán la política de "tolerancia cero" con respecto al
fraude, sin embargo, existen ciertos riesgos de fraude que una organización considera
demasiado costosos y requieren de mucho tiempo para hacerles frente a través de los
controles. En consecuencia, la Organización puede decidir no poner los controles en su
lugar para hacer frente a tales riesgos, y si se descubre un fraude, se aplicará la política de
tolerancia cero para el fraude y aceptará las consecuencias que esto genere.
La Junta Directiva debe garantizar que el grupo de gestión del fraude ha puesto en marcha
el nivel adecuado de controles basados en la tolerancia al riesgo que se ha establecido
para la Organización. En efecto, se deben tener en cuenta los estados financieros y las
operaciones de una organización para diseñar controles adecuados. La clave de este
proceso es ser selectivo y eficaz. Probablemente, hay miles de posibles controles que se
podrían implementar pero el objetivo apunta a un enfoque puntual, específico y estructurado
con controles eficientes que ofrezcan el mayor beneficio por el costo de los recursos.
Al abordar los riesgos de fraude, se debe tener cuidado para asegurar que los controles
antifraude están operando efectivamente y han sido diseñados incluyendo las medidas
adecuadas para hacer frente a los riesgos relevantes. Por lo tanto, los controles antifraude
deben estar diseñados de manera adecuada y ejecutados por personas competentes y
objetivas. La documentación de gestión de los controles antifraude debe incluir la
descripción de lo que hace el control, para qué está diseñado, quién llevará a cabo el
control, quién supervisará y evaluará la eficacia del control y la segregación de funciones
relacionadas.
www.auditool.org 51
MÓDULO 4 PRINCIPIOS FUNDAMENTALES EN ADMINISTRACIÓN DEL FRAUDE -
P3. TÉCNICAS DE PREVENCIÓN DE FRAUDE
Por otra parte, uno de los elementos más fuertes de disuasión es la conciencia de que todos
los controles y medidas están funcionando perfectamente. La combinación entre los
controles preventivos y las medidas de detección mejoran sustancialmente la efectividad
del Programa de administración del riesgo de fraude. En conclusión, sabemos que todas
las organizaciones son susceptibles de ser objeto de un fraude y que no todos los fraudes
pueden ser prevenidos, ya que la relación costo-beneficio debe primar al momento de la
elaboración del programa de administración del riesgo de fraude. Como hemos tratado en
este curso, elaborar controles de prevención para determinados riesgos puede ser más
costoso que las pérdidas que el mismo riesgo puede acarrear. El secreto está en conocer
sus riesgos y monitorearlos continuamente.
A pesar de los mejores esfuerzos por parte de los responsables de la prevención del fraude,
un hecho sigue siendo inevitable: "El fraude ocurre" El fraude y la mala conducta pueden
ocurrir en varios niveles de cualquier organización, por lo que es esencial que los programas
de prevención y detección estén adecuadamente en su lugar. Aunque la prevención y
detección del fraude son conceptos relacionados, se debe tener claro que no son lo mismo.
Si bien la prevención abarca políticas, procedimientos, capacitación y comunicación; la
detección implica actividades y programas diseñados para identificar el fraude o la mala
conducta que está ocurriendo o ha ocurrido. Aunque existan las medidas preventivas para
minimizar el riesgo de fraude, no se puede asegurar que no exista el fraude.
www.auditool.org 52
Con esto en mente, la prevención y la disuasión son conceptos interrelacionados que se
convierten en la primera herramienta para atacar a los perpetradores dentro de la empresa.
Si los medios de prevención están en su lugar, funcionan y son bien conocidos por los
potenciales autores de fraudes, esto ayudará a evitar las tentaciones de cometer fraude. El
miedo de ser atrapado es siempre un fuerte disuasivo; por lo tanto, los medios de
prevención eficaces son fuertes controles de disuasión.
El Sistema de Control Interno en una organización está diseñado para hacer frente a los
riesgos inherentes de negocio. Los riesgos del negocio son identificados en el protocolo de
evaluación de riesgos de la empresa, donde también se observan los controles asociados
a cada riesgo. Sin embargo, el establecimiento de controles internos no garantiza el
cubrimiento de todos los riesgos de fraude de una organización. Los riesgos de fraude
requieren controles específicos para mitigarlos, lo que hace que el proceso de evaluación
del riesgo de fraude de una organización sea esencial para la prevención del fraude.
Además, en la implementación de controles de prevención de fraude, es importante que la
Organización evalúe y supervise continuamente su eficacia operativa para ayudar a
prevenir el fraude.
Existen muchos elementos en la prevención del fraude pero los procedimientos creados en
el área de recursos humanos, la claridad de los límites de autoridad, y la implementación
de los niveles de las transacciones conforman la base para crear cualquier programa de
prevención del fraude.
www.auditool.org 53
Procedimientos para recursos humanos
Los departamentos de personal, talento humano o recursos humanos son la piedra angular
de la prevención del fraude corporativo. La elección del empleado ideal tiene que ir más allá
de la búsqueda subjetiva de candidatos idóneos que cumplen con las condiciones técnicas
e intelectuales del cargo a suplir, ya que dicha búsqueda debe ser el primer factor de
disuasión frente al fraude. Sin embargo, el análisis de las aptitudes físicas y mentales de
los solicitantes por medio de entrevistas, pruebas psicométricas y exámenes médicos son
en muchos casos más importantes que la búsqueda de personal que realmente esté y
quiera estar alineado con los valores de la corporación.
Como es bien sabido, el factor humano es fundamental para el desarrollo del mundo
empresarial; y a pesar de que los medios de producción son cada vez más automatizados
o robotizados, la mano de obra y el talento siguen fortaleciendo las industrias en el mundo.
Sin embargo, el éxito empresarial se ve manchado por aquellos que de alguna forma se
dejan conquistar por los antivalores y actúan en contra de la Organización para alimentar
fraudulentamente sus bolsillos. Por esto, los programas de prevención del fraude deben
incluir los procesos de reclutamiento, selección y contratación del personal. La disuasión
de la comisión del fraude empieza por casa y debe iniciarse desde el mismo momento de
contacto que tiene el candidato laboral con la empresa; de este modo, un ambiente de total
control y la actitud férrea frente al fraude son las herramientas básicas de disuasión.
Como se ha podido observar, los perpetradores se encuentran en todas las esferas y hacen
todo lo necesario para romper las normas con el único fin de incrementar su patrimonio y
sostener su ritmo de vida. El perpetrador monitorea y detecta las oportunidades,
deficiencias y faltas de control de su objetivo. Su agudo olfato e instinto para detectar
controles laxos le ayudan a crear las estrategias necesarias para irrumpir en las finanzas y,
en general, en los activos de la empresa y tomar de allí lo que le satisfaga. Un perpetrador
no tiene escrúpulos y en muchos casos buscan las empresas con carencias administrativas
y financieras; es decir, un perpetrador tiene un target y perfila su víctima cuidadosamente.
Pero, ¿cómo puede un empresario proteger su organización desde el Departamento de
Recursos Humanos o Contratación?
www.auditool.org 54
El buen Gobierno Corporativo es otra herramienta que protege la entidad o corporación por
medio de la orientación, supervisión y control de los riesgos; es clave para que los
candidatos a suplir las vacantes y los nuevos empleados que pretendan cometer fraude
sientan desánimo al observar que cada una de las personas que ocupan cargos desde la
Junta Directiva hasta el último empleado en la línea de autoridad están comprometidos con
la transparencia y la ética en todas las transacciones de la compañía.
Por lo tanto, los procesos de reclutamiento, selección y contratación del personal que son
desarrollados por el Departamento de Recursos Humanos, o de quien haga sus veces,
deben ser la piedra angular de cualquier programa de prevención de fraude o lavado de
activos. Igualmente, la creación del adecuado ambiente de control debe involucrar un
Reglamento Interno de trabajo capaz de sancionar las faltas leves y graves relacionadas
con los riesgos de fraude, abuso y lavado de dinero en la corporación. Así mismo, como
principio económico y de administración de fraude sabemos que es más barato prevenir
que corregir y dicha prevención debe iniciarse en el primer contacto del candidato con la
empresa, demostrando congruencia e integridad y tomando la actitud antifraude como estilo
de vida laboral.
www.auditool.org 55
La Organización debe establecer procedimientos para obtener información suficiente para
evaluar un solicitante de empleo o candidato a una promoción. La naturaleza y el alcance
de la información pueden ser solicitados a partir de un empleado existente o a través de un
tercero u organización independiente, basados en las leyes y reglamentos de la
corporación, que sea especializado en hacer la debida diligencia de la contraparte. Se debe
tener presente que cualquier tipo de comprobación de antecedentes penales, y de situación
financiera y personal solo puede ser posible después de recibir el consentimiento del
individuo. Por esto, el Departamento de Recursos Humanos o talento humano debe estar
apoyado por un asesor legal que instruya sobre la metodología para abordar la información
del candidato.
www.auditool.org 56
• Evaluación de los programas de desempeño y compensación
Los comentarios de terceras personas y/o vinculadas acerca de las transacciones también
pueden ayudar a prevenir el fraude. Debido a que los esquemas de fraude a menudo
implican el uso de entidades y/o individuos, las organizaciones necesitan medidas
exhaustivas desde el inicio hasta el final de las transacciones que eviten la creación de
falsos proveedores, contratistas o empleados, que son los esquemas de fraude más
evidentes y notables.
www.auditool.org 57
Se deben tomar medidas preventivas acerca de la creación de terceros con los cuales se
realizarán las transacciones y estos deben ser controlados por los empleados que tienen la
autoridad en el proceso o por aquellos que la Junta Directiva designe. Tales individuos
deben conocer naturaleza del tercero y las transacciones para evitar a toda costa que
dichas actividades beneficien en última instancia a personas dentro de la Organización.
Así mismo, está documentación se debe actualizar permanentemente de modo que sirva
de consulta para posteriores casos y personas. Así las cosas, la documentación sobre el
análisis del fraude es la recopilación histórica y forense de la Organización.
www.auditool.org 58
La evaluación independiente ayuda a perfilar y perfeccionar detalles que se escapan al ojo
del grupo gestor de fraude, como también a determinar nuevas tendencias fraudulentas que
se dan a conocer a través de investigaciones y casos recientes. Hemos hablado
reiteradamente sobre la habilidad de los criminales que operan tanto a nivel individual como
en colectivo usando estrategias que rompen la barrera de lo impensable, por lo tanto, la
evaluación del programa de prevención debe ser holística y abierta.
El plan, el enfoque y el alcance del control de las técnicas de prevención de fraude deben
ser documentados y actualizados según sea necesario. Debido a todas las partes
implicadas en el proceso de evaluación de riesgos y al posterior diseño de las actividades
de control, es difícil exigir que el Programa de prevención del fraude se controle
regularmente a través de una entidad independiente. Sin embargo, las revisiones periódicas
deben ser planificadas y llevadas a cabo por separado en cualquiera de las auditorías de
rutina para asegurar a la Dirección la eficacia de la prevención del fraude de la
Organización. Es decir, la Organización debe conducir una evaluación independiente de los
controles internos y de su eficacia en el tiempo
El monitoreo es el proceso por medio del cual se evalúa la calidad del ambiente de control
en el tiempo y para ello se requiere de la evaluación de las actividades del día a día en la
empresa. Este proceso involucra la revisión exhaustiva de la información financiera, y
verificación de los inventarios, suministros, equipos y los demás activos de la Organización.
Antes de cada examen del programa, las dificultades como los cambios significativos en la
Organización y sus riesgos asociados, los cambios en el personal responsable de la
ejecución de las actividades y los resultados de las evaluaciones anteriores determinarán
si el alcance del examen actual necesita ser cambiado. Cada evaluación debe incluir
pruebas de que la Administración está reteniendo y educando activamente a los
responsables de la supervisión del Programa de gestión del riesgo de fraude, se han
adoptado las medidas correctivas oportunas y suficientes con respecto a cualquier
deficiencia de control o debilidades señaladas anteriormente, y que el plan de control al
programa de prevención continúa siendo adecuado para asegurar su éxito en la
Organización
www.auditool.org 59
MÓDULO 5: PRINCIPIOS FUNDAMENTALES EN ADMINISTRACIÓN DEL FRAUDE - P4.
TÉCNICAS DE DETECCIÓN DE FRAUDE
La Organización debe tener claras y formuladas por escrito las técnicas de detección de los
potenciales fraudes o los eventos en los cuales exista una mínima duda sobre la comisión
de un delito, cuando las medidas de prevención hayan sido insuficientes o la habilidad del
perpetrador haya traspasado todas las expectativas de la comisión del delito. La detección
del fraude se enfoca en las actividades y técnicas que reconocen rápidamente y a tiempo
que el fraude ocurrió o está ocurriendo. Si bien es cierto que la prevención es el inicio del
camino, la detección es igualmente importante por los controles y medidas implementados
para detectar el fraude y proporcionar la evidencia sobre la ocurrencia de un fraude; por
esto, las medidas de detección deben ser totalmente diferentes a las medidas de
prevención.
www.auditool.org 60
Mientras que las medidas preventivas son evidentes y fácilmente identificables por los
empleados, y demás terceros, otros controles de detección son de carácter clandestino; es
decir, dichos controles operan en un contexto oculto o que no es evidente en el entorno
empresarial cotidiano. Dichas técnicas generalmente se presentan de la siguiente forma:
El uso de líneas directas de denunciantes o delatores es una de las medidas más eficaces
que las organizaciones pueden implementar como parte de su Programa de gestión del
riesgo de fraude. También son conocidas como líneas éticas.
Varios de los estudios sobre fraude indican que las denuncias anónimas recibidas a través
de líneas éticas o por otros métodos son uno de los mecanismos más efectivos para la
detección y disuasión del fraude, ya que el mero conocimiento de que una línea telefónica
puede ser empleada para hacer denuncias anónimas inspira cierto temor al perpetrador.
Igualmente, las líneas éticas promueven el manejo oportuno de todos los problemas
reportados y complementan el control de detección. La línea ética debe ser promovida a
través de materiales educativos proporcionados a accionistas, empleados, clientes,
proveedores, contratistas y demás personas que de una u otra forma tengan relación
contractual con la Organización. Para todos ellos debe quedar claro que el uso de la línea
ética o de denunciantes tiene como objetivo proporcionar información valiosa a partir de
una variedad de fuentes fiables y en ningún caso debe ser usada con fines difamatorios o
para causar daño a las personas.
www.auditool.org 61
Las líneas éticas más eficaces preservan la confidencialidad de las personas que llaman y
proporcionan seguridad a los empleados para que no sean víctimas de represalias por
informar las sospechas de irregularidades, incluyendo aquellas infracciones cometidas por
sus superiores. La notificación de cualquier anomalía dará lugar a que se adopten medidas
apropiadas y oportunas y, si es el caso, a la corrección de los controles que fueron
vulnerados. Asimismo, para preservar la integridad del proceso de denunciantes, también
se debe proporcionar un medio para reportar cualquier sospecha de fraude que implique a
miembros de Junta Directiva, Alta Dirección o el Comité de Auditoría.
Se debe utilizar un sistema de gestión de casos para registrar todas las llamadas y su
seguimiento para facilitar la gestión del proceso de resolución, las pruebas para los
auditores internos y la supervisión por parte la Junta Directiva y/o el Comité de Auditoría
designado por la Junta Directiva.
La Junta Directiva debe aprobar protocolos para asegurar que los temas relacionados con
el fraude, corrupción, lavado de dinero y financiamiento al terrorismo reportado son
difundidos oportunamente a las partes correspondientes interesadas, tales como el equipo
de Ética y cumplimiento, Recursos Humanos, la Junta Directiva y/o el Comité de Auditoría,
así como legales y de seguridad.
Con toda la responsabilidad que implica tener los procedimientos documentados para
recibir, retener, e investigar las quejas o sugerencias que alegan la posibilidad de un posible
fraude, muchos comités de auditoría se han dirigido a los proveedores de servicios
independientes para operar las líneas éticas y notificar a la Organización de cualquier
reporte de anomalías.
Un programa de línea ética eficaz debe analizar los datos recibidos y comparar los
resultados con las normas tanto para la compañía como para las organizaciones similares.
Los análisis en curso permiten a una organización formar su nuevo programa de gestión de
riesgos de fraude para hacer frente a la evolución de los riesgos.
www.auditool.org 62
La eficacia del proceso de denuncia a través de las líneas éticas debe evaluarse
independiente y periódicamente, como también el cumplimiento de los protocolos
establecidos, de modo que se pueda verificar si el objetivo de tener dicha línea de denuncia
está cumpliendo con los objetivos trazados y está siendo utilizada adecuadamente.
Controles de proceso
Los controles del proceso específicamente son diseñados para detectar las actividades
fraudulentas, así como los errores y la anulación de los controles internos. Estos controles
incluyen conciliaciones de las cuentas del balance general, revisiones independientes,
inspecciones físicas y recuentos de ítems de inventarios, análisis y auditorías, y en general,
todas las actividades que apunten a la verificación de cifras, documentos y activos físicos.
En caso de no tener control de los procesos de la Organización o exista debilidad en los
controles preventivos, la exposición al riesgo de fraude aumenta y sitúa todo el peso sobre
los controles de detección.
Las organizaciones deben ser capaces de utilizar el análisis de datos, técnicas de auditoría
continua, y otras herramientas de la tecnología de manera efectiva para detectar la actividad
fraudulenta. Los análisis de datos utilizan la tecnología para identificar anomalías, las
tendencias y los indicadores de riesgo dentro de las grandes poblaciones de transacciones
y usuarios. Los usuarios de esta tecnología pueden ser capaces de profundizar en las
entradas o registros contables en busca de transacciones sospechosas que se producen
en un periodo o lo que se hizo en un periodo y posteriormente fue anulado en el siguiente.
www.auditool.org 63
Estas herramientas también pueden permitir a los usuarios buscar entradas o registros
contables, en especial en las cuentas de ingresos y gastos y comparar así las expectativas
entre los objetivos de compensación por medio de incentivos y el incremento inusual de los
ingresos. Por otra parte, el análisis de datos permite a los usuarios identificar las relaciones
entre las personas, organizaciones y eventos.
El análisis proactivo de ciertos esquemas de fraude puede dar lugar a tipos identificables
de transacciones o tendencias para mejorar la capacidad de diseño de los controles dentro
de la Organización; por esto, el análisis de datos es la mejor práctica de detección del
fraude. Así mismo, el análisis de datos también se utiliza de manera rentable para garantizar
la efectividad de otros controles preventivos y de detección de fraude. Es decir, cada dato
o número habla e indica que algo está pasando, por lo tanto, las estadísticas cobran
importancia en el análisis del fraude.
La combinación entre auditoría y el uso del análisis de datos de forma continua en tiempo
real permite gestionar, identificar y reportar actividades fraudulentas más rápidamente y de
forma proactiva. Por ejemplo, la ley de análisis Benford puede examinar los informes de
gastos, las cuentas del libro mayor y las cuentas de nómina para las transacciones
inusuales, cantidades, o los patrones de actividad que pueden requerir un análisis más
detallado. Del mismo modo, el control continuo de las operaciones sujetas a ciertas
"banderas" puede promover la investigación más rápida de las operaciones de mayor
riesgo.
Las herramientas tecnológicas mejoran la capacidad de gestión a todos los niveles para
detectar el fraude. El análisis de datos, la minería de datos y herramientas de análisis digital
pueden ayudarle a hacer lo siguiente:
www.auditool.org 64
La evidencia de fraude también se puede encontrar en el correo electrónico. La capacidad
de una organización para captar, mantener y revisar las comunicaciones de cualquiera de
sus empleados ha dado lugar a la detección de numerosos fraudes en la última década.
Esto se logra mediante el uso de programas de copia de seguridad estrictos y regulares
que captura los datos, no con la intención de descubrir el fraude, sino meramente como una
salvaguardia en caso de que una búsqueda retrospectiva de pruebas sea necesaria.
A medida que las organizaciones crecen y cambian las necesidades de tecnología, también
lo hacen las posibilidades de fraude. Debido a que todas las tramas de fraude y mala
conducta no se pueden combatir con las mismas herramientas y técnicas, la Organización
necesitará evaluar periódicamente la efectividad de los controles, las quejas anónimas y la
auditoría interna.
www.auditool.org 65
Aunque la Organización puede describir y explicar algunos aspectos de sus técnicas de
detección de fraude a sus empleados, proveedores y partes interesadas para promover la
disuasión, habrá aspectos del plan que deben permanecer en confidencialidad. Durante la
fase de desarrollo de detección de fraude, los participantes deben ser advertidos de
mantener dicha información confidencial. La Junta Directiva debe aprobar una lista
específica de las personas que tienen prohibido el acceso a la información y definir su propio
nivel de acceso a la información relacionada con los controles de detección de fraude.
Una vez se haya completado el plan de detección de fraude, el equipo debe desarrollar una
comunicación pública en relación con el plan y su implementación. El conocimiento en toda
la Organización sobre el plan integral de detección de fraude es en sí mismo un fuerte
elemento de disuasión. Al comunicar esto a empleados, proveedores, accionistas y otros,
la Organización afirma que toma en serio el fraude sin revelar todas las características
pertinentes de las técnicas de detección de fraude que emplea. Así mismo, la comunicación
del plan de detección es una de las formas de demostrar la actitud férrea hacia no dejarse
tentar, y tener tolerancia cero al fraude.
Así mismo, las organizaciones deben reevaluar periódicamente sus técnicas de detección
de fraude para asegurar que se están haciendo progresos para llegar a un estado avanzado
de detección del fraude, como también verificar que no existen elementos de detección de
fraudes que se están deteriorando a través del tiempo o por las nuevas prácticas criminales.
Debido a esto, la participación de expertos externos independientes para evaluar las
técnicas de detección de fraude en las organizaciones constituye un fuerte compromiso y
esfuerzo que apunta al blindaje permanente de la entidad.
www.auditool.org 66
La Organización debe establecer criterios de medición para controlar y mejorar la detección
de fraudes. Estas medidas deben ser proporcionadas a la Junta Directiva continuamente e
incluyen los siguientes grupos:
• Criterios medibles:
▪ Número de esquemas de fraude conocidos cometidos en contra de la
Organización,
▪ Número y estado de las acusaciones de fraude recibidas por la Organización que
requiere investigación,
▪ Número de investigaciones de fraude resueltas,
▪ Número de empleados que no han firmado la declaración de ética corporativa,
▪ Número de empleados que no han completado la formación ética patrocinada por
la Organización,
▪ Número de denuncias recibidas a través de la línea ética de la Organización,
▪ Número de denuncias que se han planteado por otros medios,
▪ Número de comunicaciones para el apoyo del comportamiento ético entregado a
los empleados por los ejecutivos,
▪ Número de vendedores que no han firmado los requisitos de comportamiento
ético,
▪ Puntos de referencia con las encuestas de fraude a nivel mundial, incluyendo el
tipo de fraude experimentado y las pérdidas ocasionadas,
▪ Número de clientes que han firmado los requisitos de comportamiento ético de la
Organización,
▪ Número de auditorías de fraude realizadas por los auditores internos,
▪ Resultados de las encuestas de los empleados u otras partes interesadas en
relación con la integridad o la cultura de la Organización,
▪ Recursos utilizados por la Organización.
www.auditool.org 67
▪ Comparación entre el número de fraudes descubiertos y el número de auditorías
realizadas por fraude,
▪ Las relaciones de los problemas revelados de los controles de antecedentes en
comparación con el número de controles realizados.
• Un miembro de alto rango de la gestión debe ser asignado como el propietario del
proceso para cada técnica implementada. Cada propietario del proceso debe:
El plan antifraude debe tener un enfoque coordinado entre la investigación y las medidas o
acciones correctivas que aseguren que el fraude es tratado apropiadamente tanto en tiempo
como en personal. No existe un sistema de control interno que pueda proveer absoluta
garantía en contra del fraude. Por consiguiente, la Junta Directiva debe asegurar que la
Organización desarrolle un sistema de control para la revisión oportuna, competente y
confidencial de los hechos para dar paso a las acciones legales y de cumplimiento que sean
necesarias en las instancias, tanto para un potencial fraude como para un evento que
involucre pérdidas económicas. Igualmente, la Junta Directiva debe definir las propias
reglas o medidas de los procesos de investigación dentro del marco jurídico de cada
territorio y jurisdicción. La Organización, a través de la planeación adecuada de la
investigación y las acciones correctivas, también pueden crear y mejorar las medidas de
recuperación de las pérdidas y minimizar la exposición a un litigio o proceso jurídico que
eventualmente conlleve al daño reputacional.
www.auditool.org 68
La Junta Directiva debe establecer los procesos para evaluar las acusaciones y procesos
judiciales que involucra un fraude, por lo cual las personas asignadas para investigar deben
tener la suficiente autoridad y habilidades para evaluar el caso y determinar las acciones
apropiadas a seguir. En todos los casos donde se instaure un alegato judicial, la Junta
Directiva debe realizar la trazabilidad de cada caso y estar involucrada activamente en el
avance de los mismos.
Si ciertas acciones son requeridas antes de que la investigación se complete para preservar
la evidencia, mantener la confidencialidad o mitigar las pérdidas, se debe nombrar un
responsable, que debe asegurar que hay suficientes bases para tomar tales acciones.
Cuando se requiere el acceso a los sistemas de información como software y hardware,
deben ser expertos forenses informáticos quienes accedan a la información usando las
técnicas correctas y aceptadas ante los tribunales para preservar la información o evidencia
intacta.
Un posible fraude puede llegar a la Organización de muchas maneras, por ejemplo, a través
de sugerencias de los empleados, clientes o proveedores, auditorías internas, identificación
de control de procesos, auditorías externas, la línea ética o por accidente. La Junta Directiva
debe asegurar que la Organización ha desarrollado un sistema para la revisión oportuna,
competente y la investigación confidencial, como también la resolución de los alegatos de
fraude potencial o mala conducta.
www.auditool.org 69
Los protocolos para la intervención en tales casos variarán en función de la naturaleza, el
impacto potencial y la antigüedad de las personas involucradas y deben ser definidos con
claridad y comunicados a la Dirección de la empresa por la Junta Directiva.
El sistema de investigación y respuesta debe incluir un proceso para cumplir los siguientes
pasos:
El proceso aprobado por la Junta Directiva debe incluir el sistema de gestión de seguimiento
a los casos en el que se registran todas las acusaciones de fraude. Los miembros de la Alta
Dirección pueden tener acceso a este sistema si es necesario para asegurar que se están
tomando las medidas adecuadas siempre y cuando hayan sido designados o aprobados
por la Junta Directiva. La investigación de los casos de fraude es un proceso confidencial
que en el mayor de los casos llega hasta los estrados judiciales, por lo tanto, la
administración de la información debe estar bajo las más rigurosas normas jurídicas.
Una vez que se recibe la denuncia, la Organización debe seguir el proceso aprobado por la
Junta Directiva para evaluar el caso. El proceso debe incluir la designación de una persona
o grupo de personas con la autoridad y las habilidades necesarias para llevar a cabo una
evaluación inicial de la situación y determinar el curso de la acción apropiada para
resolverla. En los casos que involucran a miembros de la Junta Directiva o a la Alta
Dirección, la Junta Directiva debe contratar asesores externos independientes para ayudar
en esta evaluación.
El caso debe ser examinado para determinar si se trata de una posible violación de la ley,
reglas o política de la empresa. Dependiendo de la naturaleza y la gravedad de la situación,
otros departamentos de la compañía pueden ser consultados tales como el área de
recursos humanos, departamento de asesoría legal, la Alta Dirección, informática, auditoría
interna, la seguridad o la prevención de pérdidas. El auditor externo de la Organización
también debe ser informado de cualquier fraude que podría afectar a los estados financieros
de la Organización.
www.auditool.org 70
Si un caso implica a miembros de la Alta Dirección, o si la denuncia afecta directamente a
los estados financieros, los miembros de la Junta Directiva deben ser informados cuanto
antes y quien es sujeto de la denuncia debe ser retirado temporalmente de sus funciones y
no debe tener acceso al proceso de investigación.
Protocolos de investigación
Las investigaciones deben llevarse a cabo de acuerdo con los protocolos aprobados por la
Junta Directiva. Un proceso coherente de investigación puede ayudar a la Organización a
mitigar las pérdidas y gestionar los riesgos asociados con la investigación.
Los factores a considerar en el desarrollo del plan de investigación incluyen los siguientes:
• Tiempo de respuesta que pueden necesitar las investigaciones debido a los requisitos
legales, para mitigar pérdidas, daños potenciales, o emprender una reclamación de
seguro,
• Notificación - Ciertos casos pueden requerir notificación a reguladores, autoridades,
aseguradores o auditores externos,
• Confidencialidad - Las necesidades de información recopilada tienen carácter
confidencial y su distribución se limita a quienes tienen una necesidad justificada y
están autorizados,
• Privilegios legales - La participación de un asesor legal desde el inicio del proceso o
en algunos casos en la conducción de la investigación, ayudará a salvaguardar las
comunicaciones producto del trabajo entre abogado y cliente,
• Cumplimiento - Las investigaciones deben cumplir con las leyes y normas aplicables
en relación con la recopilación de información y entrevistas a los testigos,
• Aseguramiento de la evidencia - La evidencia debe ser protegida para que no se
destruya o contamine y sea admisible en los procedimientos judiciales (cadena de
custodia),
• Objetividad - El equipo de investigación debe estar suficientemente alejado de los
problemas personales de quienes son objeto de investigación para llevar a cabo una
evaluación objetiva,
• Objetivos - Problemas o preocupaciones acerca del caso podrían influir
adecuadamente en el enfoque, alcance y en algunos momentos específicos de la
investigación.
www.auditool.org 71
Dependiendo de las características específicas de cada caso, el equipo de investigación
puede necesitar miembros de diferentes departamentos o disciplinas para proporcionar los
conocimientos y habilidades necesarias.
Realizando la investigación
Las investigaciones generalmente incluyen muchas de las siguientes tareas, sin embargo,
cada proceso es independiente y puede requerir el estudio de más detalles.
www.auditool.org 72
1. La entrevista, que incluye:
1.1 Testigos neutrales,
1.2 Testigos de corroboración,
1.3 Posibles cómplices,
1.4 Acusado.
www.auditool.org 73
Informe de los resultados
Acciones correctivas
En algunos casos puede ser necesario tomar ciertas acciones antes de que se complete la
investigación, tales como la preservación de las pruebas, el fortalecimiento de la confianza
entre las contrapartes o la mitigación de las pérdidas Esto podría requerir la suspensión o
la reasignación de los individuos o acciones legales para proteger los activos. Los
responsables de estas decisiones deben asegurar que no es una base suficiente para
proteger a la empresa del riesgo de fraude, dado que después de la investigación se debe
replantear la eficacia del programa de prevención y detección.
Cualquier acción tomada debe ser apropiada bajo las circunstancias y aplicada
consistentemente a todos los niveles de empleados, incluidos los altos directivos. De hecho,
cada acción debe ser planeada y consultada con la debida anterioridad con los abogados
expertos, dado que en el caso de tomar acciones disciplinarias, civiles, o penales la
empresa debe evaluar su riesgo reputacional y legal.
www.auditool.org 74
Las posibles acciones correctivas incluyen uno o más de los siguientes:
Medición
www.auditool.org 75
Aunque existe una variedad de medidas que se pueden aplicar, las siguientes puede ser
medidas relativamente sencillas y de gran alcance que se recomienda tener presente:
Ejemplos de documentos
Un enfoque proactivo para la gestión del riesgo de fraude es uno de los mejores pasos que
las organizaciones pueden adoptar para mitigar la exposición a las actividades fraudulentas.
A pesar de que la eliminación completa de todo el riesgo de fraude es inalcanzable o muy
costosa, las organizaciones pueden tomar medidas positivas y constructivas para reducir
su exposición.
A pesar de que el fraude no es un tema que cualquier organización quiere tratar, la realidad
es que la mayoría de las organizaciones experimentan el fraude en algún grado. El aspecto
clave a destacar es que el tratamiento del fraude puede ser constructivo y con visión de
futuro, lo que ayuda a posicionar a una organización como líder dentro de su segmento de
la industria o sector económico. Existen organizaciones fuertes, eficaces y bien
administradas porque la Junta Directiva y la Alta Gerencia toman medidas proactivas para
anticipar los problemas antes de que ocurran y adoptan medidas para evitar resultados no
deseados. La implementación del sistema de prevención de fraude debería ayudar a
establecer un clima organizacional de tolerancia cero a las conductas delictivas en el que
se tomen medidas positivas y constructivas para proteger a las contrapartes y asegurar un
resultado positivo.
www.auditool.org 76
Se debe reconocer que la dinámica de cualquier organización requiere una reevaluación
continua de exposiciones a los diferentes riesgos de fraude y las respuestas a la luz de la
evolución del entorno donde la Organización se encuentra.
En archivo anexo, puede encontrar algunos ejemplos de los pasos que se deben seguir
para implementar el programa. Estos son apéndices que pueden ser modificados y que en
ningún caso son camisas de fuerza. Cada empresa debe ajustarlos para tener el alcance
correcto para mitigar el fraude.
Este es un ejemplo o muestra que otras entidades han usado. Como tal, cada empresa
debe ajustarlo a sus necesidades. Es posible que esta información no esté completa para
su empresa de acuerdo con todos los conceptos indicados en el presente curso. Este
material se proporciona como un ejemplo que puede
ser utilizado como una herramienta, referencia o punto de partida.
1. RESUMEN EJECUTIVO
a. Definición de fraude
b. Declaración de la actitud de fraude
c. Código de conducta
d. Relación con otros planes de la entidad
e. Funciones y responsabilidades
www.auditool.org 77
3. GESTIÓN DE RIESGOS DE FRAUDE
a. Informes internos
b. Informes de los miembros de la Alta Gerencia
c. Protección de los empleados que reportan cualquier sospecha de fraude
d. Denuncia anónima externa
e. Informes a la policía y fiscalía
f. Informes a las partes externas, entidades reguladoras y medios de comunicación
g. Recursos administrativos
h. Recuperación de los activos de una conducta fraudulenta
i. Requisitos de información
5. CONDICIONES DE EMPLEO
www.auditool.org 78
Ejemplo de política de fraude
• Antecedentes
La política de fraude corporativo se creó para facilitar el desarrollo de los controles que
ayudarán en la detección y prevención de fraude en contra de la corporación XXX. Es
intención de la corporación XXX promover el comportamiento organizacional coherente,
íntegro y congruente a través de directrices, políticas y la asignación de responsabilidades
para el desarrollo y exitoso cumplimiento de los controles y desarrollo ético de las
investigaciones.
• Alcance de la política
• Política de Fraude
www.auditool.org 79
• Acciones que constituyen fraude
• Otras irregularidades
www.auditool.org 80
Si hay alguna duda en cuanto a si una acción constituye un fraude, póngase en contacto
con el Director de Jurídico y/o Jefe del Programa de Riesgo de Fraude para la apropiada
orientación.
• Responsabilidades de investigación
Las decisiones de denunciar ante las autoridades de policía y fiscalía se tomarán cuando
los resultados del examen sobre la verificación del fraude sean positivos. Igualmente, las
agencias reguladoras serán contactadas para proceder a la investigación independiente, lo
cual se hará conjuntamente con el asesor legal, la Junta Directiva y la Alta Dirección.
• Confidencialidad
Los resultados de la investigación serán revelados o discutidos solo con aquellos que tienen
una necesidad legítima de conocer la información y han sido previamente autorizados por
la Junta Directiva. Con el fin de evitar daños a la reputación de las personas sospechosas
y de la empresa, se prohíbe hablar, compartir o mencionar el caso, la investigación y el
resultado hasta que el caso haya sido resuelto y la Junta Directiva decida revelarlo a través
de un asesor legal.
www.auditool.org 81
▪ Autoridad para examinar, copiar y/o tomar la totalidad o parte de los contenidos
de los archivos, escritorios, armarios, gabinetes, vitrinas, bibliotecas, laboratorios,
lockers, vestiers, vehículos de la empresa, y todas las instalaciones de reciclaje,
disposición de basuras, almacenamiento, bodegaje, despacho y recepción del
establecimiento o empresa sin el conocimiento o el consentimiento previo de
cualquier individuo que pudiera usar o tener la custodia de dicha área, artículos
o instalaciones cuando se está dentro del alcance de su investigación.
El empleado que descubra o sospeche de una actividad fraudulenta podrá hacer contacto
con el Director de la Unidad o Jefe del Programa de Riesgo de Fraude inmediatamente. El
empleado u otra persona que tenga conocimiento de una actividad fraudulenta pueden
permanecer en el anonimato mientras se hace la investigación. Todas las consultas
relativas a la actividad objeto de la investigación de la persona sospechosa, su abogado o
representante, o cualquier otro investigador deben dirigirse a la Unidad de Investigaciones
o al Departamento Legal. Cualquier solicitud de información sobre la condición de la
investigación que se esté llevando a cabo será rechazada. La respuesta correcta a
cualquier pregunta es: "No estoy en libertad de discutir este asunto." Bajo ninguna
circunstancia se debe hacer ninguna referencia a "robo", "el crimen", "el fraude", "la
falsificación", " la apropiación indebida ", o cualquier otra referencia específica.
• Terminación
www.auditool.org 82
En caso de que la Unidad de Riesgo de Fraude considere que la decisión de la gestión es
inadecuada debido a los hechos presentados, tales hechos serán expuestos para su
consideración ante la Junta Directiva para la correspondiente evaluación.
• Administración
El Director de la Unidad y/o Jefe del Programa de Riesgo de Fraude son responsables de
la Administración, revisión, interpretación y aplicación de esta política de fraude. La política
de fraude será revisada anualmente y actualizada según sea necesario durante el año de
vigencia.
• Aprobación
www.auditool.org 83
Matriz de decisión de políticas de fraude
La presente matriz se puede utilizar como una herramienta para resumir y visualizar las
responsabilidades que se han definido para la Organización. Este es solo un ejemplo que
le ayudará a construir su propia matriz y definir "qué" debe hacer y "quién" tiene las
responsabilidades.
2 Notificación de Incidentes P S S S S S S S
17 Análisis de Casos P S
18 Línea de Ética S S P S
www.auditool.org 84
Ejemplo matriz de evaluación del riesgo de fraude
Este ejemplo es solo para fines ilustrativos y se centra exclusivamente en los riesgos
potenciales de la facturación o el reconocimiento de ingresos dentro de la información
financiera y contable. Es decir, cada ciclo o grupo de cuentas contable debe ser analizado
dependiendo el riesgo. Por ejemplo, una evaluación completa del riesgo de fraude
considerará la información financiera fraudulenta en otras áreas relevantes para la
Organización, tales como cartera o cuentas por cobrar, disponible, proveedores y cuentas
por pagar, inventario, etc. Además, el riesgo de apropiación indebida de activos, la
corrupción, y otras faltas se estarían evaluando de la misma manera.
• Identificando riesgos de fraude y esquemas: esta columna debe incluir una lista
completa de los posibles riesgos de fraude y esquemas que pueden enfrentarse en
la Organización. Esta lista será diferente para todas las organizaciones, ya que cada
una tiene diferente exposición al riesgo y apetito al riesgo. Igualmente, la lista de los
riesgos de fraude debe ser construida por las investigaciones de la industria, las
entrevistas con los empleados y contrapartes, sesiones de reflexión o lluvia de ideas,
y con las quejas o denuncias de la línea ética o de denunciantes. El árbol del fraude
presentado en este curso le ayudará a verificar los tipos de fraude que se pueden
cometer en la Organización en cada área.
www.auditool.org 85
• Importancia de la Organización: los factores cuantitativos y cualitativos deben ser
considerados al evaluar la importancia de los riesgos de fraude para una
organización. Por ejemplo, ciertos riesgos de fraude de carácter financiero pueden
afectar de forma irrelevante a la Organización, pero el mismo riesgo podría afectar en
gran medida la reputación de la compañía, por lo tanto, tales riesgos serían
considerados como un riesgo más significativo para la Organización. Para los fines
de la evaluación de riesgos, la importancia de los riesgos se debe catalogar como
inmaterial, significativa, y material.
• Respuesta a los riesgos de fraude: los riesgos residuales deben ser evaluados por
la Organización para diseñar el proceso que mitigue este tipo de riesgo. La respuesta
a los riesgos de fraude podría estar enmarcada en la aplicación de controles
adicionales y/o el diseño de técnicas de auditoría de fraude más proactivas, y/o la
reducción de la actividad que está generando el riesgo.
www.auditool.org 86
Cuadro de mando Prevención del fraude
Para evaluar la fortaleza del sistema de prevención del fraude de la Organización se debe
realizar la evaluación de cada área cuidadosamente y marcar el área, el factor, o
consideración así:
Cada área, factor, o consideración analizada, ya sea rojo o amarillo, debe tener una nota
asociada con el que se describe el plan de acción para llevarlo a verde en el cuadro de
mando.
A continuación, se presenta el ejemplo del Cuadro de mando de prevención del fraude con
los aspectos de mayor importancia que se deben tener en cuenta. Como se ha expuesto
en todas las matrices, estos son solo ejemplos que le ayudarán a elaborar su matriz final,
por lo tanto, se sugiere complementar la información con los datos de la empresa a evaluar.
www.auditool.org 87
Área de Prevención de fraude, factor, o consideración Puntuación Notas
www.auditool.org 88
Área de Prevención de fraude, factor, o consideración Puntuación Notas
www.auditool.org 89
Área de Prevención de fraude, factor, o consideración Puntuación Notas
www.auditool.org 90
Área de Prevención de fraude, factor, o consideración Puntuación Notas
A continuación, se presenta el ejemplo del Cuadro de mando de detección del fraude con
los aspectos de mayor importancia que se deben tener en cuenta. Como se ha expuesto
en todas las matrices, estos son solo ejemplos que le ayudarán a elaborar su matriz final,
por lo tanto, se sugiere complementar la información con los datos de la empresa a evaluar.
www.auditool.org 91
Área de Detección de fraude, factor, o consideración Puntuación Notas
www.auditool.org 92
Área de Detección de fraude, factor, o consideración Puntuación Notas
www.auditool.org 93
Área de Detección de fraude, factor, o consideración Puntuación Notas
www.auditool.org 94
Área de Detección de fraude, factor, o consideración Puntuación Notas
www.auditool.org 95
Área de Detección de fraude, factor, o consideración Puntuación Notas
www.auditool.org 96
El material que se presenta a continuación corresponde a un ejemplo o muestra de otra
entidad. Como tal, se debe ajustar este material para su empresa, dado que la información
y ambiente de control y apetito al riesgo varían de acuerdo con cada organización. El
material se proporciona como un ejemplo que puede ser un utilizado como una herramienta,
referencia o punto de partida.
▪ Cultura organizacional
▪ Cultura de gobierno
▪ Cultura laboral
www.auditool.org 97
o Aumentar el compromiso de la fuerza laboral mediante la estructuración de
las políticas y prácticas en la contratación, formación, evaluación del
desempeño, promoción, compensación, recompensas, sanciones
disciplinarias, progresos profesionales, retiro anticipado y la terminación del
contrato laboral para disuadir comportamientos fraudulentos y corruptos,
incluidas las prácticas que tienen que ver con decisiones acerca protección
de los denunciantes.
o Mejorar la satisfacción de la fuerza laboral a través de compromisos
conjuntos para eliminar o mitigar los factores que crean riesgos de fraude y
corrupción.
• Liderazgo
▪ Definir las responsabilidades de los jefes de área o departamento en cuanto la
comunicación de los objetivos del Programa de gestión del riesgo de fraude.
▪ Mantener constante comunicación con su equipo de trabajo para facilitar el
alineamiento de los objetivos de la Organización donde los individuos deben
apoyar los esfuerzos de la empresa para evitar las conductas fraudulentas.
▪ Asegurar que los líderes o jefes de área están calificados para servir como
defensores en lucha contra el fraude basado en la conducta ética o en la
transformación positiva de una conducta fraudulenta, corrupta o inapropiada del
pasado.
▪ Mejorar las habilidades y competencias de los líderes o jefes de área para incluir
el conocimiento profundo de fraude, los factores que desencadenan la conducta
fraudulenta, como también el ámbito de aplicación, los parámetros y las
actividades del Programa de gestión del riesgo de fraude.
• Personal de supervisión
▪ Definir la estructura de supervisión y quienes serán responsables de:
✓ Incluir en los documentos y cuadros de mando la información acerca de si
un miembro de la Junta Directiva o la Junta Directiva en su totalidad han sido
asignados con responsabilidades de supervisión de dirigir las actividades del
Programa de gestión del riesgo de fraude.
✓ Evidenciar el compromiso proactivo de la Organización para la gestión del
riesgo de fraude.
✓ Designar al Comité de Auditoría interna y a los auditores externos como
monitores de los riesgos de fraude para desempeñar un papel activo en el
proceso de evaluación de riesgos.
✓ Designar a un miembro del nivel ejecutivo como responsable de la gestión
del riesgo de fraude.
www.auditool.org 98
✓ Aprobar los recursos económicos suficientes en el presupuesto para los
objetivos propuestos del Programa de administración del riesgo de fraude.
✓ Asegurar la eficacia del diseño de las políticas de gestión del riesgo de fraude
para alentar el comportamiento ético de empleados, clientes, contratistas y
proveedores e insistir en el cumplimiento diario de tales políticas.
✓ Elaborar las políticas de buenas prácticas del Gobierno Corporativo como un
componente del Programa de gestión del riesgo de fraude.
✓ Requerir que el Comité de Auditoría se reúna por separado con la firma de
auditoría externa y el director de auditoría para discutir los resultados del
programa de lucha contra el fraude en los estados financieros de la entidad.
✓ Asegurar que la Junta Directiva está recibiendo información precisa y
oportuna de la Administración, empleados, auditores internos y externos, y
otras partes interesadas en relación con las posibles ocurrencias de fraude.
✓ Asegurar la protección de todos los privilegios necesarios y la adhesión a la
política de gestión de la información para las comunicaciones relacionadas
con las investigaciones de fraude y discusiones del Comité de Auditoría.
www.auditool.org 99
✓ Evaluar el riesgo de fraude financiero cometido por la Dirección o Alta
Gerencia
✓ Asegurar que los controles para prevenir, disuadir y detectar el fraude por
parte de la Administración están funcionando.
✓ Facultar al Comité de Auditoría y a los auditores externos para buscar y
reportar el fraude de todos los tamaños y tipos.
• Personal estratégico
▪ Definir la estructura y responsabilidades del personal que será asignado para la
administración del Programa de gestión del riesgo de fraude a través de la
descripción específica del tipo de labores, asignación de los recursos económicos
y la autoridad para diseñar e implementar un programa de gestión del riesgo de
fraude. Dicho programa debe incluir la definición de la políticas, el establecimiento
de controles, la formación o capacitación, la implementación de iniciativas en la
lucha contra el fraude, los procesos para informar e investigar presuntas
violaciones, el método para comunicar a la Junta Directiva sobre el progreso del
programa, el estado de las investigaciones, actividades relacionadas con la
detección y mitigación de incidentes de conducta fraudulenta o corrupta y las
medidas correctivas para mejorar el programa.
▪ Elaborar la debida diligencia sobre quien será el responsable de la administración
del Programa de gestión del riesgo de fraude para confirmar que el individuo está
calificado a nivel cognitivo y conductual y se alinea a los principios éticos de la
Organización.
▪ Replantear las evaluaciones de desempeño de quienes intervienen directamente
en la formulación de la planeación estratégica de la Organización con el ánimo
de que dichos ejecutivos estén alineados con el programa de gestión de fraude.
▪ Evaluar el rendimiento del personal estratégico comparando los objetivos de
rendimiento del Programa de gestión de riesgos de fraude y los objetivos del
rendimiento individual.
• Personal de operaciones
▪ Definir la estructura y responsabilidades del personal de operaciones que tienen
responsabilidades relacionadas con las gestión del riesgo de fraude en todos los
niveles, incluyendo la participación en la creación de un fuerte ambiente de
control, diseño e implementación de las actividades de control operacional,
participación en las actividades de vigilancia, revelación de casos de fraude y
corrupción, prestando especial atención a las funciones únicas de auditoría
interna, el cumplimiento, la ética y las funciones de ejecución de programas de
investigación.
▪ Seleccionar el personal de operaciones que debe estar investido de la
responsabilidad de los diversos aspectos del Programa de gestión del riesgo de
fraude para evitar cualquier violación a la ética y buena conducta.
www.auditool.org 100
▪ Evaluar el desempeño del personal de operaciones comparando su rendimiento
individual con respecto a los objetivos del Programa de gestión del riesgo de
fraude.
• Alcance y objetivos
▪ Definir el alcance del Programa de gestión del riesgo de fraude por sí solo o como
parte del Programa de ética, cumplimiento, prevención, detección y disuasión de
actos fraudulentos y criminales.
▪ Definir las partes interesadas y los grupos de interés internos y externos.
▪ Definir la metodología de planificación del equipo, que incluye miembros con
conocimientos sobre el comportamiento humano y los procesos del negocio con
mayor riesgo o susceptibles de conductas fraudulentas.
▪ Definir y/o revisar los objetivos de Organización con el fin de definir, alinear y
priorizar las iniciativas de gestión del riesgo de fraude.
▪ Definir lo objetivos del Programa de gestión del riesgo de fraude que miden la
prevención de pérdidas, la protección proporcionada por los controles de
detección y la resolución oportuna de las alegaciones de conducta fraudulenta o
corrupta.
• Identificación de limitaciones
▪ Definir la metodología para identificar los límites obligatorios y voluntarios de
conducta legal y ética.
www.auditool.org 101
▪ Identificar los límites obligatorios que incluyen leyes, reglamentos y tratados que
proscriben el fraude y la corrupción en todas las regiones, a nivel comercial y
operativo; prácticas habituales en la industria y normas de conducta profesional
por las cuales los individuos, empleados y/o agentes están sujetos.
▪ Identificar los límites voluntarios, incluidos los valores sociales y las normas para
la industria, regiones de operación y ventas relativas al fraude y la corrupción. Así
mismo, los valores de la Organización para incluir un compromiso con la conducta
ética y una posición de tolerancia cero en la conducta fraudulenta, corrupta o
ilegal.
• Evaluación de riesgos
▪ Definir la metodología de evaluación de los riesgos con el fin de identificar la
frecuencia y los factores desencadenantes que requieren una reevaluación.
▪ Incluir los criterios para determinar la probabilidad, el impacto económico, legal y
reputacional, y la prioridad relativa de los riesgos identificados a través de la
información histórica, los esquemas de fraude conocidos, la experiencia de
auditoría interna y externa, los expertos en la materia para zonas geográficas e
industrias, y entrevistas con los responsables de los procesos.
▪ Analizar el riesgo y el impacto de conformidad con la metodología prescrita y
coherente en toda la empresa para poder hacer una comparación significativa y
facilitar el establecimiento de prioridades.
▪ Definir las prioridades para asignar adecuadamente los recursos disponibles a
altos riesgos de fraude.
www.auditool.org 102
• Diseño y estrategia del Programa
▪ Analizar las iniciativas y controles actuales para mitigar el riesgo de fraude.
▪ Definir nuevas iniciativas para abordar los riesgos en caso de que las iniciativas
actuales no se completen con el nuevo diseño de prevención y detección para
mitigar el riesgo de fraude.
▪ Analizar si la iniciativa de diseñar el plan de administración de riesgo de fraude
es un requisito legal o por el contrario es un acto voluntario de protección, y
relación costo-beneficio de la implementación.
▪ Definir iniciativas para abordar las oportunidades y valores para mejorar la cultura
ética organizacional que resulta en un ambiente de control con mayor resistencia
a los riesgos de fraude.
▪ Seleccionar las iniciativas, controles y rendición de cuentas basados en los
recursos asignados para la elaboración del Programa de administración del
riesgo de fraude.
▪ Definir las respuestas a la crisis para incluir los peores escenarios en los cuales
la conducta fraudulenta o corrupta de cualquier contraparte relacionada con la
empresa introduzca riesgos de fraude.
▪ Alinear el plan estratégico a la estrategia de control de fraude a través de políticas
que:
✓ Definen el fraude.
✓ Comunican el compromiso de la entidad para la prevención, detección y
disuasión del fraude.
✓ Describen las estrategias de control de fraude, incluyendo la formación y la
estrategia de auditoría interna en relación con el control del fraude.
✓ Reflejan las iniciativas de control de fraude, incluyendo la responsabilidad y
los recursos y la resistencia al cambio atenuantes.
✓ Reflejan la metodología de gestión del riesgo de fraude: identificación,
evaluación y priorización.
✓ Documenten las funciones y responsabilidades referentes al fraude en todos
los niveles de la Organización.
✓ Comuniquen los procedimientos para reportar e investigar el fraude,
incluyendo la divulgación y las acciones disciplinarias.
✓ Direccionen el reclutamiento y contratación del personal y conflicto de
intereses.
✓ Determinen con qué frecuencia y métodos se mide y evalúa el programa.
www.auditool.org 103
Principios o prácticas para prevenir fraude: evitar, proteger y preparar
• Código de conducta
▪ Desarrollar el Código de Conducta para incluir las expectativas sobre la conducta
apropiada frente a las oportunidades de fraude o corrupción.
▪ Incluir la política de no retaliación o toma de venganza en los casos que sean
descubiertos.
www.auditool.org 104
▪ Incluir los procedimientos adecuados para la presentación de informes de
conducta fraudulenta o corrupta identificada independientemente de si se
presenta la oportunidad de un conflicto de intereses entre clientes, proveedores,
gobierno u otra relación de negocios y el uso de activos y recursos de la
Organización.
▪ Distribuir y socializar el código de conducta en todos los niveles de la
Organización, de modo que cada nivel comprenda y reciba en sus respectivas
funciones y responsabilidades en relación con el fraude y la gestión del riesgo de
corrupción
▪ Publicar el código de conducta en lugares de fácil acceso para todo el personal
de la Organización.
▪ Actualizar y renovar el código de conducta con base en los cambios en la
legislación, las condiciones de operación y mercado, y políticas que se adopten
a través del tiempo
• Administración de personal
▪ Definir las funciones, responsabilidades y deberes con relación con la de gestión
de riesgo de fraude, incluyendo la separación de funciones y los conflictos de
interés.
▪ Contratar el personal o la fuerza laboral usando criterios de selección que
minimicen el riesgo de una futura conducta fraudulenta.
▪ Verificar los antecedentes de todas las personas que entrarán a la empresa en
calidad de empleados o contratistas y hacer la debida diligencia para cotejar la
historia de cualquier conducta inapropiada o ilegal anterior que se refiere a las
responsabilidades de la posición para la cual el individuo está siendo
considerado.
www.auditool.org 105
▪ Evaluar el rendimiento de los empleados y promover los criterios de evaluación
que incluyen la conducta ética y legal para desincentivar cualquier tipo de
conducta fraudulenta o corrupta.
▪ Compensar y premiar a los empleados a través de mecanismos e incentivos que
no atentan contra las políticas y prácticas para prevenir el fraude.
▪ Realizar las entrevistas de salida al momento de terminar el contrato laboral,
retiro o despido del empleado para identificar focos de fraude o actividades
antiéticas.
▪ Confirmar que los empleados se retiran de manera consistente con la política de
fraude, devuelven los activos asignados de la Organización y los registros e
información confidencial han sido devueltos o destruidos de conformidad con la
política de fraude.
• Línea ética
▪ Definir el enfoque de la línea ética para abordar de manera coherente las
preocupaciones y problemas a través de la validación, la investigación, la
resolución y los procesos de remediación, bien sea que se identifique a través de
auditoría o por medio de un informe de sospecha de conducta fraudulenta o
corrupta.
▪ Proporcionar una línea ética que permita a la entidad recibir informes de
sospecha de conducta fraudulenta o corrupta, tanto sobre una base identificada
como anónima.
www.auditool.org 106
▪ Proporcionar la línea de ayuda o soporte que permita a los interesados internos
y externos obtener orientación sobre si el comportamiento observado o de
sospecha constituye una conducta fraudulenta o corrupta y, por lo tanto, debe ser
informado y tratado de conformidad con las políticas y procedimientos aplicables
• Planeación de la Evaluación
▪ Definir el alcance y los objetivos de la frecuencia de la evaluación periódica del
Programa de gestión del riesgo de fraude.
▪ Definir el tipo de evaluación para comprobar la efectividad del diseño y la eficacia
del funcionamiento del Programa de administración del riesgo de fraude.
▪ Definir el nivel de aseguramiento y la evaluación del equipo de auditoría para
determinar la calidad de la ejecución de la auditoría interna y de su papel en el
programa.
• Reporte de resultados
▪ Definir el estatus y el privilegio de las comunicaciones durante la evaluación y la
socialización de los resultados de la evaluación del Programa de gestión del
riesgo de fraude a la Junta Directiva y al nivel ejecutivo que debe estar
involucrado con la administración del programa de gestión del fraude.
www.auditool.org 107
▪ Resolver los problemas de acuerdo con la metodología implementada en el
Programa de administración del riesgo de fraude.
• Investigaciones especiales
▪ Determinar la necesidad y el alcance de la investigación, sobre todo cuando el
tema del supuesto fraude se basa en la conducta de los ejecutivos o requiere de
técnicas especializadas como la contabilidad o auditoría forense.
▪ Crear un equipo de investigación compuesto por expertos profesionales con
habilidades de investigación, con conocimiento de la empresa, procedimientos y
sistemas.
▪ Planear la investigación basada en la coherencia del alcance, los procedimientos
de investigación y el plan de gestión de la información.
▪ Ejecutar el plan de investigación de acuerdo con el Programa de administración
del riesgo de fraude.
▪ Comunicar la investigación y el seguimiento de acuerdo con el plan de
investigación, incluyendo el anonimato de los participantes, la confidencialidad y
los requisitos de presentación de informes externos.
• Disciplina y divulgación
▪ Ejecutar el proceso disciplinario de acuerdo con la política de fraude en relación
con el rango de las sanciones para las conductas corruptas y fraudulentas y de
acuerdo con los antecedentes disciplinarios establecidos por una conducta
similar cometida anteriormente.
▪ Divulgar los resultados de la investigación con el nivel apropiado de la
Administración, la Junta Directiva y el Comité de Auditoría de acuerdo con los
requisitos legales y según sea necesario a los interesados externos, incluyendo
los medios de comunicación.
• Remediación y mejoramiento
▪ Modificar el programa para endurecer los controles preventivos, mejorar los
controles de detección y acelerar los controles de mitigación.
▪ Comparar y clasificar las iniciativas antifraude para reducir el riesgo de pérdida.
www.auditool.org 108
Principios o prácticas para prevenir fraude: información y comunicación
• Comunicación
▪ Desarrollar el Plan de comunicación para las políticas relacionadas con el fraude,
así como procedimientos, capacitación, investigaciones e informes.
▪ Ofrecer comunicaciones en los diferentes niveles en conformidad con el
Programa de administración del riesgo de fraude.
• Informes internos
▪ Elaborar informes internos que reflejen el análisis de riesgos, las prioridades de
las iniciativas de la administración del riesgo, el progreso hacia los objetivos de
gestión del riesgo de fraude, el estado y los resultados de las evaluaciones y las
medidas disciplinarias adoptadas en respuesta a las investigaciones.
• Informes externos
▪ Desarrollar sistemas de divulgación y documentos que cumplan con los
procedimientos de respuesta a crisis y la gestión de la información.
▪ Satisfacer las necesidades y requerimientos de la Organización y la contraparte
externa en cuanto a la información y la obligación de entregar documentos
relacionados con los casos de fraude y corrupción.
www.auditool.org 109
▪ Crear y gestionar las divulgaciones y notificaciones del avance de los casos y
resultados de las investigaciones de acuerdo con los procedimientos
estandarizados en el Programa de administración del riesgo de fraude.
Los controles internos son generalmente definidos como los procesos para proveer
seguridad razonable con respecto al logro de los objetivos y a la confiabilidad de los reportes
financieros, así como la efectividad y eficiencia de las operaciones y el cumplimiento en la
aplicación de las normas y regulaciones.
www.auditool.org 110
COSO ha identificado cinco componentes del control interno, que aplican consistentemente
en la administración del riesgo de fraude, como se observa en la siguiente tabla.
Componente
COSO Actividades de administración del riesgo de fraude
www.auditool.org 111
Componente
COSO Actividades de administración del riesgo de fraude
www.auditool.org 112
Componente
COSO Actividades de administración del riesgo de fraude
www.auditool.org 113
El Programa de cumplimento hace parte del Programa de administración del riesgo de
fraude y es la guía legal para prevenir y detectar cualquier conducta delictiva y responder
ante cualquier circunstancia jurídica a la que la entidad esté expuesta o en la que se vea
involucrada. Un Programa de cumplimiento efectivo debe ser implementado de forma
proactiva o antes de que la empresa sufra cualquier tipo de exposición o ataque criminal.
Dicho programa debe contemplar los cuatro factores de riesgos que existen en cuanto a la
mitigación de los delitos económicos: zona geográfica o jurisdicción, productos y servicios
que comercializa la empresa, los canales de distribución y ventas, y las contrapartes.
• Establecimiento de parámetros,
• Asignación de responsabilidades,
• Comité de Auditoría,
• Debida diligencia para empleados y contratistas,
• Comunicación del Programa de Cumplimiento y Ética,
www.auditool.org 114
• Entrenamiento y formación a los empleados,
• Aseguramiento del Programa,
• Acciones disciplinarias y legales,
• Respuesta apropiada a los eventos,
• Evaluación periódica del Programa.
Programa de Ética
En la mayoría de los grupos sociales las personas comparten los mismos valores. Ellos
generalmente están de acuerdo respecto a lo que es bueno o malo, correcto o no correcto,
o moral o inmoral. Incluso puede que alguien no esté de acuerdo con uno de los valores
que se manejan en el grupo, pero siempre los valores sociales de la mayoría afectarán las
creencias y comportamientos de todo el grupo.
Por esto, determinar éticamente qué está bien o qué está errado es demasiado complicado
debido a que este concepto es solo de carácter subjetivo y se acomoda dependiendo del
grupo donde el individuo socializa, como también de la transformación de la persona a
través del tiempo. Por ejemplo, el perpetrador sabe que robar el dinero de la cuenta de los
clientes de la empresa está errado, pero este individuo buscará a alguien que acepte su
comportamiento criminal y comparta sus creencias y justificaciones acerca de robar el
dinero, a tal punto que encontrará la justificación perfecta y aceptada para socializar como
moralmente correcto su comportamiento.
Se han detectado cuatro factores que generalmente afectan las decisiones éticas de los
empleados:
www.auditool.org 115
¿Ético o moral?
Desafortunadamente, una falacia muy común acerca de la ética son los aspectos de
legalidad. Es decir, en muchas decisiones divagamos o tenemos ambivalencias acerca si
la decisión es ética o moral. Una excusa perfecta frente al comportamiento antiético es la
norma. Este enfoque totalmente legal deduce erróneamente que las acciones que no están
explícitamente prohibidas por la norma o regulación son éticas. El principal error en este
enfoque es que los estándares legales se quedan cortos al establecer los principios éticos.
Aunque la fundamentación de la ley es parte del comportamiento ético, las leyes por sí
mismas no describen cómo debe ser un comportamiento ético. Por ejemplo, alguien puede
ser deshonesto, carente de principios, no confiable, injusto e indiferente sin quebrantar la
ley. Las personas éticas se comportan de acuerdo con sus principios y valores y no se rigen
por la ley. Por lo tanto, la ley o norma es solamente el límite mínimo para tomar una decisión
legal pero esto no determina cómo las personas pueden comportarse éticamente.
Debido a esto, se hace necesario tener políticas éticas en las organizaciones, por las cuales
la Junta Directiva y la Alta Gerencia puedan comunicar la filosofía empresarial y desarrollar
exitosamente el Programa de ética. El Código de Ética debe estar diseminado en todos los
niveles de la empresa entre todos los empleados sin importar el rango y tiempo de
permanencia en la empresa. Adicionalmente, algunas compañías han encontrado que el
Código de Ética es la mejor herramienta para evitar comportamientos corruptos entre las
contrapartes adicionales a los empleados.
Existen algunas teorías acerca de la ética y como empleados encontramos que en los
lugares de trabajo hay cierto código de ética que ayuda a orientar el comportamiento
humano sobre principios como el respeto, la honestidad y la transparencia. Sin embargo, el
carácter ético se consolida en las personas en la niñez y en los comienzos de la
adolescencia. De modo que si una persona no aprendió sobre ética en los primeros años
de su vida, es muy probable que dicho individuo no sea ético en la adultez.
Sin embargo, otras teorías sostienen que los valores y la moral son formados en los
primeros años de la adultez e incluso dicha formación se extiende durante toda nuestra
existencia. De hecho, solo se aprende de ética en la medida en que se tomen decisiones
donde las personas tienen la capacidad de hacer juicios y cambiar su comportamiento
tantas veces como sea necesario.
www.auditool.org 116
El programa de negocios éticos se construye pensando en la teoría de que las personas
aprenden sobre ética y moral en la medida en que se exponen a diferentes ambientes y se
ven afectadas o modifican su comportamiento de acuerdo con sus experiencias. Por esto,
el Código de Ética es el principal manual que cualquier organización debe tener para
garantizar un único comportamiento en todas sus áreas, donde todas las personas que
tienen relaciones contractuales o las contrapartes estén alineadas con los principios y
valores que la empresa ha establecido.
Un Programa de ética debe estar diseñado de manera individual para cada organización,
confeccionado de acuerdo con los cuatro factores de riesgo y conforme a la planeación
estratégica. Identificar estas características y reforzar el reconocimiento de los problemas
orienta a la empresa a la prevención de las conductas criminales. Para desarrollar el
programa se sugiere tener en cuenta las presentes actividades:
• Entender las razones por la cuales personas buenas pueden cometer actos antiéticos.
• Definir los valores actuales y futuros de la Organización.
• Verificar si los valores de la Organización han sido comunicados apropiadamente.
• Escribir y actualizar las políticas, procedimientos y estructuras éticas en la
Organización.
• Averiguar cómo los miembros de la Junta Directiva, socios y accionistas, miembros
de la Gerencia y Administración, empleados, contratistas y otros miembros de la
empresa conciben el éxito personal.
• Determinar si la ética en la Organización es un problema de liderazgo.
Una vez aclarados los anteriores aspectos para construir un programa de ética efectivo, es
necesario desarrollar, implementar y administrar un plan exhaustivo que comprende los
siguientes componentes:
www.auditool.org 117
• Código de Ética,
• Designación del Oficial de Cumplimiento y Ética,
• Comité o grupo especial de Ética,
• Estrategia comunicacional sobre ética,
• Formación y entrenamiento sobre ética,
• Línea ética o de reporte de fraude y comportamiento corrupto,
• Premios y sanciones sobre el comportamiento ético,
• Sistema de monitoreo y trazabilidad de bases de datos,
• Evaluación periódica del plan de ética y de base de datos,
Los siguientes cuestionarios fueron diseñados por ACFE (Association of Certified Fraud
Examiners) y traducidos para efectos de este curso. Cada cuestionario contiene una serie
de preguntas diseñadas para ayudar a las organizaciones a ampliar la visión del riesgo en
determinadas áreas en la evaluación del riesgo. Estos módulos deben ser desarrollados
entre el líder de la evaluación y el responsable en la Organización o dueño del proceso a
evaluar, quien debe ser una persona con pleno conocimiento de la operación. El resultado
de la evaluación a través de estos cuestionarios debe ser revisado en la Organización para:
Es necesario tener presente que este tipo de herramientas se debe ajustar a la corporación
que está evaluando y el material que se presenta es solo un ejemplo académico que le
ayudará a guiarse frente a la evaluación del riesgo del fraude.
www.auditool.org 118
Tome como punto de partida el árbol del fraude que se entrega en este material. Allí usted
encontrará las actividades criminales más comunes que suceden en las empresas
clasificadas por grupos de cuentas o actividades similares. Elabore por cada área de trabajo
un formulario con la mayor cantidad de preguntas de control que le ayudarán a verificar el
Sistema de Control Interno de la Organización. En este punto el equipo interdisciplinario
debe reunirse para elaborar el cuestionario con el soporte del conocimiento individual. Así
mismo, tome experiencias de otras organizaciones para elaborar el formulario de preguntas.
No se limite a preguntar lo impensable, dado que algunos esquemas de fraudes se elaboran
y se esconden donde menos se imagina. Recuerde que entre más preguntas haga, más
información obtendrá.
• Controles internos,
• Ambiente de control interno,
• Recursos disponibles para prevenir, detectar y disuadir el fraude.
# Pregunta Sí No N/A
1 ¿Los empleados tienen una descripción detallada de sus
funciones o un manual de funciones?
2 ¿Los empleados conocen el organigrama que muestra las
líneas de responsabilidad?
3 ¿La empresa ha formulado y escrito procedimientos y
políticas contables financieras?
4 ¿Existe una política formal sobre homologación para las
transacciones financieras, tales como compras comisiones
o viajes?
5 ¿La empresa tiene una declaración o Código de Ética?
6 ¿Los directivos exhiben y fomentan el comportamiento
ético?
7 ¿La empresa ha definido y escrito políticas y procedimientos
de fraude?
8 ¿Hay en la empresa un miembro sénior de la Gerencia
responsable del cumplimiento de las políticas de fraude?
9 ¿La Organización educa a los empleados sobre la
importancia de la ética y los programas de lucha contra el
fraude?
www.auditool.org 119
# Pregunta Sí No N/A
10 ¿Los incidentes de fraude son investigados con prontitud y
profundidad?
11 ¿La Organización tiene una línea anónima para informar
sospechas de violaciones de la ética y de los programas de
lucha contra el fraude?
12 ¿La empresa mantiene un registro de incidentes de fraude?
13 ¿La empresa lleva a cabo las verificaciones de
antecedentes para nuevos empleados?
14 ¿La empresa tiene un cargo que se enfoque en la
prevención de pérdidas?
15 ¿La empresa tiene auditoría interna?
16 ¿Están segregadas las funciones relacionadas con la
autorización, custodia de los activos, registros de
transacciones y presentación de informes?
17 ¿El cumplimiento de controles internos es auditado
periódicamente?
18 ¿Los empleados sienten que son bien tratados y justamente
compensados?
19 ¿Los empleados tienen grandes deudas personales o
problemas de crédito?
20 ¿Los empleados parecen gastar mucho más de lo que están
ganando?
21 ¿Los empleados apuestan excesivamente o se deleitan con
apuestas?
22 ¿Los empleados usan alcohol o drogas psicotrópicas o
alucinógenos?
23 ¿Existen empleados resentidos con sus superiores?
24 ¿Los empleados tienen una relación cercana con
proveedores o competidores?
25 ¿Los empleados tienen intereses empresariales que
podrían entrar en conflicto con sus deberes en la empresa?
26 ¿La empresa efectúa alta rotación de personal?
27 ¿Los empleados están obligados a tomar vacaciones
anuales?
28 ¿Está la compañía dominada por un pequeño grupo de
personas?
29 ¿La empresa tiene expectativas y medidas de productividad
poco realistas?
30 ¿La Administración no entrega retroalimentación positiva a
los empleados ni reconocimientos por desempeño en el
trabajo?
www.auditool.org 120
# Pregunta Sí No N/A
31 ¿El personal siente temor al entregar malas noticias a
supervisores acerca de la gestión de los empleados?
32 ¿Existe falta o fallas en la comunicación entre empleados y
directivos?
33 ¿La empresa adolece de una organización clara de las
responsabilidades?
34 ¿Parece que a la Gerencia no le importa ni recompensa el
comportamiento adecuado del empleado?
www.auditool.org 121
H2. Evaluación de Junta Directiva y Alta Gerencia
www.auditool.org 122
¿Se minimizan las utilidades para pagar menos impuestos?
¿Hay presión excesiva para aumentar el precio de las acciones
de la empresa?
¿La compañía recientemente ha experimentado grandes
pérdidas de operación o inversión?
¿La Organización tiene suficiente capital de trabajo?
¿La Organización tiene crédito suficiente?
¿Está la Organización bajo presión para informar ganancias
favorables?
¿La empresa depende de solo un número limitado de productos
o clientes?
¿La empresa ha tropezado con dificultades para recoger
cuentas por cobrar?
¿La compañía recientemente ha incursionado rápidamente en
nuevas líneas de negocio o producto?
¿Ha experimentado la empresa una reducción en el volumen de
ventas?
¿La empresa tiene competidores fuertes que la están
superando?
¿Está la empresa bajo presión para vender o fusionarse con
otra empresa?
¿La empresa cambia cuentas bancarias a menudo?
¿La empresa evita entregar información a las auditorías
ordinarias?
¿La empresa cambia constantemente el equipo de auditoría?
¿La empresa tiene problemas con las agencias reguladoras o
superintendencias?
¿La empresa tiene malos o pobres procedimientos de
contabilidad?
¿Parece que el departamento contable no tiene los
profesionales adecuados?
¿La Organización no divulga sus prácticas contables
cuestionables o inusuales?
¿La empresa tiene un número grande de transacciones
inusuales al fin del año?
¿La Organización carece de personal de auditoría interna
adecuado?
¿La Organización carece de un sistema de control interno o no
aplica los controles internos existentes?
www.auditool.org 123
H3. Controles físicos para prevenir el fraude
www.auditool.org 124
H4. Esquema de fraude previo al registro del efectivo
www.auditool.org 125
H4. Esquema de fraude previo al registro del efectivo Sí No N/A
¿Existe el control sobre el correo físico de documentos que se abre?
¿Se verifica que el recibo de consignación sellado por el banco
corresponde al dinero enviado por al banco por la Organización?
¿Se consignan el efectivo y los cheques diariamente?
¿Existe una política escrita sobre la recuperación de la cartera
perdida?
¿Existe una persona encargada que recibe las quejas y/o
reclamaciones de los clientes y es diferente al responsable de las
cuentas por cobrar o facturación?
¿Está el acceso físico al sistema de contabilidad restringido a solo las
personas autorizadas?
¿La empresa utiliza personal independiente para hacer los cobros a
los clientes?
www.auditool.org 126
H5. Esquema de robo de efectivo posterior al registro
www.auditool.org 127
H6. Esquemas de corrupción
Esquemas de soborno, que implican ofrecer, dar, recibir o solicitar una cosa de valor
para influir en una decisión empresarial,
Esquemas de soborno que se producen cuando los vendedores hacen pagos no
divulgados a los empleados de la compra de las empresas,
Esquemas de licitaciones que se producen cuando un empleado asiste
fraudulentamente a un vendedor en un contrato a través del proceso de licitación
competitiva para ganar,
Esquemas de extorsión económica que se producen cuando un empleado demanda
pago de un proveedor para las decisiones tomadas a favor del vendedor. La negativa
a pagar la extorsión resulta en un daño para el vendedor,
Esquemas de propinas ilegales que implican dar o recibir algo de valor para ejercer
influencias en una decisión empresarial.
www.auditool.org 128
Conclusiones
www.auditool.org 129
• Campañas y más campañas sobre delitos económicos. No pare de socializar el
Programa. Los empleados, y en general la Organización, deben estar en función de
alguna actividad que incluya temas éticos y antifraude. Innove con premios, volantes,
concursos, afiches, botones y demás material con poder de recordación para
promover los valores éticos.
• Usted trabaja con gente, por lo tanto, debe saber con quién trabaja. Investigue y haga
la debida diligencia de la contraparte en especial respecto a empleados, contratistas,
clientes, proveedores y expertos que lo acompañan. Promulgue la política de la
debida diligencia en el personal, los clientes y proveedores, de modo que si alguien
recomienda a un tercero para tener cualquier relación de tipo contractual con la
Organización entienda que siempre se hará la investigación de antecedentes. Un
perpetrador odia que miren su pasado criminal y más aún cuando a la fecha no ha
pagado un solo peso por su actuar y aún está libre. El criminal no quiere ser
investigado, por lo tanto, la menor sospecha de carencia de información o
documentos debe ser considerada como una alarma para desistir del proceso de
vinculación.
• Rodéese de expertos con conocimientos forenses, y en riesgos, delitos y los demás
detalles que le ayudarán a construir un programa efectivo, eficiente y justo a la medida
para la Organización. Las personas que pasan todo el tiempo estudiando e
investigando este tipo de proyectos tienen un conocimiento holístico que les permite
ver más allá, reconocer actividades criminales en todas partes y pensar lo
impensable.
• Ante la menor duda actúe. No espere a que el caso sea más grande o derive en más
pérdidas. Recuerde que un fraude de cuello azul se descubre en 18 meses
aproximadamente y uno de cuello blanco en más de 24 meses; por lo tanto, el hecho
de que aparezca hoy debe ser considerado como la manifestación de un acto que no
es nuevo. Un detalle por más pequeño e insignificante importa, no lo descarte o
subestime.
• El Reglamento Interno de trabajo es la clave para administrar las acciones
disciplinarias en la comisión de un fraude o en conductas éticas. Incluya un capítulo
para la administración del riesgo de fraude e incorpore todas las actividades que se
encuentran en el árbol del fraude y las que usted considera que pueden ocurrir.
Sanciones disciplinarias ejemplares disuaden naturalmente. Exponga públicamente
el Reglamento Interno de trabajo. Obligue a su lectura a los nuevos empleados y
prepare un examen corto y simple sobre los temas que se encuentren en el
reglamento, incluyendo el fraude y la corrupción. Use las herramientas legales para
prevenir el fraude.
• Proactividad más que reactividad. Adelántese a los hechos, no espere a que el
perpetrador ataque. Salga de la rutina y construya nuevos escenarios en los cuales
puedan ser cometidos los delitos que son fraude. El criminal innova cada día y nos
lleva la delantera en muchas ocasiones; por lo tanto, es el momento de despertar para
prevenir. Las reacciones son costosas porque detectar e investigar requiere de
mayores recursos económicos y humanos.
www.auditool.org 130
• El Programa de administración del riesgo de fraude está planteado para cualquier tipo
de negocio, empresa e industria. El programa incluye todas las conductas antiéticas
que derivan en fraude o abuso y por ende cualquier tipo de pérdidas; por lo tanto, no
subestime el fraude, pero tampoco considere que el Programa solo debe ser
implementado en grandes organizaciones. El Programa debe ser confeccionado de
acuerdo con el tamaño de la Organización y su cultura empresarial. Tome de este
curso el material que más le convengan y ajuste su Programa con otros recursos,
pero en todo caso no copie modelos de programa de una empresa a otra sin hacer
los ajustes respectivos. Recuerde que cada empresa tiene un ADN que se debe
respetar, de lo contrario el Programa de administración del riesgo de fraude estará
abocado al fracaso.
• Denuncie y gestione legal y civilmente las denuncias y quejas. Los perpetradores
conocen que la vergüenza, la carencia de tiempo, la falta de asistencia de expertos e
impunidad son los motivos más comunes por los que una víctima no denuncia. No
subestime la denuncia en los casos en los cuales el abuso o el fraude genera
pequeños impactos económicos.
www.auditool.org 131